BDAR finansų valdyme: asmens duomenys, teisinis pagrindas ir privatumo pranešimas
Finansų valdymas neišvengiamai tvarko asmens duomenis: klientų vardus, adresus, banko sąskaitų numerius ir darbo užmokesčio duomenis. ES BDAR kelia aiškius reikalavimus. Straipsnyje apžvelgiame, ką turi įvertinti smulki…
Finansų valdymas neišvengiamai tvarko asmens duomenis: klientų vardus, adresus, banko sąskaitų numerius ir darbo užmokesčio duomenis. ES BDAR kelia aiškius reikalavimus. Straipsnyje apžvelgiame, ką turi įvertinti smulkiojo verslo finansų valdymas.
"Henkilötiedot taloushallinnossa – mitä ne ovat?"
"GDPR:n mukaan henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Taloushallinnossa tyypillisiä henkilötietoja ovat:"
- "Asiakkaiden ja toimittajien nimet, osoitteet ja y-tunnukset (henkilöyrityksillä)"
- "Pankkitilinumerot"
- "Laskujen yhteyshenkilöiden sähköpostit ja puhelinnumerot"
- "Palkkatiedot ja henkilötunnukset (palkanlaskenta)"
- "Matka- ja kululaskujen tiedot"
"Oikeusperuste henkilötietojen käsittelylle"
"GDPR edellyttää, että jokaiselle henkilötietojen käsittelylle on oikeusperuste. Taloushallinnossa käytetään yleensä seuraavia:"
- "Sopimuksen täyttäminen: laskujen lähettäminen ja maksujen vastaanottaminen"
- "Lakisääteinen velvoite: kirjanpitolain mukaiset säilytysvelvollisuudet, veroraportointi"
- "Oikeutettu etu: perintätoimet, luottoriskien arviointi"
For a small business, this practically means: you have the right to process your customer's data for invoicing and apskaita without separate consent, as the processing is based on agreement and law.
Finansų administravimo dokumentų saugojimo terminai
GDPR requires that data is not stored longer than necessary. In financial administration, retention periods are primarily determined by the Apskaita Act:
| Asiakirjatyyppi | Säilytysaika | Peruste |
|---|---|---|
| Apskaitos dokumentai (balansas, pelno (nuostolių) ataskaita, didžioji knyga) | 10 metų po finansinių metų pabaigos | Suomijos apskaitos įstatymas 2:10 |
| Dokumentai (sąskaitos, kvitai) | 6 metai po finansinių metų pabaigos | Suomijos apskaitos įstatymas 2:10 |
| Darbo užmokesčio duomenys | 10 vuotta | Pelno mokesčio įstatymas, pensijų institucija |
| PVM duomenys | 6 vuotta | PVM įstatymas |
When the statutory retention period ends, personal data must be deleted or anonymized.
Mini-checklist for a small business
- Create a privacy statement (tietosuojaseloste) where you state what personal data you process and why
- Define retention periods by document type
- Ensure that your financial administration software (e.g. Eemel Accounting) is GDPR compliant
- Limit access to personal data only to those who need it
- Agree on a data processing agreement with the apskaita firm and other processors
- Delete outdated data regularly
Practical example: sole trader and privacy statement
A sole trader kept a customer register in Excel and invoiced with PDF invoices. From a GDPR perspective, the situation was problematic: no privacy statement, no data security, no monitoring of retention periods.
Implementing Eemel Accounting solved most of the problems:
- Customer data is in a secure system, not an open Excel file
- Access is limited by username and password
- The financial management software provides a template for the privacy statement
- Old data can be systematically deleted
Try it in practice
Eemel Accounting is designed with GDPR requirements in mind. Personal data is safe and processing is under control.
Try for 14 daysFrequently Asked Questions
Does a small business need a privacy statement?
Yes, if you process personal data (e.g. customer names and addresses for invoicing). A privacy statement must be available.
Can apskaita material be deleted based on GDPR?
Not before the statutory retention period ends. The Apskaita Act takes precedence over GDPR here.
Is a data processing agreement required with an apskaita firm?
Yes. The apskaita firm processes personal data on your behalf, so GDPR requires a written agreement.
How does GDPR affect bank connections?
Account transactions retrieved through a bank connection contain personal data. Processing is based on agreement and law. Skaityti daugiau in our PSD2 article.
Do I need to ask for customer consent to process invoicing data?
Not usually. The processing of invoicing data is based on fulfilling a contract, not on consent.
This article is general in nature and does not constitute legal advice.