Tässä ohjeessa mainituista rekisterinpitäjän velvollisuuksista löytyy tarkempaa tietoa tietosuojavaltuutetun sivuilta.
Sisäänrakennettu ja oletusarvoinen tietosuoja
Eläkelaitoksen on rekisterinpitäjänä huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa.
Oletusarvoisen tietosuojan periaate merkitsee, että rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
Osoitusvelvollisuus
Eläkelaitoksen on osoitettava, että se noudattaa tietosuoja-asetusta henkilötietoja käsitellessään.
Osoitusvelvollisuus edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. Osoitusvelvollisuuden toteuttamiseksi rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että asetusta noudatetaan.
Seloste käsittelytoimista
Eläkelaitoksen ja henkilötietojen käsittelijän on ylläpidettävä selostetta sen vastuulla olevista käsittelytoimista, jotta voidaan osoittaa, että ne ovat asetuksen mukaisia. Selosteen on oltava kirjallisessa, myös sähköisessä, muodossa.
Eläkelaitoksen tai henkilötietojen käsittelijän on pyydettäessä saatettava seloste valvontaviranomaisen saataville. Seloste on keskeinen osa osoitusvelvollisuuden toteuttamisessa.
Vaikutustenarviointi
Kun henkilötietojen käsittelyyn todennäköisesti kohdistuu korkea riski, on eläkelaitoksen tehtävä tietosuojaa koskeva vaikutustenarviointi. Riskin tasoa arvioitaessa on otettava huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.
Vaikutustenarviointi on tehtävä erityisesti silloin, kun otetaan käyttöön uutta teknologiaa taikka, kun käsitellään laajamittaisesti erityisiin henkilötietoryhmiin kuuluvia tietoja. Tietosuojaa koskeva vaikutustenarviointi olisi aloitettava mahdollisimman aikaisin käsittelytoimien suunnitteluvaiheessa. Vaikutustenarviointi on kuitenkin jatkuva prosessi, ei kertaluontoinen tehtävä.
Henkilötietojen käsittelijä työeläkejärjestelmässä
Eläkelaitoksen on mahdollista ulkoistaa henkilötietojen käsittelyyn liittyviä tehtäviä henkilötietojen käsittelijälle. Henkilötietojen käsittelijä toimii eläkelaitoksen lukuun.
Henkilötietojen käsittelijän on annettava riittävät takeet siitä, että sen suorittama henkilötietojen käsittely täyttää tietosuoja-asetuksen vaatimukset. Henkilötietojen käsittelijä voi osoittaa rekisterinpitäjälle täyttävänsä tietosuoja-asetuksen vaatimukset noudattamalla asetuksen mukaisia hyväksyttyjä käytännesääntöjä tai hyväksyttyä sertifiointimekanismia.
Asetuksen myötä vahingonkorvausvastuu ja hallinnolliset sakot voivat kohdistua myös suoraan käsittelijään. Vahingonkorvauskanne voi kohdistua suoraan käsittelijään riippumatta sopimuksessa sovitusta vastuunjaosta.
Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman eläkelaitoksen erityistä tai yleistä kirjallista lupaa.
Työeläkejärjestelmässä henkilötietojen käsittelijä on muun muassa Arek Oy.
Tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
Eläkelaitoksen on rekisterinpitäjänä tehtävä loukkausta koskeva ilmoitus valvontaviranomaiselle mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta. Eläkelaitos voi jättää ilmoituksen tekemättä ainoastaan, mikäli loukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Eläkelaitos tulee tietoiseksi tietoturvaloukkauksesta silloin, kun henkilötietojen käsittelijä ilmoittaa loukkauksesta eläkelaitokselle.
Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä loukkauksen tietoonsa saatuaan.
Velvollisuus toteuttaa rekisteröidyn oikeudet
Rekisterinpitäjän velvollisuutena on toteuttaa rekisteröidyn oikeudet. Rekisteröidyn oikeudet on otettava huomioon henkilötietojen käsittelyyn liittyvien prosessien ja tietojärjestelmien suunnittelussa siten, että oikeudet on toteutettavissa käytännössä.
Tietosuojavastaava
Eläkelaitoksen ja henkilötietojen käsittelijän on varmistuttava siitä, onko organisaatioon nimitettävä tietosuojavastaava.
Velvollisuus tietosuojavastaavan nimittämiseen tulee kyseeseen kun
- Kyse on julkisen sektorin toimijasta, joka ei ole tuomioistuin
- Organisaation ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
- Organisaation ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin
Tietosuojavastaavan tehtävänä on muun muassa
- Seurata henkilötietojen käsittelyn lainmukaisuutta
- Auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet
- Toimia valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä
Työeläkejärjestelmän toimijoiden on nimitettävä tietosuojavastaava, koska työeläketurvan toimeenpano edellyttää jatkuvaa henkilötietojen käsittelyä, myös arkaluonteisten henkilötietojen käsittelyä sekä rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.