Siirry sisältöön

GDPR – paljon hyvää, mutta myös kehitettävää

17.01.2020
vakuuttaminen
eläketurva
asiakaspalvelu
Blogi

EU-tietosuoja-asetuksen (GDPR) soveltaminen alkoi toukokuussa 2018. Tässä kirjoituksessa esitän joitain huomioita siitä, mitä GDPR on tuonut mukanaan Varman ja työeläkevakuuttamisen näkökulmasta.

GDPR:n keskeisenä tavoitteena oli luoda pelisäännöt digitaalisten palveluiden markkinoille ja lisätä ihmisten mahdollisuuksia hallita omia tietojaan nykyisessä tiedonkeruun kulttuurissa. Tästä syystä GDPR vaikutti erityisesti kaupallisiin toimijoihin. Sääntely tulikin oikeaan aikaan, koska tiedon markkina-arvo kasvaa koko ajan käsittely- ja analysointitekniikan kehityttyä merkittävästi. Tiedolla johtaminen on päivän sana, mutta se hakee vielä muotoaan eri aloilla.

GDPR edellyttää yrityksiltä tietosuojan korkean tason varmistamista teknisin ja hallinnollisin toimenpitein. Korkean riskin uhkatilanteista tulee ilmoittaa Tietosuojavaltuutetulle ja rekisteröidyille. Yksityisyyden suoja ja luottamuksellisuus ovat olleet perinteisesti työeläkealan fokuksessa, ja siksi GDPR:n vaikutus on ollut tältä osin rajallisempaa kuin monilla muilla aloilla. Varmuutta tietosuojan toteutumiseen on kuitenkin tuonut se, että GDPR-aikana tietosuoja on otettu systemaattisesti osaksi kehittämisen ja tietoarkkitehtuurin johtamista.

Suomessa erityisesti terveystietojen käsittely nousee ajoittain keskusteluun, mutta sitä säännellään nykyään GDPR:ssä ja kansallisessa lainsäädännössä vähintään yhtä tiukasti kuin aikaisemminkin. Anonyymi tieto ei sen sijaan ole henkilötietoa. Eri tietokantojen tietojen yhdisteleminen anonyymisti tarjoaa myös välineen tehdä nykyistä ymmärrettävämmiksi vakuutettujen työkykyyn vaikuttavia syy- ja seuraussuhteita.

GDPR:n mukaan rekisterinpitäjän on pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä. Tämä edellyttää melko massiivista dokumentointia, raportointia ja ohjeistusta. Varmassa pidämme tätä kuitenkin hyvänä, koska näin toimien tietosuojatyö on systemaattista. Samalla saamme tietosuojan ja -turvan toteutumisesta seurantatietoa. Tämän avulla voimme kehittää toimintaa edelleen ja seurata korjaavien toimenpiteiden vaikuttavuutta.

GDPR sääntelee rekisterinpitäjän (controller) ja henkilötietojen käsittelijän (processor) välisiä suhteita ja vastuita. Tätä on pidettävä tietosuojan kannalta hyvänä ja selkeyttävänä. GDPR:n sääntelyn pohjalta olemme varmistaneet käsittelijöiden tietosuojan ja -turvan riittävyyttä sopimusten ja yhteistyökäytäntöjen avulla.

GDPR velvoittaa rekisterinpitäjiä tarjoamaan selkeän ja kattavan informaation henkilötietojen käsittelyn kokonaisuudesta. Tämä on tuonut selkeän parannuksen entisiin henkilötietolain mukaisiin rekisteriselosteisiin nähden. Henkilöasiakkaillemme tarjoamme verkkosivuillamme asiakasrooleittain esitetyn informaation siitä, mihin tarkoituksiin ja missä laajuudessa henkilötietoja käsitellään. Tietojen kerääminen ja käsittely perustuu ensisijaisesti Varman lakisääteiseen tehtävään työeläketurvan toimeenpanijana. Verkkosivuilla kerromme myös siitä, miten henkilöasiakkaamme voi toteuttaa GDPR:n mukaisia oikeuksiaan.

Pari poimintaa ratkaisua tai kehittämistä vaativista asioista

GDPR sääntelee ns. automaattista päätöksentekoa, mutta kysymys on oikeudellisesti laajempi. Aiheesta on käyty julkistakin keskustelua lähinnä verottajan ja Kelan osalta. Valtiovallalla näyttää olevan melko selkeä tahtotila siitä, että automaattinen päätöksenteko tulee mahdollistaa lain keinoin ja asia on parhaillaan selvitettävänä hyvän hallinnon ja oikeusturvan näkökulmasta. Automaation sääntely on ensiarvoisen tärkeää myös työeläkkeiden osalta, koska työeläkevaroja tulee käyttää mahdollisimman tehokkaasti.

Yksityiset työeläkeyhtiöt tekevät tiivistä yhteistyötä julkisten toimijoiden, kuten Kelan, Veron ja tulorekisterin kanssa. Kansallisen tietosuojalain mukaan viranomainen ei kuulu GDPR:n hallinnollisen seuraamusmaksun piiriin. Lain esitöissä tätä perustellaan virkamiehen virkavastuulla ja sillä, että viranomaisia sitoo hallinnon lainmukaisuusperiaate ja hallinnon yleislait. Koska viranomaisia ei voida sakottaa, se voi näyttäytyä erilaisena riskinottona yksityisen ja julkisen toimijan yhteistyössä.

Työeläkeyhtiö siis on sanktioiden piirissä ja joutuu vastaamaan rekisterinpitäjänä henkilötietojen käsittelystä myös viranomaisyhteistyössä. GDPR sinänsä tarjoaa selkeät raamit julkisen ja yksityisen toimijan yhteistyölle. Rekisterinpitäjien ja käsittelijöiden velvoitteet jäävät kuitenkin epäselviksi, jos niistä ei ole sovittu selviä pelisääntöjä. Lisäksi pitäisi tiedostaa ja vahvistaa, että joskus kukin osapuoli voi olla riippuen käsiteltävästä henkilötiedosta sekä rekisterinpitäjä että käsittelijä. Tietosuojalain hallituksen esityksessä todetaan, että tietosuojalain täytäntöönpanoa seurataan ja hallinnollista seuraamusmaksua koskevaa sääntelyratkaisua arvioidaan tarpeen mukaan uudelleen. Tällainen uudelleenarviointi voisi hyvinkin olla tarpeellinen.

Heikki Kotila
Heikki Kotila
Johtava vakuutuslakimies, tietosuojavastaava
var disqus_shortname = 'varmafi'; var disqus_identifier = '7a7befcd-7f68-4b1d-b4c2-53b7d8b6dca4' + '-' + 'fi'; var disqus_title = 'GDPR – paljon hyvää, mutta myös kehitettävää'; var disqus_url = 'https://www.varma.fi/muut/blogi/postaukset/2020-q1/gdpr--paljon-hyvaa-mutta-myos-kehitettavaa/'; var disqus_config = function () { this.language = 'fi'; }; (function () { var dsq = document.createElement('script'); dsq.type = 'text/javascript'; dsq.async = true; dsq.src = '//' + disqus_shortname + '.disqus.com/embed.js'; (document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(dsq); })();
(function (w, d, s, l, i) { w[l] = w[l] || []; w[l].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' }); var f = d.getElementsByTagName(s)[0], j = d.createElement(s), dl = l != 'dataLayer' ? '&l=' + l : ''; j.async = true; j.src = '//www.googletagmanager.com/gtm.js?id=' + i + dl; f.parentNode.insertBefore(j, f); })(window, document, 'script', 'dataLayer', 'GTM-MJL5CR'); (function(w, t, f) { var s='script',o='_giosg',h='https://service.giosg.com',e,n;e=t.createElement(s);e.async=1;e.src=h+'/live/'; w[o]=w[o]||function() {(w[o]._e=w[o]._e||[]).push(arguments)} ;w[o]._c=f;w[o]._h=h;n=t.getElementsByTagName(s)[0];n.parentNode.insertBefore(e,n); })(window,document,3860); (function(h,o,t,j,a,r){ h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)}; h._hjSettings={hjid:928553,hjsv:6}; a=o.getElementsByTagName('head')[0]; r=o.createElement('script');r.async=1; r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv; a.appendChild(r); })(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv='); var _paq = _paq || []; /* tracker methods like "setCustomDimension" should be called before "trackPageView" */ _paq.push(["setCookieDomain", "*.varma.fi"]); _paq.push(["setDomains", ["*.varma.fi"]]); _paq.push(['trackPageView']); _paq.push(['enableLinkTracking']); (function() { var u="//piwik.varma.fi/piwik/"; _paq.push(['setTrackerUrl', u+'piwik.php']); _paq.push(['setSiteId', '1']); var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0]; g.type='text/javascript'; g.async=true; g.defer=true; g.src=u+'piwik.js'; s.parentNode.insertBefore(g,s); })();