Asiakkaamme ovat lisääntyvässä määrin olleet kiinnostuneita siitä, miten EU:n tietosuoja-asetukseen valmistaudutaan Varmassa. Kysymys onkin ajankohtainen, koska asetuksen soveltaminen alkaa jo 25.5.2018. Valmistautuminen on ollut perusteellista niin työeläkealalla kuin Varmassakin.
Työeläkeala on seurannut tietosuoja-asetuksen valmistelua jo pitkään. Varmassa aloitettiin työt vuosi sitten syksyllä asetuksen tultua voimaan lopullisessa muodossaan. Olemme arvioineet henkilötietojen käsittelyn nykytilanteen ja määritelleet sen perusteella kehityskohteet. Tämän vuoden aikana kehitämme toiminnoissa tietosuojaan liittyviä toimintatapojamme ja teemme tietojärjestelmätöitä.
EU-tietosuoja-asetuksen lähtökohtana yhteiset pelisäännöt EU-alueella
Asetuksen tavoitteena on vahvistaa yksilön oikeuksia ja vapauksia, edistää digitaalisten sisämarkkinoiden kehittymistä sekä tehostaa täytäntöönpanon valvontaa. Lähtökohtana asetuksen säätämiselle on ollut kaupalliset markkinat ja yhteisten pelisääntöjen luominen digitaalisten palvelujen tarjontaan EU:n alueella.
Rekisterinpitäjän vastuu - osoitusvelvollisuus
Jatkossa ei tule riittämään, että rekisterinpitäjänä toimiva yritys vain kertoo noudattavansa lakeja, vaan se pitää myös pystyä osoittamaan. Asetuksen mukaan rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tietosuoja-asetusta.
Varmassa näillä teknisillä ja organisatorisilla toimenpiteillä tarkoitetaan suojatoimenpiteitä kuten esimerkiksi henkilöstön koulutusta, ohjeita, salassapitositoumuksia, käyttövaltuushallintaa, tietojärjestelmien tietoturvaa, järjestelmien toimivuutta, salausta ja auditointeja.
Rekisteröidyn henkilön oikeuksia vahvistetaan
Asetuksella vahvistetaan henkilön oikeutta saada informaatiota henkilötietojensa käsittelystä. Henkilöllä on myös oikeus vastustaa automaattiseen tiedonkäsittelyyn liittyvää profilointia, jos sille ei ole olemassa riittävää käsittelyperustetta.
Lisäksi asetus antaa henkilöille oikeuden tietojen poistamiseen, oikeuden vastustaa käsittelyä, oikeuden tulla unohdetuksi ja oikeuden tietojen siirtämiseen palvelun tarjoajalta toiselle. Viimeksi mainitut oikeudet eivät kuitenkaan toteudu, jos tietojen käsittely perustuu lakisääteisen tehtävän hoitamiseen. Työeläkeyhtiöt hoitavat lakisääteistä tehtävää työntekijän eläkelain nojalla. Lakiin valmistellaan parhaillaan työeläkealaa koskevia erityissäännöksiä.
Rekisteröidylle enemmän, läpinäkyvämpää ja selkeämpää tietoa
Varma saa henkilötietoja monesta eri lähteestä ja niitä voidaan siirtää lain edellyttämällä tavalla eri tahoille ja niiden luonne vaihtelee arkaluontoisesta muihin suojattaviin henkilötietoihin. Tietosuoja-asetuksen mukaan kaikki käsittelyä koskevat tiedot on kerrottava tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Jatkossa Varma antaa henkilöasiakkailleen tiiviisti esitettynä yhä selkeämpää ja ymmärrettävämpää tietoa siitä, miten heidän tietojaan käsitellään ja miksi.
Tietoturvaloukkauksista ilmoitettava myös rekisteröidylle
Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksista valvovalle viranomaiselle jatkossakin. Uutta on ilmoitusvelvollisuus rekisteröidylle, joka on joutunut loukkauksen kohteeksi. Ilmoitusvelvollisuus rekisteröidyille on pakollinen silloin, kun loukkaus ”todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille”. Korkealla riskillä tarkoitetaan esimerkiksi henkilötietojen joutumista rikollisen toiminnan kohteeksi.
Ulkoisten tietojenkäsittelijöiden sopimukset
Varman tulee varmistaa alihankkijoidensa henkilötietojen käsittelyn asetuksenmukaisuus. Ulkoisten palveluntarjoajien kanssa henkilötietojen käsittelystä sovitaan kirjallisella sopimuksella. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi työeläkejärjestelmän palveluja tuottava yhteisö, tietojärjestelmien toimittaja tai pilvipalveluiden tarjoaja. Vanhoihin sopimuksiin liitetään asetuksen vaatimat muutokset joko päivittämällä sopimuksia tai liittämällä asetuksen vaatimukset sopimussuhteeseen erillisellä selventävällä lausumalla.
Varma viestii jatkossakin EU-tietosuoja-asetuksen toimeenpanon etenemisestä
Asetuksen liittyy paljon kansallista lainsäädäntöä ja ohjeistoa, joiden valmistelu suurelta osin vielä kesken. Eri palasista koostuvan sääntelyn on valmistuttava nopealla aikataululla, jotta kaikki olisi valmista toukokuussa 2018. Toimeenpanon edistymistä voi seurata jatkossakin Varman blogeista ja uutisista.