Kelan luovuttaman tiedon käsittely ja rekisteröityjen tietosuoja
Etuustietopalvelu Kelmua käyttävillä organisaatioilla ja niiden edustajilla on lain mukaan velvollisuus huolehtia rekisteröityjen tietosuojasta, eli käsitellä henkilötietoja asianmukaisesti ja tietoturvallisesti. Tietosuojan järjestäminen on paitsi lain edellytysten täyttämistä, myös osa vastuullista toimintaa.
Lue, mitä sinun tulee ottaa huomioon, kun käsittelet Kelan luovuttamia tietoja asiakkaasi etuuksista.
Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilötietojen käsittelyä ovat kaikki ne toimenpiteet, jotka kohdistuvat henkilötietoihin. Rekisteröity on henkilö, jota henkilötieto koskee.
Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjällä on kokonaisvastuu henkilötietojen käsittelystä. Etuustietopalvelu Kelmua käyttävät organisaatiot toimivat rekisterinpitäjinä käsitellessään Kelalta saatuja henkilötietoja.
Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä toimii rekisterinpitäjän ohjeiden mukaisesti ja sen alaisuudessa.
Etuustietopalvelua voi käyttää vain, jos viranomaisella tai organisaatioilla on lakiin perustuva oikeus vastaanottaa Kelalta henkilötietoja (asiakkaiden etuustiedot) toimintansa asianmukaiseksi toteuttamiseksi.
Lait mahdollistavat välttämättömien tietojen saannin Kelan etuustietopalvelu Kelmun kautta. Organisaation on varmistettava asiakkaiden yksityisyyden suoja saatujen tietojen osalta noudattamalla tietosuoja-asetuksen asettamia velvoitteita.
Tietojen luovuttamista määritellään myös osapuolten välisessä sopimuksessa Kelan etuustietojen luovuttamisesta teknisen käyttöyhteyden avulla.
Henkilötietojen käsittelyn on täytettävä tietosuojalainsäädännössä asetetut vaatimukset. Käsittelyllä tulee olla lainmukainen peruste, ja sen on oltava asianmukaista ja kohtuullista suhteessa määritettyyn tarkoitukseen. Läpinäkyvyydellä tarkoitetaan, että rekisteröidylle on kerrottava henkilötietojen käsittelystä ja siihen liittyvistä oikeuksista selkeästi ja ymmärrettävällä tavalla ennen käsittelyä ja sen aikana.
Henkilötietoja saa käsitellä vain nimenomaista ja laillista tarkoitusta varten. Tietoja saa käyttää vain kyseisen organisaation lainsäädännössä säädettyjen tehtävien hoitamiseen.
Käyttäjä saa käsitellä vain niitä henkilötietoja, jotka ovat käsittelyn kannalta tarpeellisia. Vain tarpeellisten tietojen katsominen kunkin asiakkaan kohdalla on organisaation ja sen puolesta toimivan yksilön vastuulla.
Käsiteltävien henkilötietojen on oltava täsmällisiä ja päivitettyjä. Epätarkat ja virheelliset henkilötiedot on oikaistava tai poistettava viipymättä.
Henkilötietoja saa säilyttää vain niin kauan kuin se on tarpeen tietojen käyttötarkoitusta varten. Rekisterinpitäjän on suunniteltava ja pystyttävä perustelemaan käytössä oleva säilytysaika. Henkilötietojen säilytysajat on dokumentoitava.
Henkilötietojen käsittelyn on oltava luottamuksellista ja turvallista. Rekisterinpitäjän on arvioitava mahdollisia riskejä, organisaation tietosuoja- ja tietoturvaohjeistuksen tasoa sekä henkilötietojen teknistä suojausta. Katseluoikeus luovutettaviin tietoihin toteutetaan sopimuksen mukaisesti vahvaan tunnistautumiseen perustuen.
Rekisterinpitäjän on kyettävä osoittamaan, että se noudattaa tietosuojasäännöksiä, ja se on huomioitava jo henkilötietojen käsittelyvaiheessa. Osoitusvelvollisuuden laajuus riippuu organisaation koosta, henkilötietojen määrästä ja siitä, minkälaisia henkilötietoja rekisterinpitäjä käsittelee. Jos rekisterinpitäjä ei pysty osoittamaan noudattavansa tietosuojavelvoitteita, voi siitä seurata hallinnollisia seuraamuksia.
Rekisterinpitäjä saa käsitellä henkilötietoja vain, kun käsittelylle on lainmukainen peruste. Käsittelyperuste rajaa niitä tarkoituksia, joihin rekisterinpitäjä voi käsitellä tietoja. Tietoja ei saa luovuttaa edelleen, mikäli lainsäädäntö ei muuta edellytä. Käsittelyperuste on tunnistettava ja määriteltävä ennen käsittelyn aloittamista, kaikkiin eri käsittelytoimiin liittyen. Käsittelyperustetta ei voi vaihtaa kesken käsittelyn.
Henkilötietoja sisältäviä asiakirjoja tai tiedostoja ei saa käsitellä niin, että ulkopuolinen voi nähdä tiedot. Tulosteita ja kopioita ei lähtökohtaisesti saa tehdä. Henkilötietoja sisältäviä asiakirjoja ei saa hävittää tavallisessa paperinkeräyksessä.
Vain henkilöillä, jotka tarvitsevat henkilötietoja työtehtäviensä hoitamiseen, tulee olla pääsy tietoihin. Työtehtäviin perustuen myönnetty käyttövaltuus on poistettava, kun vastaanottokeskusta edustavan yksilön tehtävät muuttuvat tai hän siirtyy pois organisaation palveluksesta.
Tietokone on lukittava aina siltä poistuttaessa. Kelmu-katseluyhteys on suljettava käytön jälkeen, eli Kelmusta täytyy aina kirjautua ulos. Suojaamattomalla sähköpostilla ei saa lähettää salassa pidettäviä tietoja tai henkilötunnuksia.