Uusi tietosuoja-asetus (GDPR) tulee! Mitä se tarkoittaa käyttäjillemme?

Uusi tietosuoja-asetus astui voimaan 25.5.2018 ja sen myötä myös me, kuten myös sinä yrittäjä, jouduimme käymään läpi omat tapamme käsitellä ja kerätä henkilötietoa. Tässä artikkelissa avaamme useiten kysyttyjä kysymyksiä siitä miten GDPR vaikuttaa käyttäjiimme ja miten Isolta on valmistautunut uuden tietosuoja-asetuksen voimaantuloon.

Käytän Isoltan selainpohjaista laskutusohjelmaa ja käsittelen siellä henkilötietoja. Miten uusi tietosuoja-asetus vaikuttaa toimintaani Isoltan asiakkaana?

Asiakkaanamme toimit siis rekisterinpitäjän roolissa ja Isolta on tietosuoja-asetuksen termein rekisterin käsittelijä. Eli muodostamasi henkilörekisteri sijaitsee meidän palvelussa ja meidän hallinnoimilla palvelimilla. Tarjoamamme palvelun myötä olemme henkilörekisterin käsittelijä, mutta meillä ei ole oikeuttaa käyttää henkilötietoja muuhun kuin palvelun tarjoamiseen tai mihin laki meitä velvoittaa. Et siis erikseen luovuta meille itsenäistä käyttöoikeutta asiakkaidesi tietoihin tahi luovuta tietoja meidän vapaaseen käyttöömme.

Henkilörekisterin pitäjän roolissa sinulla on luonnollisesti tiettyjä velvollisuuksia liittyen muun muassa lainmukaiseen tietojen keräämiseen, luottamukselliseen tietojen käsittelyyn sekä siihen, että millä perustein keräät ja tallennat henkilötietoja.

Isolta ja Isoltan alihankkijat ovat sitoutuneet noudattamaan uuden tietosuoja-asetuksen vaatimuksia toukokuuhun mennessä. Nykyiset Isoltan tietosuojakäytännöt ovat luettavissa täältä: https://www.isolta.fi/tietosuojakaytanto

Rekisterinpitäjän roolissa sinun huolehtia myös siitä, että oma rekisteriselosteesi on ajan tasalla, joten suosittelemme lukaisemaan artikkelimme rekisteriselosteen vaatimuksista

Asiakkaani pyysi poistamaan hänen henkilötietonsa Arkhimedeksesta. Miten toimin?

Laskut ovat kirjanpitoaineistoa, joka tulee säilyttää ja niihin sinulla on käyttöoikeusperuste. Eli laskuja sinun ei pidä alkaa poistamaan. Sinun tulee kuitenkin pyynnöstä poistaa muut tiedot, esim. kontaktitapahtumat, muistiot ja muut tietueet, jos ne sisältävät henkilötietoja.

Lisäksi voit anonymisoida asiakkaasi kontaktikortin tyhjentämällä tiedot kentistä / korvaamalla tiedot esim. POISTETTU teksteillä.

Lähetän kirjanpitäjälleni kirjanpitoaineistoa, joka sisältää henkilötietoja - miten tämä täytyy huomioida toiminnassani suhteessa uuteen tietosuoja-asetukseen?

Säännömukaisista luovtuksista tai ulkopuolisista tietojen käsittelijöistä tulisi kertoa rekisteriselosteessa. Tietojen luovuttamiselle täytyy löytyä joko peruste laista tai siihen täytyy olla rekisteröidyn suostumus. Käytännössä siis rekisteriselosteessa tulee mainita, että käytät tietojen käsittelyyn alihankkijoita.

Lisäksi on olennaista huomioda tehdäänkö tietojen luovutusta vai myönnetäänkö alihankkijalle oikeus tietojen käsittelyyn. Esimerkiksi Isoltalla lukee tietosuojakäytännössä näin: “Isolta voi käyttää alihankkijoita palveluiden tarjoamiseen. Luotetut palveluntarjoajamme toimivat meidän puolesta ja lukuun ja heillä ei ole itsenäistä oikeutta käyttää henkilötietoja.” https://www.isolta.fi/tietosuojakaytanto

Mitä asioita minun pitäisi todeta rekisteriselosteessani, kun käytän Isoltan palvelua henkilötietojen käsittelyyn?

Uuden tietosuoja-asetuksen myötä useat yritykset joutuvat käymään myös rekisteriselosteensa ja tietosuojakäytännöt läpi. Tai laatimaan sellaisen, jos se on jäänyt aiemmin tekemättä.

Isoltan asiakkaana käytät siis ulkopuolista palveluntarjoajaa tietojen käsittelyyn, joten tämä ulkopuolisen palveluntarjoajan käyttäminen tulee mainita rekisteriselosteessa. Itse selosteessa ei siis ole välttämätöntä eritellä mitä palveluntarjoajia käytät rekisterin ylläpitoon Nämä on kuitenkin hyvä kirjata ylös yrityksesi omiin sisäisiin dokumentteihin, jotta rekisterinpitäjän tiedät missä käsittelet henkilötietoja. Huomaathan, että myös esimerkiksi sähköpostipalveluntarjoaja voi lukeutua tähän samaan kategoriaan, jos sähköpostitse liikkuu henkilötietoja.

Rekisteriselosteessa puhuttaessa kannattaa huomioida se, että tietojen luovuttaminen kolmansille osapuolille ja tietojen käsittelyn ulkoistaminen ovat kaksi eri asiaa. Säännöllisistä luovutuksista pitää myös mainita, jos niitä tehdään, mutta esimerkiksi meidän tapauksessa et luovuta tietoja meille, vaan toimimme rekisterin käsittelijänä, koska tarjoamme käyttöösi ohjelmiston hallinnoimillamme palvelimilla.

Mikäli sinulla ei vielä ole rekisteriselostetta tai haluat päivittää sitä, niin kannattaa lukea artikkelimme rekisteriselosteen vaatimuksista

Miten Isolta on valmistautunut uuteen tietosuoja-asetukseen?

Isolta on valmistautunut uuteen tietosuoja-asetukseen jo pidemmän aikaa ja mm. YLE kävi haastattelemassa toimitusjohtajaamme aiheeseen liittyen.

Valmistautumisen yhteydessä olemme mm. Käyneet läpi sisäisen dokumentaation, muodostaneet uusia prosesseja liittyen henkilötietojen käsittelyyn, tarkistanut käyttämiemme alihankkijoiden tietosuoja-asetuksen vaatimusten täyttämisen sekä kouluttanut henkilöstöämme.

Lisäksi olemme tekemässä muutoksia nettiselaimella käytettävään Online-palveluumme, jotta käyttäjämme voivat suoriutua vaivattomammin rekisterinpitäjän tehtävistä. GDPR:n myötä rekisteröidyllä on oikeus saada tietää hänestä talletettu tieto. Tulevaisuudessa voit toimittaa rekisteröidylle hänestä tallettamasi tiedot aiempaa vaivattomammin. Päivitämme tästä tarkemmat ohjeet myöhemmin tukiartikkeleihimme.

Miten Isoltan sähköpostiliikenteessä ja verkkolaskuissa on turvattu tietosuoja?

Isoltan sähköpostiliikenne hoidetaan salattuja yhteyksiä pitkin aina siihen asti kunnes viesti on välitetty eteenpäin vastaanottajalle. Kannattaa kuitenkin huomioida, että emme luonnollisestikaan voi taata vastaanottajan tapaa käsitellä sähköposteja tai vastaanottajan palvelinten tietoturvaa.

Verkkolaskujen tapauksessa toimitamme aineiston salattuja yhteyksiä pitkin yhteistyökumppanillemme, joka välittää aineiston eteenpäin vastaanottajalle sähköisessä muodossa. Myös yhteistyökumppanimme on sitoutunut uuden tietosuoja-asetuksen vaatimuksiin.

Verkkolaskujen osalta joudumme aika-ajoin tekemään selvitystöitä esimerkiksi virhetilanteissa ja palveluntarjoajan roolissa meillä täytyy olla pääsy lähetettyihin verkkolaskuihin. Käyttöoikeudet ovat kuitenkin rajoitettu ainoastaan henkilöille, joilla on toimenkuvan puolesta tarve päästä tarkistamaan mm. Verkkolaskujen tila.

Rekisteröidyllä on jatkossa oikeus pyytää rekisteriin tallennetut tietonsa. Miten Isolta on valmistautunut tähän vaatimukseen?

Olemme tekemässä uusia ominaisuuksia järjestelmäämme, joiden avulla voit jatkossa tallettaa yksittäisen kontaktin tiedot koneellesi ja lähettää siitä ne eteenpäin. Käytännössä tämä tietojen tallennus tarkoittaa kontaktikortin tietoja, sillä laskujen osalta tiedot ovat jo myös vastaanottajalla. Niitä ei siis tarvitse toimittaa erikseen, ellet itse halua. Tällä hetkellä voit tallettaa asiakkaasi perustiedot .csv muotoon näiden ohjeiden avulla

Lisätietoa

Puuttuuko artikkelista jotain? Haluaisitko tietää lisää tietosuoja-asetuksesta ja sen vaikutuksesta Isoltan käyttäjiin? Ota yhteyttä joko oikean alakulman chat-kuvakkeen kautta.