Henkilö­tietojen käsittelyn minimointi

Osin samoja teemoja on käsitelty Tilisanomissa artikkeleissa 

• Asiakkaan aineistot toimeksiannon päättyessä
• Työntekijöiden henkilötietojen säilyttäminen ja poisto  
• Henkilötietojen suoja ja kirjanpitolaki – onko vaatimuksissa ristiriita    

Tässä kirjoituksen käsittelemme henkilötietojen käsittelyn minimointia tilitoimiston asiakkaalleen tuottaman palkkapalvelun näkökulmasta. Tässä esitettyjä periaatteita voidaan kuitenkin soveltaa muissakin tilitoimiston tuottamissa palveluissa, joissa henkilötietoja käsitellään. Aiheen kannalta keskeiset säädökset ovat tietosuoja-asetus ja kirjanpitolaki. Aihe kannattaa huomioida myös asiakkaan ja tilitoimiston välisessä toimeksiantosopimuksessa.

Tietosuoja-asetuksen artikla 6 luo perustan henkilötietojen käsittelylle

Henkilötietoja saa tietosuoja-asetuksen 6 artiklan mukaan käsitellä, kun siihen on laillinen peruste. Myös henkilötietojen säilyttäminen on niiden käsittelyä.

Tilitoimiston hoitamassa asiakasyrityksen palkkapalvelussa käsittelyn perusteita ovat yleensä 6 artiklan 1 kohdan alakohdat:

1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten; Työntekijä antaa suostumuksensa henkilötietojen käsittelyyn, jotta työnantaja voi täyttää velvoitteensa ja työntekijä nauttia työsuhteen hedelmistä, esimerkiksi palkasta.
2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; Henkilötietoja täytyy käsitellä, jotta työnantaja voi täyttää työsopimuksen velvoitteet, kuten palkanmaksun.
3. käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
   Esimerkiksi kirjanpitolaki, työaikalaki ja työsopimuslaki asettavat työnantajalle velvoitteita henkilötietojen säilyttämiseen laissa määrätyn ajan.

Tietosuoja-asetuksen artikla 9 asettaa tiukemmat vaatimukset erityisiä henkilötietoryhmiä koskevalle käsittelylle

Tietosuoja-asetuksen artikla 9,1 kieltää oletusarvoisesti eräiden henkilötietojen käsittelyn.

”Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.”

Palkanlaskennassa käsiteltäviä tietoja ovat esimerkiksi

• Terveyttä koskevat tiedot (esimerkiksi lääkärintodistukset)
• Ammattiliiton jäsenyys (ay-maksujen perintään ja maksuun liittyvä aineisto)
• Poliittiset mielipiteet (“puoluevero” eli toimintamalli, jossa osa kokouspalkkioista tilitetään henkilön edustamalle poliittiselle puolueelle)

Artikla 9,2 puolestaan asettaa perusteita käsitellä erityisiä henkilötietoryhmiä koskevia tietoja. Näistä palkanlaskennan viitekehyksessä relevantteja ovat ainakin kohdat a, b ja h.

a) rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella; Työntekijä toimittaa työnantajalleen tiedot ay-jäsenyydestä maksujen perintää ja tilitystä varten. Ay-jäsenmaksujen perintävaltakirja toimii jäsenmaksujen perinnän perusteen todentavana tositteena.

b) käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista; Lääkärintodistusten ja Kela-hakemusten käsittely on tarpeen työnantajan tai työntekijän oikeuksien noudattamiseksi.

h) käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia.

Työterveyshuoltolaki 10a§ perusteella työnantajan on ilmoitettava työntekijän sairauspoissaolosta työterveyshuoltoon työntekijän työkyvyn arvioimiseksi ja työssä jatkamismahdollisuuksien selvittämiseksi viimeistään silloin, kun poissaolo on jatkunut kuukauden ajan.

Henkilötietojen minimointi ja muita henkilötietojen käsittelyä koskevia periaatteita

Tietosuoja-asetuksen artiklassa 5 kohdassa 1 esitetään henkilötietojen käsittelyn periaatteita. Tämän kirjoituksen teeman kannalta keskeisiä ovat:

b) Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla (käyttötarkoitussidonnaisuus);

c) henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);

e) ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (”säilytyksen rajoittaminen”);

f) niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

Tämän kirjoituksen tarkoituksena on pohtia, minkä organisaation hallussa sekä missä eri järjestelmissä ja hakemistoissa henkilötietoja on perusteltua säilyttää, jotta käsittelytarpeet, kuten lakisääteinen arkistointi, saadaan toteutettua. Yllä esitetyistä 5 artiklan periaatteista useampikin liittyy suoraan tähän teemaan.

Tietojen minimoinnin periaate määrittelee oikeastaan enemmänkin sitä, mitä tietoja kerätään, kuin sitä, kuinka monena kopiona ja kuinka monessa paikassa tietoja säilytetään. Tietojen kopioiminen tarpeettoman moneen paikkaan ja turhan monien silmäparien nähtäväksi loukkaa suorimmin eheyden ja luottamuksellisuuden periaatetta, koska se lisää riskiä tietovuodoista. Tästä huolimatta käytämme tässä kirjoituksessa termiä käsittelyn minimointi, koska se auttaa ymmärtämään tarpeen ja käytännön menettelytavat.

Tietojen kopioiminen tarpeettoman moneen paikkaan ja turhan monien silmäparien nähtäväksi loukkaa suorimmin eheyden ja luottamuksellisuuden periaatetta.

Henkilötietojen käsittelyn vaiheita

Tässä kappaleessa esitetty jaottelu ei perustu säädöksiin eikä viranomaisohjeistukseen, vaan palkanlaskenta-asiantuntijoiden kanssa käymiimme käytännön toimintamalleja koskeviin keskusteluihin. Mielestämme käsittelyn tarkoituksella ja intensiteetillä on merkitystä, kun mietitään, missä ja miten tietoja säilytetään.

Aktiivinen käsittelyvaihe

Kun tilitoimisto laatii asiakkaansa puolesta esimerkiksi Kela-hakemusta työntekijän sairauspoissaolon takia, on tietojen ja asiakirjojen yleensä oltava vaivattomasti sekä tilitoimiston että asiakasyrityksen asiaa käsittelevien työntekijöiden saatavilla.

Tietojen minimoinnin näkökulmasta ideaalitilanteessa tiedot ja asiakirjat ovat tilitoimiston ja asiakkaan yhteiskäyttöisessä järjestelmässä, joihin molempien osapuolten asiaankuuluvilla työntekijöillä on pääsy. Läheskään aina yhteiskäyttöisiä järjestelmiä ei ole käytössä, vaan molemmat osapuolet säilyttävät samoja asiakirjoja ja tietoja omassa järjestelmässään. Lisäksi tietoja ja asiakirjoja välitetään ja säilytetään sähköpostilla ja muilla organisaatioiden väliseen tiedonsiirtoon käytettävillä ratkaisuilla.

Siinä vaiheessa, kun tilitoimisto laatii Kela-hakemusta, on prosessin sujuvuuden näkökulmasta perusteltua, että sekä asiakas että tilitoimisto säilyttävät tietoja ja asiakirjoja itsellään. Kun asiakas on toimittanut tilitoimistolle kaikki tarvittavat asiakirjat, voi asiakas yleensä poistaa omat kappaleensa, jos toimeksiantosopimuksessa on sovittu, että tilitoimisto hoitaa säilytyksen asiakkaan puolesta.

Poistaminen edellyttää luonnollisesti luottamusta siihen, että asiakirjat ovat päätyneet perille tilitoimistoon. Käytettäessä esimerkiksi paperipostia on perusteltua, että asiakas säilyttää aineistoja jonkin aikaa myös itse.

Tietosuojalainsäädännön tavoitteiden kannalta olisi suotavaa, että kumpikin osapuoli säilyttäisi tiedot vain yhdessä paikassa sekä tarvittavilla varmuuskopioilla. Jos tilitoimisto säilyttää tietoja palvelimella asiakaskohtaisessa hakemistossa tai palkkajärjestelmän asiakaskohtaisessa osiossa, tulisi tiedot poistaa sähköpostista ja vastaavasta välitysjärjestelmästä, kun ne on tallennettu varsinaisessa käsittelyssä ja arkistoinnissa tarvittavaan järjestelmään.

Jos jatketaan yllä esitetyllä Kela-hakemusesimerkillä, hakemuksen jättämisen jälkeen kuluu aikaa, kunnes Kelalta saadaan päätös. Saatuaan päätöksen hakemuksen lähettänyt asiantuntija vertaa sitä tehtyyn hakemukseen. Ennen päätöstä Kela saattaa pyytää täydentäviä tietoja tai työntekijän olosuhteissa tai työsuhteessa saattaa tapahtua muutoksia, jotka edellyttävät hakemuksen oma-aloitteista päivittämistä. Esimerkiksi työntekijän sairausloma voi jatkua uudella lääkärintodistuksella.

Tässä vaiheessa kuitenkin yleensä riittää, että aineistot ovat asiaa käytännössä käsittelevän tahon eli tilitoimiston hallussa. Asiakas toimittaa tilitoimistolle täydentävät asiakirjat, kuten uudet lääkärintodistukset, ja tilitoimisto hoitaa niiden säilytyksen.

Asiakasyritys ja tilitoimisto voivat sopia myös, että molemmat osapuolet säilyttävät tiedot ja asiakirjat niiden lakisääteisen säilytysajan.

Tietojen säilytys lakisääteisen säilytysajan eli arkistointi

Henkilötietojen säilyttämiselle antavat yleensä ajallisesti pisimmän käsittelyn perusteen eri laeissa säädetyt tietojen minimisäilytysajat. Lakisääteisiä säilytysaikoja on esimerkiksi kirjanpitolaissa, työaikalaissa sekä työsopimuslaissa.

Kun tietoja ei käsittelyvaiheen jälkeen enää todennäköisesti tarvita, mutta lakisääteinen tai esimerkiksi työsuhteen tarpeisiin perustuva arkistointitarve jatkuu, on perusteltua sopia, että tiedot säilytetään joko asiakkaan tai tilitoimiston järjestelmässä, palvelimella tai asiakirjakaapissa.

Ylimääräiset tiedot ja asiakirjan kappaleet poistetaan tai hävitetään asianmukaisesti.
Käytännössä tilitoimiston ja asiakkaan kannattaa sopia, kuinka pitkään tietoja todennäköisesti tarvitaan asioiden käsittelyä varten sekä kumpi osapuoli tämän jälkeen ottaa hoitaakseen käsittelyvaiheen jälkeisen tietojen säilytyksen eli arkistoinnin.

Tietojen arkistointivaiheessa kannattaa tarpeen ja mahdollisuuksien mukaan rajata henkilöstön pääsyä tietoihin. Pääsy tietoihin voidaan rajata esimerkiksi pienemmälle joukolle palkanlaskijoita tai vain pääkäyttäjille. Erityisesti kannattaa minimoida pääsy 9 artiklan mukaisiin henkilötietoryhmiin, kuten terveystietoihin.

Aktiivisen käsittelyvaiheen kesto kannattaa miettiä jokaisessa tilitoimistossa käytännön prosessin ehdoilla. Voidaanko tilitoimiston kaikille asiakkaille soveltaa samaa aikaa vai sovitaanko aika asiakaskohtaisesti? Suurin osa palkanlaskennassa laadittavista hakemuksista ja selvitettävistä asioista saadaan varmaankin hoidettua kuukausien aikana. Mutta esimerkiksi työtapaturmia koskevissa tilanteissa käsittelyajat voivat venyä. Yksi vaihtoehto on tehdä ylimääräisten aineistojen poistot vuosittain.

Arkistoinnin ulkoistaminen sopimuksella

Juridisesti asiakasyritys vastaa aineistojen säilytyksestä, mutta se voi ulkoistaa käytännön säilytystyön (arkistoinnin) tilitoimistolle tai muulle kumppanille, kuten ohjelmistotalolle.

Asiakasyritys ja tilitoimisto voivat sopia myös, että molemmat osapuolet säilyttävät tiedot ja asiakirjat niiden lakisääteisen säilytysajan. Tilitoimiston roolina on tällöin tarjota varmistuskopioinnin luonteista palvelua. Näin toimittaessa on perusteltua, että työntekijöiden pääsy varmistuskopioinnin omaisesti säilytettyyn tietoon on erittäin rajattu. Palvelusta ja sen tarkoituksesta tulee sopia kirjallisessa toimeksiantosopimuksessa.

Tietojen säilyttäminen viranomaisen palvelussa

Eräät viranomaiset ovat sitoutuneet säilyttämään omissa järjestelmissään säilyttämänsä tiedot kirjanpitolain mukaisen minimisäilytysajan. Esimerkiksi Verohallinto on sitoutunut säilyttämään OmaVero-palvelun tiedot yrityksen puolesta kirjanpitoaineistona. Myös kaupparekisterissä säilytettävien ja julkisestikin tarjolla olevien tilinpäätösten voi luottaa säilyvän PRH:n palvelussa.

Tulorekisteri ja Kela eivät tietääksemme ole sitoutuneet säilyttämään kirjanpitoaineistoa kirjanpitovelvollisen puolesta, vaikka asian luonteesta johtuen ne joka tapauksessa säilyttävätkin tiedot omiin tarkoituksiinsa. Näitä viranomaisia koskevassa lainsäädännössä saattaa olla tietojen luovutusta koskevia rajoituksia.

Kirjanpitovelvollinen yritys voi siis oman harkintansa mukaan ulkoistaa OmaVeron sisältämän kirjanpitoaineiston säilytyksen Verohallinnolle. Käytännössä kuitenkin useimmat yritykset arkistoivat tiedot myös itse tai kumppaninsa avulla. Koska kirjanpitolain säädökset lähtevät siitä, että yritys joka tapauksessa vastaa aina itse kirjanpitoaineiston säilytyksestä, ei tietosuoja-asetuksen mukaista minimoinnin periaatetta pidä tulkita siten, etteikö yritys saisi arkistoida viranomaisen säilyttämiä aineistoja itsekin.

Suunnittele henkilötietojen säilytys

Jos sekä tilitoimisto että asiakas säilyttävät samoja henkilötietoja, vaikka asiasta ei olisi nimenomaisesti sovittu, ei tietosuojalainsäädännön henkeä ja tarkoitusta pahasti rikota, jos molemmat osapuolet ovat huolehtineet asianmukaisesti käyttöoikeuksien rajauksesta ja tietoturvasta. Kirjoituksellamme kannustamme kuitenkin miettimään henkilötietojen säilytykseen liittyviä tarpeita ja riskejä, suunnittelemaan tehokkaampia ja turvallisempia toimintamalleja sekä laatimaan täsmällisempiä sopimuksia.

Uskomme, että suunnittelusta ja dokumentoinnista on monenlaista hyötyä vastineeksi työ- ja ohjelmistokustannuksille.

• Tietosuorikkomukset aiheuttavat minimissäänkin ylimääräistä stressiä ja kallista selvittely- ja viestintätyötä. Niiden välttäminen säästää rahaa.
• Huolella suunnitellut aineistojen säilytys- ja poistomallit säästävät aikaa, kun aineistojen poistojen toimintamalleja ei tarvitse miettiä jokaisen asiakkaan kohdalla uudelleen. Myös automaation käyttö tulee mahdolliseksi.
• Tietosuojaan panostavat asiakkaat arvostavat huolella laadittuja ja dokumentoituja toimintamalleja, jotka osoittavat tilitoimiston hallitsevan juridiikan, prosessien suunnittelun sekä ajantasaiset tekniset toteutustavat.