EU:n tietosuoja-asetus GDPR astui voimaan 25.5.2018. Siitä alkaen kaiken henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Tietosuoja-asetuksesta (jäljempänä ”tietosuoja-asetus” tai ”asetus”) käytetään myös nimitystä GDPR eli General Data Protection Regulation. Tietosuoja-asetuksen tavoitteena on, että kansalaiset voivat hallita tietojaan paremmin. Asetus sääntelee mm. henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia.
Duunissa.fi palvelun luonteeseen kuuluu henkilötietojen käsittely asiakkaidemme työntekijöiden tietojen osalta. Otamme tietosuojan ja sen tuomat velvoitteet tosissamme. Haluamme jatkossakin näkyä asiakkaillemme luotettavana ja turvallisena yhteistyökumppanina. GDPR-osaaminen ja sen hallitseminen ovat Duunissa.fi -palvelun vahvuuksia.
GDPR:n osalta Duunissa.fi -palvelulla (Lemonsoft Oyj:llä) on kaksi roolia:
1. Rekisterinpitäjä
Toimimme mm. oman asiakasrekisterimme osalta rekisterinpitäjänä. Rekisteriämme käytetään mm. asiakkuuksien hoitamiseen, kommunikointiin, viestintään, laskuttamiseen ja markkinointiin. Käytämme asiakasrekisteriämme henkilötietolakia noudattaen. Tarkemmat tiedot asiakasrekisteristämme ja tietosuojaselosteemme on luettavissa nettisivuiltamme.
2. Henkilötietojen käsittelijä
Käsittelemme asiakkaidemme suostumuksin ja lukuun heidän henkilötietojaan. Tarjoamme työajanseuranta-palvelun, johon asiakkaamme syöttävät työntekijöidensä tietoja. Lisäksi käyttäjät (asiakkaidemme työntekijät) syöttävät tiettyjä tietoja palveluun käyttäessään sitä. Toimimme siis henkilötietojen käsittelijänä. Noudatamme huolellisesti henkilötietolakia myös henkilötietojen käsittelijänä ja ymmärrämme tärkeän roolimme luottamuksellisten henkilötietojen käsittelijänä.
Tietosuojaselosteen, Tietosuojaehdot (DPA) ja yleiset sopimusehdot löydät täältä
Duunissa.fi täyttää kaikki GDPR-tietosuoja-asetuksen vaatimukset
GDPR-koulutettu henkilöstö.
Tietoturvalliset käyttöjärjestelmät ja palvelinarkkitehtuuri.
Hallittu datan käsittely.
Ylimääräisen datan säännöllinen poisto.
Miten olemme valmistautuneet GDPR-tietosuoja-asetukseen?
Olemme työskennelleet huolellisesti jo pitkään oppiaksemme tietosuoja-asetuksen ja sen tuomat vaatimukset läpikotaisin. Seuraamme tietosuoja-asetuksen mukautumista ja ohjeistusta myös siirtymäajan päättymisen jälkeen. Oppiminen tietosuoja-asetuksen osalta ei lopu 25.5.2018 vaan oikeastaan vasta alkaa siitä. Koko henkilöstömme on koulutettu tietosuojan osalta ja kaikkia työntekijöitämme sitoo salassapitovelvollisuus. Olemme tehneet muutoksia eri prosesseihin toiminnassamme ja teknisiä muutoksia palveluumme. Näiden muutosten avulla varmistamme tietosuoja-asetuksen ja sen nojalla säädetyn kansallisen lainsäädännön noudattamisen lisäksi edelleen palvelun käytön helppouden sekä joustavuuden. Haluamme edelleen olla helppokäyttöinen ja mukautuva työajanseuranta-palvelu ja yritys, jonka kanssa asioiminen on helppoa ja vaivatonta.
Toimitusehdot ja sopimukset
Olemme uudistaneet sopimusehtomme. Lisäksi tarjoamme valmiin sopimusliitteen henkilötietojen käsittelystä. Uudet toimitusehdot, tietosuojaselosteen ja DPA:n löydät täältä.
Henkilöstön koulutus
Olemme yrityksenä ja yksilöinä kouluttautuneet GDPR: osalta tarkasti. Kouluttautuminen ei lopu osaltamme 25.05.2018 vaan seuraamme tiiviisti tietosuoja-asetuksen kehittymistä.
Alihankkijat
Hyödynnämme palvelun kehityksessä alihankkijoita. Kaikki alihankkijamme ovat allekirjoittaneet kanssamme henkilötietojen käsittely-sopimuksen. Tämän sopimuksen avulla varmistamme, että alihankkijamme sitoutuvat samoihin tietoturvan ja tietosuojan kriteereihin, joita itse noudatamme.
Palvelun tekniset muutokset
Olemme tehneet tiettyjä teknisiä muutoksia palveluumme GDPR:n osalta. Työntekijän henkilötietojen lataaminen ja työntekijän unohtaminen onnistuu helposti työntekijä-sivuolta. Palvelustamme saa nyt myös tarkemman lokitiedoston häiriötapauksissa. Lisäksi olemme tehneet lukuisia pienempiä muutoksia.
Mitä asiakkaidemme tulisi tietää GDPR-tietosuoja-asetuksesta?
EU:n Tietosuoja-asetus GDPR määrittää, että ”Rekisterinpitäjän on hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan tätä asetusta.” Kaikissa tapauksissa asiakkaamme toimivat rekisterinpitäjänä yrityksen työntekijälistoille. Rekisterinpitäjän eli asiakkaamme tulee määrittää mm. rekisterin käyttötarkoitus, tietosisältö, säännönmukaiset tietolähteet, kuvaus tietojen luovutuksista yms. tietoja ja dokumentoida ne tietosuojaselosteeseen (ja toki toimia tietosuojaselosteen edellyttämällä tavalla).
Suosittelemme tutustumaan tietosuojavaltuutetun nettisivuilla oleviin ohjeisiin ja oppaisiin. Tietosuojavaltuutetun sivut löydät täältä.
Älä epäröi ottaa yhteyttä, jos palvelumme osalta herää GDPR:n tai muuhun asiaan liittyviä kysymyksiä.
Muita hyödyllisiä linkkejä ja tarkistettavia asioita:
- Tietosuoja-asetus
- Suomen yrittäjien tietosuojaopas
- Tarkista minkälaista henkilödataa säilytät ja onko sen säilyttämiseen lupa?
Luo tarvittavat tietosuojaselosteet (Duunissa.fi -palvelun tietoselosteen löydät täältä) - Käsitteleekö kolmas osapuoli henkilödataanne? Tee käsittelysopimus heidän kanssaan. Duunissa.fi -palvelun osalta tarjoamme valmiin käsittelysopimuksen (DPA)
- Seuraa GDPR-uutisointia ja uusia ohjeistuksia tietosuojavaltuutetulta.