EU:n tietosuoja-asetus tuo uutta työeläkealalle

EU-alueen tietosuojasääntelyn uudistus vaikuttaa työeläkealaan. Käytännöt saatava valmiiksi siirtymäajassa.

Teksti: Kimmo Kontio

Piirros: Jouko Ollikainen

Tietosuoja-asetus aiheuttaa rekisterinpitäjille ja henkilötietoja käsitteleville tahoille uusia velvollisuuksia ja vastuita. Sen soveltamiseen on annettu kahden vuoden siirtymäaika. Ensi vuoden toukokuuhun mennessä valmiudet tulee saattaa vaaditulle tasolle myös työeläkealalla. Siirtymäaika päättyy 25. toukokuuta 2018.

– Nyt valmistaudutaan kuumeisesti asetuksen vaatimuksiin ja vaikutuksiin Eläketurvakeskuksen ja eläkevakuuttajien yhteisessä juristiryhmässä sekä alan yhteisessä tietoturvaryhmässä, kertoo rekisteripalveluosaston yhteyspäällikkö Jussi Välimaa Eläketurvakeskuksesta.

Digitalisaatio sujuvoittaa monia työvaiheita ja tietojenkäsittelyä. Mutta sen kääntöpuolena ovat lisääntyneet tietoturvauhat ja toteutuneet rikkomukset.

– Ne ovat osaltaan vauhdittaneet EU:ssa jo 2009 aloiteltua tietosuoja-asetuksen säätämistä, kertoo asiaan Eläketurvakeskuksen lakiosastolla paneutunut lakimies Rolf Storsjö.

Valmistelutyötä tuottaa myös työeläkelakien läpikäyminen, mutta tarpeettomia kustannuksia ja turhaa työtä halutaan välttää. Työeläkkeiden hoitamisessa ITC-kulut ja siihen liittyvänä rekisteritiedon hallinnointi muodostavat suurimmat kuluerät.

Tietosuoja-asetus vaatii työeläkejärjestelmän runsaiden henkilötietojen takia erityisen tietosuojavastaavan nimeämistä. Tietoturvan pettäminen aiheuttaisi itsessään työeläkevakuuttajalle vakavia seurauksia. Uudet hallinnolliset sanktiot voivat tuottaa lisää tappiota, koska enimmillään sakko voi olla joko 20 miljoonaa euroa tai neljä prosenttia liikevaihdosta sen mukaan kumpi on suurempi.

Jatkossa on pystyttävä osoittamaan valvontaviranomaisille, että asetusta noudatetaan.

– Enää ei siis riittäisi, että tietosuojaa noudatetaan säädösten ja ohjeiden mukaisesti, vaan on pystyttävä osoittamaan, että tietosuoja on asetuksen vaatimalla tasolla, tiivistävät tietosuoja-asetuksen vaikutuksia työeläkealalle selvitelleet Storsjö ja Välimaa.

Rekisteröityä henkilöä on informoitava tietojen käsittelystä tiiviissä, ymmärrettävässä ja saatavilla olevassa muodossa. Lisäksi täytyy näyttää, mihin tietoja luovutetaan.

– Tietosuojan toteuttamisesta tulee täten läpinäkyvämpää sekä rekisteröidylle että valvontaviranomaiselle, Jussi Välimaa toteaa.

Eläkeyhtiö Ilmarisen lakimies Antti­pekka Murhun mukaan Ilmarisessa selvitetään parhaillaan, missä kaikissa yhteyksissä ja millaisia henkilötietoja käsitellään.

Tällä selvittelyllä luodaan henkilötietojen käsittelytoiminnalle kivijalka, jonka varaan asetuksen vaatimukset täyttävät toimintatavat rakentuvat.

Näin eläkeyhtiö pystyy tarvittaessa osoittamaan henkilötietojen lainmukaisen käsittelyn.