Tietosuoja-asetus TAL2018-sopimusuudistuksessa
EU:n tietosuoja-asetus määrää yksikäsitteisesti, että 25.5.2018 alkaen asiakkaan (rekisterinpitäjä) ja tilitoimiston (käsittelijä) on tehtävä kirjallinen sopimus, jos tilitoimisto käsittelee asiakkaan puolesta henkilötietoja. Tyypillisesti tilitoimistossa käsitellään henkilötietoja esimerkiksi palkanlaskennan, yhdistyksen jäsenmaksulaskutuksen tai asunto-osakeyhtiön kirjanpidon yhteydessä. Tilitoimiston kannattaa viestiä asiakkailleen selkeästi, että lainsäädäntö vaatii saattamaan sopimukset kirjalliseen muotoon.
Tietosuoja-asetus määrää ne tiedot, jotka sopimuksessa täytyy huomioida. Asetuksen mukaan sopimuksessa ”vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.” Lisäksi asetus määrää, että sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä muun muassa, että:
- tilitoimisto käsittelee henkilötietoja asiakkaan antamien kirjallisten ohjeiden mukaisesti
- tilitoimisto on varmistanut että henkilötietoja käsittelevä henkilöstö ja alihankkijoiden henkilöstö on sitoutunut noudattamaan salassapitovelvollisuutta
- tilitoimisto on sitoutunut toteuttamaan asetuksen 32 artiklassa luetellut käsittelyn turvallisuutta varmistavat toimenpiteet
Nämä vaatimukset ovat tilitoimiston kannalta raskaita, ja ne tuntuvat jopa kohtuuttomilta huomioiden sen, että useimmiten kyse on pk-yritysten toisille pk-yrityksille tarjoamista palveluista. Toisaalta palkanlaskennassa käsiteltävät tiedot, esimerkiksi työntekijän terveystiedot ja sairaspoissaolot ovat hyvinkin arkaluonteisia tietoja. Taloushallintoliitolla ei TAL-sopimuksia uudistettaessa ei ole ollut muuta vaihtoehtoa kuin huomioida asetuksen vaatimukset, koska ne ovat pakottavaa lainsäädäntöä.
Tietosuoja-asetuksen uudet velvoitteet ja TAL-tietosuojasopimus
TAL-sopimuskokonaisuuden osaksi on laadittu sopimus henkilötietojen käsittelystä eli tietosuojasopimus, joka korvaa KL2004-sopimukseen kuuluneet henkilötietojen käsittelyn erityisehdot. Tässä sopimuksessa luetellaan asetuksen tilitoimistolle ja asiakkaalle asettamat velvoitteet. Velvoitteista osa on täysin uusia, esimerkiksi asiakkaan oikeus auditoinnin suorittamiseen.
Koska asetus tuo aivan uusia velvoitteita tilitoimistolle, sopimuksessa otetaan selkeästi kantaa velvoitteiden toteuttamisen laskuttamiseen asiakkaalta: ”tilitoimistolla on oikeus laskuttaa yllä kuvatuista avustamis-, korjaamis- ja pyyntöihin vastaamistoimista, auditoinnin tuesta sekä asiakkaan ohjeistuksen muutoksista johtuvista toimista ja kustannuksistaan erikseen.”
Tietosuoja-asetus asettaa tilitoimistolle velvoitteita myös sen alihankkijoiden ja ohjelmistokumppanien osalta, kun näiden työntekijät tai edustajat käsittelevät henkilötietoja. Käsittelyä on jo se, että alihankkijan työntekijällä on mahdollisuus nähdä asiakkaan henkilötietoja.
Näin voi olla esimerkiksi käytettäessä pilvipalveluja palkanlaskennassa. Tällöin ohjelmistotalolla tai sen käyttämällä konesaliyrityksellä on usein pääsy asiakkaan rekistereiden henkilötietoihin. Alihankkijaketju voi olla käytännössä hyvinkin pitkä. (ks. kuva)
Tilitoimisto on asetuksen mukaan vastuussa käyttämiensä alihankkijoiden suorittamasta henkilötietojen käsittelystä asiakkaalleen. Tietosuojasopimuksessa on lähdetty siitä, että asiakas antaa tilitoimistolle yleisen luvan alihankkijoiden käyttöön ja tilitoimisto antaa pyydettäessä asiakkaalle tiedon käyttämistään alihankkijoista. Tilitoimiston on tehtävä kirjallinen sopimus käyttämiensä alihankkijoiden kanssa, jos nämä toimivat asiakkaan henkilötietojen käsittelijöinä.
Jos tilitoimisto tai sen alihankkijana toimiva käsittelijä suunnittelee muutoksia henkilötietojen käsittelijöihin, esimerkiksi konesalipalvelua hoitavan yrityksen vaihtamista, on tästä asetuksen mukaan ilmoitettava asiakkaalle etukäteen. Asiakkaalla on aina oikeus vastustaa muutosta. Tietosuojasopimuksessa on varauduttu tähän niin, että jos asiakas vastustaa suunniteltuja muutoksia, tilitoimistolla on mahdollisuus nopeasti luopua velvollisuudestaan tuottaa palvelua. Tilitoimiston on syytä sopia pilvipalvelu- tai konesalikumppaniensa kanssa siitä, että ne informoivat tilitoimistoa ajoissa suunnittelemistaan alihankkijamuutoksista, jos alihankkijoilla on pääsy asiakasyritysten henkilötietoihin.
Tietosuojasopimukseen sisältyy kolme liitettä, joiden perusteita ja sisältöä on kuvattu yksityiskohtaisemmin alla olevissa kappaleissa.
Seloste käsittelytoimista
”Seloste käsittelytoimista” on yksi tietosuojasopimuksen liitteistä. Dokumenttiin on valmiiksi kuvattu tietosuoja-asetuksen 28 artiklassa sopimussisällöltä edellytettyjä tietoja kuten käsittelyn tarkoitus, henkilötietojen tyyppi ja käsittelyiden ryhmät. Samaan asiakirjaan on lisäksi liitetty tietoja, jotka tilitoimiston on tietosuoja-asetuksen mukaan pakko kirjata niin sanottuun selosteeseen käsittelytoimista. Dokumenttia voi soveltaa useissa käytännön tapauksissa, esimerkiksi asiakasyrityksen palkanlaskentaan tai yhdistyksen jäsenlaskutuksen hoitoon. Käyttäjä voi täydentää ja muokata dokumenttia mahdollisia muita käyttötarkoituksia varten.
Taloushallintoliiton jäsensivuilla on toinen, yksityiskohtaisempi ja laajempi mallidokumentti selosteeksi käsittelytoimista. Siinä on kuvattu tietoja, jotka tilitoimiston asiakkaan on asetuksen mukaan dokumentoitava rekisterinpitäjän ominaisuudessa. Tilitoimisto voi halutessaan hyödyntää mallia ja tehdä asiakkaansa puolesta tämän rekisteriselosteen hinnastonsa mukaisena lisätyönä.
Henkilötietojen tietoturva tilitoimistossa
Tietosuoja-asetuksen mukaan ssopimuksessa on säädettävä, että tilitoimisto toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet. Näitä toimenpiteitä ovat esimerkiksi ”kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi”.
Tätä tarkoitusta varten tietosuoja-asetuksen liitteeksi laadittiin tietoturvaliitemalli ”henkilötietojen tietoturva tilitoimistossa”. Sen pohjalta tilitoimisto voi muokata itselleen omaan toimintaansa sopivan tietoturvaliitteen. Asiakirjan laadinnassa hyödynnettiin pohjana Taloushallintoliiton jäsentarkastuksessa käytettyä tietoturvan itsearviointilomaketta, joka on jäsenistölle vanhastaan tuttu ja laadittu aikanaan liiton tietotekniikkatyöryhmässä. Hyvälle tietoturvaliitteelle on käyttöä muutenkin kuin tietosuoja-asetuksen tarpeisiin – moni valveutunut asiakas haluaa tilitoimistolta dokumentaatiota siitä, miten asiakkaan taloustiedot ja liikesalaisuudet on suojattu.
Taloushallintoliiton jäsensivuilta löytyy myös malleja palkanlaskentaprosessin kuvaamiseen tietoturvan näkökulmasta nimellä ”henkilötietojen käsittelyn turvallisuuden varmistaminen”. Myös näitä dokumentteja voidaan hyödyntää vaihtoehtoisesti tietosuojasopimuksen tietoturvaliitteinä.
Asiakkaan antama ohjeistus henkilötietojen käsittelystä
Tietosuoja-asetuksen 28 artikla vaatii, että sopimuksessa on säädettävä, että tilitoimisto ”käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti”. Sopimukseen on siis käytännössä sisällytettävä asiakkaan ohjeistus tilitoimistolle siitä, miten henkilötietoja esimerkiksi palkanlaskennassa käsitellään.
Tilitoimiston isoimmilla ja edistyneimmillä asiakkailla saattaa olla aidosti sanottavaa esimerkiksi sähköpostin tietoturvakäytäntöihin, mutta moni pienempi asiakas on ulkoistanut palkkansa muun muassa sen vuoksi, että pääsee miettimästä moisia asioita. Tätä varten taloushallintoliiton jäsensivuille on liitetty ohje, jota tilitoimisto ja asiakas voivat hyödyntää. Taloushallintoliiton suositus on, että asiat käydään yhdessä läpi ja sovittu toimintamalli eli ohjeet liitetään tietosuojasopimuksen liitteeksi.
Tietosuojasopimuksessa on varauduttu siihen, että asiakas muuttaa ohjeistustaan tilitoimistolle ja tästä aiheutuu tilitoimistolle kuluja. Tilitoimistolla on oikeus laskuttaa kustannukset asiakkaaltaan. Isompi ja vaativampi asiakas saattaa esimerkiksi edellyttää entistä turvallisempia ja kalliimpia tietoliikenneyhteyksiä tai muita suojatoimia.
Käytännön toimia
Jos tilitoimistolla on asiakkaiden kanssa esimerkiksi KL2004-ehtojen mukaiset sopimukset, ei koko pakettia ole pakko uusia kevään aikana, vaan uusiin TAL2018-sopimuksiin voidaan siirtyä vaiheittain omien ja asiakkaiden kiireiden mukaan. Tietosuojasopimuksen tekemisestä ei voida kuitenkaan tinkiä, kun toimitaan lakia noudattaen. Tietosuojasopimus liitteineen voidaan solmia kevään aikana erikseen tai yhdessä koko TAL2018-paketin kanssa tilitoimiston ja asiakkaan valinnan mukaan.
Mikä muuttui yleisissä sopimusehdoissa?
Yleisissä sopimusehdoissa on kuusi tilitoimistopalautteen perusteella muutettua kohtaa.
- Lisäys voimaantuloon: Sopimus voi tulla voimaan myös, kun asiakas hyväksyy tilitoimiston tarjouksen. (kohta 2)
- Lisäys uudeksi mahdollisuudeksi tilitoimiston käyttää oikeuttaan keskeyttää palvelut: Jos asiakas kieltäytyy noudattamasta tilitoimiston kirjausohjeita tilanteessa, josta voi seurata rikos- tai siviilioikeudellisia seuraamuksia osapuolille. Myös vaikka kyse olisi vain osapuolten erilaisesta tulkinnasta lain, määräyksen, suosituksen tai ohjeen sisällöstä tai merkityksestä, kuten esimerkiksi tulojen ja niihin kohdistuvien menojen jaksottamisesta tai varojen ja velkojen arvostamisesta kirjanpidossa tai tilinpäätöksessä. (kohta 8)
- Muutos oikeuteen purkaa sopimus, jos toisen osapuolen omaisuutta on haettu konkurssiin luovutettavaksi. Aiemmin KL2004 salli purkamisen, jos osapuoli asetetaan konkurssiin, mikä aiheutti ristiriitaa konkurssilainsäädännön kanssa. (kohta 10)
- Muutos oikeuteen saada palkkiota irtisanomisajalta, vaikka tilitoimistolla ei olisi teetetty palveluja: Poistettu kyseessä olevan palvelumaksun vaatimus olla mainittuna tilitoimiston hinnastossa. TAL2018:ssa todetaan: Tilitoimisto on varautunut ja panostanut palveluiden tuottamiseen sopimuksen päättymiseen saakka. Tilitoimistolla on oikeus saada edelleen palkkiota ja mahdolliset suoranaiset kustannukset myös irtisanomisajalta, vaikka tilitoimistolla ei olisi teetetty Palveluja irtisanomisaikana. Kilpailulainsäädäntö estää antamasta hintoihin vaikuttavia ohjauksia yleisissä sopimusehdoissa. (kohta 13)
- Lisättiin vastuu asiakkaalle tilitoimistolle toimitettujen tilikauden ja sen jälkeisiä tapahtumia kuvaavien tietojen ja aineiston ajantasaisuudesta ja riittävyydestä täydentämällä KL2004:ssä ollutta vastuulausetta. (kohta 20)
- Lisättiin oikeus liiketoiminnan siirrossa oikeus siirtää sopimus luovutuksensaajalle, ellei pakottavasta lainsäädännöstä muuta johdu. Käytännössä tietosuoja-asetus velvoittaa usein kuitenkin sopimaan henkilötietojen käsittelystä uuden tilitoimiston ja asiakkaan välillä uudelleen. (kohta 36)
Myös vastuunrajoitus ja irtisanomisaika saivat palautetta molempiin suuntiin. Ne päätettiin jättää vakiintuneina käytänteinä ennalleen, koska muutokset eivät saavuttaneet yksimielisyyttä. Niistä voi edelleen sopia toisin sopimussivuilla.