De flesta företag har redan länge förberett sig på dataskyddsförordningen när den börjar tillämpas i vår, 25.5.2018. Vilka utmaningar de olika aktörerna har vid genomförandet av förordningen beror på om deras verksamhet är rent kommersiell eller lagstadgad eller något mitt emellan.
I och med att försäkringar enligt lagen om pension för arbetstagare grundar sig på avtal har frågor kommit in från Varmas kundföretag om huruvida dataskyddsförordningen förutsätter några nya förpliktelser eller åtgärder i förhållande till Varma.
Varma ser till att dataskyddsförordningen följs vid behandlingen av kundernas personuppgifter
Varmas kundföretag behöver inte vidta några särskilda åtgärder i fråga om de personuppgifter som gäller arbetspensionsförsäkring.
I egenskap av verkställare av det lagstadgade arbetspensionsskyddet ser Varma till att de krav som dataskyddsförordningen ställer uppfylls vid behandlingen av de försäkrades och pensionstagarnas personuppgifter. Av kundföretagen förutsätts alltså inte några nya avtal, dokument eller andra åtgärder i samband med pensionsförsäkring för att uppfylla de krav som dataskyddsförordningen ställer.
En försäkring enligt lagen om pension för arbetstagare grundar sig på ett försäkringsavtal. Enligt avtalet överför arbetsgivaren mot försäkringsavgiften risken i verkställandet av arbetspensionsförsäkringen och förvaltningen av pensionsmedlen till arbetspensionsförsäkringsbolaget. Med stöd av dataskyddsförordningen är arbetspensionsförsäkringsbolaget registerförare eftersom ändamålen med behandlingen av uppgifter i registret fastställs i Finlands lagstiftning. Även Varmas kundföretag fungerar som registerförare men genom försäkringsavtalet har behandlingen av personuppgifter i anslutning till ordnandet av pensionsskyddet övergått till Varma, som i sin tur är en i förordningen avsedd registerförare i egenskap av verkställare av det lagstadgade pensionsskyddet.
Varma ansvarar även för behandlingen av sina underleverantörers personuppgifter
Varmas ställning och uppgift som ett privat arbetspensionsförsäkringsbolag är lagstadgade och bolaget sköter arbetspensionsskyddet och därtill anslutna personuppgifter som en självständig registerförare. Till den del Varma har lagt ut uppdrag i samband med behandlingen av personuppgifter övervakar Varma lagligheten i underleverantörsförhållandet i enlighet med avtalet. Till exempel ICT-avtalen är typiska sådana avtal. I förordningen regleras även underleverantörens, eller med EU-förordningens term ”Behandlarens”, verksamhet. Ur Varmas och dess kunders perspektiv ger dataskyddsförordningen registerföraren ett redskap för att administrera behandlingen av personuppgifter enligt bestämmelserna även i underleverantörsförhållanden. I behandlingen av kundföretagens personuppgifter svarar Varma för sina underleverantörers verksamhet på samma sätt som för sin egen verksamhet.