PYKÄLÄT

Näin GDPR vaikuttaa Lindorffin laskutukseen ja perintään

EU:n tietosuoja-asetusta (General Data Protection Regulation, GDPR) ryhdytään soveltamaan 25. toukokuuta. Näiden kysymysten kautta kerromme, miten tietosuoja-asetus vaikuttaa laskutukseen ja perintään Lindorffin palveluissa.

EU:n tietosuoja-asetus vaikuttaa henkilötietojen käsittelyn käytäntöihin laajasti. Tätä artikkelia päivitetään ja tiedon ajankohtaisuus varmistetaan tietosuoja-asetuksen voimaantuloon saakka.

EU:n tietosuoja-asetus vaikuttaa henkilötietojen käsittelyn käytäntöihin luotonhallinnassa laajasti. Tätä artikkelia päivitetään ja tiedon ajankohtaisuus varmistetaan tietosuoja-asetuksen voimaantuloon saakka.

1.Yritykseni on Lindorffin asiakas. Miten sovimme jatkossa henkilötietojen käsittelystä?

Tietosuoja-asetus asettaa uusia vaatimuksia kaikille henkilötietojen käsittelyyn osallistuville. Käytännössä tietosuojavaatimukset sekä tarve sopimusten päivittämiseen riippuu siitä, missä roolissa palvelukumppani henkilötietoja käsittelee.

Perintäpalvelujen kohdalla Lindorff toimii rekisterinpitäjänä ja vastaa kaikista henkilötietoihin liittyvistä tietosuojavelvoitteista. Myös lasku- ja erämaksupalvelun tuottajana Lindorff on rekisterinpitäjä. Erillistä sopimusta tai palvelusopimusmuutoksia tietosuojaa koskien ei näiden palvelujen kohdalla tarvita.

Pyydämme kuitenkin palvelujemme käyttäjiä tutustumaan ja hyväksymään tietosuojaa koskevan digitaalisen sopimusliitteen Access-verkkopalvelun perintäosiossa. Digitaalisessa ilmoituksessa kerromme tietoturvaperiaatteistamme ja roolistamme henkilötietojen käsittelijänä. Dokumentin voi myös ladata omalle koneelle ja jakaa  omassa organisaatiossa.

Laskutuspalvelujen kohdalla rekisterinpitäjänä on yleensä asiakasyritys ja Lindorff toimii sen tietojen käsittelijänä. Tällöin henkilötietojen vaihto edellyttää kirjallisen henkilötietojen käsittelysopimuksen laatimista. Lindorffissa on laadittu sopimusmalli, joka käydään yhdessä asiakkaiden kanssa läpi alkuvuoden 2018 aikana. Sama liitesopimuksen tarve koskee myös lasku- ja erämaksupalvelua silloin kuin Lindorff toimii maksutavan tuottajana, mutta ei rahoittajana.

2. Mistä meidän pitää konkreettisesti sopia GDPR:n vuoksi? Millä aikataululla?

Palvelusopimuksessa ja/tai erillisessä tietojenkäsittelysopimuksessa sovitaan muun muassa henkilötietojen käyttötarkoituksesta, tietojen salassapidosta, tietoturvasta, alihankkijoiden käytöstä, tietojen käsittelyn päättymisestä sekä oikeudesta auditoida Lindorffin toimintaa.

Lindorff huolehtii nykyisiin palvelusopimuksiin tarvittavista päivityksistä, laatii laskutuspalvelujen osalta erillisen tietojenkäsittelysopimuksen ja varmistaa, että tarvittavat sopimukset ovat voimassa asetuksen astuessa voimaan toukokuussa 2018.

3. Miten Lindorffissa yleisesti varmistetaan, että henkilötietojen käsittely on tietosuoja-asetuksen mukaista?

Vastuullisesta ja lainmukaisesta henkilötietojen käsittelystä huolehditaan Lindorffissa osana Compliance-toimintoja. Tietoturvaa koskevat periaatteet ja pelisäännöt on kirjattu tietoturvapolitiikkaan, joka pitää sisällään myös henkilöstön tietotosuojaosaamista edistävät koulutuskäytännöt.

Huolellinen toiminnan dokumentointi on keskeinen osa tietosuoja-asetuksen toteuttamista. Lindorffin omassa GDPR-projektissa käydään läpi nykyiset toimintatavat ja ohjeet ja tehdään dokumentaatioon ja ohjeisiin tarvittavia tarkennuksia.

Tietosuoja-asetuksen mukaisesta toiminnasta vastaa tietosuojavastaavaksi (Data Protection Officer) nimitetty yhtiölakimies Ossi Elonen, sekä hänen tuekseen koottava tietosuojaorganisaatio.

Henkilöstön tietosuojaosaamisesta, ohjeiden mukaisesta toiminnasta ja valmiudesta puuttua poikkeamiin huolehditaan kuten tähänkin asti mm. perehdytyksissä ja säännöllisissä tietosuojakoulutuksissa. Tietosuojan toteutumista seurataan jatkossa konkreettisilla mittareilla.

4. Tarvitaanko laskutus- ja perintätietojen käsittelyyn henkilön lupa?

Tietosuoja-asetus korostaa henkilön itsemääräämisoikeutta omien tietojensa käsittelyyn. Jos tietojen käsitellylle ei ole muuta tietosuoja-asetuksessa mainittua perustettua, henkilötietojen keräämiseen tarvitaan henkilön oma suostumus.  Yrityksen pitää myös pystyä osoittamaan, että suostumus on todella annettu ja se on ollut asiakkaan itse tekemä valinta.

Henkilön tietojen käsittely laskutuksessa, perinnässä ja maksutapapalvelussa perustuu tietosuoja-asetuksessa mainittuihin perusteisiin eli yleensä asiakassopimuksen tai ns. oikeutetun edun toteuttamiseen. Henkilötietoja voi siten kerätä ja käsitellä näissä tilanteissa ilman henkilön lupaa.

5. Kuka on velvollinen informoimaan henkilötietojen käsittelystä? Kuka vastaa rekisteri- ja käsittelyselosteista?

Kuten nykyisinkin, henkilöllä on oikeus saada tietää itseään koskevien tietojen käsittelystä. Tietosuoja-asetuksen mukaan vastuu tiedotuksesta ja informoinnista on ensisijaisesti rekisterinpitäjällä.

Perintäpalvelujen ja lasku- ja erämaksupalvelujen osalta Lindorff vastaa rekisterinpitäjänä kaikesta omiin tietoihin liittyvästä informoinnista, muun muassa rekisteriselosteen ylläpitämisestä sekä tietojen käsittelyä koskeva selosteesta, joka pitää olla valmiina viranomaisia varten.

Laskutuspalvelujen kohdalla informointivelvollisuus ja rekisteriselosteen ylläpito kuuluu asiakasyritykselle. Lindorff toimii laskutus- ja asiakastietojen käsittelijänä ja pitää yllä tietojen käsittelyä koskevaa selostetta, joka toimitetaan pyydettäessä viranomaisille.

6. Voiko henkilö pyytää Lindorffista omien tietojensa poistamista?

Henkilön tietojen käsittely laskutuksessa, perinnässä ja maksutapapalvelussa perustuu tietosuoja-asetuksessa mainittuihin perusteisiin eli yleensä asiakassopimuksen tai oikeutetun edun toteuttamiseen. Näissä tilanteissa henkilöllä ei lähtökohtaisesti ole oikeutta omien tietojen poistamiseen.

Jos käy ilmi, ettei tietojen käsittelyllä ole esimerkiksi virheellisen tilauksen tai väärän perintätoimeksiannon vuoksi perustetta, Lindorff poistaa tiedot automaattisesti asiakkaan esittämän reklamaation perusteella.

Lindorffin yhtiölakimies Ossi Elonen on mukana varmistamassa, että kaikki GDPR:n edellyttämät muutokset toteutetaan kuten pitää.

Lindorffin yhtiölakimies Ossi Elonen on tietosuojavastaavana mukana varmistamassa, että kaikki GDPR:n edellyttämät muutokset toteutetaan kuten pitää.

7. Miten henkilö voi tarkistaa omat tietonsa?

Henkilöllä on oikeus saada omat tietonsa rekisterinpitäjältä. Jos pyyntö koskee perinnässä tai lasku- ja erämaksupalvelussa käsiteltyjä tietoja, sen voi siis osoittaa Lindorffiin. Omat tiedot voi pyytää Lindorffin asiakaspalvelusta. Tietosuoja-asetuksen mukaan tiedot pitää toimittaa henkilölle kuukauden kuluessa.

Silloin kuin tietoja käsitellään yritysasiakkaan lukuun, kuten laskutuspalvelussa, ohjaamme tietopyynnöt sovitulla tavalla asiakkaallemme eli rekisterinpitäjälle.

Tietosuoja-asetus antaa henkilölle joissakin tilanteissa myös oikeuden siirtää omat tiedot toiselle rekisterinpitäjälle eli yritykselle. Yrityksen kannalta se tarkoittaa, että tiedot täytyy tallentaa sellaiseen muotoon, joka mahdollistaa tietojen siirtämisen. Tietojen siirto-oikeus koskee laskutuksessa ja lasku- ja erämaksupalvelussa käsiteltyjä tietoja silloin kun tietoja käsitellään automaattisesti. Perinnässä käsiteltyjä henkilötietoja tietojen siirto-oikeus ei koske.

8. Miten Lindorff varmistaa, että alihankkijoiden henkilötietojen käsittely on vaatimusten mukaista?

Lindorff vastaa käyttämiensä alihankkijoiden toiminnasta kuin omastaan. Lindorff sopii henkilötietojen käsittelystä tietosuoja-asetuksen mukaisesti ja velvoittaa sopimuksin kumppaninsa noudattamaan tietosuoja-asetusta. Alihankkijoiden toimintaa valvotaan myös säännöllisillä auditoinneilla.

9. Voimmeko auditoida Lindorffia tietosuojaan liittyen?

Asiakkailla ja yhteistyökumppaneilla on oikeus auditoida Lindorffin toimintaa ja palveluprosesseja myös henkilötietojen käsittelyn ja tietosuojan osalta. Auditointien yksityiskohdista sovitaan palvelusopimuksen sopimusehdoissa ja/tai valmisteilla olevassa tietojenkäsittelysopimuksessa.

10. Miten Lindorffissa on varauduttu tietoturvaloukkauksiin ja niistä raportointiin?

Uuden asetuksen myötä henkilöllä on oikeus ilman aiheetonta viivästystä saada tieto, jos hänen tietojaan on voinut vuotaa vääriin käsiin. Rekisterinpitäjänä toimivan yrityksen täytyy lisäksi ilmoittaa tietosuojaloukkauksesta viranomaisille 72 tunnin kuluessa sen havaitsemista.

Lindorffissa mahdolliset tietoturvaloukkaukset käsitellään tietosuoja-asetuksen vaatimuksia vastaavan toimintamallin mukaisesti. Tietojen käsittelijän roolissa toimiessaan Lindorff vastaa myös siitä, että asiakasyritys saa tiedon mahdollisesta henkilötietojen suojan vaarantumisesta viipymättä pystyäkseen täyttämään omat velvoitteensa rekisterinpitäjänä.

11. Mitä oikeuksia henkilöllä on luottopäätöksentekoon liittyen?

Luottopäätöksen tekemisessä turvaudutaan usein profilointiin, jolla tarkoitetaan henkilön ominaisuuksien arviointia tai ennustamista automaattisella henkilötietojen käsittelyllä. Tietosuoja-asetuksen mukaan henkilöllä on lähtökohtaisesti oikeus olla joutumatta luottopäätöksen kohteeksi, joka on täysin automatisoitu. Asetus kuitenkin sallii automaattisen päätöksenteon eli esim. luottopäätöksen, jos se on tarpeen sopimuksen tekemistä varten.

Käytännössä profilointiin perustuvia, automaattisia luottopäätöksiä tekevän yrityksen pitää pysyä osoittamaan, että automatisoitu päätöksenteko on tarpeen esimerkiksi kuluttajien yhdenmukaisen kohtelun tai prosessin nopean sujuvuuden vuoksi. Automaattisen luottopäätöksenteon yhteydessä on lisäksi huolehdittava siitä, että asiakkaalla on mahdollisuus riitauttaa päätös ja saada asiansa uudelleen ihmisvoimin tehtävään käsittelyyn.

Jos luottopäätöksenteko perustuu profilointiin, yritys on velvollinen kertomaan henkilölle profiloinnista, sen logiikasta ja merkityksestä henkilöä koskevassa päätöksenteossa.

Lisätietoja löytyy EU:n tietosuojaviranomaisten julkaisemasta profilointia koskevasta tulkintaohjeesta (WP 251).

12. Miten GDPR vaikuttaa alaikäisten tietojen käsittelyyn?

Tietosuoja-asetus vaatii jatkossa huomioimaan lapset ennen kaikkea tietoyhteiskunnan palveluiden käyttäjinä (esimerkiksi Facebook, Whatsapp, Snapchat jne). Tällaisia palveluja tarjoavan yrityksen on saatava alaikäisen tietojen käsittelyyn huoltajan lupa silloin kun tietojen käsittelyn perusteena on suostumus.

Lindorffin palveluiden kohdalla nykyiseen tietojen käsittelyyn ei tule muutoksia. Alaikäinen henkilö (15-17 -vuotias) voi joissakin tilanteissa olla laskun saajana tai perinnän kohteena, mutta tuolloin hänen tietojensa käsittely perustuu sopimukseen ja saatavallakin on lakisääteinen peruste (esim. liikennevakuutus, terveyskeskuspalvelu tai huoneenvuokrasopimus).

13. Mitä on henkilötieto?

Henkilötietoa on kaikenlainen tieto, joka on yksilöitävissä tiettyyn henkilöön, eikä se riipu siitä, onko tieto yksityistä, julkista tai ammatillista. Henkilön voi tunnistaa esimerkiksi nimestä, henkilötunnuksesta, kuvasta, sähköpostista, ip-osoitteesta, pankkitiedosta tai äänitallenteesta. Kaikki tällainen tieto on siis henkilötietoa.

14. Missä Lindorffin tallettamat henkilötiedot fyysisesti sijaitsevat?

Lindorff käyttää IT-kumppanin konesalipalveluja, jotka ovat ISO 27001 -sertifioituja. Käytössä olevat konesalit sijaitsevat Suomessa.

Ylläpidämme ja päivitämme tätä artikkelia tietosuoja-asetuksen voimaantuloon eli toukokuuhun 2018 asti.

1.12.2017, päivitetty 18.4.2018
Ossi Elonen
yhtiölakimies, Lindorff Oy
ossi.elonen@lindorff.com

Tietosuoja-asetus puuttuu profilointiin

167 päivää uuteen tietosuoja-asetukseen: Onko nämä asiat teillä jo tehty?