Mikä ihmeen tietosuoja-asetus? Näin uudet säännöt vaikuttavat pk-yritysten palkanmaksuun ja henkilötietojen käsittelyyn!
Jos et ole vielä järjestänyt yrityksesi asioita uuden asetuksen mukaisesti, toimi heti. Henkilötietojen säilyttämiseen liittyvät muutokset velvoittavat myös pienet yritykset suojaamaan työntekijärekisterin ja palkanlaskennan tietoja tarkemmin. Tässä selkokielinen kooste siitä, mitä GDPR käytännön tasolla tarkoittaa ja kuinka varmistat firmasi toimivan jatkossakin säännösten mukaisesti.
Mitä GDPR tarkoittaa?
EU-tasoinen tietosuoja-asetus General Data Protection Regulation astui voimaan toukokuussa 2016, ja sen siirtymäaika päättyy toukokuussa 2018. Yrityksille asetus tarkoittaa muutoksia työntekijöiden tietojen säilyttämiseen ja uusia velvoitteita verrattuna aiempiin tietosuojasäännöksiin.
Henkilötietojen käsittelyä koskeva asetus kattaa tietojen koko elinkaaren. Käsittely on jatkossa dokumentoitava entistä tarkemmin. Henkilötietoja ovat suoraan tai epäsuorasti luonnolliseen henkilöön yhdistettävissä olevat tiedot.
Asetuksessa arkaluontoisiksi on määritelty esimerkiksi sairauspoissaoloihin ja ay-jäsenyyksiin liittyvät tiedot. Myös palkanlaskennassa käytettävä henkilötunnus on arkaluontoista tietoa.
Palkanlaskennassa tilitoimistoa käyttävän yrityksen on tehtävä kirjallinen ja yksityiskohtainen sopimus tilitoimiston kanssa ja sovittava myös prosessin dokumentoinnin toteutustavasta. Sopimuksessa tulee määritellä aineistojen toimitusmuoto ja -tapa sekä nimetyt henkilöt, jotka vastaavat tietojen toimituksesta. Lisäksi sopimukseen tulee kirjata aineiston hävittämistä ja/tai yritykselle palauttamista koskevista käytännöistä.
Arkaluontoisen aineiston säilyttäminen ja siirtäminen suojatusti on keskeisin asia, joka yrityksen tulisi huomioida uuteen tietosuoja-asetukseen liittyen. Tilitoimistolta yrityksen haltuun saatu aineisto on pidettävä fyysisesti lukkojen takana tai digitaalisesti sellaisessa tallennuspaikassa, jonka käyttöoikeudet ovat suojatut. Huomioi myös muutokset tietojen maantieteellisen säilytyspaikan suhteen: mikäli esimerkiksi palvelin sijaitsee EU-alueen ulkopuolella, menevät henkilötietojen säilytystä koskevat säännökset vieläkin tarkemmiksi.
Muistilista GDPR-asetukseen liittyvistä toimenpiteistä
Tässä tiivistettynä uuden tietosuoja-asetuksen tärkeimmät sisällöt.
1. Työntekijöihin liittyvät arkaluontoiset tiedot, kuten lääkärintodistukset ja tiedot sairauspoissaoloista, ammattiliittojen jäsenyystiedot tai esimerkiksi ulosottotiedot tulee säilyttää suojatusti. Paperiaineisto on säilytettävä lukitussa tilassa ja sähköiset tiedot käyttöoikeuksin suojatussa hakemistossa.
- Suojaamattomassa sähköpostissa tietoja lähettäessä on noudatettava varovaisuutta ja arkaluontoisia tietojen osalta on suositeltavaa käyttää salattua yhteyttä. Salattua yhteyttä käyttävät sähköpostipalvelut ovat yleistyneet. Sähköpostien salaamiseen on olemassa myös ilmaisia sovelluksia, joten tämä ei automaattisesti tarkoita uutta kuluerää.
- Palkanlaskenta-aineiston käsittelyyn tulee nimetä tilitoimiston kanssa yrityksen vastuuhenkilö, joka huolehtii ainakin aineistojen vastaanotosta ja lähettämisestä. Tälle henkilölle on hyvä olla myös nimetty sijainen. Yksittäisten työntekijöiden itsensä ei tulisi asioida palkkaan liittyvissä asioissa suoraan tilitoimiston kanssa, sillä tilitoimistolla ei tyypillisesti ole mahdollisuutta tunnistaa palkka-asioista kyselevää henkilöä riittävän luotettavasti.4. Henkilöstölle on perehdytettävä asetuksen merkitys ja henkilötietojen käsittelyyn on laadittava ohjeistus. Tilitoimistolta saat myös tähän apua tarvittaessa.
- Palkanlaskenta-aineistolle ja muille kirjanpitoaineistoille määritelty säilytysaika on 6 tai 10 vuotta. Aineistot on hävitettävä, kun niitä ei enää käytetä. Esimerkiksi lääkärintodistukset on säilytettävä 6 vuotta, mikäli niiden perusteella on haettu ja saatu Kela-korvauksia. Tämän jälkeen ne hävitetään.
Tarvitsetko apua tietosuoja-asioissa?
Ammattitaitoinen tilitoimisto on korvaamaton apu siirtymävaiheessa ja myös sen jälkeen. Kysy rohkeasti neuvoa ja varaa konsultointi oman yrityksesi GDPR-tilanteen kartoittamiseksi. Mirindan asiantuntijat opastavat uusiin käytäntöihin siirtymisessä sekä muutosvaiheessa että sen jälkeen – ota yhteyttä: katri.lahdensivu@mirinda.fi.
Lue lisää:
Tietosuojavaltuutetun toimiston opas: Miten valmistautua EU:n tietosuoja-asetukseen
Y-studio: Tiesitkö tämän tietosuoja-asetuksesta? 6 vinkkiä palkkatietojen käsittelyyn