EU-tietosuoja-asetuksen (GDPR) soveltaminen alkoi toukokuussa 2018. Tässä kirjoituksessa esitän joitain huomioita siitä, mitä GDPR on tuonut mukanaan Varman ja työeläkevakuuttamisen näkökulmasta.
GDPR:n keskeisenä tavoitteena oli luoda pelisäännöt digitaalisten palveluiden markkinoille ja lisätä ihmisten mahdollisuuksia hallita omia tietojaan nykyisessä tiedonkeruun kulttuurissa. Tästä syystä GDPR vaikutti erityisesti kaupallisiin toimijoihin. Sääntely tulikin oikeaan aikaan, koska tiedon markkina-arvo kasvaa koko ajan käsittely- ja analysointitekniikan kehityttyä merkittävästi. Tiedolla johtaminen on päivän sana, mutta se hakee vielä muotoaan eri aloilla.
GDPR edellyttää yrityksiltä tietosuojan korkean tason varmistamista teknisin ja hallinnollisin toimenpitein. Korkean riskin uhkatilanteista tulee ilmoittaa Tietosuojavaltuutetulle ja rekisteröidyille. Yksityisyyden suoja ja luottamuksellisuus ovat olleet perinteisesti työeläkealan fokuksessa, ja siksi GDPR:n vaikutus on ollut tältä osin rajallisempaa kuin monilla muilla aloilla. Varmuutta tietosuojan toteutumiseen on kuitenkin tuonut se, että GDPR-aikana tietosuoja on otettu systemaattisesti osaksi kehittämisen ja tietoarkkitehtuurin johtamista.
Suomessa erityisesti terveystietojen käsittely nousee ajoittain keskusteluun, mutta sitä säännellään nykyään GDPR:ssä ja kansallisessa lainsäädännössä vähintään yhtä tiukasti kuin aikaisemminkin. Anonyymi tieto ei sen sijaan ole henkilötietoa. Eri tietokantojen tietojen yhdisteleminen anonyymisti tarjoaa myös välineen tehdä nykyistä ymmärrettävämmiksi vakuutettujen työkykyyn vaikuttavia syy- ja seuraussuhteita.
GDPR:n mukaan rekisterinpitäjän on pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä. Tämä edellyttää melko massiivista dokumentointia, raportointia ja ohjeistusta. Varmassa pidämme tätä kuitenkin hyvänä, koska näin toimien tietosuojatyö on systemaattista. Samalla saamme tietosuojan ja -turvan toteutumisesta seurantatietoa. Tämän avulla voimme kehittää toimintaa edelleen ja seurata korjaavien toimenpiteiden vaikuttavuutta.
GDPR sääntelee rekisterinpitäjän (controller) ja henkilötietojen käsittelijän (processor) välisiä suhteita ja vastuita. Tätä on pidettävä tietosuojan kannalta hyvänä ja selkeyttävänä. GDPR:n sääntelyn pohjalta olemme varmistaneet käsittelijöiden tietosuojan ja -turvan riittävyyttä sopimusten ja yhteistyökäytäntöjen avulla.
GDPR velvoittaa rekisterinpitäjiä tarjoamaan selkeän ja kattavan informaation henkilötietojen käsittelyn kokonaisuudesta. Tämä on tuonut selkeän parannuksen entisiin henkilötietolain mukaisiin rekisteriselosteisiin nähden. Henkilöasiakkaillemme tarjoamme verkkosivuillamme asiakasrooleittain esitetyn informaation siitä, mihin tarkoituksiin ja missä laajuudessa henkilötietoja käsitellään. Tietojen kerääminen ja käsittely perustuu ensisijaisesti Varman lakisääteiseen tehtävään työeläketurvan toimeenpanijana. Verkkosivuilla kerromme myös siitä, miten henkilöasiakkaamme voi toteuttaa GDPR:n mukaisia oikeuksiaan.
Pari poimintaa ratkaisua tai kehittämistä vaativista asioista
GDPR sääntelee ns. automaattista päätöksentekoa, mutta kysymys on oikeudellisesti laajempi. Aiheesta on käyty julkistakin keskustelua lähinnä verottajan ja Kelan osalta. Valtiovallalla näyttää olevan melko selkeä tahtotila siitä, että automaattinen päätöksenteko tulee mahdollistaa lain keinoin ja asia on parhaillaan selvitettävänä hyvän hallinnon ja oikeusturvan näkökulmasta. Automaation sääntely on ensiarvoisen tärkeää myös työeläkkeiden osalta, koska työeläkevaroja tulee käyttää mahdollisimman tehokkaasti.
Yksityiset työeläkeyhtiöt tekevät tiivistä yhteistyötä julkisten toimijoiden, kuten Kelan, Veron ja tulorekisterin kanssa. Kansallisen tietosuojalain mukaan viranomainen ei kuulu GDPR:n hallinnollisen seuraamusmaksun piiriin. Lain esitöissä tätä perustellaan virkamiehen virkavastuulla ja sillä, että viranomaisia sitoo hallinnon lainmukaisuusperiaate ja hallinnon yleislait. Koska viranomaisia ei voida sakottaa, se voi näyttäytyä erilaisena riskinottona yksityisen ja julkisen toimijan yhteistyössä.
Työeläkeyhtiö siis on sanktioiden piirissä ja joutuu vastaamaan rekisterinpitäjänä henkilötietojen käsittelystä myös viranomaisyhteistyössä. GDPR sinänsä tarjoaa selkeät raamit julkisen ja yksityisen toimijan yhteistyölle. Rekisterinpitäjien ja käsittelijöiden velvoitteet jäävät kuitenkin epäselviksi, jos niistä ei ole sovittu selviä pelisääntöjä. Lisäksi pitäisi tiedostaa ja vahvistaa, että joskus kukin osapuoli voi olla riippuen käsiteltävästä henkilötiedosta sekä rekisterinpitäjä että käsittelijä. Tietosuojalain hallituksen esityksessä todetaan, että tietosuojalain täytäntöönpanoa seurataan ja hallinnollista seuraamusmaksua koskevaa sääntelyratkaisua arvioidaan tarpeen mukaan uudelleen. Tällainen uudelleenarviointi voisi hyvinkin olla tarpeellinen.
Henkilötietojen käsittely Varmassa
Varmassa on käytössä EU-tietosuoja-asetuksen edellyttämät selosteet käsittelytoimista sekä rekisteröidyn informoinnista. Kerromme selosteilla siitä, miten Varma käsittelee toiminnassaan mm. asiakkaidensa henkilötietoja, minkä perusteen nojalla käsittelemme tietoja, mitä tietoja käsittelemme, kauanko tietoja säilytetään ja kenelle tietoja luovutetaan ja miten käsittelyn turvallisuudesta on huolehdittu.