Tietosuoja/GDPR
EU:n uusi tietosuoja-asetus tulee voimaan toukokuussa 2018. Siitä alkaen henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista.
Tietosuoja-asetuksesta käytetään myös nimitystä GDPR eli General Data Protection Regulation. Sen tarkoituksena on ajantasaistaa tietosuojan sääntelyä.
Tietosuoja-asetuksen tavoitteena on, että kansalaiset voivat hallita tietojaan paremmin. Asetus sääntelee mm. henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia.
Sopimus henkilötietojen käsittelystä tilitoimistossa
VS-Yrityspalvelu Oy
Y-tunnus: 2414668-8
Aluksi
Tilitoimisto ja asiakas ovat tehneet toimeksiantosopimuksen, jolla asiakas hankkii toimeksiantosopimuksessa kuvatut taloushallinnon palvelut tilitoimistolta. Näiden palveluiden yhteydessä tilitoimisto käsittelee asiakkaan henkilötietoja. Tässä sopimuksessa sovitaan ehdoista, joiden mukaisesti tilitoimisto käsittelee asiakkaan henkilötietoja. Käsittelytoimet kuvataan yksityiskohtaisemmin liitteessä 1A, jota osapuolet tarvittaessa päivittävät sopimuksen voimassaoloaikana.
”Henkilötiedolla” tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyviä tietoja.
”Henkilötietojen käsittelyllä” tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin.
Tilitoimiston asiakas on rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Tilitoimisto on käsittelijä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Tämä sopimus sisältää seuraavat liitteet, joita sovelletaan seuraavassa järjestyksessä:
1A Seloste käsittelytoimista
1B Tietoturvatoimet tilitoimistossa
1C Asiakkaan antama ohjeistus henkilötietojen käsittelystä.
Yleiset oikeudet ja velvollisuudet
Asiakkaan yleiset oikeudet ja velvollisuudet rekisterinpitäjänä
a) Asiakas vastaa henkilötietojen keräämisestä.
b) Asiakas käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.
c) Asiakas määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot sekä antaa tilitoimistolle kirjalliset ohjeet henkilötietojen käsittelystä. Henkilötietojen käsittelyn tarkoituksesta tulee ilmetä, minkälaisissa tehtävissä (mm. palkanlaskenta) henkilötietoja käsitellään.
d) Asiakas vastaa siitä, että rekisteröidyille toimitetaan kaikki lainsäädännön edellyttämät henkilötietojen käsittelyä koskevat ilmoitukset ja tiedot.
e) Asiakas vastaa rekisteröityjen oikeuksien toteutumisesta.
f) Asiakas varmistaa, että henkilötietojen siirtäminen tilitoimistolle sekä henkilötietojen käsittely tämän sopimuksen mukaisesti on lainmukaista koko sopimuksen voimassaolon ajan.
g) Asiakas vakuuttaa, että jos se edustaa tässä sopimuksessa konserniyhtiöitään tai kolmansia osapuolia, sillä on oikeus sitoutua tähän sopimukseen ja antaa tilitoimistolle oikeus käsitellä henkilötietoja tämän sopimuksen ja toimeksiantosopimuksen mukaisesti.
h) Asiakas vahvistaa ja vastaa siitä, että tämän sopimuksen mukainen henkilötietojen käsittely on lainsäädännössä asetettujen vaatimusten mukaista, mukaan lukien tietoturvavaatimukset.
i) Asiakas vahvistaa, että se on antanut tilitoimistolle kaikki tarvittavat tiedot, jotta tilitoimisto voi täyttää tässä sopimuksessa ja toimeksiantosopimuksessa sille asetetut velvoitteet tietosuojalainsäädännön vaatimusten mukaisesti.
j) Asiakas tai sen valtuuttama ulkopuolinen tarkastaja voi auditoida tilitoimiston tai tämän alihankkijoiden tämän sopimuksen alaista toimintaa.
k) Asiakas vastaa siitä, että korjaukset, poistot ja muutokset henkilötietoihin toimitetaan viivytyksettä tilitoimistolle.
l) Asiakas pidättää itsellään kaikki omistusoikeudet, immateriaalioikeudet ja muut oikeudet henkilötietoihin.
Jos osapuolet ovat sopineet, että tilitoimisto avustaa asiakasta tämän lainmukaisten selosteiden laatimisessa, asiakkaan tulee antaa tilitoimistolle tämän sitä varten tarvitsemat tiedot. Tilitoimisto toimittaa selosteet vain asiakkaalle.
Tilitoimiston yleiset oikeudet ja velvollisuudet käsittelijänä
a) Tilitoimisto käsittelee henkilötietoja ainoastaan toimeksiantosopimuksessa ja tässä sopimuksessa määriteltyihin tarkoituksiin, vain siinä laajuudessa kuin on tarpeen asiakkaan toimeksiannosta tapahtuvaa palvelua varten ja ainoastaan tämän sopimuksen voimassaoloajan, ellei pakottavasta lainsäädännöstä muuta johdu. Tilitoimistolla ei ole oikeutta käyttää toimeksiantosuhteessa saamiaan henkilötietoja omassa toiminnassaan, luovuttaa niitä, käsitellä niitä, eikä yhdistää tietoja muuhun hallussaan olevaan aineistoon muutoin kuin toimeksiantosopimuksen tarkoittamassa laajuudessa ja sen mukaista tehtävää hoitaessaan.
b) Tilitoimisto käsittelee henkilötietoja laillisesti, huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimii muutoinkin niin, ettei rekisteröityjen yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.
c) Tilitoimisto käsittelee ja varmistaa alaisuudessaan toimivan henkilön, jolla on pääsy henkilötietoihin, käsittelevän henkilötietoja ainoastaan asiakkaan antamien dokumentoitujen, lainmukaisten ja kohtuullisten ohjeiden mukaisesti, paitsi jos sovellettavassa laissa toisin vaaditaan. Siinä tilanteessa tilitoimisto informoi asiakasta välittömästi tästä oikeudellisesta vaatimuksesta, edellyttäen, ettei sovellettava lainsäädäntö kiellä sellaista informointia.
d) Tilitoimisto varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtävien hoitaminen sitä edellyttää ja, että kyseiset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus.
e) Tilitoimisto toteuttaa kaikki lainsäädännön henkilötietojen käsittelijöiltä edellyttämät turvallisuustoimenpiteet siten kuin tässä sopimuksessa on tarkemmin sovittu.
f) Tilitoimisto avustaa mahdollisuuksien mukaan ja käsittelyn luonteen huomioon ottaen asiakasta asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä täyttämään asiakkaan velvollisuuden vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä.
g) Tilitoimisto avustaa käsittelyn luonteen ja tilitoimiston saatavilla olevat tiedot huomioon ottaen asiakasta varmistamaan, että asiakkaalle laissa asetettuja velvollisuuksia, kuten turvatoimia, vaikutusten arviointia ja ennakkokuulemista, noudatetaan. Tilitoimisto on velvollinen avustamaan asiakasta vain sovellettavan lainsäädännön tilitoimistolle käsittelijänä asettamien velvoitteiden mukaisessa laajuudessa.
h) Tilitoimisto huomioi asiakkaan toimittamat tietojen korjaukset, poistot ja muutokset ilman aiheetonta viivytystä henkilötietojen käsittelyssä.
i) Tämän sopimuksen aikana tai sen päätyttyä tilitoimisto joko tuhoaa tai palauttaa asiakkaalle asiakkaan valinnan ja ohjeiden mukaisesti kaikki henkilötiedot ja poistaa olemassa olevat jäljennökset, ellei pakottavasta lainsäädännöstä muuta johdu. Tuhoamista ja palauttamista koskevista käytännöistä voidaan sopia tarkemmin erikseen osapuolten kesken.
j) Tilitoimisto ylläpitää tarvittavia selosteita käsittelytoimista ja saattaa asiakkaan saataville kaikki sellaiset tiedot, jotka osoittavat, että tilitoimisto noudattaa sille tässä sopimuksessa ja sovellettavassa lainsäädännössä säädettyjä velvollisuuksia.
k) Tilitoimisto sallii asiakkaan tai asiakkaan valtuuttaman auditoijan suorittamat auditoinnit ja osallistuu niihin siten kuin tässä sopimuksessa on tarkemmin sovittu.
l) Tilitoimisto ilmoittaa asiakkaalle, jos tilitoimisto katsoo, että asiakkaan antama ohjeistus rikkoo sovellettavaa lainsäädäntöä.
m) Tilitoimisto ilmoittaa asiakkaalle, jos tilitoimisto katsoo, että asiakkaan toimintatavoissa on puutteita, ja avustaa tarvittaessa asiakasta toimintatapojen korjaamisessa.
Tilitoimistolla on oikeus laskuttaa yllä kuvatuista avustamis- ja korjaamistoimista, pyyntöihin vastaamisesta, auditoinnin tuesta sekä asiakkaan ohjeistuksen muutoksista johtuvista toimista ja kustannuksista erikseen.
Tietoturva
Tilitoimisto toteuttaa ja ylläpitää asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan henkilötietojen käsittelyn riittävä turvallisuustaso ja joilla suojellaan henkilötietoja luvattomalta ja laittomalta käsittelyltä sekä tahattomalta menettämiseltä, tuhoamiselta, vahingolta, muutokselta tai luovuttamiselta, ottaen huomioon erityisesti uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
Tilitoimiston tämän sopimuksen johdosta toteuttamat käsittelyn tietoturvaperiaatteet on kuvattu tarkemmin tämän sopimuksen liitteessä 1B.
Asiakas on velvollinen varmistamaan, että tilitoimistoa informoidaan kaikista niistä asiakkaan toimittamiin henkilötietoihin liittyvistä seikoista (kuten riskiarvioinneista sekä erityisten henkilötietoryhmien käsittelystä), jotka vaikuttavat tämän sopimuksen mukaisiin teknisiin ja organisatorisiin toimenpiteisiin.
Tietoturvajärjestelyjä arvioidaan, tarkistetaan ja päivitetään säännöllisesti.
Alihankkijat
Tilitoimisto saa käyttää alihankkijoita henkilötietojen käsittelyssä tämän sopimuksen perusteella. ”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän sopimuksen mukaisesti, kokonaan tai osittain, käsittelijän lukuun ja tämän toimeksiannosta.
Käsittelyssä käytettävät alihankkijat sopimuksen alkaessa ilmoitetaan asiakkaan pyynnöstä. Tilitoimisto tiedottaa asiakkaalle ennalta suunnitelluista muutoksista, joilla alihankkijoita lisätään tai vaihdetaan. Mikäli asiakas ei hyväksy suunniteltua muutosta, asiakkaalla ja tilitoimistolla on oikeus kolmenkymmenen (30) päivän ajan muutoksen tiedottamisesta irtisanoa toimeksiantosopimus päättymään kyseisen kolmenkymmenen (30) päivän jakson päättyessä sen palvelun osalta, jonka tuottamiseen alihankkijan muutos vaikuttaa ja jossa henkilötietoja käsitellään. Mikäli alihankkijavaihdos, jota asiakas ei hyväksy ja johon tilitoimisto ei voi vaikuttaa, estää tai olennaisesti vaikeuttaa palveluntuottamista, tilitoimistolla ei ole velvollisuutta tuottaa sellaista palvelua.
Tilitoimisto solmii kirjallisen käsittelysopimuksen alihankkijan kanssa ja edellyttää kaikkien alihankkijoiden noudattavan tilitoimistolle tässä sopimuksessa asetettuja tietosuojavelvoitteita tai vastaavan tietosuojan tason takaavia velvoitteita. Alihankkija käsittelee henkilötietoja vain kirjallisen sopimuksen mukaisesti. Tilitoimisto vastaa käyttämiensä alihankkijoiden toimista kuin omistaan.
Henkilötietojen siirto
Tilitoimisto voi siirtää henkilötietoja Euroopan unionin, Euroopan talousalueen tai muiden maiden, joiden Euroopan komissio on todennut takaavan riittävän tietosuojan tason, ulkopuolelle ainoastaan asiakkaan etukäteisellä kirjallisella suostumuksella. Mikäli siirretään tietoja edellä mainittujen alueiden ulkopuolelle, tilitoimisto solmii sovellettavan lain edellytysten mukaisen sopimuksen henkilötietojen siirrosta tarvittavien osapuolten kanssa. Sopimus henkilötietojen siirrosta laaditaan Euroopan komission hyväksymien mallisopimuslausekkeiden mukaisesti. Vaihtoehtona mallisopimuslausekkeiden käytölle siirto voi tapahtua muita soveltuvan lainsäädännön hyväksymiä siirtoperusteita käyttäen tai hyödyntäen.
Mikäli mallisopimuslausekkeiden tai minkä tahansa muun lainmukaisen siirtoperusteen ja tämän sopimuksen välillä on ristiriita, mallisopimuslausekkeet ja vaihtoehtoiset siirtoperusteet saavat soveltamisjärjestyksessä aina etusijan suhteessa toimeksiantosopimukseen ja tähän sopimukseen.
Henkilötietojen tietoturvaloukkauksista ilmoittaminen
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
Tilitoimiston on ilmoitettava henkilötietojen tietoturvaloukkauksesta asiakkaalle ilman aiheetonta viivytystä siitä, kun tilitoimisto tai sen käyttämä alihankkija on saanut loukkauksen tietoonsa. Elleivät osapuolet ole toisin sopineet, ilmoitus tulee tehdä asiakkaan ilmoittamalle yhteyshenkilölle.
Tilitoimiston on ilman aiheetonta viivytystä toimitettava asiakkaalle tieto henkilötietojen tietoturvaloukkaukseen johtaneista olosuhteista sekä muista siihen liittyvistä tilitoimiston saatavilla olevista seikoista asiakkaan kohtuullisten pyyntöjen mukaisesti.
Siltä osin kuin kyseinen tieto on tilitoimiston saatavilla, on asiakkaalle tehtävässä ilmoituksessa kuvattava ainakin:
kuvaus henkilötietojen tietoturvaloukkauksesta, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
- sen henkilön nimi ja yhteystiedot, joka vastaa käsittelijän tietosuoja-asioista
- kuvaus tietoturvaloukkauksen todennäköisistä seurauksista; sekä
- kuvaus niistä toimenpiteistä, jotka tilitoimisto ehdottaa toteutettaviksi ja/tai on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, mukaan lukien tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Jos ja siltä osin kuin edellä listattuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.
Auditointi
Asiakkaalla on oikeus auditoida käsittelijän tämän sopimuksen alainen tietojenkäsittelytoiminta. Asiakas on velvollinen käyttämään auditoinnissa vain sellaisia ulkopuolisia tarkastajia, jotka eivät ole tilitoimiston kilpailijoita. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Auditointi tulee suorittaa tavalla, joka ei haittaa tilitoimiston sitoumuksia kolmansiin osapuoliin nähden. Kaikkien asiakkaan edustajien ja auditointiin osallistuvien ulkopuolisten tarkastajien tulee allekirjoittaa tavanomainen salassapitositoumus tilitoimiston hyväksi.
Asiakas vastaa kaikista auditoinnista aiheutuvista kustannuksista. Tilitoimistolla on myös oikeus laskuttaa avustamisesta auditoinnissa ja muusta auditoinnista johtuvasta lisätyöstä.
Salassapito
Tilitoimisto sitoutuu
- pitämään luottamuksellisena kaikki asiakkaalta vastaanottamansa henkilötiedot
- varmistamaan, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta, sek
- varmistamaan, että henkilötietoja ei siirretä tai luovuteta kolmansille osapuolille ilman asiakkaan etukäteistä kirjallista suostumusta, ellei käsittelijä ole velvollinen ilmaisemaan tietoja pakottavan lainsäädännön tai viranomaisen määräyksen perusteella.
Mikäli rekisteröity tai viranomainen tekee henkilötietoja koskevan pyynnön, tilitoimiston tulee, niin pian kuin on kohtuullisesti mahdollista, ilmoittaa asiakkaalle tällaisesta pyynnöstä ennen pyyntöön vastaamista tai muiden henkilötietoja koskevien toimenpiteiden suorittamista. Mikäli toimivaltainen viranomainen vaatii välitöntä vastausta, ilmoittaa tilitoimisto asiakkaalle pyynnöstä niin pian kuin on mahdollista pyyntöön vastaamisen jälkeen, ellei pakottavasta laista muuta johdu.
Vastuunrajoitus
Toimeksiantosopimuksen mukaisia vastuunrajoituksia sovelletaan myös tähän sopimukseen. Jos vastuunrajoituksista ei ole toimeksiantosopimuksessa sovittu, noudatetaan seuraavaa.
Tilitoimisto vastaa vain huolimattomuudestaan johtuvista välittömistä vahingoista.
Tilitoimisto ei vastaa välillisistä vahingoista, kuten tulon, liikevaihdon tai markkinoiden menetyksestä, tuotannon tai palvelun keskeytymisestä, saamatta jääneestä voitosta taikka muusta niihin verrattavasta vahingosta.
Jos kolmas osapuoli tekee osapuolelle henkilötietojenkäsittelyn perusteella korvausvaatimuksen, siitä on ilmoitettava toiselle osapuolelle viipymättä. Jos tilitoimisto joutuu maksamaan kolmannelle osapuolelle vahingonkorvausta, asiakkaan on hyvitettävä tilitoimistolle tästä aiheutunut menetys sikäli kuin se ei johdu tilitoimiston virheestä tai laiminlyönnistä sopimusehtojen noudattamisessa.
Tilitoimiston vastuun enimmäismäärä on kuitenkin aina enintään 5.000 euroa yhdessä vahinkotapahtumassa ja saman tilikauden aikana ilmenneistä vahinkotapahtumista yhteensä enintään 10.000 euroa, ellei muusta enimmäismäärästä ole nimenomaisesti sopimuksessa sovittu. Vahinko katsotaan yhdeksi vahinkotapahtumaksi, vaikka siihen olisi vaikuttanut saman virheen toistuminen ja vaikka se vaikuttaisi useampaan tilikauteen. Vahingon katsotaan ilmenneen kokonaan sen tilikauden aikana, jolloin se olennaisilta osiltaan ilmeni, vaikka jokin vahingon osa ilmenisi muuna tilikautena. Sopimusrikkomus, virhe tai laiminlyönti eivät aiheuta tilitoimistolle muuta seuraamusta kuin mitä edellä on todettu.
Vaatimukset tilitoimistolle on tehtävä kirjallisesti viipymättä. Jos virhe tai puute havaitaan tai on havaittavissa välittömästi, huomautus on tehtävä heti ja viimeistään neljäntoista (14) päivän kuluessa. Jos eriteltyä vaatimusta ei ole tehty tilitoimistolle kuuden (6) kuukauden kuluessa vahingon toteamisesta, ei korvausta makseta. Korvausta ei myöskään makseta, jos vaatimus tehdään, kun on kulunut yli kolme (3) vuotta kyseisestä käsittelytapahtumasta.
Kaikissa tapauksissa kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuomioistuimen sille määräämistä hallinnollisista sanktioista, jotka ovat ko. valvontaviranomaisen tai tuomioistuimen päätöksen mukaisesti seurausta siitä, että kyseinen osapuoli ei ole noudattanut sille tietosuojalainsäädännössä asetettuja vaatimuksia tai velvoitteita.
Voimassaolo
Tämän sopimuksen voimassaolo on sidottu toimeksiantosopimuksen voimassaoloon ja päättyy automaattisesti toimeksiantosopimuksen päättyessä mistä tahansa syystä.
Mikäli asiakas rikkoo tätä sopimusta, tilitoimistolla on oikeus purkaa toimeksiantosopimus ja tämä sopimus, mikäli asiakas ei seitsemän (7) päivän kuluessa tilitoimiston lähettämästä kehotuksesta ole korjannut menettelyään ja huolehtinut kaikkiin toimiin ryhtymisestä rikkomuksesta johtuvien seurausten välttämiseksi, korjaamiseksi ja korvaamiseksi.
Velvoitteet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa tämän sopimuksen voimassaolon päättymisestä riippumatta, jäävät voimaan tämän sopimuksen päättymisestä riippumatta.
Tilitoimisto antaa asiakkaalleen tämän sopimuksen mukaiset liitteet 1A ja 1B. Tilitoimiston asiakas antaa tilitoimistolle liitteen 1C.
Seloste käsittelytoiminnasta: Tilitoimisto henkilötietojen käsittelijänä
VS-Yrityspalvelu Oy
Y-tunnus: 2414668-8
Liite 1A
Tämä seloste koskee niitä henkilötietoja, joita tilitoimisto käsittelee asiakkaansa puolesta ja asiakkaansa lukuun. Tilitoimisto toimii henkilötietojen käsittelijänä toimeksiantosopimuksen perusteella. Kyseisten tietojen osalta tilitoimiston asiakas on rekisterinpitäjä.
Liite 1A täydentää Sopimusta henkilötietojen käsittelystä tilitoimistossa.
Käsittelijä: VS-Yrityspalvelu Oy, Y-tunnus 2414668-8, Kulmalankuja 12, 16500 Herrala, vsyrityspalvelu@gmail.com
Yhteyshenkilö: Kirsi-Marja Siltala, p. +358 40 413 2142
Rekisterinpitäjä: Tilitoimiston asiakas
Alihankkijat
Asiakas (rekisterinpitäjä) on antanut yleisen suostumuksen alihankkijoiden käyttöön. Tilitoimisto toimittaa pyydettäessä luettelon alihankkijoista.
Rekisteröityjen ryhmät sekä henkilötietojen käsittelyn tarkoitus ja luonne
Tilitoimisto käsittelee seuraavien rekisteröityjen tietoja seuraaviin tarkoituksiin:
• Asiakkaan vastuuhenkilöiden ja muiden asiakkaan puolesta toimimaan oikeutettujen henkilöiden tietoja käsitellään asiakkaan käytössä olevien taloushallinnon järjestelmien käyttöoikeuksien hallinnoinnissa.
• Asiakkaan palkan- ja palkkionsaajien tietoja käsitellään palkka- ja henkilöstöhallinnon toteuttamiseksi.
• Yhdistyksen tai osuuskunnan jäsenten tietoja käsitellään jäsenrekisterin hoitamiseen, jäsenhallintaan sekä laskutukseen.
• Asiakkaan henkilöasiakkaiden tietoja käytetään laskutukseen sekä saatavien seuraamiseen.
• Asiakkaan yritysasiakkaiden yhteyshenkilöiden tietoja voidaan käyttää asiakkaalta erikseen saadun ohjeistuksen mukaan esim. laskutukseen liittyvien ongelmatilanteiden selvittämiseen.
• Osakasrekisterin tietoja käsitellään osakeyhtiölain (tai osuuskuntalain) edellyttämällä tavalla.
Käsittelyiden kohde ja ryhmät sekä henkilötietojen tyyppi
Tilitoimisto käsittelee asiakkaansa seuraavia henkilötietoryhmiä:
• Nimi ja yhteystiedot
• Henkilötunnus
• Henkilön perustiedot kuten syntymäaika, sukupuoli ja koulutustiedot
• Palkanlaskennassa tarvittavat tiedot kuten ennakonpidätystiedot ja sairauspoissaoloja koskevat tiedot
• Palkanlaskennassa tarvittavat tietosuoja-asetuksen tarkoittamat erityiset henkilötietoryhmät: sairauspoissaolot/terveystiedot ja ammattiyhdistys-jäsenyystiedot
• Palkanlaskennan perusteella syntyneet palkka-, eläke- ja verotustiedot sekä muut vastaavat tiedot
• Laskutusta ja perintää varten tarvittavat laskutus- ja perintätiedot
• Osakeyhtiön, osuuskunnan, asunto-osakeyhtiön tai yhdistyksen hallinnointia varten tarvittavat osakas-, osakkuus- ja/tai jäsentiedot
Henkilötietojen käsittelyn kesto
Elleivät osapuolet ole toisin sopineet, tilitoimisto käsittelee henkilötietoja niin pitkään kuin palveluita toimitetaan toimeksiantosopimuksen mukaisesti tai lainsäädäntö edellyttää tietojen säilyttämistä.
Henkilötietojen maantieteellinen sijainti
Suomi ja muut ETA-maat
Tekniset ja organisatoriset turvatoimet
Katso liite 1B: Tietoturvatoimet tilitoimistossa.
Tietoturvatoimet tilitoimistossa
VS-Yrityspalvelu Oy
Y-tunnus: 2414668-8
Liite 1B
Tämä seloste kertoo tietoturvaa ja henkilötietojen lainmukaista käsittelyä varmentavista toimista, joita noudatetaan tilitoimistossa VS-Yrityspalvelu Oy. Nämä tietoturvatoimet koskevat VS-Yrityspalvelu Oy:n toimintaa henkilötietojen käsittelijänä ja rekisterinpitäjänä sekä muiden luottamuksellisten aineistojen käsittelijänä.
Hallinto
Tietoturva sekä henkilötietojen lainmukainen käsittely on keskeinen osa tilitoimiston toimintaperiaatteita.
Tietoturvaan ja henkilötietojen käsittelyyn liittyvät roolit ja vastuut on nimetty henkilötasolla.
Tietoturvapolitiikka ja siihen liittyvät käytännöt on määritelty.
Henkilöstö
Henkilöstön roolit, työtehtävät ja vastuut on määritetty selkeästi.
Työntekijöiden kanssa on laadittu sopimus liike- ja ammattisalaisuuksien salassapidosta.
Työsuhteiden päättymisen varalle on luotu toimintamalli, jossa on huomioitu käyttöoikeuksien poistaminen ja työntekijän hallussa mahdollisesti olevien aineistojen palauttaminen.
Henkilöstö on perehdytetty tietoturvapolitiikkaan ja -käytäntöihin ja perehdytys kuuluu osana uusien työntekijöiden
koulutusohjelmaa.
Olennaisten tietoturvaan liittyvien vaaratilanteiden raportointiin ja käsittelyyn on toimintamalli.
Toimintamallit
Suojattavan tiedon käsittely erilaisissa viestintäjärjestelmissä, kuten sähköpostissa tai pikaviestimissä on määritelty ja internetin ja sosiaalisen median käytölle tilitoimiston tietoverkossa on luotu hyväksyttävän käytön pelisäännöt.
Ulkopuolisten pilvitallennuspalveluiden käyttö tapahtuu ainoastaan yrityksen johdon määrittämissä tilanteissa hyväksymillä palveluntarjoajilla.
Etätyöskentelylle on luotu tietoturvaan liittyvät ohjeet.
Toimitilaturvallisuus
Tilitoimiston tiloissa on turvalukitus.
Tilitoimistolla on ajantasainen rekisteri toimitilojen ja muiden suojattavien kohteiden avaimista ja kulkutunnisteista.
Asiakkaiden ja kolmansien osapuolten pääsy työpisteisiin sekä suojattaviin kohteisiin ja tietoihin on estetty.
Asiakkaan tunnistaminen ja aineistojen luovutukset
Asiakkaiden edustajat tunnistetaan ennen asiakassuhteen alkamista. Tunnistetiedot tallennetaan rahanpesulain edellyttämällä tavalla.
Asiakkaan aineistojen luovutustilanteessa noudatetaan hyvän tilitoimistotavan edellyttämiä sekä asiakkaan kanssa sovittuja tunnistus- ja luovutuskuittauskäytäntöjä.
Jos tilitoimisto hallinnoi sopimuksen mukaan asiakkaan puolesta asiakkaan käyttäjien pääsyä tietojärjestelmiin,
käyttäjähallinnointi tapahtuu asiakkaan nimettyjen henkilöiden kanssa, sovittuja tunnistamistapoja hyödyntäen sekä huolehtien tunnusten ja salasanojen tietoturvallisista toimitustavoista.
Käyttövaltuushallinta ja salasanapolitiikka
Tietojärjestelmissä käytetään vain yksilöityjä nimetyille henkilöille osoitettuja käyttäjätunnus- tai salasanapareja. Poikkeuksena ovat tilanteet, joissa tilitoimiston johto on arvioinut riskin epäolennaiseksi.
Henkilöstön käyttäjätunnuksista ja käyttöoikeuksista tilitoimiston ulkopuolisiin tietojärjestelmiin pidetään kirjaa. Työntekijöiden käyttöoikeuksien tarpeellisuutta tarkastellaan työtehtävien olennaisesti muuttuessa.
Salasanat, PIN-koodit ja käyttäjähallintaan tarkoitetut koodit säilytetään tarkoitukseen soveltuvassa turvallisessa tietojärjestelmässä/tiedostossa.
Kaikissa luottamuksellista tietoa sisältävissä tietojärjestelmissä on käytössä salasanaan tai vastaavaan menettelyyn perustuva pääsynhallinta.
Tietojärjestelmien pääkäyttäjätunnusten oletussalasanat on vaihdettu ja tietojärjestelmien salasanat vaihdetaan säännöllisesti.