Tietosuojaseloste

HENKILÖTIETOJEN TIETOTURVA OHJELMISTOISSA 25.5.2018

Ohjelmistoja koskeva seloste henkilötietojen käsittelytoimista.

Visma Fivaldi (Visma Software Oy)
Olemme tehneet tietosuojaa koskevan kirjallisen sopimuksen Visma Softwre Oy:n kanssa. 
Tästä pääsee Visma-konsernin GDRP-sivuille:
https://www.visma.com/gdpr/ 

Fatman (Fatman Oy)
Olemme tehneet tietosuojaa koskevan kirjallisen sopimuksen Fatman Oy:n kanssa. 
Tästä pääsee Fatman Oy:n GDRP-sivuille:
https://fatman.fi/tietosuoja/ 

Microsoft Dynamics NAV (Microsoft Oyj)
Olemme tehneet tietosuojaa koskevan kirjallisen sopimuksen Microsoft Oyj:n kanssa. 
Tästä pääsee Microsoft Oyj:n GDRP-sivuille:

https://privacy.microsoft.com/fi-fi/privacystatement

Basware (Basware Oyj)
Olemme tehneet tietosuojaa koskevan kirjallisen sopimuksen Basware Oyj:n kanssa.
Tästä pääsee Basware Oyj:n GDPR-sivuille:
https://www.basware.com/en-us/gdpr

HENKILÖTIETOJEN TIETOTURVA TILITOIMISTOSSA 25.5.2018

Tietoturva tilitoimistossa varmistetaan sekä teknisin että organisatorisin toimenpitein. Henkilötietojen käsittely toteutetaan asianmukaisesti ja tietoturvallisesti. Asianmukainen käsittely varmistetaan alla listatuilla toimenpiteillä.

Henkilöstö

Olemme laatineet työntekijöidemme kanssa salassapitosopimuksen liike- ja ammattisalaisuuksien salassapidosta. Panostamme henkilöstön koulutukseen sekä tietoteknisissä että substanssiasioissa. Näin takaamme myös tietosuoja- ja tietoturva-asioiden laadukkaan käsittelyn. 

Henkilöstömme toimii sisäisen ohjeistuksen mukaisesti ja asiakasmateriaalit säilytämme lukituissa tiloissa. Mahdollisten muutostilanteiden varalle on luotu omat toimintamallit, jotta voimme varmistua mm. käyttöoikeuksien oikea-aikaisesta poistamisesta. Etätyölle on omat säännöt.

Mahdollisten olennaisten tietoturvaan liittyvien poikkeamien varalle on luotu oma toimintamalli.

Asiakkaan tunnistaminen ja aineistojen luovutus

Asiakas pyritään tunnistamaan aina mahdollisuuksien mukaan sähköisesti ja aineisto luovuttamaan sähköisessä muodossa ja salattuna. Jos aineisto luovutetaan paperimuodossa, tunnistamme asiakkaan ja laadimme aineiston luovutuksesta dokumentit kaksin kappalein.

Käyttöoikeuksien hallinnointi ja salasanapolitiikka

Käyttöoikeuksia hallinnoimme keskitetysti ja järjestelmäkohtaisesti. Kaikilla työntekijöillämme on henkilökohtaiset käyttäjätunnukset eri järjestelmiin ja pääsy luottamukselliseen tietoon on aina salasanan takana. Käyttäjätunnuksien avulla myös lokitiedot säilyvät tallessa käyttäjäkohtaisesti. Salasanat vaihdetaan määrätyin väliajoin talon käytännön mukaisesti ja salasanojen riittävä vaikeusaste on määritelty erikseen. Työntekijöiden käyttöoikeuksia tarkastellaan tehtävien muuttuessa olennaisesti.

Ulkoistetut ICT-palvelut ja ohjelmistot

Ulkopuolisista ICT-palveluista on laadittu kirjalliset palvelusopimukset sekä kirjalliset sopimukset luottamuksellisten tietojen salassapidosta. Meidän ja palveluntarjoajamme välinen vastuunjako on dokumentoitu kirjallisesti. 

Tiedon hallinta ja suojattavat kohteet

Pyrimme pitkälti käsittelemään kaikkea asiakastietoa sähköisin menetelmin. Sähköisissä järjestelmissä pääsy on rajattu tarpeen vaatiessa tietoja käsitteleville henkilöille ja heidän varahenkilöilleen. Asiakasmateriaalin käsittelylle on laadittu sisäiset käsittely- ja prosessiohjeet, jolla varmistetaan asianmukainen käsittely. Paperisen asiakasmateriaalin tuhoamista varten on käytössä lukitut tietosuojaroskasäilöt. Siirrettäviä tietovälineitä, kuten USB-massamuisteja ja niiden käyttöä pyritään välttämään asiakasmateriaalin käsittelyssä.

Tietokoneiden ja mobiililaitteiden tietoturva

Meillä on käytössä keskitetty työasemahallinta, jonka kautta työasemiin jaellaan säännöllisesti ajantasaiset tietoturvapäivitykset. Työntekijöillä ei ole oikeuksia asentaa muita kuin yhtiön ICT-hallinnon hyväksymiä ohjelmistoja omille työasemilleen. Käytössä ovat keskitetyt virustorjunta- ja palomuurisovellukset, joiden ajantasaisuutta valvotaan. Yhteydet sähköisiin järjestelmiin toteutetaan salattujen yhteyksien kautta. Työasemien levyjärjestelmät ovat kryptattuja, sekä työasemien ja palvelimien haavoittuvuuksia tutkitaan skannaus- ja analysointityökalujen avulla.

Verkon ja muun ICT-ympäriston tietoturva

Verkon ajantasaisuudesta vastaa meidän ulkoinen palveluntarjoajamme. Verkkolaitteet päivitetään säännöllisesti ja niissä esiin tulleet haavoittuvuudet paikataan. Käytössämme on vain yrityskäyttöön tarkoitettuja verkkolaitteita. Omaa palvelinta emme käytä. Asiakasverkot (mukaan lukien langaton vierasverkko) on eriytetty omasta verkostamme.

Taloushallinnon ohjelmistot ja pilvipalvelut

Sisäisessä käytössä ja asiakaskäytössä on muutamia taloushallinnon ohjelmistoja ja pilvipalveluita. 

SELOSTE KÄSITTELYTOIMISTA 25.5.2018

Tilitoimiston seloste henkilötietojen käsittelytoimista

Alihankkijat

Asiakas on antanut yleisen suostumuksen alihankkijoiden käyttöön. Luettelo Tilitoimiston käyttämistä alihankkijoista jaoteltuna asiakaspalveluun käytettyjen ohjelmistojen perusteella on saatavilla osoitteesta www.tarnan.fi

Rekisteröityjen ryhmät sekä henkilötietojen käsittelyn tarkoitus ja luonne 

Tilitoimisto voi käsitellä toimeksiantosopimuksen perusteella rekisteröityjen tietoja seuraaviin tarkoituksiin:

  • Asiakkaan palkan- ja palkkionsaajat palkka- ja henkilöstöhallinnon toteuttamiseksi 
  • Asiakkaan henkilöasiakkaiden saatavien seuraamista varten
  • Asiakkaana olevan yhdistyksen tai osuuskunnan jäsentietoja yhdistyksen jäsenhallintaa ja laskutusta varten
  • Osakeyhtiön, osuuskunnan tai asunto-osakeyhtiön osakkaita koskevia tietoja yhtiönhallintoa varten
  • Muihin asiakkaan erikseen määrittämiin tarkoituksiin

Käsittelyiden kohde ja ryhmät sekä henkilötietojen tyyppi

Tilitoimisto käsittelee seuraavia henkilötietoryhmiä: 

  • Nimi ja yhteystiedot
  • Henkilötunnus, mahdollinen asiakkaan henkilölle antama henkilönumero
  • Henkilönperustiedot kuten syntymäaika, sukupuoli ja koulutustiedot
  • Lähiomaisentiedot mikäli tämä on asiakasyrityksen kannalta tarpeellista
  • Palkanlaskennassa tarvittavat tiedot työsuhteen alkamisesta, päättymisestä, muodosta ja lomista
  • Palkanlaskennassa tarvittavat tiedot kuten ennakonpidätystiedot, sairauspoissaoloja koskevat tiedot
  • Palkanlaskennassa tarvittavat tietosuoja-asetuksen tarkoittamat erityiset henkilötietoryhmät sairauspoissaolot/terveystiedot ja ammattiyhdistysjäsenyystiedot
  • Palkanlaskennan perusteella syntyneet palkka-, eläke-, ja verotustiedot sekä muut vastaavat tiedot
  • Laskutusta ja perintää varten tarvittavat laskutus- ja perintätiedot
  • Osakeyhtiön tai asunto-osakeyhtiön hallinnointia varten tarvittavat osakas- ja osakkuustiedot
  • Henkilöstöhallinnon edellyttämät tiedot henkilön käymistä koulutuksista ja pätevyyksistä
  • Muut asiakkaan erikseen kirjallisesti yksilöimät tiedot, joita Tilitoimisto käsittelee asiakkaan puolesta

Henkilötietojenkäsittely ja luovutus

Tilitoimistolla on oikeus ja velvollisuus käsitellä tietoja asiakkaan palvelusopimuksen vaatimiin tarkoituksiin. Tilitoimisto saa luovuttaa tietoja asiakkaan puolesta palvelun edellyttämille tahoille mukaan lukien asiakkaan yhteistyökumppanit, joilla on lakiin perustuva oikeus saada tietoja (esimerkiksityömarkkinajärjestöt)sekä viranomaiset. Tilitoimisto voi käsitellä tietoja anonymisoituna asiakaspalvelun kehittämiseen ja tietojen tuottamiseen asiakkaille sekä luovuttaa tietoja anonymisoituna viranomaisille (esimerkiksi Tilastokeskus) näiden lakiin perustuvan oikeuden nojalla. 

Henkilötietojen käsittelyn kesto

Elleivät osapuolet ole toisin sopineet, henkilötietoja käsitellään niin pitkään kuin palveluita toimitetaan toimeksiantosopimuksen mukaisesti tai lainsäädäntö edellyttää tietojen säilyttämistä. Lainsäädännön edellyttämän säilytysajan jälkeen tilitoimistolla on oikeus ja velvollisuus hävittää tiedot.

Henkilötietojen maantieteellinen sijainti

Ellei osapuolet erikseen ole toisin sopineet Tilitoimisto käsittelee henkilötietoja ainoastaan vain Suomessa ja muissa EU/ ETA-maissa. 

Tietosuojaselosteen versio

Tilitoimistolla on velvollisuus päivittää tähän selosteeseen tulevat muutokset vastaamaan kulloistakin käytäntöä. Kulloinkin voimassa oleva seloste on oltava asiakkaan saatavilla osoitteesta www.tarnan.fi