Tietosuoja-asetus ja kirjanpitoaineisto

Taloushallintoliiton jäsenet saavat jäsenetuna neuvontaa kirjanpitoon ja verotukseen liittyvissä kysymyksissä. Janne Fredmanin erityisalana on taloushallintojärjestelmien tuotekehitys.
21.9.2021

Kirjanpidon säilyttämisestä vastaa juridisesti aina yritys itse, osakeyhtiössä käytännössä yhtiön hallitus. Käytännössä arkistointia hoitaa usein esimerkiksi ohjelmistotalo tai tilitoimisto joko pilvessä tai lähiverkossa sijaitsevilla palvelimilla. Kirjanpitolainsäädäntö ei enää edellytä aineiston säilytystä kahdessa eri paikassa, joten käytännössä usein ainoa ”kappale” kirjanpitoaineistoa on ohjelmistotalon palvelimella sekä varmuuskopioilla. Ohjelmistotalojen ja tilitoimistojen kanssa olemme vuosien saatossa pohtineet seuraavaa:

Tietosuoja-asetus velvoittaa poistamaan henkilötiedot, kun niiden käsittelylle ja säilyttämiselle ei ole enää asianmukaista perustetta, esimerkiksi lakisääteistä säilytysvelvoitetta. Väärinkäytöksistä voi seurata ankarat rahalliset sanktiot. Usein käy niin, että asiakasyritys lakkaa maksamasta laskujaan ohjelmistotalolle tai tilitoimistolle ja asiakkaaseen ei saada yhteyttä. Mitä tällöin kirjanpitoaineistoille siihen sisältyvine henkilötietoineen pitäisi tehdä huomioiden sekä tietosuoja-asetuksen että kirjanpitolain vaatimukset?

Vastaus:

Käytännössä yrityksen kirjanpitoaineistosta on mahdotonta eritellä henkilö­tietojen osuutta, ja joka tapauksessa ­niiden poistaminen olisi useimmissa tapauksissa kirjanpitolain vastaista esimerkiksi tositteen tietosisältövaatimusten ja audit ­trailin takia. Henkilötietoja on usein paitsi palkan­laskennassa myös myynti- ja ostoreskontrissa ja pääkirjanpidossa (lainat jne). Vaikka kirjanpitoaineiston säilytysvastuu on aina asiakasyrityksellä, on ohjelmistotalo tai tilitoimisto sopimuskumppanina ottanut käytännön säilytysvelvoitteen hoitaakseen. Vaikka sopimus on irti­sanottu tai purettu asiakkaan maksuviiveiden vuoksi, ei kirjanpitoaineiston poisto palvelimilta ja varmistuskopiolta ole perusteltua.

Olen keskustellut useiden yhtiö- ja rikosoikeuden asiantuntijoiden kanssa, ja kaikkien näkemys on ollut se, että toisen osapuolen kirjanpitoaineiston tietoinen hävittäminen ei ole suositeltavaa. Tilanteessa on merkittävä riski kirjanpitorikoksen tunnusmerkistön täyttymisestä ja vahingonkorvausvelvollisuudesta, vaikka hävityksen kohteena ei olisikaan oma vaan kolmannen osapuolen kirjanpitoaineisto.
Suosittelen seuraavaa ­toimintamallia ohjelmistotalolle tai tilitoimistolle:

  • Tavoitelkaa todistettavasti asiakkaan vastuuhenkilöä – kirjeitse tai sähköpostilla – ja ilmoittakaa, että tämän pitää siirtää kirjanpitoaineisto tiettyyn päivään mennessä palvelimiltanne.
  • Jos asiakas ei toimi näin, siirtäkää tai muokatkaa aineisto teknisesti sellaiseen tilaan, että pääsy aineistoon on rajattu mahdollisimman rajatulle osalle henkilö­kuntaanne. Säilyttäkää aineisto mahdollisia viranomaistarpeita tai asiakkaan yhteydenottoja varten – älkää hävittäkö sitä.
  • Dokumentoikaa, että säilytätte asiakkaan kirjanpitoaineistoa mahdollisia viranomaistarpeita varten ja henkilöstöä on kielletty käsittelemästä tietoja. Näin henkilötietojen käsittely on minimoitu.

Kun lakisääteinen säilytysaika on kulunut loppuun, hävittäkää aineisto ilman aiheetonta viivästystä. Asiakkaan konkurssi­tilanteessa luovuttakaa aineisto pesän­hoitajalle.

Taloushallintoliiton jäsenet saavat jäsenetuna neuvontaa kirjanpitoon ja verotukseen liittyvissä kysymyksissä. Tilitoimistossa-lehdessä julkaistaan neuvontaan tulleita kysymyksiä ja niihin annettuja vastauksia. Kysymykset voi toimittaa sähköpostilla: asiantuntijat@taloushallintoliitto.fi.