Tietosuojaseloste — opas ja malli pienelle rakennusyritykselle

Tietosuojaseloste on pakollinen jokaiselle yritykselle, joka käsittelee henkilötietoja — siis myös pienelle rakennusliikkeelle. Tämä opas selittää mitä tietosuojaselosteeseen kirjoitetaan, miksi se tarvitaan ja miten se tehdään.

Kokeile Massoita ilmaiseksi

Mikä on tietosuojaseloste?

Tietosuojaseloste on asiakirja, jossa kerrotaan miten organisaatio käsittelee henkilötietoja. Se perustuu EU:n yleiseen tietosuoja-asetukseen (GDPR), jonka artiklat 13 ja 14 edellyttävät, että henkilötietojen käsittelystä kerrotaan rekisteröidyille läpinäkyvästi ja ymmärrettävästi.

Käytännössä tietosuojaseloste kertoo esimerkiksi työntekijöille, asiakkaille ja yhteistyökumppaneille: mitä tietoja heistä kerätään, miksi tietoja kerätään, miten tietoja säilytetään ja mitä oikeuksia heillä on tietojensa suhteen.

Tietosuojaseloste ei ole sama asia kuin rekisteriseloste. Vanha henkilötietolain mukainen rekisteriseloste korvattiin GDPR:n myötä tietosuojaselosteella, joka on sisällöltään laajempi ja rekisteröidyn näkökulmasta kirjoitettu.

Pienelle rakennusyritykselle tietosuojaseloste voi tuntua turhalta byrokratialta, mutta se on lakisääteinen velvoite. Hyvä uutinen on, että pienen yrityksen tietosuojaseloste on yksinkertainen tehdä, kun tietää mitä siihen pitää kirjoittaa.

Tarvitseeko pieni rakennusyritys tietosuojaselosteen?

Kyllä tarvitsee. Jokainen yritys, joka käsittelee henkilötietoja, tarvitsee tietosuojaselosteen — koosta riippumatta. Rakennusalan pienyritys käsittelee henkilötietoja ainakin seuraavissa yhteyksissä:

Työntekijärekisteri. Työnantaja käsittelee aina työntekijöidensä henkilötietoja: nimet, henkilötunnukset, osoitteet, palkat, verokorttitiedot, sairauspoissaolotiedot. Jo yksikin työntekijä riittää synnyttämään velvoitteen.

Asiakasrekisteri. Asiakkaiden yhteystiedot, laskutustiedot ja projektikohtaiset tiedot ovat henkilötietoja, kun asiakas on yksityishenkilö tai kun tiedot liittyvät yksilöitäviin henkilöihin.

Kulkuluparekisteri. Rakennustyömailla ylläpidetään kulkulupaluetteloa, joka sisältää henkilöiden nimet, veronumerot ja työnantajatiedot. Tämä on henkilörekisteri.

Aliurakoitsijarekisteri. Tilaajavastuulain mukaiset selvitykset sisältävät henkilötietoja — esimerkiksi vastuuhenkilöiden nimet kaupparekisteriotteista.

Kameravalvonta. Jos työmaalla on kameravalvonta, tallenteet ovat henkilötietoja ja niiden käsittelystä on laadittava oma seloste.

Käytännössä jokainen rakennusalan yritys — myös yhden henkilön toiminimi — käsittelee henkilötietoja tavalla, joka edellyttää tietosuojaselosteen laatimista.

Mitä tietosuojaseloste sisältää?

GDPR:n artiklojen 13 ja 14 mukaan tietosuojaselosteessa on kerrottava vähintään seuraavat asiat:

1. Rekisterinpitäjän tiedot. Yrityksen nimi, y-tunnus, osoite ja yhteyshenkilön tiedot. Pienessä yrityksessä yhteyshenkilö on yleensä yrittäjä itse.

2. Käsittelyn tarkoitus ja oikeusperuste. Miksi henkilötietoja kerätään (esim. työsuhteen hoitaminen, asiakassuhteen ylläpito, lakisääteinen velvoite) ja mihin oikeusperusteeseen käsittely perustuu (sopimus, lakisääteinen velvoite, oikeutettu etu tai suostumus).

3. Käsiteltävät tietoryhmät. Mitä tietoja kerätään: nimi, yhteystiedot, henkilötunnus, veronumero, palkkatiedot, valokuva jne. Tiedot eritellään rekistereittäin.

4. Tietojen lähteet. Mistä tiedot saadaan: rekisteröidyltä itseltään, viranomaisrekistereistä, työnantajalta, yhteistyökumppaneilta.

5. Tietojen säilytysaika. Kuinka kauan tietoja säilytetään. Esimerkiksi palkkatietoja on säilytettävä 10 vuotta, kirjanpitoaineistoa 6 vuotta, mutta markkinointirekisterin tietoja vain niin kauan kuin asiakassuhde kestää.

6. Tietojen luovutukset. Kenelle tietoja luovutetaan: Verohallinnolle, eläkeyhtiölle, vakuutusyhtiölle, kirjanpitäjälle, palkanlaskentapalvelulle.

7. Rekisteröidyn oikeudet. Oikeus tarkastaa omat tiedot, oikeus tietojen oikaisemiseen, oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi"), oikeus siirtää tiedot ja oikeus tehdä valitus tietosuojavaltuutetulle.

8. Tietoturvatoimenpiteet. Miten tietoja suojataan: lukitut kaapit fyysisille asiakirjoille, salasanasuojatut järjestelmät, käyttöoikeuksien rajaaminen.

Rakennusyrityksen tyypilliset henkilörekisterit

Pienellä rakennusyrityksellä on tyypillisesti 3–5 henkilörekisteriä, joista kustakin tarvitaan oma tietosuojaseloste tai yksi kattava seloste. Tässä yleisimmät:

Työntekijärekisteri

Työntekijöiden nimet, henkilötunnukset, osoitteet, pankkitilit, verokorttitiedot, palkkatiedot, työsopimukset, sairauspoissaolotiedot ja koulutustiedot (esim. tulityökortti, työturvallisuuskortti).

Asiakasrekisteri

Asiakkaiden nimet, yhteystiedot, laskutustiedot ja projektikohtaiset tiedot. Yksityisasiakkaiden osalta myös henkilötunnus laskutusta varten.

Kulkuluparekisteri

Työmaalla työskentelevien henkilöiden nimet, syntymäajat, veronumerot, työnantajatiedot ja kulkulupien voimassaolotiedot.

Aliurakoitsijarekisteri

Aliurakoitsijoiden yhteyshenkilöiden tiedot, tilaajavastuulain mukaiset selvitykset ja sopimustiedot.

Kameravalvontarekisteri

Jos työmaalla tai varastolla on kameravalvonta: tallenteet, valvonnan tarkoitus ja tallenteiden säilytysaika (yleensä enintään 1 vuosi).

Jokaisesta rekisteristä on käytävä läpi tietosuojaselosteen vaatimukset: mitä tietoja kerätään, miksi, miten pitkään säilytetään ja kenelle luovutetaan. Käytännössä pieni rakennusyritys voi laatia yhden tietosuojaselosteen, joka kattaa kaikki rekisterit.

Tarkka ja turvallinen tarjouslaskenta — Massoi käsittelee projekti- ja asiakastietoja GDPR:n mukaisesti.

Varaa demo

Miten tietosuojaseloste tehdään? Vaihe vaiheelta

Tietosuojaselosteen laatiminen ei vaadi lakimiestä. Pienelle rakennusyritykselle riittää yksinkertainen, selkokielinen asiakirja. Tässä vaiheet:

1. Kartoita henkilörekisterit. Listaa kaikki tilanteet, joissa yrityksesi käsittelee henkilötietoja: työntekijätiedot, asiakastiedot, kulkuluvat, aliurakoitsijatiedot.

2. Määrittele käsittelyn tarkoitus. Jokaiselle rekisterille on määriteltävä, miksi tietoja kerätään. Esimerkiksi: työntekijärekisterin tarkoitus on työsuhteen hoitaminen ja palkanmaksu, kulkuluparekisterin tarkoitus on rakentamisilmoituksen tekeminen ja työmaaturvallisuuden varmistaminen.

3. Tunnista oikeusperuste. GDPR edellyttää, että jokaiselle käsittelylle on oikeusperuste. Rakennusyrityksessä yleisimmät ovat: työsopimus (työntekijätiedot), lakisääteinen velvoite (verotiedot, rakentamisilmoitus) ja oikeutettu etu (asiakassuhteen hoitaminen).

4. Määrittele säilytysajat. Päätä, kuinka kauan kutakin tietoa säilytetään. Palkkatiedot: 10 vuotta. Kirjanpitoaineisto: 6 vuotta. Kulkulupatiedot: urakan kesto + 2 vuotta. Kameratallenteet: enintään 1 vuosi.

5. Kirjoita seloste. Kokoa tiedot selkeään asiakirjaan. Käytä yksinkertaista kieltä — tietosuojaselosteen pitää olla ymmärrettävä tavalliselle ihmiselle, ei juristille.

6. Julkaise ja päivitä. Laita tietosuojaseloste verkkosivuillesi ja toimita se työntekijöille työsuhteen alussa. Päivitä seloste aina, kun käsittelyssä tapahtuu olennaisia muutoksia.

Seuraamukset ja GDPR käytännössä

GDPR:n rikkomisesta voidaan määrätä hallinnollinen sakko, jonka enimmäismäärä on 20 miljoonaa euroa tai 4 % yrityksen maailmanlaajuisesta liikevaihdosta. Nämä ovat kuitenkin enimmäismääriä, jotka on suunnattu suuryritysten vakaviin rikkomuksiin.

Käytännössä pienille yrityksille Suomen tietosuojavaltuutettu antaa yleensä ensin huomautuksen ja kehotuksen korjata puutteet. Hallinnolliset sakot ovat harvinaisia pienyrityksille, mutta ne ovat mahdollisia erityisesti jos:

  • Yritys ei reagoi tietosuojavaltuutetun kehotukseen
  • Tietovuoto tapahtuu ja yritys ei ole noudattanut perusvelvoitteita
  • Rekisteröidyn valitus osoittaa systemaattista piittaamattomuutta

Tietovuotoilmoitus: Jos henkilötietoja pääsee vuotamaan (esim. tietokone varastetaan tai sähköposti lähetetään väärään osoitteeseen), yrityksellä on velvollisuus ilmoittaa tietovuodosta tietosuojavaltuutetulle 72 tunnin kuluessa. Jos vuoto aiheuttaa korkean riskin rekisteröidyille, myös heidät on informoitava.

GDPR ja sähköinen kulunvalvonta. Rakennustyömailla käytetään yhä enemmän sähköistä kulunvalvontaa, joka kerää tarkkaa tietoa henkilöiden liikkeistä. Tämä on henkilötietojen käsittelyä, josta on informoitava tietosuojaselosteessa. Erityisesti on huomioitava, ettei kulunvalvontatietoja käytetä työntekijöiden valvontaan muutoin kuin työturvallisuuden varmistamiseksi.

GDPR ja rakentamisilmoitus. Rakentamisilmoitus Verohallinnolle edellyttää henkilötietojen käsittelyä (työntekijöiden nimet, veronumerot, työtunnit). Tämä on lakisääteinen velvoite, joten oikeusperuste on selvä, mutta käsittelystä on silti informoitava tietosuojaselosteessa.

Miten Massoi huolehtii tietosuojasta?

Kun käytät Massoita tarjouslaskentaan, käsittelet samalla projekti- ja asiakastietoja sähköisessä järjestelmässä. On tärkeää, että käyttämäsi ohjelmisto noudattaa GDPR:n vaatimuksia.

Massoi huolehtii tietosuojasta seuraavasti:

  • Tiedot EU:ssa: Kaikki data säilytetään EU:n alueella GDPR:n vaatimusten mukaisesti
  • Salattu yhteys: Kaikki liikenne on salattua (HTTPS/TLS)
  • Käyttöoikeuksien hallinta: Voit hallita, kenellä yrityksessäsi on pääsy mihinkin tietoihin
  • Tietojen poisto: Voit pyytää tietojesi poistamista milloin tahansa

Kun valitset rakennusalan ohjelmistoja, tietosuoja kannattaa olla yksi valintakriteeri. Varmista aina, että ohjelmistotoimittajalla on oma tietosuojaseloste ja tietojenkäsittelysopimus (DPA), joka täyttää GDPR:n vaatimukset.

Usein kysytyt kysymykset tietosuojaselosteesta

Mikä on tietosuojaseloste?

Tietosuojaseloste on asiakirja, jossa kerrotaan miten organisaatio käsittelee henkilötietoja. GDPR:n artiklat 13 ja 14 edellyttävät, että rekisteröidyille kerrotaan tietojen käsittelystä läpinäkyvästi. Tietosuojaseloste on käytännön tapa täyttää tämä velvoite.

Tarvitseeko pieni rakennusyritys tietosuojaselosteen?

Kyllä. Jokainen yritys, joka käsittelee henkilötietoja, tarvitsee tietosuojaselosteen — myös pieni rakennusliike. Työnantaja käsittelee aina vähintään työntekijöidensä henkilötietoja, minkä lisäksi asiakasrekisteri ja kulkulupatiedot ovat henkilötietoja.

Mitä tietosuojaseloste sisältää?

Tietosuojaseloste sisältää rekisterinpitäjän yhteystiedot, käsittelyn tarkoituksen ja oikeusperusteen, käsiteltävät tietoryhmät, tietojen lähteet, säilytysajan, rekisteröidyn oikeudet ja mahdolliset tietojen luovutukset.

Missä tietosuojaseloste pitää julkaista?

Tietosuojaseloste pitää olla helposti saatavilla. Käytännössä se julkaistaan yrityksen verkkosivuilla ja toimitetaan pyydettäessä. Työntekijöille se annetaan työsuhteen alussa. Sähköinen versio riittää.

Mitä seuraa tietosuojaselosteen puuttumisesta?

Tietosuojaselosteen puuttuminen on GDPR:n rikkomus, josta tietosuojavaltuutettu voi antaa huomautuksen, varoituksen tai hallinnollisen sakon. Käytännössä pienyrityksille annetaan yleensä ensin huomautus ja kehotus korjata tilanne.

Tutustu myös näihin

Tilaajavastuulaki →

Selvitysvelvollisuus ja tarkistuslista rakennusalan urakoitsijalle.

Rakentamisilmoitus →

Rakentamisilmoituksen tekeminen Verohallinnolle — velvoitteet ja ohjeet.

Rakennusalan ohjelmistot →

Vertailu rakennusalan ohjelmistoista ja digitaalisista työkaluista.

Haluatko nähdä miten Massoi toimii?

Varaa demo ja näytämme miten AI laskee määrät ja tekee tarjouksen puolestasi. 30 min, ei sitoumuksia.

Varaa demo →