Seloste henkilötietojen käsittelytoimista

Rekisterinpitäjä

Asiakas

Käsittelijä

Rutiini Oy
c/o Helsinki Bay
Eteläranta 14
00130 Helsinki

Alihankkijat

Asiakas on antanut yleisen suostumuksen alihankkijoiden käyttöön. Käsittelijä toimittaa pyydettäessä luettelon alihankkijoista.

Henkilötietojen käsittelyn tarkoitus

Henkilötietoa tallennetaan ja käsitellään Käsittelijän taloudenhallintopalveluiden tuottamiseksi sopimussuhteessa Käsittelijän ja Asiakkaan välillä. Henkilötietoa käsitellään lakisääteisten ja viranomaiskäsittelyyn liittyvien velvollisuuksien täyttämiseksi.

Henkilötietoa käsitellään seuraavissa käyttötarkoituksissa:

  • Asiakkaan palkka- ja henkilöstöhallinnon toteuttamiseksi
  • Asiakkaan kirjanpidon tekemisen ja saatavien seuraamista varten
  • Osakeyhtiön hallintoa varten
  • Yhdistyksen hallintoa ja laskutusta varten
  • Asunto-osakeyhtiön hallintoa ja laskutusta varten

Rekisteröityjen ryhmät ja henkilötietoryhmät

Asiakkaan palkan- ja palkkionsaajat palkka- ja henkilöstöhallinnon toteuttamiseksi (PL)
Asiakkaan henkilöasiakkaiden saatavien seuraamista varten (KP)
Osakeyhtiön osakkaat osakeyhtiön hallintoa varten (OY)
Yhdistyksen jäsenet yhdistysten hallintoa ja laskutusta varten (YJ)
Asunto-osakeyhtiön osakkaat asunto-osakeyhtiön hallintoa ja laskutusta varten (AOY)

Käsiteltäviä henkilötietoja ovat:

  • nimi (PL, KP, OY, YJ, AOY)
  • osoite, puhelinnumero, sähköpostiosoite (PL, KP, OY, YJ, AOY)
  • henkilötunnus (PL, OY, AOY)
  • sukupuoli, kieli (PL)
  • työsuhdetiedot (PL)
  • palkkatiedot ja -perusteet (PL)
  • ammattiyhdistyksen jäsenmaksutiedot (PL)
  • ulosottotiedot (PL, KP, OY, YJ, AOY)
  • verokortti, työsopimus (PL)
  • tuntikirjaukset, kappalehinta (PL)
  • poissaolot, lomat, lääkärintodistukset (PL)

Säännönmukaiset tietolähteet

Asiakas lisää henkilökuntansa henkilötietoja kirjanpidon hoitamista varten tarkoitettuihin taloudenhallintapalveluihin. Henkilötietoa voidaan ladata asiakkaan toimittaman sähköisen materiaalin perusteella. Henkilötiedot kerätään taloudenhallintapalveluiden käyttöehtojen mukaisesti.

Tämän lisäksi henkilötietoja kerätään veroviranomaisilta, kansaneläkelaitokselta, tapaturmavakuutusyhtiöiltä, ammattiyhdistysten jäsenmaksuliitoilta, luotonatopalveluista, ulosottoviranomaisilta sekä muilta tahoilta, joiden antama tieto on käsiteltävä palkanlaskennassa.

Käyttäjien päätelaitetietoa kerätään automaattisesti sähköisten tuotteiden kehityksen ja asiakaspalvelun kehitystarkoituksiin esimerkiksi internet selaimen evästeitä, tai vastaavan kaltaisia teknologioita, käyttäen Käsittelijän internetsivustoja.

Henkilötietojen vastaanottajien ryhmät

Käsittelijä voi luovuttaa henkilötietoja voimassaolevan lainsäädännön sallimissa ja velvoittavissa rajoissa. Rekisteritietoja voidaan luovuttaa veroviranomaisille, eläkevakuutusyhtiöille, vakuutusyhtiöille, ammattiyhdistysliitoille, kansaneläkelaitokselle tai työeläkekassoille.

Käsittelijällä on lakisääteinen velvollisuus luovuttaa henkilötietoja viranomaisille heiltä kirjallisesti saatujen laillisten tietopyyntöjen perusteella.

Henkilötietoja ei siirretä Euroopan Unionin tai Euroopan talousalueen ulkopuolelle, ellei asiakas sitä itse pyydä kirjallisesti. Asiakkaan pyytämät tiedonsiirrot EU tai ETA-alueen ulkopuolelle tehdään Euroopan Unionin tietosuoja-asetuksen tiedonsiirtoja koskevat vaatimukset täyttäen.

Henkilötietojen luovuttamisen käytännöt

Asiakkaan tilintarkastajalle tietoja luovutetaan ilman erillistä valtuutusta asiakkaan ja tilintarkastajan välisen sopimuksen toimeenpanon toteuttamiseksi. Muiden asiakkaan yhteistyökumppaneiden, kuten esimerkiksi lakimiesten, konsulttien jne., osalta asiakkaalta pyydetään erillinen suostumus tietojen luovuttamiseen.

Kirjallisen materiaalin luovuttamisen yhteydessä laaditaan tietojen luovutustodistus, jossa käy ilmi luovutetun aineiston perustiedot, kenelle luovutettu ja milloin. Tämä luovutustodistus tallennetaan asiakaskansioihin mahdollista myöhempää todistusvelvollisuutta varten.

Asiakkaan pyyntö luoda tietojärjestelmän tunnukset ja antaa pääsy asiakkaan tietoihin sisältää samalla asiakkaan suostumuksen asiakkaan tietojen luovuttamiseen kyseiselle yhteistyökumppanille.

Veroviranomaisille, eläkevakuutusyhtiöille, vakuutusyhtiöille, ammattiyhdistysliitoille, kansaneläkelaitokselle tai työeläkekassoille tietoja luovutetaan ilman asiakkaan valtuutusta tai suostumusta, silloin kun tiedon luovutuksesta on laissa erikseen määritelty.

Digitaalisten aineistojen käsittelyä valvotaan tietojärjestelmien tapahtumatiedon eli lokitietojen tallentamisen ja niiden automaattisen tai manuaalisen valvonnan avulla. Tämän lisäksi lokitietoa voidaan tarvittaessa käyttää todisteena tapahtuneesta.

Tekniset ja organisatoriset turvatoimet

Sähköisesti käsiteltävät rekisterin sisältämät tiedot suojataan teknisesti palomuureilla, salasanoilla, tarjoamalla asiakkaan työntekijöille kaksivaiheista tunnistautumista sekä muilla tietoturvan toimialalla yleisesti hyväksyttävin teknisillä keinoilla. Tiedot varmuuskopioidaan säännöllisesti ja varmuuskopioita säilytetään eri sijainnissa kuin missä alkuperäinen tieto sijaitsee.

Käsittelijä suojaa asiakkaan tietoja luvattomalta käytöltä ja levitykseltä. Ainoastaan yksilöidyillä Käsittelijän työntekijöillä ja Käsittelijän toimeksiannosta ja lukuun toimivien yritysten työntekijöillä on pääsy rekisterin sisältämiin tietoihin erikseen myönnettyjen käyttöoikeuksien perusteella. Käyttäjien käyttöoikeuksia valvotaan ja vaarallisten käyttöoikeusyhdistelmien luominen on kielletty käyttöoikeuksien hallintapolitiikassa ja niiden syntymistä valvotaan osana käyttöoikeuksien hallintaa. Erityisesti eri järjestelmien pääkäyttäjien käyttöoikeudet tarkistetaan säännöllisesti ja poistetaan kun käyttäjä ei niitä enää tarvitse. Käsittelijältä poistuneiden työntekijöiden käyttöoikeudet poistetaan työsuhteen päättyessä kaikista järjestelmistä.

Asiakkaan tietoja käsittelee vain se Käsittelijän työntekijä, joka on osoitettu tekemään kyseinen työ. Henkilötiedon käsittely muilla perusteilla on kielletty, vaikka Käsittelijän työntekijällä olisi tekninen pääsy asiakastietoon hänen työtehtävänsä ja liiketoiminnallisten syiden perusteella.

Koko Käsittelijän henkilöstöllä, ja sen lukuun toimivilla ulkopuolisilla henkilöillä, on vaitiolovelvollisuus liittyen kaikkeen asiakkaan taloushallinnon tietoon ja henkilötietoon. Vaitiolovelvollisuus on kirjattuna Käsittelijän henkilöstön työsopimuksiin, mukaan lukien sanktiot. Vaitiolovelvollisuus on kirjattuna kolmansien osapuolien kanssa tehtyihin sopimuksiin, mukaan lukien sanktiot.

Asiakkaan tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla, joissa työn tekemisen laillisuusperusteet ovat olennainen osa koulutusta. Käsittelijän henkilökunnan tietoturva- ja tietosuojatietoisuutta pidetään säännöllisesti yllä eri tavoin: Järjestämällä sekä säännöllisiä tietoturvaa ja tietosuojaa koskevia koko yrityksen henkilöstölle tiedoksi annettavia tietoiskuja, että järjestämällä vuosittain työntekijöille pakollinen tietoturvaa ja tietosuojaa koskeva koulutus, jonka läpäisemiseksi työntekijän tulee hyväksytysti läpäistä aihealuetta koskeva testi.

Käsittelijällä on tietoturvapolitiikka, jonka jokainen työntekijä käy läpi aloittaessaan työnsä Käsittelijällä. Tietoturvapolitiikan olemassa olosta ja sijainnista tiedotetaan säännöllisissä tietoturvakoulutuksissa sekä muistutetaan työntekijöitä kyseisen politiikan sitovuudesta. Tietoturvapolitiikka kuvaa yleiset työntekijää velvoittavat tietoturvaa ja tietosuojaa koskevat säännöt, olivatpa ne teknisiä sääntöjä, tietoturvaprosesseja tai jokapäiväiseen työntekoon soveltuvia käytäntöjä ja ohjeita.

Asiakkaan tietoja käsitellään tietojärjestelmissä jotka sijaitsevat konesalissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa. Suomessa sijaitsevissa konesaleissa tärkeimmät tuotantojärjestelmät on kahdennettu kahteen fyysisesti toisistaan erotettuihin konesaleihin turvallisuuden, tiedon säilymisen ja palvelun jatkuvuuden takaamiseksi normaali ja poikkeustilanteissa. Näissä konesaleissa ovat käytössä palveluntuottajan toimesta sertifioidut turvallisuuskäytännöt, pääsynhallinta ja valvonta.

Manuaalisesti ylläpidettävät aineistot sijaitsevat toimitiloissa, joihin asiattomilta pääsy on estetty kulunvalvonnalla ja tärkeimmissä toimitiloissa on käytössä videovalvonta mahdollisen fyysisen turvallisuuden rikkoutumisen selvittämiseksi ja todentamiseksi.

Tietoryhmien suunnitellut poistamisajat

Käsittelijä poistaa asiakkaan työntekijöiden henkilötiedot tietojärjestelmistään silloin kun asiakas poistuu Käsittelijältä. Tällöin tietojen poistaminen tapahtuu 5 vuoden kuluttua asiakkaan poistumisesta.

Operatiivisista tietojärjestelmistä poistamisen jälkeen tiedot poistuvat automaattisesti 6 kuukauden kuluessa varmuuskopioista.

Rekisteröidyn oikeudet

Rekisterinpitäjä kuvaa erillisellä dokumentaatiolla rekisteröidylle tiedotettavat asiat.

Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen 15-22 § mukaisesti oikeus:

  1. tarkastaa henkilötiedot
  2. tietojen oikaisemiseen
  3. tietojen poistamiseen
  4. käsittelyn rajoittamiseen
  5. siirtää tiedot järjestelmästä toiseen

häntä koskeviin tietoihin, joita hänestä on tallennettu Käsittelijän tietojärjestelmiin. Joidenkin rekisteröidyn oikeuksien toteuttamista rajoittaa jokin toinen pakottava lainsäädäntö, jonka perusteella Käsittelijällä on oikeus ja velvollisuus kieltäytyä perustellusti tietojen oikaisemisesta, poistamisesta, käsittelyn rajoittamisesta tai siirtämisestä järjestelmästä toiseen. Esimerkkinä tällaisesta lainsäädännöstä on esimerkiksi kirjanpitolaki, joka määrää palkanlaskentaan liittyvien tositteiden säilyttämisestä, riippumatta rekisteröidyn tietosuoja-asetuksessa määräämistä oikeuksista.

Niissä tilanteissa joissa rekisteröity haluaa tarkastaa tai muuttaa tietojaan Käsittelijän Asiakkaan omistuksessa olevaan henkilörekisteriin kuuluvista tiedoista, tulee rekisteröidyn tehdä tietojen tarkastus- tai muutospyyntö rekisterinpitäjälle ja rekisterinpitäjä huolehtii tietojen tarkastus- tai muutospyynnön toimeenpanon yhdessä henkilötietojen käsittelijän kanssa. Rekisterinpitäjän tulee tällöin osoittaa kirjallinen tarkastuspyyntö alla mainittuun sähköpostiosoitteeseen.

Tarkastus- ja muutospyynnössä tulee yksilöidä henkilötieto, jota halutaan tarkastaa ja antaa rekisterin nimi mitä pyyntö koskee. Pyyntö tulee lähettää sähköpostitse osoitteeseen: info@rutiini.fi. Rekisteröity voi käyttää henkilötietolain määräämää henkilötietoihin kohdistuvaa oikeuttaan maksuttomasti vain kerran vuodessa.

Rekisterinpitäjän ohjeistus tietojen käsittelijälle

Asiakas voi kuvata erikseen erillisellä dokumentaatiolla käsittelijälle annettavan tarkemman tietojenkäsittelyn ohjeistuksen joka Toimittaja säilyttää asiakaskohtaisissa tiedostokansioissa, osana palkanlaskennan asiakaskohtaista ohjeistusta.

Tietosuojaloukkauksista ilmoittaminen

Rekisterinpitäjälle

Ilmoitus tehdään rekisterinpitäjälle ilman aiheetonta viivytystä tietosuojaloukkauksen ilmitulosta. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Rekisteröidylle

Ilmoitus tehdään rekisteröidylle rekisterinpitäjän toimesta, jos tietosuojaloukkauksesta aiheutuu todennäköisesti korkea riski tämän oikeuksille ja vapauksille. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Valvontaviranomaiselle

Ilmoitus tehdään tietoturvaviranomaiselle 72 h kuluessa ilmitulosta, mikäli tietosuojaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.