GDPR READY 2018,

PALVELUSOPIMUKSET – ASETUKSEN HUOMIOIMINEN SOPIMUKSISSA

JA
KANSAINVÄLISET TIETOJEN SIIRROT

Terho Nevasalo, partner

Keijo Karjalainen, Sympa Oy
30.1.2018
 AGENDA

GDPR READY 2018, PALVELUSOPIMUKSET – ASETUKSEN

HUOMIOIMINEN SOPIMUKSISSA JA KANSAINVÄLISET TIETOJEN
SIIRROT

08:30 - 09:00 Aamukahvit ja verkostoitumista

09:00 - 09:10 Tilaisuuden avaus
09:10 - 09:30 Ohjelmistoyrittäjän näkemykset GDPR:n vaatimusten
huomioimisesta liiketoiminnassa – käytännön kokemuksia,
Keijo Karjalainen, CEO, Sympa Oy
09:30 - 10:30 Henkilötietojen luovuttaminen EU/ETA-alueen ulkopuolelle
— sopivassa välissä tauko —
10:45 - 11:45 Palvelusopimukset – asetuksen huomioinen sopimuksissa
11:45 - 12:00 Keskustelua
12:00 Ohjelma loppuu

ERIKOISTUNUT OLENNAISEEN 2
PALVELUSOPIMUKSIIN KOHDISTUVAT VELVOITTEET JA
VASTUUNJAKO OSALLISTEN VÄLILLÄ

3
 HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVAT SOPIMUKSET (ART 28) –
KÄSITTELYN ULKOISTAMINEN
• Henkilötietojen käsittelyn rekisterinpitäjän ja käsittelijän välillä on perustuttava
kirjalliseen sopimukseen

• GDPR:n 28 artikla sisältää varsin yksityiskohtaisen luettelon käsittelyä koskevan

sopimuksen sisältövaatimuksista  käsittelijän vastuita ja velvollisuuksia on
laajennettu huomattavasti
 Tarkoituksena varmistaa tietosuojan ja tietoturvan toteutuminen käsittelyssä
rekisteröidyn kannalta

• Kyse on käsittelyn ulkoistamisesta kun rekisterinpitäjän henkilötietoja käsitellään

toimeksiantosopimuksen perusteella (esim. asiakkaan palvelimella tai pilvipalvelussa)
o Esim. yritys hankkii HR-järjestelmän SaaS-palveluna (yritys rekisterinpitäjä,
palveluntarjoaja käsittelijä)
 Kyse on henkilötietojen siirtämisestä (esim. tallentaminen pilvipalveluun tai
katseluoikeuden avaaminen)  Ei tarvita esim. suostumusta rekisteröidyltä siirtoon

• Komissio voi laatia käsittelyä koskevia vakiosopimuslausekkeita (ei vielä laadittu)

ERIKOISTUNUT OLENNAISEEN 4
 ESIMERKKI ROOLEISTA IT-PALVELUIDEN SOPIMUSVERKOSTOISSA

Yritys A, Suomi
Rekisteröity
IT-toimittajan (”Rekisterinpitäjä”)
(palvelun asiakas)
alihankkija
(esim. ylläpitopalvelut)

IT-
toimittajan
PILVIPALVELUT alihankkija

USA EU/ETA

Palveluntuottaja B
Palvelu,
Olennaista sopia;
joka sisältää henkilötetojen käsittelyä,
• sopimusehdot tietosuojavelvoitteista ja
IT-toimittaja Suomessa
vastuun jakamisesta osapuolten kesken
(SaaS-palveluntuottaja,
käsittelijä), Yritys A on palveluntuottaja B:n asiakas

ERIKOISTUNUT OLENNAISEEN 5
 REKISTERINPITÄJÄN JA KÄSITTELIJÄN ASEMA

• Rekisterinpitäjä vastaa henkilötietojen käsittelyn tarkoituksesta ja keinoista,

viime kädessä myös käsittelyn asetuksenmukaisuudesta
o Ensin selvitettävä osapuolten roolit käsittelyssä

• Käsittelijän on noudatettava rekisterinpitäjän antamia ohjeita ja määräyksiä

o Rekisterinpitäjällä ei valtaa itse liiketoimintaan, vain sen henkilötietojen
käsittelyyn
o HUOM: käsittelijä ei vaihtaa tai lisätä alihankkijaa ilman rekisterinpitäjän
suostumusta (yleinen vs. nimenomainen suostumus)

• Jos henkilötietojen käsittelijä määrittää käsittelyn tarkoitukset ja keinot,

kyseistä käsittelijää pidetään tämän käsittelyn rekisterinpitäjänä
o Käsittelijän noudatettava tällöin rekisterinpitäjälle asetettuja velvoitteita

ERIKOISTUNUT OLENNAISEEN 6
 VASTUUN JAKAUTUMINEN ALIHANKINTAKETJUSSA
• Rekisterinpitäjä
o Vastaa lähtökohtaisesti siitä, että sillä on valtuudet myöntää käsittelijälle
sopimuksessa kuvatut oikeudet käsitellä henkilötietoja sekä antamiensa
ohjeiden lainmukaisuudesta
o Velvollinen huolehtimaan jo valintavaiheessa käsittelijän kyvykkyydestä
täyttää asetuksen velvoitteet

• Käsittelijä
o Velvollisuus käsitellä henkilötietoja rekisterinpitäjän ohjeiden mukaisesti,
toisaalta velvollisuus varmistua ohjeiden lainmukaisuudesta
o Vastaa myös alihankkijan menettelystä suhteessa rekisterinpitäjään

• Alihankkija
o Valtuudet määräytyvät rekisterinpitäjän ja alkuperäisen henkilötietojen
käsittelijän sopimuksen perusteella
o Alihankkijan korvaus- ja avustamisvastuusta suhteessa käsittelijään,
rekisterinpitäjään ja rekisteröityyn sovittava sopimuksessa

ERIKOISTUNUT OLENNAISEEN 7
 YLEISTÄ REKISTERINPITÄJÄN JA KÄSITTELIJÄN VÄLISESTÄ
SOPIMUKSESTA

• Sopimuksessa on mainittava muun muassa

I. Sopimustyypin määrittäminen (palvelusopimus ym.) eli mihin

palveluun/toimitukseen jne. henkilötietojen käsittely liittyy
II. Osapuolten väliset vastuut käsittelystä  kuka tekee mitä
 HUOM: tarkoituksena ei ole siirtää rekisterinpitäjän velvollisuuksia
käsittelijälle
III. Henkilötietojen tyyppi (nimi, sähköpostiosoite, terveystieto, biometrinen
tieto jne.)
IV. Rekisteröityjen ryhmät (asiakkaat, prospekti, työntekijät, konsultit jne.)
V. Arvioitava rekisteröityjen oikeuksiin ja vapauksiin kohdistuva riski
(asetuksen recital 81)
VI. Sopimuksen kesto

ERIKOISTUNUT OLENNAISEEN 8
 YLEISTÄ REKISTERINPITÄJÄN JA KÄSITTELIJÄN VÄLISESTÄ
SOPIMUKSESTA
• Henkilötietojen käsittelijän on:

Käsiteltävä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen

ohjeiden mukaisesti
o Rekisterinpitäjä voi laatia yleiset ohjeet  liitetään sopimukseen
(dokumentointivelvoite)
o Käsittelijän ilmoitettava rekisterinpitäjälle, mikäli se pitää ohjeistusta
lainvastaisena  luotava prosessi ehtojen tarkistukseen
o ICO (UK): sopimuksesta tulee käydä selvästi ilmi, kummalla osapuolella on
valta päättää mitä henkilötietojen kanssa tehdään
o Ilmoitettava jos henkilötietoja siirretään EU/ETA-alueen ulkopuolelle sekä
nimettävä sijainnit (WP29, transparency ohjeluonnos)

Varmistettava, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet

noudattamaan salassapitovelvollisuutta
o Työ- ja alihankintasopimusten salassapitolausekkeet
o ICO (UK): koskee varsinaisten työntekijöiden ohella myös kaikkia vuokra- ja
muita väliaikaisia työntekijöitä
ERIKOISTUNUT OLENNAISEEN 9
 ERITYISET SISÄLTÖVAATIMUKSET
• Henkilötietojen käsittelijän on:

a) Toteutettava kaikki asianmukaiset tekniset ja organisatoriset toimenpiteet

käsittelyn turvallisuuden varmistamiseksi (velvollisuus huolehtia tietoturvasta)
o Esimerkiksi
i. henkilötietojen pseudonymisointi ja salaus;
ii. tietojen saatavuuden ja tietoihin pääsyn palauttaminen vikatilanteissa
(disaster recovery -käytännöt);
 Turvallisuustaso suhteutettava riskiin (eli oltava riittävä tietoturvan taso)

d) Noudatettava artiklassa määriteltyjä käsittelijän alihankkijan (myös henkilötietojen

käsittelijä) käytön edellytyksiä
o Käsittelijällä ei oikeutta käyttää alihankkijaa ilman suostumusta, ml.
ilmoitusvelvollisuus alihankkijoita koskevista muutoksista (HUOM:
sopimuksessa käsittelijälle varattava irtisanomisoikeus)
o Käsittelijä vastaa alihankkijansa rikkomuksista suhteessa rekisterinpitäjään
o ICO: rekisterinpitäjän pystyttävä päättämään henkilötietojen käsittelystä myös
alihankintaketjujen osalta
ERIKOISTUNUT OLENNAISEEN 10
 ERITYISET SISÄLTÖVAATIMUKSET
• Henkilötietojen käsittelijän on:

c) Avustettava rekisterinpitäjää vastaamaan rekisteröidyn oikeuksien käyttämistä

koskeviin pyyntöihin (oikaisua, käsittelyn ”jäädyttämistä” ja vastustamista
koskevat pyynnöt)  kustannusvaikutus?

d) Avustettava rekisterinpitäjää varmistamaan, että tietoturvaa,

tietoturvallisuusloukkausten ilmoittamista koskevia velvollisuuksia noudatetaan
o Käsittelijän järjestelmien on osaltaan mahdollistettava
tietoturvaloukkausten havainnointi ja niistä ilmoittaminen ”ilman aiheetonta
viivytystä”
o Avustettava vaikutusten arvioinnin suorittamisessa (riskiarvio)
o WP29: Käsittelijä voi tehdä ilmoituksen tietoturvaloukkauksesta valvovalle
viranomaiselle tai rekisteröidyille, rekisterinpitäjän ja käsittelijän
sopimuksesta riippuen (vastuu silti rekisterinpitäjällä)
o Käytännön prosessista syytä sopia riittävän tarkasti

ERIKOISTUNUT OLENNAISEEN 11
 ERITYISET SISÄLTÖVAATIMUKSET

• Henkilötietojen käsittelijän on:

e) Palvelun tarjoamisen päätyttyä rekisterinpitäjän valinnan mukaan joko

poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ellei
säilyttäminen perustu lainsäädäntöön
o Varmistettava luottamuksellisuuden pysyminen sopimuksen
päättymisen jälkeen (esim. NDA)

f) Antaa rekisterinpitäjälle kaikki tiedot, jotka ovat tarpeen 28 artiklassa

säädettyjen velvollisuuksien noudattamisen osoittamista varten
o Sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman
auditoijan suorittamat auditoinnit sekä osallistuu niihin

• Huom: GDPR ei ota kantaa kulujen allokointiin tai avustusvelvollisuuden

maksullisuuteen rekisterinpitäjän ja käsittelijän välisessä suhteessa

• Ei vielä kattavaa ohjeistusta 28 artiklan tulkinnan osalta

ERIKOISTUNUT OLENNAISEEN 12
 KORVAUSVASTUUN JAKAUTUMINEN (82 ART)
• Rekisterinpitäjällä ja käsittelijällä / käsittelijöillä erillinen ja itsenäinen vastuu
suhteessa rekisteröityyn (82 artikla)
o Rekisteröity voi kohdistaa vaatimuksensa kehen tahansa käsittelyyn
osalliseen
o Korvausvelvollisuus käsittää kaikki rekisteröidylle aiheutuneet vahingot
o Vastuusta voi vapautua vain, jos voi osoittaa, ettei ole millään tavalla osallinen
rikkomukseen

• Käsittelijä on vastuussa vahingosta, jos:

o Se ei ole noudattanut GDPR:n käsittelijöille asetettuja velvoitteita; tai
o Se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen
vastaisesti

• Vastuunjaosta käsittelyn osapuolten välillä voidaan sopia (ei suhteessa

rekisteröityyn)

ERIKOISTUNUT OLENNAISEEN 13
KÄYTÄNNÖN KOKEMUKSIA PALVELUSOPIMUSTEN OSALTA

14
 PALVELUSOPIMUSTEN ONGELMAKOHTIA – MISTÄ NEUVOTELLAAN
ENITEN

• Vahingonkorvausvastuu ja vastuu hallinnollisista sanktioista

o Hallinnolliset sanktiot, vahingonkorvausvelvollisuus rekisteröityjä
kohtaan ja rekisterinpitäjälle tai käsittelijälle aiheutuvat vahingot
o Vastuunrajoituslausekkeet
• Rekisterinpitäjän oikeus vastustaa muutoksia alihankinnassa
 Oikeus irtisanoa sopimus (IT2018)
• Rekisterinpitäjän oikeus antaa ohjeistusta henkilötietojen käsittelyn osalta
• Vaikutus palveluprosesseihin esim. käytettäessä isoja IT-toimittajia
• Henkilötietojen siirrot EU:n ETA:n ulkopuolelle
o Usein välttämätöntä käsittelytoiminnan kannalta ja käsittelijän
vaikutusmahdollisuudet rajalliset (suuret toimijat: Google, Amazon ym.)
o Huomioitava WP29 transparency –ohjeluonnoksen vaatimukset
ilmoituksista
• Kustannusten jakautuminen rekisterinpitäjän ja käsittelijän välillä
o Onko käsittelijällä oikeus veloittaa rekisterinpitäjältä avustamis- tai
muiden velvollisuuksien toteuttamisesta
ERIKOISTUNUT OLENNAISEEN 15
HENKILÖTIETOJEN LUOVUTTAMINEN EU/ETA:N ULKOPUOLELLE

16
 YLEISTÄ HENKILÖTIETOJEN LUOVUTUKSESTA JA SIIRROSTA
• Mitä on henkilötietojen luovuttaminen / siirtäminen
o GDPR: Henkilötietojen käsittelyllä tarkoitetaan mm. ”tietojen
luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin
saataville”
o TSV: Siirtäminen: kaikki tilanteet, joissa rekisterinpitäjä saattaa
henkilötietoja sivullisen saataville (esim. siirtäminen muistitikun avulla,
katseluoikeuden avaaminen sähköisen yhteyden avulla sekä tiedon
tallentaminen pilvipalveluun); Luovuttaminen: tilanteet, joissa
rekisterinpitäjä luovuttaa henkilötiedot toiselle rekisterinpitäjälle

• Henkilötietojen siirtäminen / luovutus vapaata EU/ETA:n sisällä, siirrot /

luovutus EU/ETA:n ulkopuolelle mahdollisia vain asetuksen mukaisilla
erityisillä perusteilla

• Rekisteröityjen informointi siirroista / luovutuksista

o Annettava tiedot vastaanottajista, joille henkilötietoja luovutetaan sekä
tiedot EU/ETA:n ulkopuolisista siirroista sekä siirron perusteista
o Tiedot annettava pääsääntöisesti tietoja kerättäessä, lisäksi
ylläpidettävä selostetta käsittelytoimista 17
ERIKOISTUNUT OLENNAISEEN
 ESIMERKKI ROOLEISTA IT-PALVELUIDEN SOPIMUSVERKOSTOISSA

Yritys A, Suomi
Rekisteröity
IT-toimittajan (”Rekisterinpitäjä”)
(palvelun asiakas)
alihankkija
(esim. ylläpitopalvelut)

IT-
toimittajan
PILVIPALVELUT alihankkija

USA EU/ETA

Palveluntuottaja B
Palvelu,
Olennaista sopia;
joka sisältää henkilötetojen käsittelyä,
• sopimusehdot tietosuojavelvoitteista ja
IT-toimittaja Suomessa
vastuun jakamisesta osapuolten kesken
(SaaS-palveluntuottaja,
käsittelijä), Yritys A on palveluntuottaja B:n asiakas

ERIKOISTUNUT OLENNAISEEN 18
 SIIRTO TIETOSUOJAN RIITTÄVYYTTÄ KOSKEVAN
KOMISSION PÄÄTÖKSEN PERUSTEELLA
• Siirto mahdollinen sellaisiin EU/ETA:n ulkopuolisiin maihin, joiden osalta komissio
on päättänyt, että kyseinen maa varmistaa riittävän tietosuojan tason
o Siirto voidaan toteuttaa suoraan päätöksen perusteella ilman erillistä lupaa

• Tällä hetkellä 11 valtiota + EU – U.S. Privacy Shield

o Andorra, Argentiina, Kanada (kaupalliset organisaatiot), Färsaaret,
Guernsey, Israel, Mansaari, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay
o EU – U.S. Privacy Shield
 Henkilötietojen siirto USA:han mahdollista järjestelyyn liittyneille
organisaatioille (itsesertifiointi)
 Määrittelee USA:laisen yhtiön velvoitteet ja oikeudet suhteessa EU:n
kansalaisen henkilötietojen käsittelyyn
 Antaa rekisteröidylle mahdollisuuden valittaa yhtiön Privacy Shieldin
vastaisesta menettelystä USA:n viranomaisille
 Vaarassa kaatua?

ERIKOISTUNUT OLENNAISEEN 19
 SIIRTO ASIANMUKAISIA SUOJATOIMIA SOVELTAEN

• Jos komissio ei ole tehnyt em. päätöstä riittävästä tietosuojan tasosta, siirto on
mahdollinen, jos tietoja siirtävä rekisterinpitäjä tai käsittelijä on toteuttanut
asianmukaiset suojatoimet (46 artikla)
• Tällaisia asianmukaisia suojatoimia ovat mm.:
i. Yritystä koskevat sitovat säännöt (47 artikla)
o Koko konsernia koskevat sitovat säännöt, jotka tietosuojaviranomainen
vahvistaa (sisältö GDPR:ssä)
o WP29: jo olemassa olevat BCR:t pysyvät voimassa, mutta sääntöjen
päivittäminen suositeltavaa
ii. Komission laatimat vakiosopimuslausekkeet (olemassa olevia ei vielä päivitetty)
iii. Tietosuojaviranomaisen antamat ja komission vahvistamat vakiolausekkeet
(TSV ei ole laatinut)
iv. Eri alojen rekisterinpitäjiä edustavien järjestöjen laatimat käytännesäännöt, jotka
tietosuojaviranomainen on vahvistanut
v. Tietosuojaviranomaisen vahvistamat rekisterinpitäjän/käsittelijän ja kolmannessa
maassa olevan rekisterinpitäjän/käsittelijän väliset sopimuslausekkeet

ERIKOISTUNUT OLENNAISEEN 20
 SIIRTO GDPR 49 ARTIKLAN POIKKEUSTEN PERUSTEELLA
• Jos komissio ei ole tehnyt päätöstä riittävästä tietosuojan tasosta, eikä siirtoa ole
toteutettu asianmukaisia suojatoimia soveltaen, siirto on edelleen mahdollinen
49 artiklan poikkeusten perusteella

• Tällaisia poikkeuksia ovat mm.:

i. Rekisteröidyn antama nimenomainen suostumus siirtoon
o Ennen suostumuksen antamista ilmoitettava mahdollisista
tietosuojaan liittyvistä riskeistä
ii. Siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen
toimeenpanemiseksi
o Edellyttää, että sopimusta ei voida toteuttaa ilman siirtoa EU/ETA:n
ulkopuolelle, esim. varauspalvelut
iii. Siirto on tarpeen rekisterinpitäjän ja sivullisen välisen, rekisteröidyn edun
mukaisen sopimuksen tekemiseksi tai toimeenpanemiseksi
o Edellyttää, että sopimus palvelee rekisteröidyn etua, vaikka
rekisteröity ei ole osapuolena
iv. Siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai
puolustamiseksi
ERIKOISTUNUT OLENNAISEEN 21
MITÄ SEURAAVAKSI? – KÄYTÄNNÖN VINKKEJÄ PROSESSIN
ALOITTAMISEKSI

22
 NYKYTILAN ANALYSOINTI

• Eri roolien tunnistaminen

• Minkä tietojen osalta yritys toimii rekisterinpitäjänä (esim. asiakastiedot,
työntekijöiden tiedot, markkinointirekisterit)
• Missä yhteyksissä yritys toimii henkilötietojen käsittelijänä (käsittely asiakkaan
lukuun, esim. markkinoinnin automaatio, platformit, SaaS –palveluiden
tarjoaminen)
• Käytetäänkö itse alihankkijoita omien / asiakkaan henkilötietojen käsittelyssä
(esim. IaaS)

• Käsiteltävien henkilötietojen ja käsittelyn perusteiden tunnistaminen

• Mitä henkilötietoja yrityksen toiminnassa käsitellään ja mitä tarkoituksia varten
(markkinointi, analysointi, työ- tai asiakassuhde jne.)
• Käsittelyn perusteiden arviointi (mikä on se henkilötietolain mukainen peruste,
johon käsittely perustuu)
• Mistä tietoja saadaan ja mihin tarkoituksiin
• EU/ETA:n ulkopuoliset siirrot; toteutetaanko ja onko perusteet kunnossa
• Miten rekisteröityjen informointi on toteutettu
ERIKOISTUNUT OLENNAISEEN 23
 NYKYTILAN ANALYSOINTI

• Sopimusten läpikäynti
o Asiakas-, palvelu-, alihankinta- ym. liiketoiminnan sopimukset, joihin sisältyy
henkilötietojen käsittelyä
o Onko käsittelyn tarkoitus, vastuut ja velvoitteet määritelty asetuksen
vaatimalla tavalla (erit. artikla 28)
o Sisältävätkö sopimukset määräyksiä EU/ETA:n ulkopuolisista siirroista; onko
peruste siirrolle
o Ovatko asiakassopimusten ja niihin liittyvien alihankintasopimusten
henkilötietojen käsittelyä koskevat ehdot yhdenmukaiset (jos yritys toimii
käsittelijänä; ei ole annettu alihankkijalle enempää oikeuksia kuin mitä itsellä)

ERIKOISTUNUT OLENNAISEEN 24
 TARVITSETKO APUA GDPR:N IMPLEMENTOINNISSA?
HPP Asianajotoimisto Oy on kehittänyt
yrityksille suunnatun GDPR Ready -
tietosuojatuotteen, jonka avulla
yrityksenne huomioi ja implementoi EU:n
yleisen tietosuoja-asetuksen vaatimukset
määräaikaan eli 25.5.2018 mennessä.
Kehittämiemme työkalujen avulla
voimme tehokkaasti analysoida
tietosuoja-asetuksen edellyttämät
muutokset liiketoiminnassa,
sopimuksissa ja tietojärjestelmissä.
Varaa tunnin ilmainen info asetuksen
vaikutuksesta yrityksesi
liiketoimintaan sekä tuotteen
tarkemmasta sisällöstä.
Varaa oma aikasi: Terho Nevasalo,
terho.nevasalo@hpp.fi,
+358 40 5587581
GDPR Ready –tuote sisältää seuraavat
asiat:
1) Nykytilakartoitus ja siihen perustuva
väliraportti yrityksenne tietosuojan
tasosta ja kehitystarpeista, sisältäen
tietosuojaa koskevan materiaalin
läpikäynnin (sopimukset,
henkilörekisterit ym.), 1-2 workshopia
kartoitusta varten
2) Väliraporttiin laaditut
yksityiskohtaiset asetuksen
huomioivat muutossuositukset ja
ohjeistukset
3) Muutossuositusten implementointi
yrityksenne sopimuksiin ja
ohjeistuksiin sekä loppuraportti
tehdyistä toimenpiteistä
4) Koulutukset työntekijöille ja johdolle
5) ennen tietosuoja-asetuksen
voimaantuloa (25.5.2018) tuleviin
mahdollisiin viranomaissuosituksiin
pohjautuvat päivitykset muutos-
suosituksiin ja ohjeistuksiin 25.5.2018
asti
ERIKOISTUNUT OLENNAISEEN 25
Bulevardi 1 A, 00100 Helsinki

Tel +358 9 474 21

www.hpp.fi
100% GDPR Compliant

Keijo Karjalainen
CEO
+358 40 5218 517
keijo.karjalainen@sympa.com
@kmkarjalainen
Vahvaa kasvua alusta asti
Sympa
• Suomalainen perheyhtiö, perustettu vuonna 2005
• Pohjoismaiden nopeimmin kasvava HR-järjestelmien tarjoaja
• Pääkonttori Vantaalla, tuotekehitys ja asiakastuki Lahdessa
• Tukholma, Kööpenhamina, Amsterdam, Luzern

Sympa HR
• Taustalla sisarusten halu kehittää täydellinen työkalu
työntekijöiden osaamisen kokoamiseen ja analysointiin
• Tukee sekä työntekijöitä että työnantajia koko työsuhteen
elinkaaren ajan

218 % 500+ 70+

Liikevaihdon kasvu viidessä vuodessa Asiakasta kansainvälisesti Sympalaista
Sympa HR HR
Henkilöstötieto ja -raportit yhdessä
palvelee koko yritystä järjestelmässä.
Vapauttaa aikaa kehitystyöhön.

Esimies
Ajantasainen tieto oman tiimin
tyytyväisyydestä, osaamisesta ja
poissaoloista helpottaa esimiehen työtä.

Organisaa<osi syke Johto

HR:n avainluvut päätöksenteon,
seurannan ja ennusteiden tueksi
helposti saatavilla.

Työntekijä
Kätevä tapa seurata omia tietoja ja
kehittymistä sekä raportoida poissaoloja.
 Kokonaisvaltainen ratkaisu
koko työsuhteen elinkaarelle

Työsuhde-
Työsuhteen Osaamisen Suorituksen Työsuhteen
Rekrytointi tietojen
aloitus johtaminen johtaminen päätös
ylläpito

• Työnhakulomake • Siirto työntekijäksi • Henkilöstö-, työsuhde- ja • Kehityskeskustelut • Tehtävänkuvat • Lähtöhaastattelu

• Hakijapankki • Työsopimus palkka?edot • Osaamisen kartoitus • Tavoitteiden ja suorituksen • Lähtökysely
• Hakuprosessi • Työvälineet • Lomat ja poissaolot • Osaajahaku johtaminen • Työvälineiden
• Sähköpostit • Onboarding • Varhaisen tuen malli • Koulutukset • Tuloskortti palautus
• Haastattelut • Perehdytysohjelma • Hyväksyntäprosessit • Työluvat, pätevyydet • Palkitseminen • Työtodistus
• AutomaaCset muistutukset ja sertifikaatit • Työtyytyväisyyskyselyt • Passivointi
• Henkilöstön muistamiset • VeroEDU ja -kartoitukset
• CV
Yksi järjestelmä kaikkien
HR-prosessien hallintaan 130+
Integraatiota eri
järjestelmiin
• Helpot ja toimivat liittymät käytössä oleviin
järjestelmiin
• Edulliset vakiohinnat ja valmiit rajapinnat
• Henkilöstötiedot ajantasaisena kaikissa
1-2
uutta liittymää
järjestelmissä joka kuukausi
• Riskitön hinnoittelu, kasvaa yrityksesi kanssa

400+
• Asiantuntevat työntekijät, varma osaaminen
yli kymmenen vuoden kokemuksella
asiakasta
Integraatioilla on merkitystä
KYLLÄ
syntymäaika
keskusteluiden
KYLLÄ Matkalasku- status
järjestelmä työsuhdetiedot
perustiedot
EI
työsuhdetiedot
EI nimet
palkkatiedot Palkka- BI & sähköposti
one-to-one järjestelmä Dashboards
keskusteluiden
keskustelut
sisältö
suorituksen
johtaminen

Työvuoro-
Työajanseurannan
suunnittelu-
järjestelmä
järjestelmä

Muut
järjestelmät
Sympa ja tietosuoja-asetuksen muutokset

• Sympa HR
• 100% GDPR-
valmis

GDPR-projek9 Muutokset
• Nyky0la- ja • Sympa HR
GDPR-koulutus kuiluanalyysi • Prosessit
• Tietosuoja- • Henkilöstön
Tietoturva vastaavan osaaminen
nimeäminen
• Sertifioinnit
• Auditoinnit

2012 2015 2016 2017 25.5.2018

Sympan GDPR

Myynti Asiakkuudet Omat prosessit

GDPR tapahtumat Viikkopalaverit Koulutukset 2015 alkaen

GDPR blogi Sisäinen FAQ GDPR nykytila- ja kuiluanalyysi

GDPR checklist Sopimusten päivitys Tietosuojavastaavan nimeäminen

GDPR esitysmateriaalit Muutokset ohjelmistoon Sisäiset materiaalit ja rekisterit

www.sympa.com/GDPR Dokumenttipohjat asiakkaille Tietojenkäsittelyn käsikirja

GDPR sopimuspohjat Palvelukuvausten päivitykset

GDPR Sympassa -dokumentti

”Mistä väännetään”
• GDPR vs. Tietoturva
» ”mitä salausalgoritmia käytätte”
• Kuka tekee päätökset
» Alihankkijat
» Tietoturvamenetelmät
» Muutokset palvelussa
• Kuka tekee työt
» Rekisteröidyn oikeudet
• Kuka maksaa
» Auditoinnit
» Sakot
» Vahingonkorvaus
• Muuta
» Raportointi loukkauksista 24/48/72 tunnin kuluessa
» Asiakkaan omat sopimuspohjat
» Pilkun paikka ja kielioppi
GDPR – EU:n tietosuoja-asetus
määrää, että henkilötiedot tulee pitää ajan
tasalla, suojattuina ja saatavilla.

25.5.2018
yritysten
henkilötietojen
käsittelyn on
Kysy lisää meiltä: noudatettava
www.sympa.fi/gdpr GDPR-asetusta
Iden0fy your Identify your Confirm your key
data partners GDPR processes
Identify your HR data
Grounds Data Data Access Erase Registry
for registry sources content groups policy responsible
Job applicants

Employee HRM

Employee HRD

Freelancers,
partners
Other?
Identify your partners
… and require compliance
Compliant Certified Data DPO Registry
agreement ISMS encryption (contact details) responsible
Recruiters

Payroll providers

HR system
providers
ICT systems

Phonebooks?

Others?
Confirm your key GDPR
processes
o Everyone has access to all their data
o Everyone can have their data in easy-to-use format
o We have told everyone why we have and handle their data

o We only handle relevant personal data

o We remove all irrelevant data without delay

o All data is secured and encrypted

o Access to data is limited
o We know exactly what to do when data breach occurs
 Kiitos!
Ollaan yhteydessä.
Keijo Karjalainen
CEO
+358 40 5218 517
keijo.karjalainen@sympa.com

sympa.com