HENKILÖTIETOJEN TIETOSUOJA KIRJANPITOTOIMISTOSSA
Kirjapito P-E Nyberg Ky (0728322-6), jäljempänä Yritys 15.5.2018
Vastuuhenkilö Marcus Nyberg
Tietosuoja käytännössä
HALLINTO
Kun kyse on tietosuojasta ja henkilötietojen käsittelystä on henkilökunnalla yhtäläiset roolit ja
vastuut, pois lukien palkkahallinnossa käsiteltäviä henkilötietoja. Palkkahallinnossa
henkilötietoja käsittelevät vain nimetyt henkilöt.
YRITYKSEN TIETOSUOJAKÄYTÄNTO KÄSITTÄÄ SEURAAVAA
Henkilötiedot (määritelmä kuten GDPR:ssä) tallennetaan elektroniseen järjestelmään.
Järjestelmän toimittaja on Accountor Finago Oy (0836922-4) sekä Oy DL Software Ab
(1013484-6). Tiedot on suojattu Norton Security ohjelmalla.
Henkilötiedot, joita käsitellään Yrityksessä sekä Yrityksen toiminnassa varmuuskopioidaan ja
tiedostojen palautusprosessi on varmistettu. Varmuuskopioinnista ja palautusprosessista
huolehtii Oy Norplex Ab (0635684-1) / Simgo Oy Ab (2796621-9) pois lukien
sähköpostiviestinnän, jonka varmuuskopioinnista ja palautusprosessista vastaa Sydweb Ab
(1897198-0). Kumpikin palveluntuottaja huolehtii varmuuskopioinnista kunakin vuorokautena.
Henkilökuntaa saa koulutusta tietoturvasta sekä henkilötietojen suojaamisesta. Sellaisia
tietoja, joita tulee tietosuoja-asetuksen tai muun lainsäädännön nojalla suojata, käsitellään,
välitetään ja vastaanotetaan sähköpostilla ainoastaan, mikäli rekisterinomistaja
(toimeksiantajamme) ja sovellettava lainsäädäntö sen sallii sekä edellyttäen, ettei tietoa ja
tiedon turvallisuutta vaaranneta.
Arkaluonteisia henkilötietoja, kuten henkilötunnuksia voidaan lähettää salaamattomalla
sähköpostilla vain kyseessä olevan henkilön kirjallisella suostumuksella.
Tietokoneympäristö on suojattu IDS / IPS järjestelmällä, joka tunnistaa mahdolliset
tietoturvaloukkaukset tai -uhat ja hälyttää näistä.
HENKILÖKUNTA
Koko henkilökunta on tietoinen vaitiolo- ja salassapitovelvollisuudestaan ja kaikki ovat
allekirjoittaneet näitä koskevan sitoumuksen. Henkilökunta on tietoinen siitä, että
henkilötietoja saa tutkia ja käsitellä vain, milloin se on tarpeellista työtehtävien
suorittamiseksi.
Henkilökunnan työroolit ja -tehtävät sekä vastuualueet koskien tietoturvallisuutta ja
henkilötietojen turvaamista käydään läpi työsuhteen alkaessa. Lainsäädännön ja
viranomaismääräysten muutokset huomioidaan ja kirjataan tarvittaessa työmenetelmiin.
Mikäli työsäännöissä, – tehtävissä tai vastuualueissa tapahtuu merkittäviä muutoksia,
laaditaan voimassa olevaan työsopimukseen erillinen liite muutoksista.
Periaatteet ja menettelytavat, jota sovelletaan henkilötietojen käsittelyyn, on käyty
henkilökunnan kanssa läpi viikolla 36 vuonna 2018.
Henkilökunta on tietoinen velvollisuudestaan informoida Yrityksen Vastuuhenkilöä
välittömästi, mikäli he epäilevät tietoverkkorikosta. Mikäli kyseessä on henkilötiedot, joita
käsitellään asiakkaamme lukuun, informoi Vastuuhenkilö ensi sijassa rekisterinomistajaa
(asiakastamme) ja toissijaisesti CERT kriisiyksikköä. Vastuuhenkilön tulee varmistautua siitä,
että ilmoitus on saavuttanut valvontaviranomaisen sekä mahdollisesti tehtävä epäilyksestä
ilmoitus poliisiviranomaisille.
Yrityksen tietoturvaperiaatteet kieltävät ohjelmien asentamisen omin luvin sekä
varmentamattomien sivujen lataamisen työtietokoneille tai mobiililaitteisiin. Henkilötietoja saa
tallentaa vain siinä laajuudessa kuin työtehtävät edellyttävät.
TOIMINTAMALLIT
Henkilökunta on tietoinen, että henkilötietojen välittämisen rekisterinomistajalle ja tietojen
käsittelemisen tulee tapahtua rekisterinomistajalta saatujen ohjeiden mukaisesti.
Kun kyse on informaation tai henkilötietojen käsittelystä, jotka on tallennettu Kirjanpito P-E
Nyberg Ky:n omistamaan rekisteriin, sovelletaan Yrityksen vahvistamia määräyksiä,
eritysesti koskien sähköpostin, internetin tai sosiaalisen median käyttöä.
- asiakirjoja, jotka sisältävät henkilötunnuksia saa lähettää sähköpostilla vain, mikäli kyseinen
henkilö on antanut siihen kirjallisesti luvan - muuta arkaluontoista informaatiota ei lähetetä sähköpostitse
- mikäli rekisteriin tallennettuja tietoja halutaan tarkistaa, annetaan tiedot
rekisterinomistajalle, joka välittää tiedot ja informaation edelleen kyseessä olevalle henkilölle - henkilötietoja säilytetään vain lainsäädännön edellyttämän ajan
PALVELUT
Asiakassuhteen alkaessa tunnistetaan asiakas sekä asiakkaan edustajat, mikäli he eivät ole
tunnettuja jo ennestään. Tunnistaminen tapahtuu tarkistamalla heidän henkilöllisyytensä
virallisista henkilöllisyystodistuksista. Tunnistaminen dokumentoidaan kirjaamalla ylös ja
säilyttämällä tunnistamisasiakirjan nimi, asiakirjan myöntäjä sekä asiakirjan mahdollinen
tunnistamiskoodi.
Henkilötietojen käsittelyn tarkoitus on tuottaa ne taloushallinnon tehtävät ja palvelut, joista on
sovittu asiakkaan ja Kirjanpito P-E Nyberg Ky:n (käsittelijä) kesken.
Henkilötietoja käsitellään asiakkaan puolesta ja lukuun asiakkaan antamien ohjeiden
mukaisesti sekä asiakkaan toivomassa laajuudessa. Kaikki käsiteltävät henkilötiedot
saadaan suoraan asiakkaalta. Käsittely voi käsittää säilyttämisen, varastoimisen sekä
käyttämisen. Henkilötietoja siirretään tai luovutetaan vain rekisterin omistajan (asiakkaan)
kirjallisen pyynnön perusteella. Henkilötiedot poistetaan asiakkaan pyynnöstä, ellei laki tai
viranomaismääräys muuta määrää.
Henkilötietojen käsittelyssä ei käytetä alihankkijoita.
Juridisten palveluiden tuottamisessa henkilötiedot käsittävät toimeksiantajan nimen ja
osoitetiedot, jotka on tallennettu laskutusohjelmaan. Muut henkilötiedot, kuten henkilötunnus,
ovat ainoastaan asiakirjoissa, jotka on laadittu asiakkaan toimeksiannosta. Laaditut asiakirjat
säilötään lukittuihin kaappeihin sekä datatiedostoon. Datatiedostoon on pääsy ainoastaan
Marcus Nybergillä ja Riikka Harkonmäellä.