PwC Suomi on nimittänyt kolme uutta, kokenutta asiantuntijaa eri tehtäviin. Daniel Pasternack Daniel Pasternack (KTT) on nimitetty 12.8.2024 alkaen Senior Advisoriksi PwC Suomen Advisory-liiketoimintaan, jossa hän keskittyy erityisesti pankki- ja rahoitussektorin asiakkuuksiin sekä perheiden sijoitusyrityksiin. Daniel on erittäin kokenut Financial Services -toimialan ammattilainen ja tehnyt mittavan uran suomalaisessa varainhoitosektorissa useassa eri yrityksessä, viimeisimpänä Evlillä ja...

PwC Suomelle kaksi uutta partneria ja Senior Advisor

Vastoin yleistä käsitystä suomalaiset listayhtiöt ostavat verrattain paljon ulkomaalaisia yrityksiä, paljastaa PwC:n tuore selvitys. Suomalaisten listayhtiöiden vuosina 2018–2024 tekemiä yrityskauppoja analysoiva selvitys osoittaa, että miltei puolet hankinnoista tehtiin kotimaan rajojen ulkopuolelta. Nämä hankinnat olivat myös kauppahinnaltaan arvokkaampia kuin paikalliset yritysostot. PwC:n Nasdaq Helsingin listayhtiöiden yritysostoja tarkasteleva selvitys osoittaa, että yrityskaupoista kappalemääräisesti laskettuna hieman alle puolet...

PwC:n selvitys paljastaa: Suomalaiset listayhtiöt shoppailevat ahkerasti ulkomailla

Suomi paransi merkittävästi sijoitustaan PwC:n nuorisotyöllisyysindeksissä ja nousi vuodesta 2022 seitsemän sijaa. Suomi sijoittuu vertailussa mukana olleista 38 OECD-maasta sijalle 15. Indeksin kärkipaikalle ylsi Alankomaat. Suomen sijoitus PwC:n globaalissa Youth Employment Index -selvityksessä koheni tänä vuonna merkittävästi, kun se nousi vertailun sijalle 15. Muista Pohjoismaista parhaiten menestyi Islanti, joka on vertailussa kolmen parhaan maan joukossa....

Suomi nuorisotyöllisyydessä 15 parhaan OECD-maan joukkoon – Alankomaat, Sveitsi ja Islanti PwC:n indeksin kärjessä

Vuonna 2025 ensimmäiset yritykset raportoivat tilikauden 2024 tiedot EU:n kestävyysraportointidirektiivin (Corporate Sustainability Reporting Directive, CSRD) perusteella. Samalla näiden yritysten tulee raportoida liiketoimintansa EU-taksonomian kelpoisuus ja mukaisuus. Monia yrityksiä kuitenkin yllättää, että kestävyysraportointidirektiivi edellyttää raportointia myös EU-taksonomiasta. EU-taksonomian kelpoisuus ja mukaisuus perustuu taksonomia-asetukseen, joka määrittelee kriteerit kestävälle liiketoiminnalle. EU-taksonomian kelpoisuus tarkoittaa liiketoimintaa, joka kuuluu EU-taksonomian piiriin,...

Ovatko yritykset valmiita raportoimaan kestävyysraporteissaan myös EU-taksonomiasta?

Korkeimman oikeuden tuoreen päätöksen mukaan veropetos ei ollut lievä, kun vältettyjen verojen määrä oli noin 1000 euroa. Tässä tapauksessa päästiin sakoilla, mutta melko pienillä summilla ehdollinen vankeuskaan ei ole poissuljettua. Jos verottajalle annetuissa henkilökohtaiseen verotukseen vaikuttavissa tiedoissa on ollut virheitä, mahdollisia seurauksia ovat veronkorotus tai joissain tilanteissa myös rikosoikeudelliset sanktiot. Samassa asiassa ei kuitenkaan voida...

Rikosoikeudellistuuko verotus – Milloin virhe verotuksessa on poliisiasia?

Mediassa on viime viikkoina käytetty termiä “joustopesu” kuvaamaan tilannetta, jossa työnantaja antaa nykyisille ja potentiaalisille työntekijöille kuvan todellisuutta joustavammista käytännöistä erityisesti työntekopaikan suhteen. Käytännössä tämä on tarkoittanut sitä, että on puhuttu ja jopa mainostettu joustavia etätyökäytäntöjä, vaikka todellisuudessa työntekijöitä on velvoitettu tulemaan toimistolle. Miksi työnantajat haksahtavat joustopesuun? Vaikka työmarkkinatilanne on palannut viime vuosien aikana takaisin...

Työnantaja, älä sorru joustopesuun!

Häirintä työpaikalla on yhä edelleen ajankohtainen aihe. Häirinnästä on kyse silloin, kun henkilö on toistuvasti ja pitkäkestoisesti loukkaavan tai alistavan käyttäytymisen kohteena ja tästä aiheutuu hänelle terveyshaittaa. Häirintää voidaan kutsua arkikielessä myös nimellä työpaikkakiusaaminen ja sitä voi tapahtua paitsi työntekijöiden välillä, myös esihenkilön ja alaisen välillä. Työnantajalla on velvollisuus selvittää tilanne sekä puuttua häirintään ja...

Häirintään työpaikalla on suhtauduttava vakavasti

Ruotsin hallitus perusti vuonna 2021 komitean arvioimaan korkorajoitussäännösten mahdollisia muutostarpeita. Komitea on 31.5.2024 julkaisemassaan raportissa esittänyt useita muutoksia nykyisiin korkovähennysrajoituksiin. PwC Ruotsi on uutisoinut aiheesta täällä. Keskeiset muutokset Konserniyksiköille otettaisiin käyttöön yhteinen konsernilaskenta nettokorkojen ja vähennysten laskemiseksi. Yhtiöt, joilla on mahdollisuus antaa toisilleen konserniavustuksia, muodostaisivat yhteisen laskentayksikön, jonka sisällä ne voivat tasata nettokorkojaan. Safe harbour...

Muutoksia Ruotsin korkorajoitussääntöihin

Viro aikoo ottaa käyttöön puolustusveroksi kutsutun uuden veron. Vero koostuu kolmesta lähteestä ja on voimassa väliaikaisesti vuoden 2028 loppuun saakka. PwC Viro on uutisoinut aiheesta täällä. Keskeinen sisältö Arvonlisävero nousee kahdella prosenttiyksiköllä 24 prosenttiin (arvonlisäveroa korotettiin jo 20 prosentista 22 prosenttiin vuonna 2024) 1.1.2025 alkaen. Luonnollisten henkilöiden tulovero nousee kahdella prosenttiyksiköllä 24 prosenttiin 1.1.2026 alkaen....

Viro aikoo ottaa käyttöön puolustusveron – yrityksille uusi kahden prosentin vero

Henkilötietojen käsittelyssä ja tietoturvan ylläpitämisessä on monia haasteita, ja virheitä voi tapahtua helposti. Tässä artikkelissa käydään läpi yleisiä virheitä henkilötietojen käsittelyssä ja annetaan lyhyet muistisäännöt niiden välttämiseksi. Puutteellinen käsittelyperuste Henkilötietojen käsittely edellyttää aina, että käsittelylle on olemassa joku laissa mainittu peruste. EU:n tietosuoja-asetuksen (GDPR) mukaiset käsittelyperusteet ovat: rekisteröidyn suostumus sopimus rekisterinpitäjän lakisääteinen velvoite elintärkeiden etujen...

Viisi tavallista virhettä henkilötietojen käsittelyssä – ja kuinka välttää ne

Polttoaineiden jakeluun kohdistuva päästökauppa (ETS2) on uusi, EU:n yhteinen päästökauppavelvoite fossiilisia polttoaineita jakeleville, valmisteverovelvollisille toimijoille. Jakelijoiden päästökauppa aiheuttaa uusia viranomaisvelvoitteita toimijoille, joilla on energiatuotteisiin liittyviä valmisteverorekisteröintejä. Velvoite koskee nestemäisiä ja kaasumaisia, fossiilisia polttoaineita. Toimijoiden tulee rekisteröityä ja aloittaa raportointi Energiavirastolle vuoden 2025 alkupuoliskolla. Mikä on ETS2? Työ- ja elinkeinoministeriö on valmistelemassa uutta lakia fossiilisen polttoaineen...

Polttoainejakelijoiden päästökaupasta lisävelvoitteita valmisteverolupien haltijoille

Vaikka Suomen lainsäädäntö ei tunne trusteja, monessa maassa ne ovat tavallinen väline esimerkiksi perhevarallisuuden hallinnointiin. KHO:n tuoreen päätöksen mukaisesti varoja ei kuitenkaan voi luovuttaa trustiin ilman luovutusvoittoverotusta. Samalla tapaus osoittaa selvän sääntelyn puuttumisen ongelmat. Suomen verolainsäädäntö ei tunne trusteja, eikä se sisällä nimenomaisia trusteja koskevia säännöksiä. Oikeuskäytännössä harvat trusteja koskevat ratkaisut ovatkin siksi perustuneet tapauskohtaiseen...

Omaisuuden luovutus trustiin voi olla veronalainen luovutus

Monissa organisaatioissa perinteisen HR:n on korvannut jokin uudella, modernimmalla termillä kutsuttava toiminto, kuten People Operations tai People and Culture. Joissain yhteyksissä henkilöstöön liittyvistä toiminnoista puhutaan termillä “moderni HR” ikään kuin korostaen sitä, ettei kyse ole mistään pölyttyneestä viime vuosituhannelle jämähtäneestä osastosta tai vain nimensä mukaisesti henkilöstöresursseista. Henkilöstötoimintojen nimeämiseen liittyvä semantiikka osoittaa, että työelämä on muuttunut...

Tehokas ja tuottava HR – miten pysyä aallonharjalla?

Etusivu

Verotus

Johtaminen ja vastuullisuus

Yrittäjyys

Juridiikka

Taloushallinto

Teknologia ja digitaalisuus

Strategy& -topics

Medialle

Tilaa uutiskirje

Puutteellinen käsittelyperuste
Henkilötietojen käsittely edellyttää aina, että käsittelylle on olemassa joku laissa mainittu peruste. EU:n tietosuoja-asetuksen (GDPR) mukaiset käsittelyperusteet ovat:
<ul>
<li>rekisteröidyn suostumus</li>
<li>sopimus</li>
<li>rekisterinpitäjän lakisääteinen velvoite</li>
<li>elintärkeiden etujen suojaaminen</li>
<li>yleistä etua koskeva tehtävä tai julkinen valta</li>
<li>rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.</li>
</ul>
Käsittelyperuste on määritettävä ennen kuin käsittely aloitetaan, eikä sitä voi vaihtaa kesken käsittelyn toiseen perusteeseen. Samaan käsittelyyn voi kuitenkin soveltua useampikin peruste.
<blockquote>Määrittele henkilötietojen käsittelyn peruste lakisääteisten vaihtoehtojen joukosta. Huomaathan, että käsittelyperusteesta ei voi poiketa sopimuksin.</blockquote>
Liiallinen tietojen kerääminen
Monet rekisterinpitäjät syyllistyvät myös liialliseen tietojen keräämiseen ja säilyttämiseen. GDPR edellyttää, että henkilötietoja saa kerätä vain sen verran kuin niiden keräämisen ja käsittelemisen tarkoitus vaatii. Liiallinen henkilötietojen kerääminen voi loukata yksityisyyttä sekä lisätä riskiä tietovuodoista ja tietoturvaloukkauksista. Mitä enemmän tietoja kerätään, sitä suurempi on riski, että ne joutuvat vääriin käsiin.
Esimerkkinä liian laajasta tietojen keräämisestä mainitaan usein Verohallinnon pankeilta pyytämät tiedot rajat ylittävistä tilisiirroista. Tietosuojavaltuutettu katsoi 11.11.2022 antamassaan päätöksessä, että kyseisiä tietoja ei voinut pyytää ilman yksityiskohtaisempaa rajoitusta, ja määräsi Verohallintoa poistamaan pyytämänsä tiedot.
Kaiken mahdollisen tiedon kerääminen ei välttämättä ole edullista rekisterinpitäjän toiminnankaan kannalta. Liialliset tiedot voivat vaikeuttaa niiden hallintaa ja hyödyntämistä. Suuren tietomassan ylläpitäminen ja ajantasainen päivittäminen voi olla hankalaa, jolloin tietoihin saattaa jäädä virheitä. Lisäksi suurten tietomassojen käsittely, säilytys ja suojaaminen vievät sekä aikaa että resursseja samoin kuin aiheuttavat kustannuksia.
<blockquote>Määrittele henkilötietojen käyttötarkoitus sekä tätä tarkoitusta varten tarpeelliset ja asianmukaiset tiedot ja kerää vain ne.</blockquote>
Tietojen epätarkkuus tai virheellisyys
Kerätyt ja käsiteltävät tiedot saattavat olla epätarkkoja tai virheellisiä. Tästä voi aiheutua vahinkoa rekisteröidylle erityisesti silloin, kun tietojen perusteella tehdään yksilön kannalta olennaisia päätöksiä. Esimerkiksi virheellisten tietojen perusteella tehty luottopäätös voi aiheuttaa rekisteröidylle taloudellisia ongelmia, tai virheellisten terveystietojen perusteella tehty päätös johtaa väärään diagnoosiin ja vääriin hoitotoimenpiteisiin. Virheelliset tiedot saattavat myös haitata laadukasta päätöksentekoa ja palvelujen tarjoamista. Organisaation jakelulistoissa olevat virheet tai vanhentuneet tiedot voivat puolestaan johtaa siihen, että viestit päätyvät väärille vastaanottajille, jolloin onkin jo kysymys tietoturvaloukkauksesta.
<blockquote>Pidä henkilötiedot ajan tasalla ja korjaa virheet välittömästi.</blockquote>
Liian laaja tietojen käsittely 
Henkilötietoja saadaan tietosuoja-asetuksen käyttötarkoitussidonnaisuuden periaatteen mukaan kerätä ja käsitellä vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Henkilötietoja ei siten saa käsitellä myöhemmin muihin alkuperäisen tarkoituksen kanssa yhteensopimattomiin tarkoituksiin.
Käyttötarkoitussidonnaisuus eli henkilötietojen käsittely ainoastaan alkuperäiseen käyttötarkoitukseen on voimassa koko tiedon elinkaaren ajan keräämisestä poistamiseen. Henkilötietojen käsittely on liian laajaa, jos tietoja käsitellään myös muihin tarkoituksiin kuin mihin ne on alun perin kerätty. Käyttötarkoitussidonnaisuudesta seuraa myös se, että pääsy tietoihin organisaation sisällä tulee rajata tarkoituksenmukaisella tavalla.
<blockquote>Käsittele vain käyttötarkoituksen kannalta välttämättömiä henkilötietoja ja rajoita niihin pääsyä tarpeen mukaan.</blockquote>
Liian pitkä tietojen säilyttäminen 
Henkilötietoja saisi säilyttää ainoastaan sen ajan, mitä asianomainen käyttötarkoitus edellyttää, ellei rekisterinpitäjän tule säilyttää tietoja tarvettaan kauemmin esimerkiksi rekisterinpitäjää koskevan lakisääteisen velvoitteen perusteella. Erityisesti säilytysaikojen määrittäminen on osoittautunut monesti puutteelliseksi. Syynä on joko se, että määritys koetaan hankalaksi, tai se, että kerätyt tiedot halutaan säilyttää siitä huolimatta, että säilyttämiselle ei enää olisi perustetta. Myös tietosuojavaltuutettu suhtautuu vakavasti säilytysaikojen määrittämiseen. Esimerkkinä tästä voidaan mainita tietosuojavaltuutetun 6.3.2024 antama ratkaisu asiakkaan Verkkokauppa.comin toiminnasta tekemään valitukseen.
Verkkokauppa.com oli vaatinut henkilöä rekisteröitymään asiakkaaksi ennen ostosten tekemistä verkossa. Rekisterinpitäjä ei ollut määrittänyt verkkokauppansa asiakastileille kerättyjen tietojen säilytysaikaa. Suomen SA havaitsi, että asiakastilitietoja oli säilytetty toistaiseksi. Rekisterinpitäjä määrättiin määrittelemään asiakastilitiedoille asianmukainen säilytysaika ja oikaisemaan pakollista rekisteröintikäytäntöään. Tietosuojavaltuutettu määräsi rekisterinpitäjälle 856 000 euron hallinnollisen sakon asiakastilitietojen säilytysajan määrittämättä jättämisestä.
<blockquote>Määrittele ja noudata tietojen säilytysaikoja ja poista tiedot, kun niitä ei enää tarvita.</blockquote>
<h2>Lopuksi </h2>
Osoitusvelvollisuus on keskeinen periaate tietosuoja-asetuksessa. Rekisterinpitäjä on velvollinen osoittamaan, että se noudattaa tietosuojalainsäädäntöä. Esimerkiksi rekisterinpitäjän toimintaa arvioitaessa rekisterinpitäjä voi riittävällä dokumentoinnilla osoittaa, että se pyytää suostumukset oikein, kerää, käsittelee ja säilyttää henkilötietoja tietosuojalainsäädännön edellyttämällä tavalla, pitää tiedot ajantasaisina ja virheettöminä eikä säilytä tietoja liian kauan.
Myös tietoturvaloukkaustilanteessa rekisterinpitäjällä on asianmukaisen ja riittävän dokumentaation avulla mahdollisuus näyttää, että se on arvioinut tietosuojaan ja -turvaan liittyviä riskejä ja pyrkinyt varautumaan niihin erilaisilla turvatoimilla. Jos dokumentaatiota ei ole, rekisterinpitäjän voi olla mahdotonta osoittaa, että se toimii tietosuoja-asetuksen vaatimusten mukaisesti. Tästä voi aiheutua rekisterinpitäjälle paitsi liiketoiminnan häiriöitä ja mainehaittaa, myös hallinnollisia seuraamuksia esimerkiksi seuraamusmaksun muodossa.

Viisi tavallista virhettä henkilötietojen käsittelyssä – ja kuinka välttää ne

Aiheeseen liittyvät sisällöt

Pyydätkö oikein suostumuksen henkilötietojen käsittelylle?

Palkkatasa-arvoa ja tietosuojaa työelämään – mitä yritysten tulee huomioida?

Tekoälyn haasteet ja mahdollisuudet: juridiikan ja riskienhallinnan kysymyksiä

Yhteyshenkilösi PwC:llä

Seija Vartiainen

Palvelumme

Muut lukivat myös

Ovatko yritykset valmiita raportoimaan kestävyysraporteissaan myös EU-taksonomiasta?

Rikosoikeudellistuuko verotus – Milloin virhe verotuksessa on poliisiasia?

Työnantaja, älä sorru joustopesuun!