GDPR-tietosuoja-asetus tuo muutoksia OK Perinnän toimintaan

EU:n uutta GDPR-tietosuoja-asetusta (General Data Protection Regulation) aletaan soveltaa 25.5.2018. Tietosuojauudistuksen tarkoituksena on muun muassa lisätä henkilötietojen käsittelyn avoimuutta, vahvistaa rekisteröityjen henkilöiden oikeuksia ja päivittää tietosuojasääntely nykyaikaisten käsittelytilanteiden mukaiseksi. Kokosimme yhteen uudistuksen tärkeimmät vaikutukset toimintaamme sekä yhteistyöhömme niin toimeksiantajien kuin asiakkaiden kanssa.

Tietosuoja-asetuksen vaatimat muutokset käyttämiemme asiakirjojen ja käytänteiden osalta eivät ole alkuvuodesta 2018 vielä täysin valmiina.

1. Sovimme toimeksiantajan kanssa henkilötietojen käsittelystä

Tietosuoja-asetus asettaa uusia vaatimuksia kaikille henkilötietojen käsittelyyn osallistuville sekä yritysten ja henkilötietoja käsittelevien palveluntarjoajien välisille sopimuksille. Käytännössä kohdallamme tarve sopimusten päivittämiseen arvioidaan sillä perusteella, mitä palveluja tuotamme toimeksiantajalle.

Perintä- ja muistutuspalvelujen osalta roolimme on rekisterinpitäjä ja vastaamme tietosuojavelvoitteista sen mukaisesti. Lasku- ja erämaksupalvelun kohdalla toimimme puolestaan henkilötietojen käsittelijänä ja asiakasyritys rekisterinpitäjänä.

Henkilötietojen käsittelystä ei ole mainintaa toimeksiantajiemme kanssa tekemissämme sopimuksissa. Niinpä päivitämme voimassa olevat sopimukset kevään 2018 aikana kaikkien palveluidemme osalta lähettämällä toimeksiantajille asiaa koskevan muutosehdotuksen sopimusehtoihin. Menettely ei edellytä toimenpiteitä toimeksiantajiltamme.

2. Sovittavat asiat ja aikataulut

Yhteistyösopimuksen liitteessä sovitaan muun muassa henkilötietojen käyttötarkoituksesta, tietojen salassapidosta, tietoturvasta, alihankkijoiden käytöstä, tietojen käsittelyn päättymisestä sekä oikeudesta auditoida toimintaamme.

Huolehdimme nykyisiin yhteistyösopimuksiin tarvittavista päivityksistä ja varmistamme, että tarvittavat sopimukset ovat voimassa asetuksen tullessa sovellettavaksi toukokuussa 2018.

3. Huolehdimme, että kaikki tietojen käsittely on tietosuoja-asetuksen mukaista

Huolehdimme vastuullisesta ja lainmukaisesta henkilötietojen käsittelystä tietosuoja-asetuksen ja Suomen lain mukaisesti. Tietoturvaa koskevat periaatteet ja sisäiset säännöt on kirjattu tietoturvapolitiikkaamme sekä henkilötietojen käsittelyä koskeviin käytännesääntöihimme, jotka sisältävät myös henkilöstömme tietosuojaosaamista edistävät koulutuskäytännöt.

Huolellinen toimintaperiaatteiden ja -mallien dokumentointi on keskeinen osa tietosuoja-asetuksen toteuttamista. Osana omaa GDPR-projektiamme käymme parhaillaan läpi nykyisiä toimintatapojamme ja ohjeistuksiamme, joiden sisältöihin teemme tarvittaessa tarkennuksia. Tietosuojan toteutumista seurataan jatkossa säännöllisesti.

Tietosuoja-asetuksen mukaisesta toiminnasta tulee vastaamaan tehtävään erikseen nimetty tietosuojavastaava (Data Protection Officer) sekä hänen tuekseen keskeisistä muutoshallinnan toimijoista koottava tietosuojaryhmä. Henkilöstön tietoturvatietoisuudesta, ohjeiden mukaisesta toiminnasta ja valmiudesta puuttua poikkeamiin huolehdimme perehdytysten ja säännöllisten tietosuojakoulutusten avulla.

4. Informointivelvollisuus sekä rekisteri- ja käsittelyselosteet

Henkilöllä, jonka tietoja käsitellään, on oikeus saada tietää itseään koskevien tietojen käsittelystä. Tietosuoja-asetuksen mukaan vastuu informointivelvoitteen täyttämisestä on ensisijaisesti rekisterinpitäjällä.

Palveluiden osalta vastaamme rekisterinpitäjänä kaikesta omiin tietoihimme liittyvästä informoinnista, kuten rekisteriselosteen ylläpitämisestä sekä tietojen käsittelyä koskevasta selosteesta, jonka tulee olla laadittuna viranomaisia varten.

Laskutuspalvelujen osalta informointivelvollisuus, mukaan lukien rekisteriselosteen ylläpito, kuuluu asiakasyritykselle. Laskutus- ja asiakastietojen käsittelijänä ylläpidämme kuitenkin tietojen käsittelyä koskevaa selostetta, joka toimitetaan pyydettäessä viranomaisille.

5. Rekisteröidyn oikeus poistaa omat tietonsa henkilörekisteristämme

Henkilötietojen käsittely palveluidemme osalta perustuu tietosuoja-asetuksessa mainittuihin perusteisiin eli yleensä yhteistyösopimukseen tai oikeutetun edun toteuttamiseen. Näissä tilanteissa henkilöllä ei lähtökohtaisesti ole oikeutta omien tietojen poistamiseen.

Jos käy ilmi, ettei henkilötietojen käsittelylle ole esimerkiksi virheellisen tilauksen tai väärän perintätoimeksiannon vuoksi perustetta, poistamme tiedot rekisteröidyn esittämän reklamaation perusteella, mikäli tietoja ei ole ehditty aikaisemmin poistaa.

6. Rekisteröidyn tarkastusoikeus

Henkilöllä, jonka tietoja käsitellään, on oikeus saada omat tietonsa rekisterinpitäjältä. Perinnän ja lasku- ja erämaksupalvelun osalta pyynnön voi osoittaa suoraan asiakaspalveluumme. Tietosuoja-asetuksen mukaan tiedot on toimitettava henkilölle kuukauden kuluessa. Silloin kuin tietoja käsitellään yritysasiakkaan lukuun, kuten laskutuspalvelussa, ohjaamme tietopyynnöt sovitulla tavalla yritysasiakkaallemme eli rekisterinpitäjälle.

Tietosuoja-asetus antaa henkilölle joissakin tilanteissa myös oikeuden siirtää omat tiedot toiselle rekisterinpitäjälle. Rekisterinpitäjän kannalta tämä tarkoittaa, että tiedot täytyy tallentaa sellaiseen muotoon, joka mahdollistaa tietojen siirtämisen. Tietojen siirto-oikeus koskee laskutuksessa ja lasku- ja erämaksupalvelussa käsiteltyjä tietoja silloin, kun tietoja käsitellään automaattisesti. Perinnässä käsiteltyjä henkilötietoja tietojen siirto-oikeus ei koske.

7. Huolehdimme, että myös alihankkijoidemme henkilötietojen käsittely on vaatimusten mukaista

Vastaamme käyttämiemme alihankkijoiden toiminnasta kuin omastamme. Sovimme henkilötietojen käsittelystä aina tietosuoja-asetuksen mukaisesti ja velvoitamme sopimuksin yhteistyökumppanimme toimimaan asetuksen edellyttämällä tavalla. Valvomme alihankkijoidemme toimintaa myös auditoinneilla.

8. Oikeus auditointiin tietosuoja-asioissa

Toimeksiantajilla ja yhteistyökumppaneilla on oikeus auditoida sekä toimintaamme että palveluprosessejamme henkilötietojen käsittelyn ja tietosuojan osalta. Auditointien yksityiskohdista sovitaan palvelusopimuksen sopimusehdoissa

9. Olemme varautuneet tietoturvaloukkauksiin ja niistä raportointiin

Uuden asetuksen myötä henkilöllä on oikeus ilman aiheetonta viivästystä saada tieto, jos hänen tietojaan on voinut joutua vääriin käsiin. Rekisterinpitäjänä toimivalla yrityksellä on lisäksi velvollisuus ilmoittaa tietosuojaloukkauksesta viranomaisille 72 tunnin kuluessa sen havaitsemista.

Olemme varautuneet käsittelemään mahdolliset tietoturvaloukkaukset tarkoitukseen luodun ja tietosuoja-asetuksen vaatimuksia vastaavan toimintamallin mukaisesti. Tietojen käsittelijän roolissa toimiessaan vastaamme myös siitä, että yritys, jonka asiakastiedoista on kyse, saa tiedon mahdollisesta henkilötietojen suojan vaarantumisesta viipymättä pystyäkseen täyttämään omat velvoitteensa rekisterinpitäjänä.