Seloste henkilötietojen käsittelytoimista

Miksi käsittelemme henkilötietoja

• Henkilötietoja käsitellään ja tallennetaan Käsittelijän tarjoamien palveluiden tuottamiseksi Käsittelijän ja Rekisterinpitäjän välisessä sopimussuhteessa.
• Henkilötietoja käsitellään ja tallennetaan myös lakisääteisten seikkojen sekä viranomaiskäsittelyyn liittyvien velvollisuuksien täyttämiseksi;
• Asiakkaan Käsittelijältä tilaamien palveluiden tuottamiseksi ja kehittämiseksi
• Asiakkaan palkan- ja palkkionsaajat palkka- ja henkilöstöhallinnon toteuttamiseksi
• Asiakkaan henkilöasiakkaat saatavien seuraamista varten
• Osakeyhtiön osakkaat osakeyhtiön hallintoa varten
• Yhdistyksen jäsenet yhdistyksen hallintoa ja laskutusta varten
• Asunto-osakeyhtiön osakkaat asunto-osakeyhtiön hallintoa ja laskutusta varten
• Rahanpesulainsäädännön edellyttämät tuntemistiedot (KYC)
• Tosiasialliset edunsaajatiedot

Talenomilla on oikeutettu etu käsitellä henkilötietoa Talenomin palveluiden markkinoinnin ja myynnin suuntaamiseen, sekä Talenomin tuotteiden ja palveluiden laadun parantamiseen.

Mitä henkilötietoja käsittelemme?

Rekisteröityjen ryhmät ja henkilötietoryhmät:

• Asiakkaan palkan- ja palkkionsaajat palkka- ja henkilöstöhallinnon toteuttamiseksi (PL)
• Asiakkaan henkilöasiakkaiden saatavien seuraamista ja perintää varten (KP, PE)
• Osakeyhtiön osakkaat osakeyhtiön hallintoa varten (OY)
• Yhdistyksen jäsenet yhdistysten hallintoa ja laskutusta varten (YJ)
• Asunto-osakeyhtiön osakkaat asunto-osakeyhtiön hallintoa ja laskutusta varten (AOY)
• Liikennevakuutus-, potilasvakuutus-, tapaturmavakuutus-, lääkevahinkovakuutus- ja ympäristövahinkovakuutuslain perusteella maksettavat etuudet (VAK)
• Asiakkaan veroilmoitustiedot henkilökohtaisen veroilmoituksen toteuttamiseksi (VER)
  

Käsiteltäviä henkilötietoja ovat:

• nimi (PL, KP, PE, OY, YJ, AOY, VAK, VER)
• osoite, puhelinnumero, sähköpostiosoite (PL, KP, PE, OY, YJ, AOY, VAK)
• verkkolaskuosoite, Online-palvelun käyttötiedot, käyttäjätunnus (PL, KP, OY, YJ, AOY, VAK)
• henkilötunnus, kieli (PL, PE, OY, AOY, VAK, VER)
• tilitiedot (PL, KP, OY, YJ, AOY, VAK)
• ulosottotiedot (PL, KP, OY, YJ, AOY, VAK)
• osingot, osakaslainat (KP, OY)
• veron määrä, verokortti, työsopimus (PL, OY)
• poissaolot, lomat, lääkärintodistukset (PL, OY)
• Terveystietoja (PL, PE, VAK)
• sukupuoli (PL)
• työsuhdetiedot (PL)
• palkkatiedot ja -perusteet, etuudet (PL)
• ammattiyhdistyksen jäsenmaksutiedot (PL, VER)
• tuntikirjaukset, kappalehinta (PL)
• kotikunta, kiinteistöjen tunnukset omistusosuuksineen, puolison nimi, seurakuntaan kuuluminen, alaikäisten lasten lukumäärä, invaliditeettiprosentti, elatusmaksut, muut henkilökohtaiseen verotukseen vaikuttavat asiat (VER)
  

Säännönmukaiset tietolähteet

Asiakas lisää omien tietojensa lisäksi henkilökuntansa sekä asiakkaittensa henkilötietoja Käsittelijän sähköisiin palveluihin. Henkilötietoja voidaan lisätä asiakkaan toimittaman sähköisen ja/tai fyysisen materiaalin perusteella tai niihin perustuen.

Tämän lisäksi henkilötietoja kerätään veroviranomaisilta, Kansaneläkelaitokselta, tapaturmavakuutusyhtiöiltä, ammattiliitoilta, luotonatopalveluista, Digi- ja väestötietovirastolta, ulosottoviranomaisilta sekä muilta tahoilta, joiden antama tieto on käsiteltävä Käsittelijän tuottamassa palvelussa.

Käyttäjien päätelaitetietoa kerätään automaattisesti Käsittelijän tarjoamien palveluiden ja tuotteiden kehittämiseksi sekä asiakaspalvelun kehittämiseksi, hyödyntäen esimerkiksi internetselaimen evästeitä Käsittelijän sähköisistä tuotteista ja verkkopalveluista.

Henkilötietojen luovuttamisen käytännöt

Asiakkaan tilintarkastajalle henkilötietoja luovutetaan ilman erillistä valtuutusta Asiakkaan ja tilintarkastajan välisen sopimuksen toimeenpanon toteuttamiseksi. Asiakkaan muiden yhteistyökumppaneiden, kuten esimerkiksi lakimiesten ja konsulttien osalta Asiakkaalta pyydetään erillinen kirjallinen valtuutus tietojen luovuttamiseen. Kirjallisen materiaalin luovuttamisen yhteydessä laaditaan tietojen luovutustodistus, jossa käy ilmi luovutetun aineiston perustiedot sekä kenelle tietoja on luovutettu ja milloin. Tämä luovutustodistus tallennetaan asiakaskansioihin mahdollista myöhempää todistusvelvollisuutta varten. Digitaalisen aineiston luovuttamisen yhteydessä asiakasyrityksen yhteistyökumppanille luodaan Käsittelijän tietojärjestelmään henkilökohtaiset tunnukset, joilla Asiakkaan yhteistyökumppani saa luovutetun tiedon käyttöönsä. Asiakkaan pyyntö luoda tietojärjestelmän tunnukset ja antaa pääsy Asiakkaan tietoihin sisältää samalla Asiakkaan suostumuksen Asiakkaan tietojen luovuttamiseen kyseiselle yhteistyökumppanille.

Veroviranomaisille, rahoituslaitoksille, sähkörahayhteisöille, eläkevakuutusyhtiöille, vakuutusyhtiöille, ammattiliitoille, Kansaneläkelaitokselle tai työeläkekassoille tietoja luovutetaan ilman Asiakkaan valtuutusta tai suostumusta silloin kun tiedon luovutuksesta on laissa erikseen säännelty. Digitaalisten aineistojen käsittelyä valvotaan tietojärjestelmien tapahtumatiedon eli lokitietojen tallentamisen ja niiden automaattisen tai manuaalisen valvonnan avulla. Tämän lisäksi lokitietoa voidaan tarvittaessa käyttää todisteena tapahtuneesta.

Talenom voi luovuttaa henkilötietoja mille tahansa Talenom -konsernin yksikölle. Talenom ei myy tai vuokraa henkilötietoja muille osapuolille.

Henkilötietojen vastaanottajien ryhmät – myös kolmansissa maissa olevat sekä kansainväliset järjestöt

Käsittelijä voi luovuttaa Asiakkaan henkilötietoja voimassa olevan lainsäädännön rajoissa ja Käsittelijän ja Asiakkaan välisen sopimuksen ehtoja noudattaen. Rekisteritietoja voidaan luovuttaa mm. veroviranomaisille, eläkevakuutusyhtiöille, vakuutusyhtiöille, ammattiliitoille, Kansaneläkelaitokselle, työeläkekassoille, rahoituslaitoksille, sähkörahayhteisöille, Elinkeinoelämän Keskusliitolle tai Tilastokeskukselle.

Käsittelijällä on lakisääteinen velvollisuus luovuttaa henkilötietoja viranomaisille heiltä kirjallisesti saatujen laillisten tietopyyntöjen perusteella.

Pääsääntöisesti henkilötietoja ei siirretä Euroopan Unionin (”EU”) tai Euroopan talousalueen (”ETA”) ulkopuolelle. Tiedonsiirrot EU tai ETA-alueen ulkopuolelle tehdään EU:n tietosuoja-asetuksen tiedonsiirtoja koskevien vakiosopimuslausekkeiden mukaisesti.

Tekniset ja organisatoriset turvatoimet

Rekistereiden tietojen tekninen suojaaminen

Sähköisesti käsiteltävät rekisterin sisältämät tiedot suojataan teknisesti mm. palomuureilla, salasanoilla sekä tarjoamalla Talenomin asiakkaille kaksivaiheista tunnistautumista asiakastietojärjestelmiin.

Tiedonsiirto asiakkaan ja Talenomin palveluiden välillä on salattu TLS (Transport Layer Security) teknologialla. Tiedot varmuuskopioidaan säännöllisesti ja varmuuskopioita säilytetään eri sijainnissa kuin missä primääridata sijaitsee.

Käsittelijä toteuttaa sisäisiä ja kolmannen osapuolen suorittamia arviointeja, jotka kattavat sekä kriittisten tietojärjestelmien teknisen turvallisuuden että hallinnollista tietoturvaa ja -suojaa koskevia prosesseja ja ohjeistuksia.

Rekistereiden hallinnollinen suojaaminen

Käsittelijä suojaa Asiakkaan tietoja luvattomalta käytöltä ja levitykseltä. Ainoastaan Käsittelijän työntekijöillä ja Käsittelijän toimeksiannosta ja sen lukuun toimivien yritysten työntekijöillä on pääsy rekisterin sisältämiin tietoihin erikseen myönnettyjen käyttöoikeuksien perusteella. Käyttäjien käyttöoikeuksia valvotaan, ja vaarallisten käyttöoikeusyhdistelmien luominen on kielletty käyttöoikeuksien hallintapolitiikassa ja niiden syntymistä valvotaan osana käyttöoikeuksien hallintaa. Erityisesti eri järjestelmien pääkäyttäjien käyttöoikeudet tarkistetaan säännöllisesti, ja ne poistetaan, kun käyttäjä ei niitä enää tarvitse. Käsittelijältä poistuneiden työntekijöiden käyttöoikeudet poistetaan työsuhteen päättyessä kaikista järjestelmistä.

Asiakkaan tietoja käsittelee vain Käsittelijän työntekijät, joiden toimenkuva edellyttää kyseisten tietojen käsittelyä. Käsittelijän työntekijöille on kiellettyä käsitellä henkilötietoja muilla perusteilla, vaikka Käsittelijän työntekijällä olisi tekninen pääsy asiakastietoon hänen työtehtävänsä ja liiketoiminnallisten syiden perusteella. Koko Käsittelijän henkilöstöllä ja sen lukuun toimivilla ulkopuolisilla henkilöillä on salassapitovelvollisuus liittyen kaikkiin Asiakkaan taloushallinnon tietoihin ja henkilötietoihin. Salassapitovelvollisuus on kirjattuna Käsittelijän henkilöstön työsopimuksiin sekä kolmansien osapuolien kanssa tehtyihin sopimuksiin, mukaan lukien salassapitovelvollisuuden rikkomisesta aiheutuvat sanktiot.

Asiakkaan tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla, joissa työn tekemisen laillisuusperusteet ovat olennainen osa koulutusta. Käsittelijän henkilökunnan tietoturva- ja tietosuojatietoisuutta pidetään säännöllisesti yllä eri tavoin muun muassa järjestämällä säännöllisiä tietoturvaa ja tietosuojaa koskevia koko yrityksen henkilöstölle tiedoksi annettavia tietoiskuja sekä järjestämällä vuosittain työntekijöille pakollinen tietoturvaa ja tietosuojaa koskeva koulutus, jonka läpäisemiseksi työntekijän tulee hyväksytysti läpäistä aihealuetta koskeva testi. Käsittelijä on laatinut tietoturvapolitiikan, johon jokainen Käsittelijän uusi työntekijä perehtyy aloittaessaan työnsä. Tietoturvapolitiikan olemassaolosta ja sijainnista tiedotetaan säännöllisissä tietoturvakoulutuksissa sekä muistutetaan työntekijöitä kyseisen politiikan sitovuudesta. Tietoturvapolitiikka kuvaa yleiset työntekijää velvoittavat tietoturvaa ja tietosuojaa koskevat säännöt, olivatpa ne teknisiä sääntöjä, tietoturvaprosesseja tai jokapäiväiseen työntekoon soveltuvia käytäntöjä ja ohjeita.

Rekistereiden tietojen fyysinen suojaaminen

Asiakkaiden tietoja käsitellään tietojärjestelmissä, jotka sijaitsevat konesalissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa.

Suomessa sijaitsevissa konesaleissa tärkeimmät tuotantojärjestelmät on kahdennettu kahteen fyysisesti toisistaan erotettuihin konesaleihin turvallisuuden, tiedon säilymisen ja palvelun jatkuvuuden takaamiseksi normaali- ja poikkeustilanteissa.

Näissä konesaleissa ovat käytössä palveluntuottajan toimesta sertifioidut turvallisuuskäytännöt, pääsynhallinta ja valvonta.

Asiakkaan velvollisuudet

Asiakas vastaa omalta osaltaan riittävien teknisten ja organisatoristen tietoturvatoimien käyttöönottamisesta ja ylläpidosta omissa tietojärjestelmissään ja toimitiloissaan.

Tietoryhmien suunnitellut poistamisajat

Käsittelijä poistaa Asiakkaan henkilötiedot tietojärjestelmistään lainsäädännön edellyttämässä laajuudessa, kun Asiakas poistuu Käsittelijältä.

Tietojen poistaminen tapahtuu yhden + kymmenen (1+10) vuoden kuluttua Asiakkaan poistumisesta. Operatiivisista tietojärjestelmistä poistamisen jälkeen tiedot poistuvat automaattisesti kuuden (6) kuukauden kuluessa varmuuskopioista.

Rekisteröidyn oikeudet

Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen 15-22 § mukaisesti oikeus:

1. tarkastaa henkilötiedot
2. tietojen oikaisemiseen
3. tietojen poistamiseen
4. käsittelyn rajoittamiseen
5. siirtää tiedot järjestelmästä toiseen
6. vastustaa henkilötietojensa käsittelyä
7. tehdä valitus valvontaviranomaiselle

Joidenkin rekisteröidyn oikeuksien toteuttamista rajoittaa jokin toinen pakottava lainsäädäntö, jonka perusteella Talenomilla on oikeus ja velvollisuus kieltäytyä perustellusti tietojen oikaisemisesta, poistamisesta, käsittelyn rajoittamisesta tai siirtämisestä järjestelmästä toiseen. Esimerkkinä tällaisesta lainsäädännöstä on esimerkiksi kirjanpitolaki, joka määrää palkanlaskentaan liittyvien tositteiden säilyttämisestä, riippumatta rekisteröidyn tietosuoja-asetuksessa määräämistä oikeuksista.

Niissä tilanteissa, joissa rekisteröity haluaa tarkastaa tai muuttaa tietojaan Talenomin asiakkaan omistuksessa olevaan henkilörekisteriin kuuluvista tiedoista, tulee rekisteröidyn tehdä tietojen tarkastus- tai muutospyyntö rekisterinpitäjälle ja rekisterinpitäjä huolehtii tietojen tarkastus- tai muutospyynnön toimeenpanon yhdessä henkilötietojen käsittelijän Talenomin kanssa. Rekisterinpitäjän tulee tällöin osoittaa kirjallinen tarkastuspyyntö osoitteeseen: tietosuoja@talenom.fi.

Rekisterinpitäjän ohjeistus tietojen käsittelijälle

Asiakas voi kuvata erikseen erillisellä dokumentaatiolla käsittelijälle annettavan tarkemman henkilötietojenkäsittelyn ohjeistuksen, jota käsittelijä säilyttää asiakaskohtaisissa tiedostokansioissa, osana asiakaskohtaista ohjeistusta.

Tietosuojaloukkauksista ilmoittaminen

Rekisterinpitäjälle

Käsittelijä tekee ilmoituksen rekisterinpitäjälle ilman aiheetonta viivytystä tietosuojaloukkauksen ilmitulosta. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Rekisteröidylle

Ilmoitus tehdään rekisteröidylle rekisterinpitäjän toimesta, jos tietosuojaloukkauksesta aiheutuu todennäköisesti korkea riski tämän oikeuksille ja vapauksille. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Valvontaviranomaiselle

Rekisterinpitäjän velvollisuus on ilmoittaa tietosuojaviranomaiselle 72 tunnin kuluessa ilmitulosta, mikäli tietosuojaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa korkeaa riskiä. Käsittelijä avustaa Rekisterinpitäjää erillisestä pyynnöstä ilmoituksen teossa. Ilmoitus tehdään kulloinkin voimassa olevan tietosuojavaltuutetun ohjeistuksen mukaisesti.

Käsittelijä (palveluntarjoaja) ja yhteystiedot

Käsittelijän nimi: Talenom Oyj
Tietosuojavastaava: Enni Kaivorinne
Puh. 0207 525 535
Sähköposti: tietosuoja@talenom.fi
Osoite: Yrttipellontie 2, 90230 Oulu
Puh. 0207 525 000 (switchboard)

Alihankkijan yhteystiedot

Asiakas on antanut Käsittelijälle yleisen suostumuksen alihankkijoiden käyttöön. Käsittelijä toimittaa pyydettäessä luettelon alihankkijoista.