Tietosuoja-asetukseen valmistautuminen on useimmissa yrityksissä jo pitkällä, kun tietosuoja-asetuksen soveltaminen alkaa ensi keväänä, 25.5.2018. Asetuksen toimeenpanon haasteet eri toimijoilla vaihtelevat riippuen siitä onko toiminta puhtaasti kaupallista vai lakisääteistä tai jotain siltä väliltä.
Kun työntekijän eläkelain mukainen vakuutus perustuu sopimukseen, Varman asiakasyrityksiltä on tullut kysymyksiä siitä, edellyttääkö tietosuoja-asetus jotain uusia velvoitteita tai lisätoimia suhteessa Varmaan.
Varma huolehtii tietosuoja-asetuksen noudattamisesta asiakkaidensa henkilötietojen käsittelyssä
Varman asiakasyrityksen ei tarvitse tehdä mitään lisätoimia työeläkevakuuttamista koskevien henkilötietojen osalta.
Varma huolehtii lakisääteisen työeläketurvan toimeenpanijana tietosuoja-asetuksen vaatimusten täyttämisestä asiakasyritystensä vakuutettujen ja eläkkeensaajien henkilötietojen käsittelyssä. Asiakasyritykseltä ei siten edellytetä mitään uusia sopimuksia, dokumentteja tai muita eläkevakuutukseen liittyviä toimia tietosuoja-asetuksen vaatimusten täyttämiseksi.
Työntekijän eläkelain mukainen vakuutus perustuu vakuutussopimukseen. Sopimuksen perusteella työnantaja siirtää vakuutusmaksua vastaan riskin työeläkevakuutuksen toimeenpanosta ja eläkevarojen hoitamisesta työeläkevakuutusyhtiölle. Tietosuoja-asetuksen perusteella työeläkevakuutusyhtiö on rekisterinpitäjä, koska sen käsittelyn tarkoitukset on määritelty Suomen lainsäädännössä. Myös Varman asiakasyritys toimii rekisterinpitäjänä, mutta vakuutussopimuksen myötä eläketurvan järjestämiseen liittyvä henkilötietojen käsittely on siirtynyt Varmalle, joka on taas lakisääteisen työeläketurvan toimeenpanijana asetuksen tarkoittama rekisterinpitäjä.
Varma vastaa myös alihankkijoidensa henkilötietojen käsittelystä
Varman asema ja tehtävä yksityisenä työeläkevakuuttajana ovat lakisääteisiä ja se hoitaa työeläketurvaa ja siihen liittyviä henkilötietoja itsenäisenä rekisterinpitäjänä. Siltä osin kuin Varma on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä, se hallinnoi alihankintasuhteen lainmukaisuutta sopimusperusteisesti. Tällaisia sopimuksia ovat tyypillisesti esimerkiksi ICT-sopimukset. Alihankkijan eli EU-asetuksen termein "Käsittelijän" toiminnasta säädetään myös asetuksessa. Varman ja sen asiakkaiden näkökulmasta tietosuoja-asetus tarjoaa rekisterinpitäjälle välineen hallita henkilötietojen käsittelyä säännösten mukaisesti myös alihankintasuhteissa. Varma vastaa asiakasyrityksen henkilötietojen käsittelyssä alihankkijoidensa toiminnasta kuin omastaan.
- Lue Varman tietosuojavastaavan Heikki Kotilan blogi: Varma valmistautuu EU-tietosuoja-asetukseen