Beskrivning av behandlingen av personuppgifter

Personuppgiftsansvarig

Kund

Personuppgiftsbiträde

Talenom

Varför vi behandlar personuppgifter

  • Personuppgifter behandlas och lagras för att producera de tjänster som Personuppgiftsbiträdet tillhandahåller i en avtalsrelation mellan Personuppgiftsbiträdet och den Personuppgiftsansvariga.
  • Personuppgifter behandlas och lagras för att fullgöra lagstadgade omständigheter samt skyldigheter i anknytning till myndighetsbehandling
  • för att producera och utveckla tjänster som Kunden beställer från Personuppgiftsbiträdet
  • Kundens lön- och arvodestagare: löne- och personalförvaltning
  • Kundens privatkunder: uppföljning av fordringar
  • Delägare i ett aktiebolag: förvaltning av aktiebolaget
  • Medlemmar i en förening: förvaltning av föreningen och fakturering
  • Aktieägare i ett bostadsaktiebolag: förvaltning av bostadsaktiebolaget och fakturering
  • De uppgifter för kundkontroll (KYC) som krävs enligt penningtvättslagstiftningen
  • Information om verkliga förmånstagare

Talenom har ett berättigat intresse av att behandla personuppgifter i syfte att inrikta marknadsföringen och försäljningen av Talenoms tjänster samt för att förbättra kvaliteten på Talenoms produkter och tjänster.

Vilka personuppgifter behandlar vi?

Kategorier av registrerade och kategorier av personuppgifter:

  • Kundens lön- och arvodestagare: löne- och personalförvaltning (löneberäkning)
  • Uppföljning och indrivning av fordringar på kundens privatkunder (bokföring, indrivning)
  • Delägare i ett aktiebolag: förvaltning av aktiebolaget (aktiebolag)
  • Medlemmar i en förening: förvaltning av föreningen och fakturering (föreningar och organisationer)
  • Aktieägare i ett bostadsaktiebolag: förvaltning av bostadsaktiebolaget och fakturering (bostadsaktiebolag)
  • Förmåner som betalas genom trafikförsäkring, patientförsäkring, olycksfallsförsäkring, läkemedelsförsäkring och miljöskadeförsäkring (försäkringar)
  • Kundens deklarationsinformation för att lämna in en personlig förhandsifylld skattedeklaration (skattedeklaration)

Personuppgifter som behandlas är:

  • namn (löneberäkning, bokföring, indrivning, aktiebolag, föreningar och organisationer, bostadsaktiebolag, försäkringar, skattedeklaration)
  • adress, telefonnummer, e-postadress (löneberäkning, bokföring, indrivning, aktiebolag, föreningar och organisationer, bostadsaktiebolag, försäkringar)
  • e-faktureringsadress, uppgifter om användning av onlinetjänsten, användar-ID (löneberäkning, bokföring, aktiebolag, föreningar och organisationer, bostadsaktiebolag, försäkringar, skattedeklaration)
  • personbeteckning, språk (löneberäkning, indrivning, aktiebolag, föreningar och organisationer, bostadsaktiebolag, försäkringar)
  • kontouppgifter (löneberäkning, bokföring, aktiebolag, föreningar och organisationer, bostadsaktiebolag, försäkringar)
  • uppgifter om utsökning (löneberäkning, bokföring, aktiebolag, föreningar och organisationer, bostadsaktiebolag, försäkringar)
  • utdelningar, delägarlån (bokföring, aktiebolag)
  • skattebelopp, skattekort, anställningsavtal (löneberäkning, aktiebolag)
  • frånvaro, semestrar, läkarintyg (löneberäkning, aktiebolag)
  • Hälsoinformation (löneberäkning, indrivning, försäkringar)
  • kön, (löneberäkning)
  • anställningsuppgifter (löneberäkning)
  • löneuppgifter och -grunder, förmåner (löneberäkning)
  • uppgifter om fackföreningars medlemsavgifter (löneberäkning, skattedeklaration)
  • registreringar av timmar, styckepris (löneberäkning)
  • hemkommun, fastighetsbeteckningar med äganderätt, makens namn, församlingens medlemskap, antalet minderåriga barn, invaliditetsprocent, underhållsbidrag, övriga ärenden som inverkar på personbeskattningen (skattedeklaration)

Regelbundna informationskällor

Utöver sina egna uppgifter lägger kunden till personuppgifterna för sin personal och sina kunder i Personuppgiftsbiträdets elektroniska tjänster. Personuppgifter kan läggas till baserat på elektroniskt och/eller fysiskt material som tillhandahålls av kunden.

Dessutom samlas personuppgifter in från skattemyndigheterna, folkpensionsanstalten, olycksfallsförsäkringsbolag, fackförbund, kreditgivningstjänster, Myndigheten för digitalisering och befolkningsdata, utsökningsmyndigheter samt från andra aktörer vars uppgifter ska behandlas i tjänster som Personuppgiftsbiträdet producerar, såsom löneberäkningen.

Användarnas dataterminalsuppgifter samlas automatiskt in för att utveckla de tjänster och produkter som Personuppgiftsbiträdet tillhandahåller samt för att utveckla kundservicen, exempelvis genom att använda cookies från webbläsare i Personuppgiftsbiträdets elektroniska produkter och onlinetjänster.

Förfaringssätt vid utlämnande av personuppgifter

Uppgifter lämnas ut till kundens revisor utan separat fullmakt för verkställandet av avtalet mellan Kunden och revisorn. När det gäller andra samarbetspartner till kunden, som jurister och konsulter, begärs ett separat skriftligt samtycke från Kunden för utlämnande av uppgifter. I samband med utlämnande av skriftligt material upprättas ett intyg över utlämnandet av uppgifterna, av vilket framgår basuppgifter om det material som lämnats ut, till vem det lämnats ut och när. Intyget sparas i kundmappar för eventuell bevisningsskyldighet senare. I samband med utlämnande av digitalt material skapas personliga användaridentifikationer för kundföretagets samarbetspartner i Personuppgiftsbiträdets datasystem. Kundens samarbetspartner får tillgång till materialet med dessa koder. Att Kunden ber om att skapa koder till datasystemet och ge åtkomst till Kundens uppgifter innebär på samma gång att Kunden samtycker till att Kundens uppgifter lämnas ut till samarbetspartnern i fråga.

Till skattemyndigheterna, finansinstitut, institut för elektroniska pengar, pensionsförsäkringsbolag, försäkringsbolag, fackförbund, folkpensionsanstalten eller arbetspensionskassor lämnas information ut utan Kundens befullmäktigande eller samtycke, om det bestämts i lag om utlämnande av informationen. Behandlingen av digitalt material övervakas med hjälp av transaktionsuppgifter i datasystemen, dvs. loggdata som sparas och övervakas automatiskt eller manuellt. Dessutom kan loggdata vid behov användas för bevis på det skedda.

Talenom kan utlämna personuppgifter till vilken enhet som helst inom Talenomkoncernen. Talenom varken säljer eller hyr ut personuppgifter till andra parter.

Kategorier av mottagare av personuppgifter inkl. i tredjeländer samt internationella organisationer

Personuppgiftsbiträdet kan lämna ut Kundens personuppgifter inom ramarna för den gällande lagstiftningen och i enlighet med villkoren mellan Personuppgiftsbiträdet och Kunden. Registeruppgifter kan lämnas ut till exempel till skattemyndigheter, pensionsförsäkringsbolag, försäkringsbolag, fackföreningar, Folkpensionsanstalten, arbetspensionskassor, finansinstitut, institut för elektroniska pengar, Finlands Näringsliv eller Statistikcentralen.

Personuppgiftsbiträdet har en lagstadgad skyldighet att lämna ut personuppgifter till myndigheter som på en laglig grund lämnar in en skriftlig begäran om det.

Som regel överförs personuppgifter inte utanför Europeiska unionen (“EU”) eller Europeiska ekonomiska samarbetsområdet (“EES”). Dataöverföringar till områden utanför EU eller EES-området utförs i enlighet med standardavtalsklausulerna gällande dataöverföring i EU:s dataskyddsförordning.

Tekniska och organisatoriska säkerhetsåtgärder

Tekniskt skydd av uppgifterna i register

Uppgifter i registret som behandlas elektroniskt skyddas tekniskt bl.a. med brandväggar, lösenord och genom att erbjuda Talenoms kunder tvåfaktorsautentisering till kunddatasystemen.

Dataöverföringen mellan kunden och Talenoms tjänster krypteras med TLS-teknik (Transport Layer Security). Informationen säkerhetskopieras regelbundet och säkerhetskopiorna förvaras på en annan plats än primärdatan.

Personuppgiftsbiträdet utför interna utvärderingar och låter tredje parter utföra utvärderingar som omfattar både den tekniska säkerheten i kritiska datasystem och de processer och anvisningar som gäller den administrativa aspekten på informationssäkerhet och dataskydd.

Administrativt skydd av register

Personuppgiftsbiträdet skyddar Kundens uppgifter mot obehörig åtkomst och spridning. Endast utsedda arbetstagare hos Personuppgiftsbiträdet och arbetstagare hos företag som arbetar på uppdrag av Personuppgiftsbiträdet och för dennes räkning har åtkomst till de uppgifter som finns i registret utifrån separat beviljade användarrättigheter. Användarrättigheterna övervakas och farliga kombinationer av rättigheter har förbjudits i policyn över hanteringen av användarrättigheter. Huruvida sådana uppkommer övervakas inom ramen för hanteringen av användarrättigheter. Särskilt användarrättigheterna för de olika systemens huvudanvändare kontrolleras regelbundet och tas bort när användaren inte längre behöver rättigheterna. Användarrättigheterna för arbetstagare som lämnat Personuppgiftsbiträdet tas bort från alla system när anställningen upphör.

Kundens uppgifter behandlas endast av Personuppgiftsbiträdets anställda vars arbetsbeskrivning förutsätter behandling av uppgifterna i fråga. Behandling av personuppgifter på andra grunder är förbjudet för Personuppgiftsbiträdets anställda, även om Personuppgiftsbiträdets anställda har teknisk tillgång till kunduppgifter på grund av sina arbetsuppgifter och av affärsmässiga skäl. Personuppgiftsbiträdets hela personal samt utomstående personer som arbetar för Personuppgiftsbiträdets räkning har sekretessplikt gällande all information och personuppgifter gällande Kundens ekonomiförvaltning. Sekretessplikten inklusive sanktioner som orsakas av brott mot sekretessplikten har skrivits in i arbetsavtalen för Personuppgiftsbiträdets personal samt i avtal som ingåtts med tredje part.

Arbetstagare som behandlar kundens uppgifter utbildas regelbundet. De lagliga grunderna för behandlingen av uppgifter i arbetet utgör en väsentlig del av utbildningen. Dataskydds- och informationssäkerhetskunskap hos Personuppgiftsbiträdets personal upprätthålls regelbundet på olika sätt bland annat genom att anordna regelbundna informationsinslag för hela personalen på företaget gällande dataskydd och informationssäkerhet. Dessutom anordnas årligen en för personalen obligatorisk utbildning i dataskydd och informationssäkerhet. Arbetstagarna ska klara ett test i ämnesområdet med godkänt vitsord. Personuppgiftsbiträdet har utformat en dataskyddspolicy som varje ny anställd hos Personuppgiftsbiträdet får bekanta sig med när de inleder sin tjänst. På de regelbundna utbildningarna i informationssäkerhet ges information om informationssäkerhetspolicyn och var den kan läsas. Arbetstagarna påminns om att de är bundna till policyn. Informationssäkerhetspolicyn beskriver de allmänna reglerna om informationssäkerhet och dataskydd som förpliktar arbetstagarna, vare sig de är tekniska regler, informationssäkerhetsprocesser eller förfaringssätt och anvisningar som ska tillämpas i det dagliga arbetet.

Fysiskt skydd av uppgifterna i register

Kundernas uppgifter behandlas i datasystem som finns i maskinhallar i Finland eller i molntjänster inom Europeiska unionens område.

I maskinhallarna i Finland har de viktigaste produktionssystemen duplicerats i två fysiskt separerade maskinhallar för att garantera säkerheten, datalagringen och kontinuiteten i tjänsten under såväl normala som exceptionella förhållanden.

I dessa maskinhallar tillämpas säkerhetsprocedurer, åtkomstkontroll och övervakning som certifierats av tjänsteproducenten.

Kundens skyldigheter

Kunden ansvarar för sin del för att adekvata tekniska och organisatoriska dataskyddsåtgärder implementeras och upprätthålls i kundens egna informationssystem och verksamhetslokaler.

Planerade tider för radering av uppgiftskategorier

Personuppgiftsbiträdet avlägsnar Kundens personuppgifter i den omfattning som lagen erfordrar när Kunden lämnar Personuppgiftsbiträdet.

Uppgifterna raderas när det gått ett + tio (1+10) år från att Kundrelationen upphörde. Efter raderingen i de operativa datasystemen raderas uppgifterna automatiskt från säkerhetskopiorna inom sex (6) månader.

De registrerades rättigheter

I enlighet med 15-22 § i Europeiska unionens dataskyddsförordning har den registrerade rätt att:

  1. kontrollera
  2. begära rättelse av
  3. begära radering av
  4. begränsa behandlingen av
  5. begära överföring från ett system till ett annat
  6. göra invändningar mot behandlingen av sina personuppgifter
  7. lämna ett klagomål till tillsynsmyndigheten

Utövande av vissa av den registrerades rättigheter begränsas av någon annan tvingande lagstiftning, enligt vilken Talenom har rättighet och skyldighet att motiverat vägra rätta, radera, begränsa behandlingen av uppgifterna eller överföra dem från ett system till ett annat. Ett exempel på sådan lagstiftning är bokföringslagen, där det föreskrivs att verifikat som knyter an till löneberäkningen ska förvaras, oavsett de rättigheter som den registrerade har enligt dataskyddsförordningen.

I situationer där den registrerade vill kontrollera eller ändra uppgifter i ett personregister som tillhör Talenoms kund, ska den registrerade lämna en begäran om kontroll eller ändring av uppgifterna till den personuppgiftsansvarige. Den personuppgiftsansvarige fullföljer då kontroll- eller ändringsbegäran tillsammans med personuppgiftsbiträdet Talenom. Den personuppgiftsansvarige ska i en sådan situation lämna den skriftliga kontrollbegäran till adressen: tietosuoja@talenom.fi.

Registeransvariges anvisning till personuppgiftsbiträdet

Kunden kan i en separat dokumentation ge närmare anvisningar till personuppgiftsbiträdet om behandlingen av personuppgifterna. personuppgiftsbiträdet förvarar anvisningarna i en kundspecifik filmapp, som en del av kundens anvisningar.

Anmälan om personuppgiftsincidenter

Till den personuppgiftsansvarige

Personuppgiftsbiträdet gör anmälan till den personuppgiftsansvarige utan oskäligt dröjsmål efter att en personuppgiftsincident har uppdagats. I anmälan ska redogöras för personuppgiftsincidentens karaktär samt vilka åtgärder som vidtagits på det sätt som förutsätts i lag.

Till den registrerade

Den personuppgiftsansvarige gör anmälan till den registrerade, om det är sannolikt att personuppgiftsincidenten medför en hög risk för den registrerades rättigheter och friheter. I anmälan ska redogöras för personuppgiftsincidentens karaktär samt vilka åtgärder som vidtagits på det sätt som förutsätts i lag.

Till tillsynsmyndigheten

Den personuppgiftsansvariges skyldighet är att inom 72 h från upptäckten upprätta en anmälan till informationssäkerhetsmyndigheten om det är sannolikt att personuppgiftsincidenten medför en hög risk för en fysisk persons rättigheter och friheter Personuppgiftsbiträdet hjälper på separat begäran den Personuppgiftsansvarige att upprätta en anmälan. Anmälan görs i enlighet med vid tillfället gällande anvisningar från dataombudsmannen.

Personuppgiftsbiträde (tjänsteleverantör) och kontaktuppgifter

Personuppgiftsbiträdets namn: Talenom Oyj
Dataskyddsombud: Enni Kaivorinne
Tfn 0207 525 535
E-post: tietosuoja@talenom.fi
Adress: Yrttipellontie 2, 90230 Oulu
Tfn 0207 525 000 (switchboard)

Underleverantörens kontaktuppgifter

Kunden har gett Personuppgiftsbiträdet sitt allmänna samtycke till att underleverantörer anlitas. Personuppgiftsbiträdet skickar på begäran en förteckning över underleverantörer.