GDPR taloushallinnossa: henkilötiedot, oikeusperuste ja rekisteriseloste
Taloushallinto käsittelee väistämättä henkilötietoja: asiakkaiden nimiä, osoitteita ja pankkitilinumeroita. Käymme läpi, mitä pienyrityksen taloushallinnon on otettava huomioon GDPR:n kannalta.
"Taloushallinto käsittelee väistämättä henkilötietoja: asiakkaiden nimiä, osoitteita, pankkitilinumeroita ja palkkadataa. EU:n yleinen tietosuoja-asetus (GDPR) asettaa selkeät vaatimukset näiden tietojen käsittelylle. Tässä artikkelissa käymme läpi, mitä pienyrityksen taloushallinnon on otettava huomioon."
"Henkilötiedot taloushallinnossa – mitä ne ovat?"
"GDPR:n mukaan henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Taloushallinnossa tyypillisiä henkilötietoja ovat:"
- "Asiakkaiden ja toimittajien nimet, osoitteet ja y-tunnukset (henkilöyrityksillä)"
- "Pankkitilinumerot"
- "Laskujen yhteyshenkilöiden sähköpostit ja puhelinnumerot"
- "Palkkatiedot ja henkilötunnukset (palkanlaskenta)"
- "Matka- ja kululaskujen tiedot"
"Oikeusperuste henkilötietojen käsittelylle"
"GDPR edellyttää, että jokaiselle henkilötietojen käsittelylle on oikeusperuste. Taloushallinnossa käytetään yleensä seuraavia:"
- "Sopimuksen täyttäminen: laskujen lähettäminen ja maksujen vastaanottaminen"
- "Lakisääteinen velvoite: kirjanpitolain mukaiset säilytysvelvollisuudet, veroraportointi"
- "Oikeutettu etu: perintätoimet, luottoriskien arviointi"
For a small business, this practically means: you have the right to process your customer's data for invoicing and accounting purposes without separate consent, as processing is based on agreement and law.
Lagringstider för ekonomiförvaltningens dokument
GDPR kräver att uppgifter inte sparas längre än nödvändigt. Inom ekonomiförvaltningen bestäms lagringstiderna främst av bokföringslagen:
| Asiakirjatyyppi | Säilytysaika | Peruste |
|---|---|---|
| Kirjanpitokirjat (tase, tuloslaskelma, pääkirja) | 10 vuotta tilikauden päättymisestä | Kirjanpitolaki 2:10 |
| Tositteet (laskut, kuitit) | 6 vuotta tilikauden päättymisestä | Kirjanpitolaki 2:10 |
| Palkka-aineistot | 10 vuotta | Ennakkoperintälaki, eläkelait |
| ALV-aineisto | 6 vuotta | Arvonlisäverolaki |
When the statutory retention period ends, personal data must be deleted or anonymized.
Mini-checklist for a small business
- Create a privacy statement (tietosuojaseloste) where you state what personal data you process and why
- Define retention periods by document type
- Ensure that your financial administration software (e.g., Eemel Accounting) is GDPR compliant
- Limit access to personal data only to those who need it
- Agree on a data processing agreement with your accounting firm and other processors
- Regularly delete outdated information
Practical example: sole proprietor and privacy statement
A sole proprietor kept a customer register in Excel and invoiced with PDF invoices. From a GDPR perspective, the situation was problematic: no privacy statement, no data security, no monitoring of retention periods.
The adoption of Eemel Accounting solved most problems:
- Customer data is in a secure system, not an open Excel file
- Access restricted with username and password
- Financial administration software provides a template for a privacy statement
- Old data can be systematically deleted
Try it in practice
Eemel Accounting är utformat med GDPR-kraven i åtanke. Personuppgifter är skyddade och behandlingen är under kontroll.
Try for 14 daysFrequently asked questions
Does a small business need a privacy statement?
Yes, if you process personal data (e.g., customer names and addresses for invoicing). A privacy statement must be available.
Can accounting material be deleted based on GDPR?
Not before the statutory retention period expires. The Accounting Act takes precedence over GDPR in this case.
Is a data processing agreement needed with an accounting firm?
Ja. Bokföringsbyrån behandlar personuppgifter för din räkning, så GDPR kräver ett skriftligt avtal.
How does GDPR affect bank connections?
Account transactions retrieved through a bank connection contain personal data. Processing is based on agreement and law. Läs mer in our PSD2 article.
Does the customer need to be asked for consent to process invoicing data?
Not usually. The processing of invoicing data is based on the fulfillment of a contract, not consent.
This article is general in nature and does not constitute legal advice.