Miten palkkahallinnossa tulee valmistautua tietosuoja-asetukseen?

Tietosuoja-asetus on velvoittavaa lainsäädäntöä 25.5.2018 alkaen. Siihen mennessä asetuksen määräykset on vietävä käytäntöön kaikessa henkilötietojen käsittelyssä.
5.12.2017 Eija Männistö Kuva iStock

Taloushallinnon alalla erityisesti henkilöstö- ja palkkahallinto käsittelevät asetuksen mukaisia tietoja, mutta asetus on huomioitava myös esimerkiksi asiakasrekistereiden käsittelyssä, koska siellä ylläpidetään ainakin henkilöiden yhteystietoja.

Asetuksen mukaisesti rekisterinpitäjällä, eli kenen tehtävän toteuttamiseksi henkilötietoja käsitellään, on osoitusvelvollisuus asetuksen noudattamisesta. Tämä toteutetaan kuvaamalla prosessit, jotka on kartoitettu ja suunnittelemalla asianmukaiset suojatoimenpiteet, jotka kuvauksessa dokumentoidaan. Myös järjestelmien tietoturvallisuus on varmistettava. Käyttöoikeudet on rajattava vain niille henkilöille, jotka tietoja työssään tarvitsevat, olipa kyseessä sähköinen tai manuaalinen aineisto.

Palkanlaskennan ja henkilöstöhallinnon prosessit

Prosesseissa on huomioitava yrityksen sisäiset prosessit, prosesseihin liittyvien ohjelma- ja palvelintarjoajien tietoturvallisuus sekä henkilöstön toiminta. Menetelmät on arvioitava säännöllisin väliajoin, ja kuvaukseen on tehtävä tarvittaessa muutokset.

Yrityksen prosessit, joissa henkilötietoja käsitellään, on kartoitettava. Kartoituksessa on mietittävä tietojen käsittely riskiperusteisesti. Yrityksen suojaustoimet on suunniteltava sen mukaan, mikä riski tietojen vuotamisella tai häviämisellä on rekisteröidyn, eli kenen luonnollisen henkilön tietoja käsitellään, oikeuksien ja vapauksien kannalta. Riski on eritasoinen, mikäli kyseessä on henkilön yhteystiedot tai hänen terveydentilaansa liittyviä tietoja.

Tietoturvanäkökulma huomioiden on läpikäytävä ja kuvattava prosessit sekä dokumentoitava arkistoivat aineistot ja niiden säilytysajat:

  • Mikä aineisto on kyseessä – yksilöidään prosessissa olevat aineistot
  • Miten tieto vastaanotetaan – miten se saadaan rekisteröidyltä tai muulta taholta
  • Käsiteltävän tiedon luokitus – onko normaali henkilötieto, arkaluontoinen eli asetuksen 9. artiklan mukainen tieto tai tieto, joka ei sisällä henkilötietoa
  • Miten tiedot käsitellään – miten viedään järjestelmään, mitä tietoa tuotetaan, mihin ja miten tietoa luovutetaan, mihin tieto arkistoidaan
  • Miten ja missä muodossa tietoa säilytetään
  • Kuinka kauan tieto säilytetään – huomioitava palkka-aineistossa pääsääntöisesti kirjanpidon säilyttämisajat
  • Miten tiedot hävitetään

Asetusta on noudatettava niin automaattisessa, sähköisessä kuin manuaalisessa käsittelyssäkin. Prosessi kuvataan yrityksessä käytössä olevien toimintatapojen mukaisesti. Erityistä huomiota on kiinnitettävä 9. artiklan mukaisiin erityisten, eli arkaluonteisten henkilötietojen asianmukaiseen käsittelyyn. Näitä ovat rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys sekä geneettiset, biometriset tai terveyteen tai seksuaaliseen suuntautumiseen liittyvät tiedot.

Palkka- ja henkilöstöhallinnossa käsitellään säännönmukaisesti terveys- ja ay-jäsenyystietoja, jotka on suojattava erityisellä huolellisuudella ja säilytettävä erillään muusta aineistosta.
Prosessiin on sisällytettävä rekisterinpitäjän tiedottamis- ja tiedonantovelvollisuus. Rekisteröityä on tiedotettava henkilötietojen käsittelystä ja sen sisällöstä. Rekisteröidyllä on myös oikeus pyytää itseään koskevat tiedot, jotka rekisterinpitäjän on toimitettava.

Järjestelmien tietosuoja varmistettava

Yrityksen on selvitettävä käytettävien ohjelmien ja palvelinten tietoturvallisuuden taso. Nykyään käytetään usein järjestelmiä pilvipalveluna, jolloin toimittajat ovat tietosuoja-asetuksen mukaan tietojen käsittelijöitä, mikäli niiden henkilökunnalla on mahdollisuus päästä käsiksi ohjelmissa oleviin henkilötietoihin. Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi. Henkilötietojen käsittelystä on tehtävä aina kirjallinen sopimus, johon on suotavaa liittää järjestelmätoimittajan selvitys suojatoimista.

Asetus edellyttää kykyä taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus. Se edellyttää myös kykyä palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa. Lisäksi on luotava menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Käytännössä järjestelmiin liittyvissä prosesseissa on käytävä läpi tietojen välitys, liittymät, järjestelmien ja hakemistojen käyttöoikeudet ja tietojen säilyttäminen. Näissä on huomioitava myös tietojen käsittelijöiden henkilöstön toiminta. Mikäli käytössä on yrityksen omilla palvelimilla sijaitsevat ohjelmat ja arkistot, varmistetaan myös näiden tietoturva ja käyttöoikeudet.

Järjestelmiä, joiden tietoturva on käytävä läpi ja dokumentoitava toimittajien turvatoimet:

  • HR-ohjelma
  • Palkkaohjelma
  • Työajanseurantaohjelma
  • Arkistointijärjestelmät
  • Järjestelmät, joihin tietoa luovutetaan – palveluista löytyy yleensä seloste käsittelytoimista.

Yleensä tekniset suojaustoimet kuten varmuuskopiointi, palomuuri, virusohjelmat, verkon salaus ja ohjelmien käyttäjäkohtaiset salasanat on hoidettu asianmukaisesti.
Laajoissa järjestelmä- ja prosessimuutoksissa on tehtävä prosessin vaikutustenarviointi, jossa todetaan muutosten vaikutus rekisteröidyn oikeuksiin ja vapauksiin.

Organisatoriset suojatoimenpiteet

Teknisen suojauksen ja tietosuojan huomioivien prosessien lisäksi on henkilöstön osaaminen tärkeä osa tietoturvaa. Yrityksen on koulutettava henkilökuntaa tietosuoja-asetuksen määräyksistä ja yleensäkin tietoturvan yrityskohtaisista toimintaohjeista.

Tietojen suojaus varmistetaan käyttöoikeuksin, jolloin tietoja käsitteleville luodaan henkilökohtaiset tunnukset eri palveluihin. Toimenkuvat on hyvä käydä läpi, jotta käyttöoikeudet ovat henkilöillä, jotka niitä työssään tarvitsevat. Henkilötietojen käsittelyä suorittavien henkilöiden on asetuksen mukaan oltava sitoutuneita noudattamaan salassapitovelvollisuutta, joten siitä on tehtävä sopimus.

Mikäli palkanlaskenta on ulkoistettu

Ulkoistettu palkka- ja henkilöstöhallinto toimii tietojen käsittelijänä kuten esimerkiksi pilvipalvelun järjestelmätoimittajatkin. Tietojen käsittely perustuu yrityksen ohjeistukseen henkilötietojensa käsittelytavoista. Asetuksessa on omat vaatimukset tietojen käsittelijänä toimiville.

Asiantuntijana
Eija Männistö henkilöstöhallinnon johtava asiantuntija Taloushallintoliitto