Tietosuoja-asetus tilitoimiston liiketoiminnassa
Monet EU:n tietosuoja-asetuksen vaatimuksista ovat sisältyneet jo voimassaolevaan henkilötietolakiin, jonka perusteella niitä on sovellettu myös Taloushallintoliiton KL2004-sopimusehtojen liitteeseen henkilötietojen käsittelyn erityisehdoista. Tietosuoja-asetuksessa on kuitenkin asetettu rekisterinpitäjälle (tilitoimiston asiakasyritys) ja henkilötietojen käsittelijälle (palkanlaskenta- tai HR-palvelua tarjoava tilitoimisto ja sen alihankkijat) osoitusvelvollisuus toiminnan asetuksenmukaisuudesta sekä säädetty mahdollisuudesta huomattaviin hallinnollisiin sakkoihin. Lisäksi asetuksessa on joitakin kokonaan uusia vaatimuksia, joista keskeisimmät on esitelty alla.
Suosittelemme uusien vaatimusten toteuttamista alla kuvatussa järjestyksessä. Vaatimukset ovat tietyllä tavalla ”kerroksellisia” eli tietyn vaatimuksen toteuttamisessa voidaan hyödyntää toisen vaatimuksen vuoksi tehtyä työtä ja dokumentteja. Taloushallintoliiton henkilöstöhallinnon työryhmä on aloittanut elokuussa 2017 mallidokumenttien laadinnan. Tilitoimisto voi hyödyntää niitä oman työnsä pohjana tai ideoinnissa.
Arkistointisuunnitelma
Tietosuoja-asetuksen (kuten nykyisen henkilötietolain ja KL2004-ehtojenkin) mukaan tilitoimiston tulee poistaa tai palauttaa henkilötiedot, kun niitä ei enää tarvita palkanmaksun tai lainsäädännön (esimerkiksi verolainsäädäntö, kirjanpitolaki, työaikalaki ja työsopimuslaki) vuoksi. Käytännössä viimeistään nyt tulee siis laatia palkanlaskennan aineistoista arkistointisuunnitelma, jossa on kuvattu kunkin sisältö, säilytysajat, säilytystapa- ja paikka, aineiston käyttöoikeudet sekä hävittämisen tai asiakkaalle palauttamisen tapa. Tämä dokumentaatio on tarpeen myös muiden tässä dokumentissa kuvattujen tehtävien toteuttamiseksi.
Käytännössä palkanlaskennan aineistojen lakisääteinen arkistointivelvoite on kirjanpitolain tositteita koskeva kuuden vuoden säilytysaika. Poikkeuksena on Kirjanpitolautakunnan menetelmäohjeen mukaan ”palkanlaskentajärjestelmän tuottama henkilöittäin eritelty palkkakausikohtainen listaus maksetuista palkoista tiliöinteineen” (tai muu vastaava raportti), joka on osakirjanpidon päiväkirjana 10 vuoden säilytysvelvollisuuden piirissä. Tätä pidempiä säilytysvelvoitteita ei lainsäädännöstä löydy.
Henkilötietojen käsittelyn turvallisuuden varmistaminen
Asiakkaan ja tilitoimiston on tietosuoja-asetuksen 32 kohdan mukaisesti toteutettava tietojenkäsittelyn turvallisuuden varmistamiseksi toimenpiteitä ja dokumentoitava ne. Asetuksessa on esimerkkeinä mainittu:
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Käytännössä tilitoimiston on käytävä läpi palkanlaskennan prosessi huomioiden asiakkaiden kanssa noudatetut tietojenvaihdon käytännöt ja tekniikat, järjestelmien väliset liittymät, järjestelmien ja hakemistojen käyttöoikeudet ja tietojen arkistointi sekä laadittava asiasta dokumentointi. Dokumentointi voidaan laatia kaikkia asiakkaita koskevana, jos prosessit ja järjestelmät ovat kaikille asiakkaille olennaisilta osin yhdenmukaiset. Tarvittaessa asiakaskohtaiset tai palkanlaskentajärjestelmäkohtaiset poikkeamat tulee kuvata erikseen. Esimerkiksi joillakin tilitoimiston asiakkaiden kohdalla henkilötietojen vastaanotto asiakkaalta ja henkilöstöraportoinnin jakelu asiakkaalle voi tapahtua asiakasportaalin (”extranet”) kautta, joidenkin asiakkaiden kanssa taas yhteyshenkilön kanssa tapahtuvalla sähköpostiviestinnällä.
Lisäksi tilitoimiston tulee luoda menettely, jolla nämä turvatoimet testataan, esimerkiksi katselmoidaan kriittisesti ja riippumattomasti. Testauksen suorittaminen voidaan ostaa esimerkiksi tilintarkastusyhteisöltä tai tietoturvakonsultilta, tai se voidaan toteuttaa toimiston omin voimin. Tällöin esimerkiksi toimiston johto ja palkanlaskijat yhdessä tai vaikkapa kirjanpitäjien vastuuhenkilön kanssa käyvät aika ajoin kriittisesti läpi palkanlaskennan prosessin tietoturvan näkökulmasta.
Tilitoimiston seloste käsittelytoimista
Tilitoimiston on tietosuoja-asetuksen 30 artiklan 2 kohdan mukaan laadittava seloste asiakkaiden lukuun tehtävistä käsittelytoimista niin, että seloste käsittää seuraavat tiedot:
a) henkilötietojen käsittelijän ja alihankkijoina toimivien käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, nimi ja yhteystiedot;
b) kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät;
d) mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.
Tässä siis tilitoimisto listaa asiakkaittain yhteystiedot sekä myös alihankkijat (esimerkiksi pilvipalveluna palkkajärjestelmää tarjoava ohjelmistotalo ja sen mahdolliset palvelinpalvelun alihankkijat, joilla on tosiasiallisesti pääsy henkilötietoihin) sekä ”käsittelyiden ryhmät”. Termi käsittelyiden ryhmät on hyvin epäselvä, ja siihen pitää hakea tarkempaa tulkintaohjetta viranomaisilta. Arvaisimme sen kuitenkin tarkoittavan, että esimerkiksi asiakkaalle A tuotetaan palkanlaskentaa ja siihen liittyvää henkilötietojen vastaanottoa, prosessointia ja jakelua, asiakkaalle B puolestaan sekä palkanlaskentaa että henkilöstön osaamis- ja koulutustietojen ylläpitoa tietojen vastaanottoineen, käsittelyineen ja jakeluineen. Ja tässä dokumentissa siis viitataan dokumenttiin ”henkilötietojen käsittelyn turvallisuuden varmistaminen”.
Myös tilitoimiston asiakkaan on tehtävä vastaavantyyppinen seloste tietosuoja-asetuksen 30 artiklan 1 kohdan perusteella. Onko asiakkaalla osaaminen ja valmius sen tekemiseen? Voisiko tilitoimisto laatia sen asiakkaan puolesta vaativan asiantuntijatyön veloituksella?
Toimintaohjeluonnoksen laatiminen asiakasta varten
Tietosuoja-asetuksen 28 artiklan alakohdan 3 a mukaan asiakkaan on annettava tilitoimistolle dokumentoidut eli kirjalliset ohjeet henkilötietojen käsittelystä. Myös tässä asiassa monet asiakkaat kaipaavat apua tilitoimistolta. Käytännössä varmaankin moni tilitoimisto luonnostelee asiakkaalleen itseään koskevan ohjeistuksen.
Asiakassopimusten uusiminen
Tietosuoja-asetus edellyttää kirjallista sopimusta tilitoimiston ja asiakkaan välillä, jos tilitoimisto käsittelee henkilötietoja esimerkiksi palkanlaskennassa. Nyt siis viimeistään on laitettava suulliset sopimukset paperille tai sähköiseen muotoon. KL 2004 -sopimusehtojen liite ”henkilötietojen käsittelyn erityisehdot” uusitaan tietosuoja-asetuksen muutokset huomioiden. Tietosuoja-asetukseen sisältyy tässä kirjoituksessa jo esiteltyjen vaatimusten ohella tilitoimistoille monia uusia velvoitteita, kuten auditoinnin tukivelvoite ja velvoite tukea asiakasta asetuksenmukaisuuden todentamisessa. Näiden osalta on syytä sopia hinnoittelusta. Suosittelemmekin asiakassopimusten ja hintaliitteiden päivittämistä niille asiakkaille, joille tarjotaan palkanlaskentapalvelua.
Auki olevia kysymyksiä
Tietosuoja-asetus sisältää artikloissa 37–39 säädökset tietosuojavastaavasta. Tietosuojavastaavan toimi ei ole kevyt muodollisuus, vaan se edellyttää perehtyneisyyttä lainsäädäntöön ja prosesseihin sekä velvollisuutta osallistua aktiivisesti yrityksen ohjeistukseen, valvontaan ja päätöksentekoon. Asetuksen 37 artiklan mukaan tietosuojavastaava on nimettävä muun muassa kun ”rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin”. Erityisinä henkilötietoryhminä on mainittu muun muassa ammattiliiton jäsenyys sekä terveydentilaa koskevat tiedot, joita käsitellään palkanlaskennassa rutiininomaisesti.
Tilitoimistot ovat keskimäärin muutaman hengen yrityksiä, joissa palkanlaskentaa tekee yleensä korkeintaan muutama henkilö. Tässä siis kaivataan ohjeistavilta viranomaisilta maanläheistä tulkintaohjetta sanalle ”laajamittainen”. Isoille ulkoistuspalvelun tarjoajille ja tilitoimistoketjuille tietosuojavastaavan nimeäminen voi puolestaan olla hyvinkin perusteltua ja jopa markkinoinnillisesti hyödynnettävä investointi.
Kun tehdään isoja järjestelmämuutoksia ja sovelletaan uutta tekniikkaa, tulee tietosuoja-asetuksen 35 artiklan mukaan tehtäväksi myös vaikutustenarviointi, jossa suunnitellaan tietojen käsittelyn tarkoitus ja sisältö, käsittelyn riskit ja riskienhallinnalliset toimenpiteet. Tässäkin kaivataan viranomaisilta käytännön esimerkkeihin pohjautuvaa ohjeistusta siitä, milloin vaikutusten arviointi on tarpeen. Taloushallintoliitto on aktiivisesti yhteydessä tietosuojaohjeistuksesta vastaavaan viranomaiseen, jotta käyttöön saadaan selkeää ohjeistusta, joka huomioi realistisesti eri kokoisten asiakas- ja palveluorganisaatioiden mahdollisuudet.
Henkilöstön ja asiakkaiden informointi ja tietoturvakoulutus
Monet tilitoimiston asiakkaat ovat tietämättömiä koko tietosuoja-asetuksesta. Näin ollen he eivät ymmärrä huolehtia omista velvoitteistaan eivätkä varmaankaan myöskään suhtaudu rakentavasti siihen, että tilitoimisto haluaa laskuttaa sille aiheutuneista ja aiheutuvista lisävastuista ja -töistä. Asiakkaita on hyvä informoida selkeällä tiedotteella. Tähänkin Taloushallintoliiton henkilöstöhallinnon työryhmä laatii mallin.
Tiedottamisen ohella omaa henkilöstöä on syytä kouluttaa tietosuoja-asetuksen keskeisistä vaatimuksista sekä käydä huolella läpi sovitut prosessit ja ohjedokumentit. Myös monissa isommissa asiakasyrityksissä voisi olla tarvetta tilitoimiston tarjoamalle käytännönläheiselle koulutukselle.