Tervetuloa tietosuoja-asetus!
Toukokuun 25. päivä lähenee vauhdilla. Se on hyvä, sillä silloin alkaa vihdoin EU:n tietosuoja-asetuksen soveltaminen. Erikokoiset yritykset ovat jo pitkään perusteellisesti valmistautuneet asetuksen tuloon. Työeläkevakuuttajat ovat yhdessä päivittäneet Eläketurvakeskuksen johdolla työeläkealaa koskevaa ohjeistusta.
Kasvavien tietomassojen hallinnan tarve epävakaassa maailmassa on oleellisempaa kuin koskaan. EU:n tietosuoja-asetus onkin tervetullut, vaikka sitä voi myös edelleen kritisoida oikeudellisen epävarmuuden lisäämisestä ja sitä kautta hallinnollisen taakan aiheuttamisesta yrityksille.
Työeläkeala on suuri toimija myös henkilötietojen käytössä. Työeläkkeet ovat lakisääteisiä sosiaaliturvaetuuksia, joiden myöntämisperusteista säädetään laissa. Pääsääntöisesti henkilötietojen käsittely sosiaaliturvan toimeenpanossa perustuu lakiin. Jos henkilötietojen käsittelystä ei ole säädöstä, käsittely voi perustua esimerkiksi suostumukseen.
Eduskunnalle on juuri annettu hallituksen esitys sosiaaliturva- ja vakuutuslainsäädännön muuttamiseksi tietosuoja-asetuksen johdosta (HE 52/2018). Esityksessä ehdotetaan sosiaaliturva- ja vakuutuslainsäädäntöön muutoksia, jotka johtuvat tietosuoja-asetuksesta, kuten tietosuoja-asetusta tarkentavia säännöksiä ja joitakin välttämättömiä poikkeuksia tietosuoja-asetuksen velvoitteista. Lakimuutosten on tarkoitus tulla voimaan samana päivänä kuin tietosuoja-asetusta aletaan soveltaa.
Kansallisella sääntelyllä automatisoituja päätöksiä
Sosiaaliturva- ja vakuutuslainsäädäntöön ehdotetaan lisättäväksi muun muassa säännökset automaattisten päätösten antamisesta. Kansallisella sääntelyllä siis mahdollistetaan se, että vakuutuslaitokset voivat tehdä automatisoituja päätöksiä muutenkin, kuin rekisteröidyn nimenomaisella suostumuksella.
”Päätösten automatisointi ei saa muuttaa päätöksenteosta vastuussa olevaa tahoa.”
Työeläkevakuutuksessa on kyse julkisen hallintotehtävän hoitamisesta, joten vakuuttajan on otettava huomioon hyvän hallinnon vaatimukset ja erityislainsäädännössä olevat menettelysäännökset. Hallintolaki muun muassa edellyttää, että vakuuttajan on perusteltava päätöksensä ja huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä. Päätösten automatisointi ei saa muuttaa päätöksenteosta vastuussa olevaa tahoa.
Työeläkeala pitää säännöstä perusteltuna, sillä se huomioi järkevästi digitalisoituvan yhteiskunnan vaateet ja mahdollistaa asiakkaita hyödyttävien teknisten ratkaisujen ja sähköisten menettelytapojen kehittämisen tulevaisuudessa myös lakisääteisen työeläketurvan toimeenpanossa.
Terveydentilaa koskevat tiedot
Automaattisten päätösten tekeminen olisi tietyin edellytyksin mahdollista myös silloin, kun päätökset perustuvat niin sanotusti arkaluonteisiin tietoihin, esimerkiksi terveydentilaa koskeviin tietoihin. Tämä on tietosuoja-asetuksen mukaan mahdollista vain silloin, kun käsittely perustuu rekisteröidyn suostumukseen tai on tarpeen yleistä etua koskevasta syystä. Ratkaisutoiminnan kannalta välttämättömien vakuutetun ja etuudenhakijan terveydentilaa koskevien tietojen käsittely ja arviointi ovat vakuutustoiminnan keskiössä ja vakuutuslaitoksissa tarpeen tärkeästä yleistä etua koskevasta syystä.
Eduskunnan käsitellyssä olevaan uuteen tietosuojalakiin (HE 9/2018) on tämän johdosta otettu säännös vakuutuslaitosten oikeudesta terveydentilatietojen käsittelyyn nykyisen oikeustilan mukaisesti (6 §). Tämä mahdollistaa myös terveydentilaa koskeviin tietoihin perustuvat automaattiset päätökset, kun käsittely tapahtuu edellä mainitun tietosuojalain säännöksen nojalla ja automaattisten päätösten tekemiselle ei ole muuta estettä. Tällainen este voi olla esimerkiksi lainsäännös, joka edellyttää laillistetun lääkärin osallistumista lääketieteellisiä kysymyksiä sisältävän asian valmisteluun.
Terveydentilatietoja käsiteltäessä ja niihin perustuvia automaattisia päätöksiä tehtäessä rekisterinpitäjän ja henkilötietojen käsittelijän on tietosuoja-asetuksen mukaan noudatettava aina asianmukaisia ja erityisiä toimenpiteitä rekisteröityjen oikeuksien suojaamiseksi. Suomessa kansallisen eläkelainsäädännön voidaan katsoa sisältävän tällaiset asianmukaiset toimenpiteet, sillä eläkevakuutustoiminta on valvottua ja yksityiskohtaisesti säänneltyä. Rekisteröidyn oikeuksia turvataan laissa olevien menettely- ja muutoksenhakusäännösten nojalla. Muutoksenhaussa automaattisen päätöksen saaneella on siten aina oikeus saattaa päätöksen lainmukaisuus ihmisen tutkittavaksi.
Tavoitteena valvottu ja läpinäkyvä toiminta
Finanssivalvonta (Fiva) valvoo työeläkevakuutusta hoitavien yksityisten työeläkevakuuttajien menettelytapojen asianmukaisuutta. Myös Fiva seuraa tietosuojasääntelyn muutosta ja valvottavien valmistautumista. Fivalle kuuluu omassa roolissaan tietosuojan kohteena oleviin tietoihin liittyviä asioita eri näkökulmasta kuin tietosuojavaltuutetulle. Fivalle on keskeistä, että tietojen luovutus on hoidettu toimialalla lainmukaisesti ja isot riskit tietojen siirtymisessä liittyvässä tiedonhallinnassa on huomioitu.
Loppujen lopuksi tietosuoja-uudistuksessa on keskeistä, että rekisterinpito on läpinäkyvää ja rekisteröity saa kaiken sen informaation tietojensa käsittelystä, joka hänelle kuuluu. Jatkossa myös työeläkealan toimijat tulevat antamaan henkilöasiakkailleen tiiviisti esitettynä yhä selkeämpää ja ymmärrettävämpää tietoa siitä, miten heidän tietojaan käsitellään ja miksi.
Eikä tietojen suojaamista koskevan EU-sääntelyn tulo tähän lopu. Parhaillaan neuvosto neuvottelee komission ehdotuksesta sähköisen viestinnän tietosuoja-asetukseksi, jolla on tarkoitus suojata kaikkea sähköisen viestinnän luottamuksellisuutta, tapahtuipa se sitten koneiden (IoT) tai ihmisten välillä.
Kommentit