Yritystalouden ja laskennan ammattilehti
Haku
Tilaa Tilisanomat Kirjaudu
Aihealueet:
Näytä kaikki
CTA Paikka
CTA Paikka
Palkka- ja henkilöstöhallinto

Mikä ihmeen tietosuoja?

Henkilötietoja sisällään pitäviä tehtäviä voi ulkoistaa, mutta vastuuta ei. Tässä artikkelissa käsitellään henkilötietojen suojaa erityisesti taloushallinnon ja palkanlaskennan näkökulmasta.
24.1.2012

Markku Varhela asianajaja, osakas, Asianajotoimisto Juridia Oy

 Kuva iStock

Henkilötietojen suoja on osa perustuslain takaamaa yksityisyyden suojaa. Yritykset käsittelevät henkilötietoja ja ylläpitävät omaa henkilöstöään koskevia sekä asiakas- ja muita henkilörekistereitä. Tietojen keräämisen henkilörekisteriin on oltava suunnitelmallista eikä henkilöistä pidä kerätä muita kuin tarpeellisia tietoja.

Henkilötietolainsäädäntö

Henkilötietojen suojasta säädetään henkilötietolaissa, työelämän tietosuojalaissa ja eräissä muissa henkilötietojen suojaa säätelevissä laeissa.

Tietosuoja tarkoittaa nimenomaan henkilötietojen käsittelyä eri tavoin ja eri yhteyksissä sekä käsittelyä koskevaa lainsäädäntöä. Tietoturva puolestaan tarkoittaa niitä organisatorisia ja teknisiä ratkaisuja, joilla tietojen vuotaminen ulkopuolisten käsiin pyritään estämään. Molemmista on tärkeä pitää huolta ja ne täydentävät toisiaan.

Tietosuojaa koskevien säännösten keskeisen sisällön voisi kiteyttää niin, että kenestäkään ei pidä kerätä muita kuin tarpeellisia tietoja, niitä saa käyttää vain siihen tarkoitukseen, mihin ne on alun perin kerätty eikä niitä saa säilyttää kauempaa kuin on tarpeen. Näitä pääsääntöjä voi pitää eräänlaisina tietosuojaan liittyvinä nyrkkisääntöinä.

Mikä on henkilötieto?

Henkilötiedolla tarkoitetaan kaikenlaista luonnollista henkilöä (eli siis ihmistä) tai hänen ominaisuuksiaan tai elinolosuhteitaan koskevia tietoja, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi.

Silloin, kun tieto voidaan suoraan tai suhteellisen helposti tunnistaa tiettyä henkilöä koskevaksi, on kyseessä lain tarkoittama henkilötieto. Vain yrityksiä koskevat tunnistettavatkaan tiedot eivät kuulu lain soveltamisalaan.

Henkilötiedon käsitteleminen

Henkilötietojen käsittelyä on lakiin sisältyvän pitkän luettelon mukaan henkilötietojen kerääminen, tallettaminen, järjestäminen, käyttäminen, siirtäminen, luovuttaminen, säilyttäminen, muuttaminen, yhdistäminen, suojaaminen, poistaminen, tuhoaminen sekä kaikki muutkin henkilötietoihin kohdistuvat toimenpiteet.

Toisin sanoen aina, kun yrityksessä kerätään, talletetaan tai muuten käsitellään henkilöstön, asiakkaiden, potentiaalisten asiakkaiden, muiden sidosryhmien tai kenen tahansa henkilötietoja, on laissa henkilötietojen käsittelylle säädettyjä rajoituksia ja säännöksiä noudatettava.

Esimerkiksi palkanlaskennassa henkilötietoja käsitellään ja se kuuluu siltä osin tietosuojalainsäädännön piiriin riippumatta siitä, hoidetaanko palkanlaskenta yrityksen sisällä vai onko se ulkoistettu tilitoimistolle.

Henkilöstörekisteri

Jokaisella yrityksellä on omien työntekijöidensä tietoja sisältävä rekisteri eli henkilöstörekisteri. Siihen saadaan kerätä ja tallettaa vain työsuhteen hoitamisen kannalta tarpeellisia tietoja. Yritys itse määrittelee, mitkä tiedot ovat tarpeen. Selvää on, että tarvitaan työntekijän nimi, osoite ja muut yhteystiedot, pankkitili, henkilötunnus sekä työtehtäviin liittyvät palkka- ja muut keskeiset tiedot. Myös lähiomaisen tiedot voidaan tallettaa mahdollista hätätilanteessa tapahtuvaa yhteydenottoa varten.

Henkilökunnan tiedot sisältävässä rekisterissä on yleensä paljon muutakin kuin vain taloushallinnon välittömästi tarvitsemia tietoja. Ulkoistaessaan taloushallinnon tilitoimistolle yritys saa antaa tilitoimistolle kaikki ne työntekijöiden henkilötiedot, joita tarvitaan taloushallinnon tehtävien hoitamiseksi, mutta ei mitään muuta.

Esimerkiksi terveystiedot ovat sellaisia, joita ei tilitoimistolle saa kertoa paitsi siltä osin, kuin niitä tarvitaan sairauspoissaoloihin, terveydenhoitoon liittyviin työnantajavelvoitteisiin ja sen kaltaisiin kysymyksiin liittyvien taloushallinnon tehtävien hoitamiseksi.

Velvollisuudet ovat rekisterinpitäjällä

Rekisterinpitäjä on se taho, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä sen käytöstä. Kukin yritys on oman henkilöstörekisterinsä osalta rekisterinpitäjä. Rekisterinpitäjä vastaa siitä, että tietojen käsittelyssä noudatetaan lakia. Vaikka taloushallinto tai palkanlaskenta olisi ulkoistettu, säilyy vastuu tietojen käsittelystä yrityksellä itsellään.

Jos tilitoimisto käyttäisi väärin näitä tietoja, vastaa työnantajayritys ensisijaisesti tästä työntekijöilleen, vaikka ei olisi itse toiminutkaan väärin. Totta kai ulkoistetun palvelun tuottava tilitoimisto vastaa myös omalta osaltaan siitä, että ei käytä asiakasyrityksensä henkilöstön tietoja väärin, mutta varsinainen lakiin perustuva vastuu on kuitenkin aina yrityksellä itsellään. Voikin sanoa, että tehtävät voi ulkoistaa, vastuuta ei. Tämän vuoksi tilitoimiston kanssa tehtävässä sopimuksessa kannattaa velvoittaa tilitoimisto noudattamaan myös hyvää tietosuojaa.

Yleisiä velvollisuuksia

Rekisterinpitäjällä on yleinen huolellisuusvelvollisuus, jonka mukaan henkilötietoja on käsiteltävä laillisesti, minkä lisäksi on noudatettava huolellisuutta ja hyvää tietojenkäsittelytapaa.

Huolellisuusvelvoite velvoittaa yrityksen itsensä tai muun rekisterinpitäjän oma-aloitteisesti huolehtimaan, että yksityisyyden suoja turvataan. Rekisterinpitäjän on huolehdittava muun ohella henkilötietojen käsittelyn ja henkilötietoja sisältävän lähetyksen tietoturvasta eli siitä, etteivät asiattomat pääse käsiksi näihin tietoihin.

Tilitoimisto on oikeutettu käsittelemään kaikkia palkanmaksun ja muun taloushallinnon edellyttämiä henkilötietoja voidakseen hoitaa sille uskotut tehtävät. Mutta mihinkään muuhun tarkoitukseen tietoja ei saa käyttää. Kunkin asiakasyrityksen henkilöstön tiedot on luonnollisesti pidettävä erillään siten, että tiedot eivät vahingossakaan päädy toiselle asiakkaalle.

Arkaluonteiset tiedot

Arkaluonteisten henkilötietojen kerääminen ja muu käsittely on pääsäännön mukaan kielletty. Arkaluonteisten tietojen käsittely on sallittu vain poikkeustapauksissa tiettyjen, laissa määriteltyjen edellytysten vallitessa. Siltä osin kuin taloushallinnon tehtävien hoitaminen sitä edellyttää, saadaan käsitellä myös arkaluonteisia tietoja.

Henkilötunnus tarvitaan taloushallinnon tehtävien hoitamisessa ja myös verotusta varten, joten mitään estettä ei sen käsittelyyn luonnollisestikaan ole. Mikäli palkkakuitti tai muu vastaava lähetetään työntekijöille postitse, on varmistettava, ettei kuoresta näy ulospäin kenenkään henkilötunnus.

Tietojen oikeellisuus

Jokaisella on oikeus saada tietää, mitä tietoja hänestä on talletettu jonkin yrityksen rekistereihin. Niinpä työntekijällä on oikeus pyytää työnantajaa toimittamaan tiedot siitä, mitä tietoja hänestä henkilöstörekisterissä on.

Tietojen on oltava oikein ja ajan tasalla. Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisestikin tai rekisteröidyn henkilön vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto.

Tietojen säilyttäminen

Tietoja saadaan säilyttää rekisterissä niin kauan kuin se on tarpeen. Lainsäädännössä ei sanota, mitä tämä konkreettisesti tarkoittaa. Selvää on, että niin kauan kuin henkilö on tietyn työnantajan palveluksessa, saadaan hänen henkilötietonsa säilyttää rekisterissä. Mutta oikeus ja jopa velvollisuus tietojen säilyttämiseen ei kuitenkaan pääty työsuhteen päättyessä.

Työnantajalla on tiettyjä velvoitteita senkin jälkeen, kun työsuhde on päättynyt. Yksityiskohtaisten tietojen säilyttämistarve on yleensä lyhyempi kuin työsuhteen perustietojen säilyttäminen. Tällaisia voisivat olla esimerkiksi tieto työsuhteen kestosta, työtehtävistä ja sen sellaisista seikoista. Esimerkiksi terveystietojen säilyttäminen kovin pitkään sen sijaan ei ole yleensä perusteltua.

Niin kauan kuin työntekijä voi esittää vaatimuksia työnantajaa kohtaan työsuhteen perusteella, voidaan kaikki tiedot säilyttää. Ne voivat siis olla työnantajalla itsellään tai yhtä hyvin tilitoimistolla. Työsuhteen päättyessä palkkasaatavat vanhentuvat kahdessa vuodessa paitsi tilanteessa, jossa saatavan perusteena olevia työehtosopimuksen määräyksiä on pidettävä ilmeisen tulkinnanvaraisina, jolloin vaatimukset on esitettävä viiden vuoden kuluessa. Mikäli työntekijä esittää työnantajaa kohtaan vaatimuksia työsuhteeseensa liittyen, saadaan tiedot säilyttää aina niin kauan kunnes asia on lopullisesti ratkaistu.

Työnantaja on velvollinen antamaan työntekijälle työtodistuksen kymmenen vuoden ajan työsuhteen päättymisestä. Sen vuoksi vähintään työsuhteen perustiedot on säilytettävä näin kauan, jotta työtodistus voidaan pyynnöstä antaa.

Kun tietojen säilyttäminen on tullut tarpeettomaksi, on ne hävitettävä. Niin kauan kuin työntekijän tiedot saadaan säilyttää rekisterissä, ei työntekijä voi edes vaatia niiden poistamista.

Rekisteriseloste

Jokaisesta henkilörekisteristä, siis myös henkilöstön tiedot sisältävästä rekisteristä on lain mukaan laadittava rekisteriseloste.

Tästä ei ole poikkeusta eli jokaisen yrityksen on laadittava työntekijöidensä tiedot sisältävästä henkilöstörekisteristä rekisteriseloste. Näin on silloinkin, kun tehtävät on ulkoistettu tilitoimistolle. Velvollisuus on siis työnantajayrityksellä, ei tilitoimistolla. Tilitoimistolla on vastaava velvollisuus laatia rekisteriseloste oman henkilöstönsä osalta.

Ilmoitus ulkoistuksesta tietosuojavaltuutetulle

Tietosuojavaltuutettu antaa lain mukaan henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä ja käyttää laissa tarkemmin säädettyä päätösvaltaa henkilötietojen käsittelyyn liittyvissä asioissa.

Lain mukaan tilitoimiston, joka hoitaa asiakasyritystensä taloushallintoa, palkanmaksua tai muuta sellaista palvelua, jossa käsitellään asiakasyrityksen työntekijöiden henkilötietoja, on tehtävä ilmoitus toiminnastaan tietosuojavaltuutetulle. Tällainen velvollisuus on kaikilla henkilötietojen ulkoistettua palvelua tarjoavilla yrityksillä.

Tietosuojavaltuutetun toimiston sivuilta löytyy valmis lomake, jolla tämä ilmoitus voidaan tehdä (www.tietosuoja.fi). Tilitoimiston ei tarvitse tehdä ilmoitusta jokaisesta toimeksiantajastaan erikseen, vaan riittää, että se tekee yhden toimintailmoituksen, jossa se ilmoittaa hoitavansa tämänkaltaista toimintaa.

Tietosuojavaltuutetun esittämän tulkinnan mukaan myös asiakasyrityksen, joka ulkoistaa vaikkapa palkanmaksun tilitoimistolle, on tehtävä tästä ilmoitus tietosuojavaltuutetulle. Tämäkin ilmoitus voidaan tehdä valmiilla netissä olevalla lomakkeella.

 

Arkaluonteiset tiedot

Arkaluonteisia ovat lain mukaan henkilötiedot, jotka kuvaavat tai on tarkoitettu kuvaamaan

1. rotua tai etnistä alkuperää
2. henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista
3. rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta
4. henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia
5. henkilön seksuaalista suuntautumista tai käyttäytymistä
6. henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.

 

Rekisteriselosteesta ilmenevät:

1. rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
2. henkilötietojen käsittelyn tarkoitus
3. kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
4. mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja EU:n tai Euroopan talousalueen ulkopuolelle
5. kuvaus rekisterin suojauksen periaatteista.

  • Artikkeli on julkaistu
Palkka- ja henkilöstöhallintoUusimmat Artikkelit
Katso kaikki
Uusimmat Artikkelit
Kuukauden luetuimmat