GDPR – Usein kysyttyjä kysymyksiä

Mikä on GDPR? Onko se huomioitu Admicomilla ja miten se vaikuttaa asiakkaisiin?

Läpinäkyvyyden lisäämiseksi olemme koonneet listan usein kysytyistä kysymyksistä liittyen EU:n tietosuoja-asetukseen.

Lue lisää

Sivun sisältö

  1. Mikä on GDPR?
  2. Miten Admicomilla on huomioitu tietosuoja-asetuksen vaatimukset?
  3. Miten tietosuoja-asetus vaikuttaa Admicomin asiakkaisiin?
  4. Miten Adminetissä on toteutettu tietoturva?
  5. Pitääkö kaikkien rekisterinpitäjien laatia rekisteri- tai tietosuojaselosteet?
  6. Tarvitseeko meidän nimetä tietosuojavastaava?
  7. Voimmeko saada Admicomilta todistuksen, että Adminet täyttää tietosuoja-asetuksen vaatimukset?
  8. Miksi henkilötietoa ei saa poistettua Adminetistä?
  9. Jos henkilö pyytää nähtäväksi omia tietojaan, miten saan sellaisen raportin?
  10. Adminetin GDPR-ominaisuudet?
  11. Miksi kaikkia henkilötietoja ei kohdella tasa-arvoisesti?
  12. Miksi palkkalaskelmat toimitetaan suojaamattomalla sähköpostilla?
  13. Tuleeko työntekijöitä informoida siitä, että heidän tietojaan kerätään ja tallennetaan Adminettiin sekä mahdollisesti luovutetaan eteenpäin?
  14. Entäpä jos asiakasyrityksemme pyytää nähtäville, mitä tietoja asiakkuudenhallintajärjestelmässämme on heistä?
  15. Rakennuspalvelun tilaaja on kaupunki X (tai kunnan liikelaitos Y) ja he haluavat kulunvalvonnan tiedot työmaalta kuukausittain – miten tietosuoja-asetus suhtautuu tähän?

 

1. Mikä on GDPR?

GDPR eli General Data Protection Regulation on suomeksi EU:n tietosuoja-asetus, joka tuli voimaan pari vuotta sitten. Toukokuussa 2018 viranomainen alkaa soveltaa asetusta ja siksi asia on viime kuukausina ollut paljon otsikoissa. Asia koskee erityisesti yrityksiä ja organisaatioita, jotka toiminnassaan käsittelevät paljon henkilötietoja (esim. SOTE-sektori) ja he ovatkin varmaan jo pitkälti valmiita omien järjestelmiensä kanssa. PK-sektorilla ja erityisesti talotekniikassa, rakentamisessa ja teollisuudessa henkilötietojen käsittely ei yleisesti ottaen ole toiminnan ytimessä, joten vaatimukset asian suhteen eivät ole niin kattavat.

Käytännössä henkilörekistereitä voi syntyä Adminetissä muutamaan eri paikkaan – tyypillisimmin varmaankin palkansaajien, asiakkaiden, toimittajien ja kulunvalvonnan osalta. Suurin osa näihin rekistereihin kerätystä tiedosta on matalan riskin tietoa eli voidaan ajatella, että tieto on joko julkista tai ainakin kohtuullisen helposti saatavilla, jos joku sitä etsii. Tyypillisimmin tälläinen henkilötieto on esimerkiksi henkilön erilaisia yhteystietoja. Näiden tietojen suhteen ei Adminetissä ole tehty erityistoimenpiteitä, vaan on katsottu, että pääsynhallinta oikeuksien ja henkilökohtaisten käyttäjätunnusten kautta on riittävä suojaus näille tiedoille. Palkanlaskennan tietojen suhteen puolestaan on tehty muutamia teknisiä muutoksia, joilla pyritään kontrolloimaan tietojen tarpeetonta käyttöä.

 

2. Miten Admicomilla on huomioitu tietosuoja-asetuksen vaatimukset?

Olemme toteuttaneet yhdessä lakiasiaintoimiston sekä turva-alan ammattilaisten kanssa auditoinnin, jonka raportti toimii pohjana konkreettisille toimenpiteille. Admicomin kohdalla tämä on käytännössä tarkoittanut erityisesti tietojen käsittelyn dokumentointia, sopimuskäytäntöjen uusimista, henkilöstön koulutusta sekä myös muutamia ohjelmamuutoksia Adminettiin.

Admicomin tietosuojailmoitus löytyy täältä.

Järjestimme asiakkaillemme myös GDPR-aihetta käsittelevän webinaarin, joka on katsottavissa järjestelmän omasta ohjetyökalusta Adminetin Wikistä. Adminettiin kirjautumisen jälkeen webinaari löytyy Wikistä hakusanalla ”GDPR” tai seuraavan polun takaa: Etäkoulutusmateriaalit > Webinaarit > GDPR – EU:n tietosuoja-asetus 20.4.2018.

 

3. Miten tietosuoja-asetus vaikuttaa Admicomin asiakkaisiin?

Jokainen asiakkaamme on tietosuoja-asetuksen mielessä rekisterinpitäjä ja niinpä jokaista asiakastamme koskevat rekisterinpitäjän velvollisuudet. Me Admicomilla autamme asiakastamme näiden velvollisuuksien täyttämisessä päivittämällä sopimuksemme sisältämään myös tietosuoja-asetuksen mukaisen ohjeistuksen tietojenkäsittelystä. (Tämä tapahtuu tämän hetken arvion mukaan huhtikuussa.) Lisäksi Adminetin joihinkin henkilörekisteihin tulee ohjelmamuutoksia, jotka auttavat asiakkaitamme rekisteröityjen oikeuksien toteuttamisessa.

Jokaiselle rekisterinpitäjälle jää kuitenkin asetuksen mukainen osoitusvelvollisuus, mikä tarkoittaa sitä, että jokaisen rekisterinpitäjän on tarvittaessa pystyttävä osoittamaan viranomaiselle, että se on tehnyt tarvittavat toimenpiteet asetuksen vaatimusten täyttämiseksi. Tyypillisimmin tämä tarkoittaa esimerkiksi jonkinlaisen tilannearvion tekemistä ja sen pohjalta sitten esimerkiksi henkilötietojen käsittelyn dokumentointia, tietosuojaselosteiden kirjoittamista sekä henkilökunnan kouluttamista ja informointia.

Lisätietoja voi lukea vaikkapa tietosuojavaltuutetun oppaasta.

 

 

4. Miten Adminetissä on toteutettu tietoturva?

Kysymys on hieman liian avoin, että siihen voisi vastata kattavasti. Adminetin tietoturva on toteutettu monessa eri tasossa lähtien palvelininfrastruktuurista ja sen toteutuksesta. Myöskin itse ohjelmistossa tietoturva ja pääsyoikeudet on huomioitu monin eri tavoin. Palvelumme saatavuus oli viime vuonna 100% lukuun ottamatta suunniteltuja päivityskatkoja. Varmuuskopiointi on niin ikään hoidettu alan parhaiden käytänteiden mukaisesti. Lisäksi olemme toteuttaneet tietoturvakartoituksen sähköisten palvelujemme osalta ja saadun raportin perusteella tehneet tietoturvallisuutta parantavia muutoksia. Seuraamme luonnollisesti koko ajan myös tekniikan kehittymistä.

 

5. Pitääkö kaikkien rekisterinpitäjien laatia rekisteri- tai tietosuojaselosteet?

Selosteet ovat pakollisia vain työpaikoilla, joilla on yli 250 työntekijää. Yksityiskohdat kannattaa tarkistaa tietosuoja-asetuksen artiklasta 30, mikäli henkilötietojen käsittely on jotenkin tavanomaisesta poikkeavaa.

Selosteet ovat kuitenkin hyvä, helppo ja kustannustehokas osa rekisterinpitäjän osoitusvelvollisuuden täyttämiseksi tehtäviä toimenpiteitä. Monet asiantuntijat suosittelevatkin selosteiden tekemistä.

Tietosuojaselosteen malleja tämän hetken (23.2.2018) tilanteen pohjalta:

Huom! Tuleva lainsäädäntö saattaa tuoda mukanaan vielä joitain muutoksia selosteiden vaatimuksiin.

 

6. Tarvitseeko meidän nimetä tietosuojavastaava?

Tämän hetken arvion mukaan rakennustyömailla pääsääntöisesti päätoteuttajina toimivat yritykset tarvitsevat tietosuojavastaavan. Muille alan yrityksille tämä ei ole välttämättä tarpeen.

Tilanne voi kuitenkin muuttua, sillä mitään virallista säännöstöä tai määräystä tästä ei vielä ole.

 

7. Voimmeko saada Admicomilta todistuksen, että Adminet täyttää tietosuoja-asetuksen vaatimukset?

Tällaista todistusta ei ole saatavilla, sillä mitään yhteistä ja yleistä standardia vaatimusten täyttämiseksi ei ole ainakaan vielä olemassa. Lisäksi on muistettava, että riskiperusteisen lähestymistavan mukaisesti matalan riskitason tietojen suojaamiseen ei tule käyttää kohtuuttomia toimenpiteitä.

Katso myös uudempi kysymys Adminetin GDPR-ominaisuudet?

 

8. Miksi henkilötietoa ei saa poistettua Adminetistä?

Meiltä on tulossa päivitys, jossa tuomme Adminettiin lisää tietosuoja-asetuksen mukaisia ominaisuuksia. Yksi näistä ominaisuuksista on henkilötietojen poistaminen. Pitää kuitenkin muistaa, että tämäkään asia ei ole ihan yksinkertainen, sillä samalla pitää huomioida myös eri lakeihin liittyvät tietojen säilytysvelvollisuudet. Ainakin työsopimuslaki, työaikalaki, verotusmenettelylaki (ilmoitusvelvollisuus) ja kirjanpitolaki antavat tähän asiaan omat reunaehtonsa. Eli voi hyvin syntyä tilanteita, joissa tietojen poistoa on pyydetty, mutta jonkin lain nojalla sama tieto pitäisi säilyttää. Näissä tapauksissa lakiin kirjattu säilytysvelvollisuus ajaa tietosuoja-asetuksen ja yksilön oikeuksien edelle. Tietosuoja-asetuksen artikla 17 määrittelee tätä asiaa tarkemmin.

Katso myös uudempi kysymys Adminetin GDPR-ominaisuudet?

 

9. Jos henkilö pyytää nähtäväksi omia tietojaan, miten saan sellaisen raportin?

Kyseisen henkilöasiakkaan asiakaskortin tulostaminen käyttöliittymältä onnistuu useimmissa selaimissa Crtl+P -näppäinyhdistelmällä. Samoin voi tarvittaessa toimia oman henkilökunnan tapauksessa.

Pidämme rekisteritietojen nähtäväksi pyytämistä sen verran marginaalisena käyttötapauksena asiakaskunnassamme, että erityisiä raportteja tätä varten ei ole rakennettu.

Katso myös uudempi kysymys Adminetin GDPR-ominaisuudet?

 

10. Adminetin GDPR-ominaisuudet?

Yksilön oikeudet tietosuoja-asetuksen mukaan Adminetissä toteutetaan seuraavasti

  • Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä
    • Tietosuojaseloste hoitaa, asiakkaat vastaavat omista selosteistaan
  • Rekisteröidyn oikeus saada pääsy tietoihin
    • Henkilörekisteriin tulee mahdollisuus järjestelmästä muodostettavalle tulosteelle
  • Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi
    • Rekisterinpitäjä hoitaa oikaisemisen oman ohjeistuksensa mukaisesti (tietosuojaseloste)
    • Asiakasrekisteriin, asiakkuudenhallintaan, henkilörekisteriin ja kulunvalvontarekisteriin tulee mahdollisuus poistaa henkilötietoja lakien vaatimien säilytysaikojen puitteissa
  • Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta
    • Ei muutoksia/ei relevantti Admicomin asiakkaiden kannalta
  • Oikeus siirtää tiedot järjestelmästä toiseen
    • XML-tuloste henkilörekisteristä – pyydettäessä Admicomin tuesta
  • Vastustamisoikeus (esim. suoramarkkinointikielto)
    • Ei muutoksia, asiakkuudenhallinnassa jo olemassa ominaisuus postilistojen hallintaan
  • Automatisoitujen yksittäispäätösten ja profiloinnin kielto
    • Ei relevantti Admicomin asiakkaiden kannalta

Nämä ominaisuudet tulevat Adminettiin seuraavan ohjelmistopäivityksen yhteydessä.

 

 

11. Miksi kaikkia henkilötietoja ei kohdella tasa-arvoisesti?

Jotkut henkilötiedot ovat arkaluontoisempia kuin toiset. Siksi jokaisen henkilörekisterin ja sen suojauksen kohdalla tehdään riskiarvio, jonka perusteella päätetään toteutettavan suojauksen tasosta. Suurin osa Adminetin henkilörekistereistä on matalan riskitason tietoa, jonka todennäköisesti voi löytää internetistä yksinkertaisesti googlaamalla tai eri palveluntarjoajien tai viranomaisten palveluista, jotka ovat vapaasti tai rekisteröitymällä käytettävissä. Siksi esimerkiksi palkanlaskennan henkilörekisterit ovat suojatumpia kuin erilaiset asiakasrekisterit.

 

12. Miksi palkkalaskelmat toimitetaan suojaamattomalla sähköpostilla?

Adminetin lähettämät sähköpostit lähtevät aina salatulla SSL-yhteydellä, mutta itse viestit eivät ole salattuja. Admicom ei myöskään voi taata, että koko putki Adminetin postipalvelimelta palkansaajan postilaatikkoon olisi yhteyden puolesta salattu. Tietosuojavaltuutettu on kuitenkin ottanut asiaan kantaa ja todennut palkkalaskelmien toimittamisen sähköpostilla olevan hyväksyttävää, mikäli se loppukäyttäjälle eli laskelman saajalle on hyväksyttävää. Mikäli loppukäyttäjä ei tätä riskiä halua ottaa, palkkalaskelman voi tietysti aina toimittaa myös e-kirjeenä. Tuomme Adminettiin tarjolle myös palkkalaskelmien toimittamisen salattuina sähköposteina. Tiedotamme palvelusta ja hinnoittelusta tarkemmin, kun tekniset yksityiskohdat on saatu kuntoon.

 

13. Tuleeko työntekijöitä informoida siitä, että heidän tietojaan kerätään ja tallennetaan Adminettiin sekä mahdollisesti luovutetaan eteenpäin?

Työntekijöitä on hyvä informoida asiasta esimerkiksi työsopimusta tehtäessä tai työmaan perehdytyksen yhteydessä. Pakollista se ei kuitenkaan ole, kun tietojen käsittely perustuu sopimukseen tai lakiin.

Luonnollisesti siis työntekijän on syytä odottaa, että työnantaja käsittelee hänen tietojaan, jotta työnantajan sopimukselliset velvoitteet (esim. palkanmaksu) voidaan täyttää.

Niin ikään rakennustyömailla työskentelevien työntekijöiden on syytä olettaa, että kulunvalvonnan tietoja luovutetaan viranomaisille ja mahdollisesti työn tilaajalle.

 

14. Entäpä jos asiakasyrityksemme pyytää nähtäville, mitä tietoja asiakkuudenhallintajärjestelmässämme on heistä?

Asetus koskee vain henkilötietoja. Yrityksillä vastaavia oikeuksia ei ole. Eli tieto, joka on tarkoitettu vain yrityksen sisäiseen käyttöön, on sellaista edelleen.

 

15. Rakennuspalvelun tilaaja on kaupunki X (tai kunnan liikelaitos Y) ja he haluavat kulunvalvonnan tiedot työmaalta kuukausittain – miten tietosuoja-asetus suhtautuu tähän?

Tilaajalle voi tilanteesta riippuen syntyä niin sanottu kolmannen osapuolen oikeutettu etu, jonka takia kulunvalvonnan tietojen luovuttaminen on perusteltua. Tällainen oikeutettuun etuun liittyvä syy voisi olla vaikkapa työturvallisuuteen tai työmaan laskutukseen liittyvä seuranta. Aina kannattaa tarkistaa, mihin tarkoitukseen tilaaja tietoja pyytää ja tarvittaessa käydä asia läpi myös työntekijöiden oikeuksien näkökulmasta.

 

^ Alkuun

Lataa opas järjestelmän hankintaan

Oppaasta saat saat viisi vinkkiä toiminnanohjausjärjestelmän valitsemiseen.

Lataa ilmaiseksi

Oppaan lataaminen ei sido sinua mihinkään.

Toiminnanohjausjärjestelmän valinta - Lataa ilmainen opas - Admicom
Sulje haku