Tarkempaa tietoa Valion eläkekassan (VEK) ja Valion Keskinäisen vakuutusyhtiön (VKV) säilyttämistä henkilötiedoista ja säilytysajoista
Tiedote 27.1. Valion tietomurrosta
Miten toimia, kun on joutunut tietomurron kohteeksi?
Kun henkilötietojasi on päätynyt rikollisten käsiin, niitä saatetaan käyttää identiteettivarkauksissa tai petoksissa.
Voit kuitenkin itse ehkäistä väärinkäytöksiä kieltojen avulla. Harkitse kieltoja erityisesti silloin, kun henkilötunnuksesi on päätynyt luvattomasti ulkopuolisille.
Suomi.fin opas tietovuodon kohteille:
Henkilötietojani on viety tai vuotanut – Suomi.fi
1. Miksi Valion Eläkekassa ja Valion Keskinäinen Vakuutusyhtiö keräävät ja tallentavat henkilötietoja?
Valion Eläkekassa ja Valion Keskinäinen Vakuutusyhtiö käsittelevät ja tallentavat henkilötietoja työeläkelakien ja lisäeläketurvan mukaisten eläkeasioiden sekä lakisääteisen työtapaturma- ja ammattitautivakuutuksen hoitamiseksi. Tietojen tallentaminen ja säilyttäminen perustuvat eläkekassaa ja vakuutusyhtiötä koskevaan lainsäädäntöön.
2. En ole koskaan työskennellyt Valiolla enkä edes ruoka-alalla. Miksi sain kirjeen, jonka mukaan olen Valion tietomurron kohteena?
On mahdollista, että olet tietomurron kohteena, vaikka et olisi työskennellyt Valiolla tai sen tytäryhtiöissä. Olet voinut olla jonkin aiemman työnantajasi puolesta vakuutettuna tai edunsaajana Valion Eläkekassassa (entinen Osuusmeijerien Eläkekassa) tai Valion Keskinäisessä Vakuutusyhtiössä. Näitä työnantajia on muitakin kuin suoraan Valioon ja sen toimintaan liittyvät yritykset. Yritys on voinut tulla Valion yhteyteen myös yritysoston kautta. Tällaisia ovat esimerkiksi entiset osuusmeijerit ja osuuskunnat, ja niillä on saattanut olla muutakin yritystoimintaa myös jollakin toisella toimialalla, esimerkiksi kuljetus-, ravintola- tai siivousalan yrityksiä, joissa ei välttämättä ole suoraa yhteyttä Valioon tai ruoka-alaan.
Työhistoriasi ja kaikki työsuhteesi ovat tarkistettavissa työeläkeotteeltasi. Sen saat verkosta osoitteesta tyoelake.fi
3. Olen työskennellyt vuosikymmeniä sitten lyhyen aikaa Valiolla. Miksi tietojani on säilytetty näin pitkään?
Työsuhde, jonka vuoksi olet vakuutettuna tai edunsaajana Valion Eläkekassassa tai Valion Keskinäisessä vakuutusyhtiössä on voinut olla hyvin lyhytaikainen ja hyvinkin monien vuosien takaa.
Tietojen säilyttämisajat perustuvat lakiin. Esimerkiksi Valion Eläkekassa säilyttää eläketurvan hoitamiseen tarvittavia henkilötietoja eläkelain vaatiman määräajan. Käytännössä tämä tarkoittaa ihmisen koko elinikää ja viittä sen jälkeistä kalenterivuotta.
Voit tutustua erilaisten henkilötietojen käsittelyyn ja säilytysaikoihin Valion Eläkekassassa ja Valion Keskinäisessä Vakuutusyhtiössä tarkemmin yhtiöiden tietosuojaselosteista:
4. Kuinka pitkiä säilytysajat henkilötiedoille ovat?
Valion Eläkekassa säilyttää lakisääteisen eläketurvan hoitamiseen tarvittavia henkilötietoja työntekijän eläkelain 218 §:n säännöksiä noudattaen vain sen määräajan, joka eläke- tai kuntoutusasian hoitamiselle on määritelty.
- Eläke- ja kuntoutusasian hoitaminen ja eläkkeiden maksaminen: henkilön elinaika ja 5 sen jälkeistä kalenterivuotta
- Perhe-eläkkeet: maksuaika ja 5 sen jälkeistä kalenterivuotta
- Muutoksenhakuasiat: 50 vuotta muutoksenhakuasteesta palautumisesta, ellei tietoja ole säilytettävä eläke- tai vakuutusasiakirjoina tätä pidempää aikaa
- Määräajan päättymisen jälkeen tiedot poistetaan.
Lisäeläketurvan hoitamiseen Eläkekassan A-osastossa tarvittavien henkilötietojen säilytysaika on henkilön elinaika ja 10 sen jälkeistä kalenterivuotta.
Valion Keskinäinen Vakuutusyhtiö säilyttää henkilötietoja työtapaturma- ja ammattitautilain 275 §:n säännöksiä noudattaen vain sen määräajan joka työtapaturma- tai ammattitautiasian hoitamiselle on määritelty.
Muut työtapaturma- ja ammattitautilain toimeenpanoa koskevat asiakirjat vähintään 6 vuoden ajan. Määräajan päättymisen jälkeen tiedot poistetaan.
Ilmoitus vahinkotapahtumasta, vahingoittuneen terveydentilaa, avuntarvetta, työ- tai toimintakykyä, kuntouttamista ja kuolemaa koskevat terveydenhuollon ammattihenkilön ja muun tahon antamat lausunnot, todistukset, kannanotot ja tutkimustulokset, vahingoittuneen ja hänen edunsaajansa tulotiedot, vakuuttamista ja korvausta koskevat vakuutusyhtiön päätökset sekä muut edellä mainittuihin rinnastettavat vahinkotapahtuman sattumisolosuhteita, korvattavuutta, korvausta ja sen lakkaamista koskevat asiakirjat ja tiedot vähintään 100 vuoden ajan
Muutoksenhakuasiat: vähintään 50 vuoden ajan, ellei tietoja ole edellisen kohdan perusteella säilytettävä sitä pidemmän ajan
5. Miten saan poistettua tietoni järjestelmistä?
Sinun tulee lähettää kirjallinen pyyntösi ml. puhelinnumerosi osoitteeseen [email protected]
6. Miten tästä asiasta tiedotetaan jatkossa?
Tämänhetkisen tiedon mukaan olemme selvittäneet kaikki ne henkilöt, joiden henkilötietoja on anastettu tietomurron yhteydessä. Olemme myös lähettäneet kirjeen ja ohjeet jokaiselle, jota asia koskee. Ellei tilanne oleellisesti muutu, emme ole suunnitelleet uusia tapoja viestiä, sillä kirjeessä on kaikki oleellinen tieto asiasta.
7. Mitä voin tehdä tietojeni suojaamiseksi?
Tutustu esimerkiksi eri viranomaisten kokoamiin ohjeisiin Suomi.fi:ssä Henkilötietojani on viety tai vuotanut – Suomi.fi(aukeaa uuteen välilehteen)
Närmare information om vilka personuppgifter som lagras av Valios pensionskassa och Valios ömsesidiga försäkringsbolag och om lagringstiderna
Så här kan du förhindra missbruk
Någon kan försöka använda dina personuppgifter för identitetsstöld. Vid identitetsstöld kan brottslingar använda ditt personnummer och andra personuppgifter för att ansöka om lån eller begå andra bedrägerier i ditt namn, till exempel handla på nätet.
Tyvärr kan varken Valios pensionskassa eller Valios ömsesidiga försäkringsbolag vidta skyddsåtgärder för din räkning. Du kan dock själv förhindra missbruk och identitetsstöld genom en rad olika förbud. Överväg sådana förbud särskilt om någon olovligt har kommit över ditt personnummer.
Här hittar du mera detaljerad information om hur du kan skydda dig mot missbruk av personuppgifter: https://www.suomi.fi/guider/informationslacka
1. Varför samlar Valios pensionskassa och Valios ömsesidiga försäkringsbolag in och lagrar personuppgifter?
Valios pensionskassa (Valion Eläkekassa) och Valios ömsesidiga försäkringsbolag (Valion Keskinäinen Vakuutusyhtiö) behandlar och lagrar personuppgifter enligt lagarna om arbetspension och tilläggspensionsskydd samt för att sköta lagstadgade försäkringar för olycksfall i arbetet och yrkessjukdomar. Sparandet och lagringen av uppgifterna grundar sig på lagstiftningen för pensionskassor och försäkringsbolag.
2. Jag har aldrig jobbat på Valio eller ens i livsmedelsbranschen. Varför fick jag ett brev enligt vilket jag hör till dem som drabbats vid ett dataintrång hos Valio?
Det är möjligt att du har drabbats till följd av dataintrånget trots att du aldrig har arbetat vid Valio eller något av dess dotterbolag. Du kan ha varit försäkrad eller förmånstagare i Valios pensionskassa (tidigare Andelsmejeriernas pensionskassa[FA1] ) eller Valios ömsesidiga försäkringsbolag på försorg av en tidigare arbetsgivare. Det finns också andra sådana arbetsgivare än de som är direkt knutna till Valio eller dess verksamhet. Ett företag kan också ha knutits till Valio genom ett företagsköp. Till dessa hör före detta andelsmejerier och andelslag, och de kan ha bedrivit också annan företagsverksamhet i någon annan bransch. Det kan till exempel handla om företag i transport-, restaurang- eller städbranschen som inte har en direkt koppling till Valio eller livsmedelsbranschen.
Din arbetshistoria och alla dina anställningar kan du kontrollera i ditt pensionsutdrag som du får tillgång till på webbadressen tyoelake.fi.
3. Jag har arbetat på Valio under en kort tid för tiotals år sedan. Varför har mina uppgifter sparats så länge?
Den anställning tack vare vilken du är försäkrad eller förmånstagare hos Valios pensionskassa eller Valios ömsesidiga försäkringsbolag kan ha varit mycket kortvarig och avslutats för väldigt många år sedan.
Lagringstiderna för uppgifterna grundar sig på lag. Valios pensionskassa lagrar till exempel personuppgifter som behövs för att sköta pensionsskyddet under den tid som krävs enligt pensionslagstiftningen[FA2] . I praktiken omfattar denna personens återstående livstid och fem kalenderår därefter.
Du kan bekanta dig närmare med hanteringen av olika personuppgifter och lagringstiderna för uppgifterna vid Valios pensionskassa och Valios ömsesidiga försäkringsbolag i bolagens dataskyddsbeskrivningar:
Valios pensionskassas dataskyddsbeskrivning (på finska)
Valios ömsesidiga försäkringsbolags dataskyddsbeskrivning (på finska)
4. Hur långa är lagringstiderna för personuppgifter?
Valios pensionskassa lagrar de personuppgifter som behövs för att sköta det lagstadgade pensionsskyddet i överensstämmelse med 218 § i lagen om pension för arbetstagare bara under den tid som föreskrivs för att sköta pensions- eller rehabiliteringsärendet.
- Handläggande av ett pensions- eller rehabiliteringsärende och utbetalning av pension: personens livstid och 5 år därefter
- Familjepension: den tid familjepensionen betalas och 5 kalenderår därefter
- Ärenden som gäller överklagande: 50 år från det att handlingarna har återkommit från besvärsinstansen, om inte uppgifterna måste förvaras under en längre tid i form av pensions- eller försäkringshandlingar
- När den föreskrivna lagringstiden har löpt ut raderas uppgifterna.
Lagringstiden för personuppgifter som behövs för skötseln av tilläggspensionsskydd i pensionskassans A-avdelning är personens livstid och 10 kalenderår därefter.
Valios ömsesidiga försäkringsbolag lagrar personuppgifter i enlighet med 275 § i lagen om olycksfall i arbetet och om yrkessjukdomar bara under den tid som föreskrivs för skötseln av ärenden som gäller olycksfall i arbetet eller yrkessjukdom.
- Anmälan om skadefall, utlåtanden, intyg, ställningstaganden och undersökningsresultat av en yrkesutbildad person inom hälso- och sjukvården beträffande den skadades hälsotillstånd, behov av hjälp, arbets- och funktionsförmåga, rehabilitering och död, uppgifter om den skadades och hans eller hennes förmånstagares inkomster, försäkringsanstaltens beslut om försäkring och ersättning samt andra jämställbara handlingar och uppgifter som gäller förhållandena under vilka skadefallet inträffat, om rätt till ersättning, ersättning och ersättningens upphörande: minst 100 år.
- Ärenden som gäller sökande av ändring: minst 50 år om inte uppgifterna enligt föregående punkt måste lagras under en längre tid.
- Andra handlingar som gäller verkställande av lagen om olycksfall i arbetet och om yrkessjukdomar: minst 6 år. När den föreskrivna lagringstiden har löpt ut raderas uppgifterna.
5. Hur får jag bort mina uppgifter från systemen?
Skicka en skriftlig begäran till adressen [email protected]. Kom ihåg att ange ditt telefonnummer.
6. Hur ges information i detta ärende framöver?
Så vitt vi nu vet har vi identifierat samtliga personer vars personuppgifter har stulits i samband med dataintrånget. Vi har också skickat brev och anvisningar till alla som berörs. Om situationen inte förändras väsentligt planerar vi inga nya sätt att informera, eftersom brevet innehåller alla väsentliga fakta i ärendet.
7. Vad kan jag göra för att skydda mina uppgifter?
Bekanta dig till exempel med de anvisningar som olika myndigheter har sammanställt i Suomi.fi.
Mina personuppgifter har stulits eller läckt ut – Suomi.fi (öppnas i ny flik)
More information on the personal data Valio Pension Fund and Valio Mutual Insurance Company retain and the retention periods
When your personal information falls into the hands of criminals, it may be used for identity theft or fraud.
However, you can prevent misuse yourself through the use of bans. In particular, consider using blocking when your identity has been compromised.
Suomi.fi guide for victims of data leakage:
My personal data has been taken or leaked – Suomi.fi
1. Why do Valio Pension Fund and Valio Mutual Insurance Company collect and retain personal data?
Valio Pension Fund and Valio Mutual Insurance Company process and store personal data in order to manage pension matters in accordance with earnings-related pension laws and supplementary pensions, as well as statutory workers’ compensation insurance. The storage and retention of data is based on the legislation governing the pension fund and the insurance company.
2. I have never worked at Valio or even in the food industry. Why did I receive a letter saying that I was a target of the Valio data breach?
It’s possible that you could be a target of the data breach even if you have not worked at Valio or its subsidiaries. You may have been insured by or a beneficiary of Valio Pension Fund (formally Osuusmeijerien Eläkekassa [Pension Fund]) or Valio Mutual Insurance Company through a previous employer. These employers include also others besides those companies directly linked to Valio and its operations[KK1] . The company may also have become associated with Valio through a business acquisition. Examples include former cooperative dairies and cooperatives, and they may have also had other business activities in another sector, such as transport, food service or cleaning companies, which do not necessarily have a direct link with Valio or the food industry.
You can verify your employment history and all your employment relationships on your pension statement, which is available online at tyoelake.fi.
3. I’ve worked at Valio briefly, but decades ago. Why has my data been kept for so long?
The employment relationship by which you are an insured person or beneficiary of Valio Pension Fund or Valio Mutual Insurance Company may have been very short term and many years ago.
Data retention periods are mandated by law. For example, Valio Pension Fund keeps the personal data necessary to manage pensions for the period required by pension legislation. In practice, this means the entire lifetime of the person and five subsequent calendar years.
You can read about the processing and retention periods of different types of personal data at Valio Pension Fund and Valio Mutual Insurance Company in their privacy policies:
Valio Pension Fund Privacy Policy
Valio Mutual Insurance Company Privacy Policy
4. How long are the retention periods for personal data?
Valio Pension Fund keeps the personal data necessary for the management of statutory pensions in compliance with the provisions of § 218 of the Employees Pensions Act only for the period of time specified for managing the pension or rehabilitation case.
- Management of pension and rehabilitation matters and payment of pensions: the person’s lifetime and five subsequent calendar years.
- Family pensions: payment period and five subsequent calendar years.
- Appeals cases: 50 years from the return of the appellate documents, unless the data must be kept as pension or insurance documents for a longer period.
- After the time period has expired, the data are deleted.
The retention period for personal data needed for the management of supplementary pension in the Pension Fund department A is the lifetime of the person and ten subsequent calendar years.
Valio Mutual Insurance Company keeps personal data in compliance with the provisions of the Workers’ Compensation Act, § 275, only for the period of time specified for the handling of an occupational accident or occupational disease case.
- Notification of the occurrence of an accident, statements, certificates, opinions and findings of medical professionals and other parties concerning the injured person’s state of health, need for assistance, capacity for work or activity, rehabilitation and death, income data of the injured person and his/her beneficiaries, decisions of the insurance company concerning insurance and compensation, and other documents and information similar to the above concerning the circumstances of the occurrence, eligibility, compensation and termination of compensation for a period of at least 100 years.
- Appeals cases: for at least 50 years, unless the previous paragraph requires the data to be kept longer.
- Other documents concerning the implementation of Workers’ Compensation Act for at least six years. After the time period has expired, the data are deleted.
5. How can I have my data deleted from the systems?
You must send a written request, including your phone number, to [email protected].
6. How will this matter be communicated in the future?
As far as we know at the moment, we have identified all the individuals whose personal data have been compromised in the data breach. We have also sent a letter and instructions to everyone affected by the issue. Unless the situation changes substantially, we have not planned any new ways of communicating, since the letter contains all the relevant information about the issue.
7. What can I do to protect my data?
Check out the guidelines compiled by different authorities at Suomi.fi, for example.
My personal data has been stolen or leaked – Suomi.fi (opens a new tab)
[KK1]Mistake in the Finnish text. I’m guessing this is correct. Another option is: “Valio’s operations”