Tietosuojaseloste

Euroopan unionin yleisen tietosuoja-asetuksen ((EU) 2016/679, ”GDPR”) mukainen 

TIETOSUOJASELOSTE
(päivitetty ja voimassa alkaen 26.2.2024)

1. Rekisterinpitäjä ja henkilötietojen käsittelyn yhteyshenkilö

Reka eläkekassa (2726149-7, ”Reka ek”)
Kalevankatu 13
00100 Helsinki

Toimitusjohtaja Mika Mäkinen
Sähköposti: etunimi.sukunimi(at)rekaek.fi

2. Tietosuojavastaava

Erkka Pälä
Postiosoite kuten edellä
Sähköposti: etunimi.sukunimi(at)rekaek.fi

3. Rekisterin nimi

Reka ek:ssa työeläkevakuutettujen työntekijöiden, työeläkkeenhakijoiden ja Reka ek:sta työeläketurvaetuuksia saavien (”vakuutettu”, ”vakuutetut”, ”rekisteröity” tai ”rekisteröidyt”) rekisteri

4. Rekisterinpitäjän toiminta ja henkilötietojen käsittelyn oikeusperuste

Reka ek:n toiminta ja tehtävät koostuvat lakisääteisten työeläkevakuutusten hoitamisesta, lakisääteisten työeläketurvaetuuksien (”eläke”, ”eläkkeet”) myöntämisestä ja hoitamisesta sekä muista Reka ek:n vastuulle asetuista lakisääteisistä tehtävistä.

Reka ek:n toimintaa ja tehtäviä määrittävät ja ohjaavat keskeisesti työntekijän eläkelaki (395/2006, ”TyEL”), työntekijän eläkelain voimaanpanolaki (396/2006, ”TyELVPL”), eläkesäätiöistä- ja eläkekassoista annettu laki (946/2021, ”ESKL”) sekä muut soveltuvat säädökset ja viranomaisohjeet (ml. soveltuvat Finanssivalvonnan määräys- ja ohjekokoelmat).

Henkilötietoja käsitellään GDPR 6 artiklan 1 kohdan c alakohdan mukaisella oikeusperusteella Reka ek:n edellä kuvattujen lakisääteisten velvoitteiden noudattamiseksi.

5. Henkilötietojen käsittelytarkoitukset

Rekisterin sisältämien henkilötietojen käsittelytarkoitukset ovat:

  • työeläkevakuutusten hoitaminen (ml. tilanteen mukaan hoitamisen aloittamis- ja päättämistoimenpiteet);
  • eläkehakemusten käsittely ja eläkkeiden myöntäminen;
  • eläkkeiden maksaminen;
  • vakuutettujen muiden eläkeasioiden hoitaminen;
  • vakuutettujen työhyvinvointitoiminnan hoitamiseen osallistuminen tarpeen mukaan;
  • lakisääteisten ja viranomaisohjeiden mukaisten raportointi-, säilytys- ja kyselyvelvoitteiden toteuttaminen;
  • muiden lakisääteisten ja viranomaisohjeiden mukaisten tehtävien hoitaminen (esim. Reka ek:n toimintaan kuuluvien kassankokousten järjestäminen); sekä
  • kohtiin 1 – 7 liittyvä vakuutettujen asiakaspalvelu ja neuvonta sekä viestintä vakuutetuille.

6. Käsiteltävät henkilötietoryhmät

Rekisterissä käsitellään seuraavia vakuutetun henkilötietoryhmiä:

  • Vakuutetun perus- ja yhteystiedot, tärkeimpinä yksittäisinä tietoina: nimi, henkilötunnus (käsittelyperuste tietosuojalaki (1050/2018) 29.2 §), kieli, kansalaisuus, kuolinpäivä/-tieto, puhelinnumero, sähköpostiosoite, osoite, yhteyshenkilöt ja edunvalvojat sekä näiden yhteystiedot;
  • Työsuhdetiedot, tärkeimpinä yksittäisinä tietoina: työnantaja sekä työsuhteen kesto- ja ansiotiedot (Reka ek:n vakuutuksen keston osalta);
  • Eläkehakemustiedot, tärkeimpinä yksittäisinä tietoina: eläkeoikeuden selvittämisen ja eläkkeen ratkaisemisen kannalta välttämättömät tiedot, terveydentilatiedot, lääketieteelliset selvitykset ja lääketieteellisen arvion tiedot mm. työkyvyttömyyden arviointia sisältävissä hakemuksissa (käsittelyperuste tietosuojalaki 6.1,1 § ja 6.1,2 §), perhesuhdetiedot ja mahdolliset muutoksenhakua koskevat tiedot;
  • Eläkkeen määräytymistiedot, tärkeimpinä yksittäisinä tietoina: eläkeikä, karttunut eläke, tiedot muista eläkkeeseen vaikuttavista (sosiaali)etuuksista ja mahdolliset muut eläkkeen määrään vaikuttavat tiedot; sekä
  • Maksutiedot, tärkeimpinä yksittäisinä tietoina: pankkiyhteystiedot, ennakonpidätystiedot, eläkkeen määrä, mahdolliset muut maksunsaajat ja tiedot maksukiellosta.

Siltä osin kuin henkilötietoja kerätään vakuutetulta, on henkilötietojen antaminen Reka ek:lle pakollista lakisääteisen työeläkevakuuttamisen toteuttamiseksi.

7. Henkilötietojen lähteet

Rekisterin henkilötiedot saadaan keräämällä ja luovutuksina rekisteröidyltä itseltään, rekisteröidyn työnantajalta sekä mm. työeläkealan yhteisistä rekistereistä (ml. Arek Oy:ltä), muilta työeläkelaitoksilta ja vakuutusyhtiöiltä, Potilasvakuutuskeskukselta, Eläketurvakeskukselta, Kansaneläkelaitokselta, Verohallinnolta, terveydenhuollon ammattihenkilöiltä ja -yksiköiltä, työttömyyskassoilta, TE-toimistoilta, Digi- ja väestötietovirastolta (erit. väestötietojärjestelmä), sosiaaliviranomaisilta, Ulosottolaitokselta, pankeilta ja tuomioistuimilta (erit. muutoksenhakutapaukset).

Edellä mainitut henkilötiedot eivät pääsääntöisesti ole yleisesti saatavilla olevista lähteistä.

8. Henkilötietojen vastaanottajat

Rekisterin henkilötietoja luovutetaan vain laissa säädettyjen vastaanottajan tiedonsaantioikeuksien sekä Reka ek:n luovutusoikeuksien ja -velvollisuuksien mukaisesti  viranomaisille ja muille edellä kohdassa 7 luetelluille tahoille sekä tilanteen mukaan kuntoutuspalvelujen tarjoajille.

Reka ek voi lisäksi siirtää rekisterin henkilötietoja käsittelijöinä toimiville alihankkijoilleen. Merkittävin tällainen alihankkija on Porasto Oy, joka toimittaa palveluna Reka ek:n eläketoimintojen palvelut. Reka ek:n ja Poraston välisen tietojenkäsittelysopimuksen (ref. GDPR 28 artikla) perusteella Porasto voi käyttää henkilötietojen käsittelijöinä myös seuraavia yrityksiä: Arek Oy (ml. vakuutettujen henkilötietojen käsittely työeläkealan yhteisessä ansiotietojen rekisteröintijärjestelmässä l. ns. ansaintarekisterissä sekä eläkepäätösrekisterissä), CGI Suomi Oy, Tieto Oyj, Mailhouse Oy, EmCe Solution Partner Oy ja Telia Finland Oyj.

9. Tietojen siirto Euroopan unionin ja/tai Euroopan talousalueen ulkopuolelle

Reka ek ei pääsääntöisesti siirrä vakuutettujen henkilötietoja Euroopan unionin (”EU”) tai Euroopan talousalueen (”ETA”) ulkopuolelle.

Poikkeuksena edellä sanottuun vakuutettujen henkilötietoja voidaan kuitenkin siirtää EU:n tai ETA:n ulkopuolelle osana työeläkealan yhteisten tietojärjestelmien kehittämistyötä (esim. Arek Oy:n käsittelijänä ylläpitämät ansainta- ja eläkepäätösrekisterit). Näissä ja muissa mahdollisissa poikkeuksellisissa kansainvälisten siirtojen tilanteissa vakuutettujen henkilötietojen suoja turvataan lainmukaisilla suojatoimilla ml. Euroopan komission riittävyyspäätöksillä tai EU:n mallilausekkeisiin perustuvilla sopimusjärjestelyillä.

Mainittujen henkilötietojen kansainvälisten siirtojen suojatoimien yksityiskohtia voi tiedustella edellä mainitulta henkilötietojen käsittelyn yhteyshenkilöltä.

10. Henkilötietojen säilyttämisajat

Reka ek säilyttää vakuutetun henkilötietoja vain niin kauan, kuin käsittelyn peruste on olemassa. Tämän jälkeen vakuutetun henkilötiedot poistetaan pysyvästi. Reka ek noudattaa lakisääteisiä säilyttämisaikoja (ml. TyEL 218 §) seuraavasti:

  • Vakuuttamiseen liittyvät vakuutetun henkilötiedot vakuutuksen voimassaoloajan ja kymmenen (10) sen jälkeistä kalenterivuotta;
  • Eläke- tai kuntoutusasiaan (ml. eläkkeen maksaminen) liittyvät vakuutetun henkilötiedot vakuutetun elinajan sekä viisi (5) sen jälkeistä kalenterivuotta;
  • Perhe-eläkkeeseen liittyvät vakuutetun ja edunsaajan henkilötiedot perhe-eläkkeen maksuajan ja viisi (5) sen jälkeistä kalenterivuotta;
  • Vakuutusmaksun perinnän henkilötiedot perinnän päättymiseen saakka ja viisi (5) sen jälkeistä kalenterivuotta; ja
  • Valitusasiaa koskevat henkilötiedot 50 vuotta, ellei jokin edellä mainittu säilytysaikavaatimus edellytä pidempää säilytysaikaa.

11. Rekisterin suojauksen yleinen kuvaus

Reka ek käsittelee vakuutettujen henkilötietoja lainsäädännön vaatimusten edellyttämällä tavalla varmistaen tietoturvan sekä teknisillä että organisatorisilla turvatoimilla. Vakuutettujen henkilötietojen tietoturvaa seurataan ja kehitetään jatkuvasti.

Tietoturvasta huolehditaan mm. seuraavien pääkohtien mukaisesti:

  • Vakuutettujen henkilötietojen käsittelyyn käytettävien tietojärjestelmien lainmukaisesta teknisestä tietoturvasta huolehditaan mm. palomuurein, haittaohjelmien havaitsemisella ja torjunnalla sekä varmuuskopioinneilla;
  • Vakuutettujen henkilötietojen käsittelyyn käytettävien tietojärjestelmien käyttäminen perustuu käyttäjän henkilökohtaisiin käyttöoikeuksiin (ml. henkilökohtaiset kirjautumistiedot) – tietojärjestelmien käyttöä valvotaan;
  • Tietojärjestelmien käyttäjien käyttöoikeudet annetaan tehtäväkohtaisesti ja vain niin laajoina kuin tehtävien hoitaminen edellyttää;
  • Tietojärjestelmien käyttäjiä koskee työsopimukseen ja lainsäädäntöön perustuva salassapitovelvollisuus;
  • Tietojärjestelmien käyttäjille annetaan ohjeistus vakuutettujen henkilötietojen käsittelyyn ja käyttäjiä koulutetaan tietosuojassa ja tietoturvassa säännöllisesti.
  • Vakuutettujen henkilötietoja käsitellään ja säilytetään lukituissa ja kulunvalvonnalla suojatuissa tiloissa.

12. Rekisteröidyn oikeudet

Vakuutetulla on henkilötietojensa käsittelyyn liittyviä tietosuojalainsäädäntöön perustuvia oikeuksia jäljempänä selitetysti. Käyttääkseen oikeuksiaan vakuutetun tulee olla kirjallisesti (ml. sähköposti) yhteydessä Reka ek:n henkilötietojen käsittelyn yhteyshenkilöön (yhteystiedot edellä). Oikeuksien toteuttaminen tai ilmoitus siitä, ettei niitä voida toteuttaa taikka ettei vakuutetulla ole vaadittua oikeutta tehdään/annetaan pääsääntöisesti kuukauden kuluessa yhteydenotosta. Lain mahdollistamissa tilanteissa määräaikaa voidaan kuitenkin jatkaa enintään kahdella (2) kuukaudella.

Tarkastusoikeus. Vakuutetulla on oikeus saada Reka ek:lta vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä. Jos vakuutetun henkilötietoja käsitellään, on vakuutetulla oikeus saada pääsy henkilötietoihinsa – Reka ek toimittaa tällöin vakuutetulle jäljennöksen käsiteltävistä henkilötiedoista.

Oikaisemisoikeus. Vakuutetulla on oikeus saada häntä koskevat epätarkat ja virheelliset henkilötiedot oikaistua sekä puutteelliset henkilötiedot täydennettyä – vakuutetun on tällöin toimitettava Reka ek:lle perusteltu kirjallinen selvitys oikaisemistarpeesta mukaan lukien henkilötiedot oikaistussa muodossa.

Oikeus henkilötietojen poistamiseen. Vakuutetulla on oikeus saada käsiteltävät henkilötietonsa poistettua, mikäli tietosuojalainsäädännön mukainen poisto-oikeus on olemassa (erityisesti GDPR 17 artikla) – vakuutetun on tällöin toimitettava Reka ek:lle perusteltu kirjallinen selvitys poisto-oikeuden olemassaolosta.

Käsittelyn rajoittamisoikeus. Vakuutetulla on oikeus saada henkilötietojensa käsittelyä rajoitettua, mikäli tietosuojalainsäädännön mukainen rajoittamisoikeus on olemassa (erityisesti GDPR 18 artikla) – vakuutetun on tällöin toimitettava Reka ek:lle perusteltu kirjallinen selvitys rajoittamisoikeuden olemassaolosta.

Oikeus siirtää henkilötiedot järjestelmästä toiseen. Reka ek:n henkilötietojen käsittely perustuu lakiin – vakuutetulla ei tällöin ole oikeutta vaatia henkilötietojensa siirtämistä järjestelmästä toiseen.

Vastustamisoikeus. Reka ek:n henkilötietojen käsittely perustuu lakiin – vakuutetulla ei tällöin ole oikeutta vastustaa henkilötietojensa käsittelyä.

Valitusoikeus. Vakuutetulla on oikeus tehdä valitus toimivaltaiselle tietosuojan valvontaviranomaiselle, jos vakuutettu katsoo, että Reka ek rikkoo vakuutetun henkilötietojen käsittelyssä soveltuvaa tietosuojasääntelyä. Valituksen voi tehdä sen Euroopan unionin jäsenvaltion valvontaviranomaiselle, jossa sijaitsee vakuutetun vakituinen asuinpaikka tai työpaikka tai jossa väitetty tietosuojalainsäädännön rikkominen on tapahtunut. Suomessa toimivaltainen tietosuojan valvontaviranomainen on tietosuojavaltuutettu (tietosuojavaltuutetun toimiston käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki; postiosoite: PL 800, 00531 Helsinki; sähköposti: tietosuoja(at)om.fi ja puhelinvaihde: 029 566 6700).

13. Automatisoidut päätökset ja profilointi

Reka ek ei käytä vakuutetun henkilötietoja automatisoituihin päätöksiin eikä profilointiin.

14. Tietosuojaselosteen päivittäminen

Reka ek päivittää tätä tietosuojaselostetta tarpeen mukaan. Päivitetyn tietosuojaselosteen voimaantulo käy ilmi tietosuojaselosteen alussa olevasta päiväyksestä. Reka ek kehottaa tarkastamaan tietosuojaselosteen päiväyksen ja sisällön säännöllisesti Reka ek:n verkkosivuilta.