Näkökulmia

Tulorekisteri + GDPR alle 5 minuutissa

Blogi: Oona Matinpalo ja Matti Aitta

Vuosi 2019 tuo organisaatiolle uudenvuodenlupauksen automatisoidummasta palkkatietojen raportoinnista useille viranomaistahoille. Tämä helpottaa työnantajien elämää, sillä ilmoittamisvelvollisuus yksinkertaistuu ja selkeytyy. Lupaus tunnetaan myös nimellä tulorekisteri.

20.12.2018

Tulorekisteri 101

Tulorekisteri on uusi kansallinen sähköinen tietokanta tulotiedoille ja se otetaan käyttöön 1.1.2019. Se korvaa useat vuosi-ilmoitukset mm. verottajalle, kelalle ja eläkelaitoksille. Palkanmaksajien raportointi yksinkertaistuu ja selkeytyy. Käytännössä työnantajan on tammikuusta alkaen ilmoitettava työntekijöiden palkkatulot useamman paikan, tavan ja aikataulun sijaan yhteen sähköiseen tietokantaan. Tiedon käyttäjät, eli esimerkiksi verottaja, saa tietokannasta tarvitsemansa tiedot entistä reaaliaikaisemmin. Myöhästyneistä ilmoituksista voidaan määrätä seuraamusmaksuja.

Palkanmaksutiedot on jatkossa päivitettävä tulorekisteriin viiden päivän kuluessa maksupäivästä, joko manuaalisesti tai automaattisesti. Tiedoston voi ladata sähköiseen asiointipalveluun tai tiedot voi syöttää käsin palvelussa olevaan verkkolomakkeeseen. Suositeltavinta ja vaivattominta on kuitenkin ilmoittaa tiedot automaattisesti tulorekisteriin suoraan palkkajärjestelmästä teknisen rajapinnan kautta. Kuulostaa hyvältä, mutta mitä GDPR (EU:n yleinen tietosuoja-asetus) tähän kaikkeen sanoo?

Työnantaja: muista vastuusi

Palkanmaksaja voidaan yleisesti tulkita rekisterinpitäjäksi palkansaajan tietojen osalta. Työnantaja on näin ollen vastuussa palkansaajan tiedoista ja niiden suojaamisesta. Vaikkakin tulorekisteri on viranomaistahojen ohjaama hanke, se asettaa velvollisuuksia GDPR:n näkökulmasta työnantajille, joiden päässä henkilötietojen käsittely muuttuu.

GDPR:n mukaisesti tulee työnantajan arvioida, aiheuttaako tulorekisterin käsittelytoimet mahdollisesti korkean riskin. Yleisenä ohjenuorana toimii tietosuojatyöryhmän (WP29) 9 kriteerin lista. Nyrkkisääntö on, että käsittelytoimet jotka täyttävät kaksi kriteeriä vaativat vaikutustenarviointia.

Nähdäksemme käyttöönotettava tulorekisteri:
1) on uutta teknologiaa,
2) johon työnantaja luovuttaa kaikkien palkansaajien henkilötiedot,
3) jonka lisäksi työntekijän voidaan katsoa olevan heikommassa asemassa työnantajaan nähden.

Ja näin ollen tulorekisterin käyttöönotto saattaa muodostaa korkeamman riskitason käsittelytoimintaa, tehden vaikutustenarvioinnista asetuksen hengessä pakollisen. 

Työnantaja: huomioi tulorekisterin tietosuojariskit

Riskejä liittyy niin manuaaliseen tietojen syöttämiseen kuin automatisoituun prosessiin. Riskejä on analysoitava siitä näkökulmasta, mitä vaikutuksia niillä voisi olla rekisteröidylle, eli palkansaajalle. Yksi keskeisimmistä riskeistä lienee palkkatietojen oikeellisuus. Tämä korostuu etenkin syötettäessä palkkatietoja manuaalisesti, sillä tulorekisteriin tallennetut tiedot vaikuttavat suoraan kansalaisen muihin etuuksiin: virheellisellä tulorekisteriin siirretyllä tiedolla voi siis olla taloudellisia vaikutuksia yksilölle.

Riskejä on analysoitava siitä näkökulmasta, mitä vaikutuksia niillä voisi olla rekisteröidylle, eli palkansaajalle. 

Manuaalisessa prosessoinnissa on huomioitava myös tietoturvallisuus: mikäli käsittelyyn liittyviä tietoturvatoimia ei ole ohjeistettu eikä käsittelyssä käytettävien laitteiden ja verkkojen tietoturvallisuus ole kunnossa, voivat tiedot tuhoutua tai pahimmillaan vuotaa maailmalle esimerkiksi haittaohjelmatartunnan vuoksi. Tällaisesta tapahtumasta voisi koitua merkittäviä seurauksia yritykselle.

Tulorekisterin GDPR TODO-lista
Mitä työnantajan tulisi tehdä vuodenvaihteen uudistukseen liittyen?

  • Toteuta ja dokumentoi GDPR:n 35 artiklan mukainen vaikutustenarviointi. Näin edistät tietosuoja-asetuksen osoitusvelvollisuutta sekä noudatat periaatetta sisäänrakennetusta ja oletusarvoisesta tietosuojasta.
  • GDPR:n läpinäkyvyyden periaatteen mukaisesti ja rekisterinpitäjän informointivelvollisuuden noudattamiseksi on työnantajan tiedotettava työntekijöitä heidän henkilötietojensa käsittelystä. Varmista siis, että informointi palkansaajien suuntaan on ajan tasalla.
  • Varmista tietoturvan riittävä taso niin hallinnollisten prosessien kuin käytettävien työasemien osalta.
  • Kouluta ja ohjeista palkkahallinnon henkilökuntaa.
  • Selvitä palkkahallintajärjestelmän toimittajalta mahdolliset päivitykset ja varmista, että henkilötietojen käsittelystä ja riittävästä tietoturvallisuuden tasosta on sovittu kirjallisesti. 

Lisätietoa ja apua yllämainituista voit kysyä Deloitten Risk Advisorista.

Tulorekisteri
Oona Matinpalo

Oona Matinpalo
+358 (0)40 578 6237
oona.matinpalo@deloitte.fi

Matti Aitta

Matti Aitta
+358 (0)40 062 8070
matti.aitta@deloitte.fi

Oliko tieto hyödyllistä?