Suomi / Svenska

Dataskydd

Pension-, anställning- och försäkring

SEKRETESSPOLICY FÖR PENSIONS-, ANSTÄLLNINGS- OCH FÖRSÄKRINGSDATA

Personuppgiftsansvarig, kontaktperson för dataskyddsärenden samt dataskyddsombud

Apotekens Pensionskassa

Postadress: Kalevagatan 13, 00100 Helsingfors

Besöksadress:
Kalevagatan 13, 00100 Helsingfors

Kontaktperson för dataskyddsärenden:
Administrativ chef för pensioner Marja Koponen
tfn 09 612 627 21
e-post marja.koponen@aekassa.fi

Dataskyddsombud:
Jenni Laininen, Asianajotoimisto Laininen Law
e-post jenni.laininen@laininen.fi

Grunder för behandling av personuppgifter

Pensionskassan sköter om det lagstadgade pensionsskyddet enligt lagen om pension för arbetstagare (395/2006, ArPL) och lagen om pension för företagare (1272/2006, FöPL) och behandlar personuppgifter för att sköta de uppgifter som föreskrivs i dessa lagar. Behandlingen av personuppgifter i pensionskassan kan vara kopplad till pensionskassans skyldighet att genomföra sanktionskontroller och följa sanktionslagen (lagen om uppfyllande av vissa förpliktelser som följer av Finlands medlemskap i Förenta nationerna och Europeiska unionen, 659/1967).

Pensionskassan behandlar personuppgifter som är nödvändiga för att:

  • ansöka om pension
  • utreda pensionsrätt
  • fastställa och betala ut pension
  • beräkna pensionsansvar och bestämma försäkringsavgifter
  • ge rådgivning till försäkrade
  • driva in pensioner
  • följa myndighetsföreskrifter och anvisningar som grundar sig på lag

Utöver de uppgifter som föreskrivs i lag kan pensionskassan behandla personuppgifter med den registrerades samtycke, om uppgifterna behöver lämnas ut till olika parter för att planera och genomföra arbetspensionsinriktad rehabilitering. Samtycket ges i samband med ansökan om arbetspensionsinriktad rehabilitering. Den registrerade har rätt att när som helst återkalla sitt samtycke. Återkallelsen påverkar inte lagligheten i den behandling som utförts med stöd av samtycket innan det återkallades. Att inte lämna samtycke eller att återkalla det kan dock försvåra och fördröja handläggningen av rehabiliteringsärendet.

Beskrivning av grupper av registrerade och kategorier av personuppgifter

De registrerade utgörs av

  • arbetstagare och företagare (senare ”de försäkrade”) vars lagstadgade pensionsskydd har arrangerats hos pensionskassan samt
  • personer som har ansökt om eller får pension, rehabiliteringsstöd eller annan förmån från pensionskassan (nedan även kallad ’pension’ eller ’förmån’)

Personuppgifter som behandlas är bl.a. följande personuppgifter:

  • Grundläggande personuppgifter och kontaktuppgifter
    • namn, personbeteckning, språk, medborgarskap, yrke, uppgift om dödsfall
    • adress, telefonnummer, e-postadress
    • kontaktpersoner och intressebevakare samt deras kontaktuppgifter
  • Uppgifter om anställning eller företagande
    • arbetsgivarens namn
    • anställningsförhållandets längd och inkomster
    • företagets namn, FO-nummer och kontaktuppgifter
    • företagarverksamhetens varaktighet och arbetsinkomster
    • försäkringsavgiftsprocent
  • Uppgifter som berör ansökan om pension
    • tillfällen då personen kontaktat oss samt bett om förhandskalkyler
    • uppgifter som behövs för att utreda pensionsrätten
    • uppgifter om hälsotillstånd i ansökningsärenden som inkluderar en bedömning av arbetsoförmåga
    • uppgifter om familjerelationer
  • Uppgifter kopplade till fastställandet av pensionen
    • pensionsålder, intjänad pension
    • uppgifter om övriga sociala förmåner som påverkar pensionen
    • övriga uppgifter som påverkar pensionsbeloppet
  • Uppgifter kopplade till utbetalning av pensionen
    • bankförbindelse
    • uppgifter om förskottsinnehållning
    • pensionsbelopp
    • uppgifter i samband med indrivning
    • fullmakt för att sköta pensioner
    • övriga mottagare av utbetalningen
  • Uppgifter relaterade till den registrerades ärenden och rådgivning:
    • personuppgifter som ingår i dokument
    • meddelanden via nätet och e-post där den registrerade är part
    • identifierings- och kontaktuppgifter vid användning av nät- och e-tjänster

Aktörer från vilka personuppgifter inhämtas

Pensionskassan inhämtar personuppgifter endast från sådana aktörer som har en lagstadgad rätt eller skyldighet att lämna ut personuppgifter till pensionskassan. Därutöver inhämtar pensionskassan personuppgifter från den försäkrade själv tillexempel från ansökan om pension eller förmån. Pensionskassans regelmässiga källor till personuppgifter är bland annat:

  • den försäkrades arbetsgivare
  • övriga pensions- eller försäkringsanstalter
  • Pensionsskyddscentralen
  • Folkpensionsanstalten
  • sociala myndigheter
  • arbetslöshetskassor
  • arbetskraftsmyndigheter
  • läkare, sjukhus, hälsovårdscentraler
  • banken
  • Skatteförvaltningen
  • leverantör av rehabiliteringstjänster
  • Myndigheten för digitalisering och befolkningsdata
  • handelsregister
  • utsökningsmyndigheten
  • sanktionslistor som upprätthålls av internationella organisationer, såsom EU och FN, samt nationella organ, såsom Office of Foreign Assets Control (OFAC)
  • Besvärsnämnden för arbetspensionsärenden
  • Försäkringsdomstolen

Utlämning av personuppgifter

Pensionskassan lämnar ut personuppgifter enbart i de fall det föreligger en lagstadgad rätt till information samt rätt eller skyldighet att lämna ut uppgifter. Personuppgifter kan i vissa situationer lämnas ut även med den registrerades samtycke.

Personuppgifter lämnas regelbundet ut bland annat till följande mottagare:

  • Pensionsskyddscentralen
  • annan pensionsanstalt
  • Folkpensionsanstalten
  • försäkrades arbetsgivare
  • försäkrades bank
  • Skatteförvaltningen
  • arbetslöshetskassan
  • arbetskraftsmyndigheten
  • socialmyndigheten
  • utsökningsmyndigheten
  • leverantör av rehabiliteringstjänster
  • Besvärsnämnden för arbetspensionsärenden
  • Försäkringsdomstolen

Utlämnade uppgifter används endast i enlighet med de vid var tid gällande bestämmelserna om dataskydd och behandling av personuppgifter.

Pensionskassan kan lämna ut personuppgifter till myndigheter i länder med vilka Finland har ingått socialförsäkringsavtal, även utanför Europeiska unionen, när det är nödvändigt för att verkställa arbetspensionsskyddet.

Pensionskassan kan anlita underleverantörer vid behandling av personuppgifter. Pensionskassan har underleverantörsavtal med olika aktörer för tjänster som behövs vid handläggning och utbetalning av pensioner samt vid administration av försäkringar enligt lagen om arbetspensionsförsäkring för arbetstagare och företagare.

Pensionskassan anlitar även systemleverantörer och andra underleverantörer som behandlar personuppgifter som underbiträden. Personuppgifter kan överföras till dessa underleverantörer i den omfattning som krävs för att de ska kunna tillhandahålla sina tjänster. Underleverantörerna agerar på uppdrag av pensionskassan i egenskap av personuppgiftsbiträden enligt EU:s allmänna dataskyddsförordning (GDPR). De följer samma principer och rättsliga skyldigheter för behandling och skydd av personuppgifter som pensionskassan själv.

Inom arbetspensionssektorn används ett gemensamt inkomstregistersystem (inkomstregistret). Utöver detta finns även andra gemensamma datasystem som behövs för pensionsförsäkring, såsom pensionsbeslutsregistret.

Pensionsanstalterna är personuppgiftsansvariga för de uppgifter som de själva har registrerat i de gemensamma registren. Den tekniska förvaltningen, informationssäkerheten och uppdateringen av personuppgifter i de gemensamma registren sköts av ett personuppgiftsbiträde på uppdrag av pensionsanstalterna.

Överföring av personuppgifter utanför EU och EES

Personuppgifter kan överföras utanför EU och EES som en del av arbetet med att vidareutveckla arbetspensionsbranschens gemensamma datasystem. I dessa situationer säkras personuppgiftsskyddet bland annat genom avtalsarrangemang enligt EU:s modellklausuler.

Den registrerades rättigheter

Den registrerade har rätt att få bekräftelse från pensionskassan på huruvida personuppgifter som rör honom eller henne behandlas, att få en kopia av dessa uppgifter samt att granska dem. Om den registrerade meddelar att de personuppgifter som behandlas av pensionskassan är felaktiga eller ofullständiga, är pensionskassan skyldig att kontrollera uppgifterna och rätta eventuella fel.

Den registrerade har i vissa situationer rätt att invända mot behandlingen av sina personuppgifter eller begära att personuppgiftsansvarig begränsar behandlingen, till exempel under den tid då uppgifterna granskas, rättas eller kompletteras. Denna rätt gäller dock inte i den utsträckning som pensionskassan behandlar personuppgifter för att uppfylla en rättslig förpliktelse.

Pensionskassan har flera lagstadgade skyldigheter att bevara uppgifter. Därför kan pensionskassan inte radera personuppgifter på begäran under den tid som uppgifterna måste behandlas enligt lagstadgade lagringskrav. Pensionskassan raderar personuppgifter utan särskild begäran när den lagstadgade lagringstiden har löpt ut. I den mån behandlingen av personuppgifter grundar sig på samtycke som getts till pensionskassan, har den registrerade rätt att när som helst återkalla sitt samtycke.

Hur kan den registrerade framställa en begäran om att få sina rättigheter tillgodosedda?

Den registrerade kan framställa en begäran om att utöva sina rättigheter genom att kontakta pensionskassan via e-post till: marja.koponen@aekassa.fi.
Pensionskassan rekommenderar att begäran skickas som skyddad e-post. Skyddad e-post kan skickas via följande länk: https://safemail.aekassa.fi/

Svaret på en begäran om att utöva registrerades rättigheter ska lämnas till den registrerade senast inom en månad från det att pensionskassan mottagit begäran. Tidsfristen för att lämna information kan i vissa fall förlängas med högst två månader. Om tidsfristen förlängs, ska pensionskassan informera den registrerade om detta inom en månad från det att begäran mottagits.

Lagringstid för personuppgifter

Handlingar i ett lagstadgat pensionsärende förvaras i enlighet med de tidsgränser som föreskrivs i FöPL 160 § och 218 § i ArPL. Även bestämmelser i bokföringslagen och lagen om förskottsuppbörd är tillämpliga.

I 218 § i ArPL och bokföringslagen 2 kapitel 10.1 § fastställs följande tidsgränser:

  • hantering av pensions- och rehabiliteringsärenden, utbetalning av pensioner: förmånstagarens livstid och 5 efterföljande kalenderår
  • familjepension: tiden för utbetalning av familjepensionen och 5 efterföljande kalenderår
  • överklagande: 50 år, såvida uppgifterna inte ska förvaras som handlingar för pensions- och försäkringsärenden en längre tid än så
  • uträkning av pensionsansvar: pensionsansvarets uträkningsår samt 11 kalenderår efter det
  • Handlingar som är nödvändiga för försäkring, hantering av försäkring och fastställande av arbetspensionsförsäkringsavgift ska bevaras efter att försäkringen har upphört under det år då försäkringen upphörde samt i tio kalenderår efter det. (Bevaringstiden för handlingarna räknas från det att försäkringens giltighet upphörde.)
  • Så länge försäkringsavgifter uppbärs och efter att uppbörden har avslutats, under det år då uppbörden avslutas samt i fem kalenderår därefter. (Bevaringstiden för handlingar som är nödvändiga för uppbörden av försäkringsavgifter räknas från det att uppbörden avslutats.)

Den registrerades rätt att klaga till tillsynsmyndigheten

Den registrerade har rätt att hänskjuta ärendet till Dataombudsmannen om den registrerade anser att behandlingen av personuppgifter som rör honom eller henne inte följer lagstiftningen om behandling av personuppgifter.

Dataombudsmannens byrå

Besöksadress: Fågelviksgränden 4, 00530 Helsingfors

Postadress: PB 800, 00531 Helsingfors

E-post (registratorskontoret): tietosuoja(at)om.fi

Telefonväxel: 029 566 6700

Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder

Pensionskassan behandlar samtliga personuppgifter i enlighet med lagen. Datasäkerheten för personuppgifterna har säkrats genom både tekniska och organisatoriska säkerhetsåtgärder. Dataskyddet och datasäkerheten för personuppgifterna övervakas och utvecklas kontinuerligt.

  • Lämpliga datasäkerhetsåtgärder har vidtagits för de datasystem och övriga elektroniska behandlingsverktyg som används.
  • Användarrättigheterna i datasystemen är personliga och användningen av dem bevakas.
  • Användarrättigheter beviljas för specifika uppgifter och följer praxis för minimala rättigheter.
  • Användarna omfattas av lagstadgad sekretessplikt.
  • Användarna ges riktlinjer för behandling av personuppgifter och genomgår utbildning regelbundet.
  • Personuppgifterna förvaras i skyddade utrymmen som omfattas av passerkontroll.
  • Uppgifterna lämnas enbart ut till aktörer som har lagstadgad rätt att få tillgång till dem. Utlämningen sker på ett datasäkert sätt.

De aktörer som agerar personuppgiftsbiträden för pensionskassans räkning följer samma principer och skyldigheter som pensionskassan avseende behandling och skydd av personuppgifter.

Automatiskt beslutsfattande och profilering

Pensionskassan använder inte insamlade personuppgifter för automatiskt beslutsfattande eller profilering.

Uppdaterad 22.8.2025