Valinnanvapauslain mukainen kapitaatio ja rekisterinpitäjyys

Samankaltaiset tiedostot
TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

1(9) LIITE vastineen mukainen ehdotus Tarkistettu ehdotus. 5 Asiakassuunnitelma. 5 Asiakassuunnitelma

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

LAUSUNTO Dnro 5935/96/2018

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Sosiaali- ja terveysvaliokunta Muutosjohtaja Marjukka Turunen Erikoisasiantuntija Maritta Korhonen

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Organisaatioluvan hakeminen

Teknologia avusteiset palvelutverkostopalaveri

Vaikutustenarviointi GDPR:n mukaan

Usein kysyttyjä kysymyksiä tietosuojasta

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

OUKA/10235/ /2017

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

Tietoturva yhdistyksessä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

EU:N TIETOSUOJA-ASETUKSET WALMU

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Termit. Tietosuojaseloste

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Tiedollinen itsemääräämisoikeus ja MyData

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

2. Maksutoimeksiantopalveluja ja tilitietopalveluja koskeva sääntely

vastineen mukainen ehdotus Tarkistettu ehdotus Tarkistettu ehdotus Asiakassuunnitelma

Suunhoidon palvelujen valinta Erillinen suun hoidon valinta lausuntoluonnos

Tietosuoja-asetus Immo Aakkula Arkistointi

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

Työelämän tietosuojalaki Johanna Ylitepsa


Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Tutkittavan informointi ja suostumus

POTILASVAHINKOJEN KORVAUSTOIMINNAN REKISTERI

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

EU:n tietosuoja-asetus 2016

1. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus

OUKA/10235/ /2017

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Nimi: Tuomas Hujala Sähköposti: tuomas.hujala. Puhelin: Sähköposti: tietosuoja

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton jäsenrekisterissä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

Tietosuojaseloste Espoon kaupunki

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Tietosuojaasiat. yhdistysten näkökulmasta

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

Tietosuojavaltuutetun toimiston tietoisku

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Tietosuojaseloste Tietosuoja tietosuoja-asetuksen (GDPR) 13 ja 14 artiklan mukaan

Kansallinen tietosuojalaki

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Tulevat säädösmuutokset ja tietosuoja

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Tietosuoja-asetuksen johdanto-osan kappaleessa 33 todetaan seuraavaa:

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

LIIKENNEVAHINKOJEN KORVAUSTOIMINNAN REKISTERI

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tampereen Aikidoseura Nozomi ry

7 Poliisin henkilötietolaki 50

HE 15/2017 vp Asetuksenantovaltuudet

Tämä seloste koskee henkilötietojen käsittelyä palvelussa Kauppakeskuksen asiakasrekisteri

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Transkriptio:

14.5.2018 1 / 8 Perustuslakivaliokunta PeV@eduskunta.fi HE 16/2018 vp Valinnanvapauslain mukainen kapitaatio ja rekisterinpitäjyys Valinnanvapauslakiehdotuksen mukaan sote-keskuksille ja suun hoidon yksiköille maksetaan lain 65 :n mukainen kiinteä korvaus palveluntuottajalle listautuneiden asiakkaiden perusteella. Sote-keskuksilla osuus on vähintään 2/3 ja suun hoidon yksiköille 1/2. Asiakaskohtainen kiinteä korvaus lasketaan kansallisten tarvetekijöiden perusteella. Tarvetekijöitä ovat ikä, sukupuoli, sairastavuus ja sosio-ekonomiset tekijät. Sote-keskuksen osalta otetaan huomioon myös työssäkäynti. THL määrittelee 65 :n perusteella eri tekijöille painokertoimet, jotka vahvistetaan valtioneuvoston asetuksella. Painokertoimien perusteella Kela laskee 74 :n perusteella suoran valinnan palveluntuottajille maksettavan kiinteän korvauksen ja vastaa korvauksen maksatuksesta suoran valinnan palvelun tuottajille. THL ja Kela tarvitsevat tehtävien suorittamiseksi tietoja eri lähteistä. Niiden oikeudesta saada salassapitosäännösten estämättä tarvittavat tiedot on säännökset 65 :n 5 momentissa, joka koskee THL:n tiedonsaantioikeutta ja Kelan tiedonsaantioikeudesta 80 :n 1 momentissa. Tietosuojavaltuutetun ja oikeusministeriön lausunnot eduskunnalle EU:n yleistä tietosuoja-asetusta aletaan Suomessa soveltaa 25.5.2018 alkaen. Siksi myös nyt ehdotettuun lakiin sisältyvien henkilötietojen käsittelyä tai rekisterinpitoa koskevien säännösehdotusten tietosuoja-asetuksen mukaisuus tulee arvioida. Tietosuojavaltuutettu totesi, että kiinteän korvauksen pykälän yksityiskohtaisissa perusteluissa ei ole ollenkaan arvioitu kiinteän korvauksen määritysmenettelyn liittyvän henkilötietojen käsittelyn sallittavuutta tietosuoja-asetuksen säännösten valossa. Tietosuojavaltuutetun käsityksen mukaan nyt ehdotetussa säännöksessä kiinteästä korvauksesta olisi kyse tietosuoja-asetuksen 22 artiklan mukaisista automatisoiduista yksit- SOSIAALI- JA TERVEYSMINISTERIÖ Meritullinkatu 8, Helsinki. PL 33, 00023 Valtioneuvosto. 0295 16001, stm.fi, @STM_Uutiset

2 / 8 täispäätöksistä, joihin luetaan myös profilointi silloin, kun sillä on yksilöön liittyviä oikeusvaikutuksia tai kun se vaikuttaa häneen vastaavalla tavalla merkittävästi. Tietosuoja-asetus mahdollistaa automatisoiduista yksittäispäätöksistä kansallisessa laissa säätämisen. Nyt tulee arvioida, voiko ehdotettu asiakaskohtainen kiinteä korvaus johtaa siihen, että asiakasta ei joko hyväksytä sote- keskuksen asiakkaaksi tai että sote -keskuksen asiakkaille tosiasiassa esim. määrättäisiin tutkimuksia eri lailla riippuen siitä, paljonko heistä maksetaan. Lisäksi tietosuojavaltuutettu katsoi, että tulee arvioida, onko tavoitteeseen nähden oikeasuhtaista kerätä kaikista kansalaisista esitetyn mukaisesti näin kattavasti tietoja. Ehdotuksessa ei ole myöskään säännöksiä tietosuoja-asetuksen edellyttämistä suojatoimista. Esim. sote-keskus ei saa tietoa asiakaskohtaisista kiinteistä maksuista. Asiassa tulee myös tehdä tietosuoja-asetuksen 35 artiklan tarkoittama, tietosuojaa koskeva vaikutustenarviointi. Valinnanvapauslain 65 :n viimeisessä momentissa on ehdotettu THL:lle laajat tiedonsaantioikeudet painokertoimien määrittelemiseksi. Tietojen luovuttajat luovuttaisivat henkilötietoja eri käyttötarkoitukseen kuin mihin se ne on alkuaan kerätty. => Tämä on mahdollista, jos siitä säädetään kansallisessa lainsäädännössä ja se on välttämätön ja oikeasuhtainen toimenpide esimerkiksi kansanterveyden tai sosiaaliturvan turvaamiseksi. Asiakaskohtaiset, kiinteän korvauksen määrittelytiedot ovat henkilötietoja ja niistä muodostuu henkilörekisteri. Myös tästä henkilörekisteristä tulee säätää ja sen rekisterinpitäjästä. Oikeusministeriö totesi, että esityksessä ei ole 65 :n 4 momentin ja 80 säännösten osalta tai muutoinkaan arvioitu henkilötietojen käsittelyä koskevien säännösten suhdetta EU:n yleiseen tietosuoja-asetukseen, sen 6 ja 9 artikloissa säädettyjen käsittelyperusteiden ja tietojen käsittelylle asetettujen muiden edellytysten täyttymistä eikä sitä, voidaanko ehdotettu sääntely toteuttaa EU:n yleisen tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa. Sääntelyn arvioinnissa nousee myös henkilötietojen käsittelyn käyttötarkoitussidonnaisuus ja ehdotettu henkilötietojen käsittelyn käyttötarkoituksen muuttuminen. Tietojen käsittelyn tarkemmasta luonteesta ja luovutuksen jälkeistä käsittelyvaiheista ei ole esityksen perusteluissakaan kovin yksityiskohtaista kuvausta, jonka vuoksi ehdotuksen tarkempi arviointi on vaikeaa. Käsittelyn kohteena on lakiehdotuksen mukaan myös salassa pidettäviä ja yleisen tietosuoja-asetuksen tarkoittamiin erityisiin henkilötietoryhmiin kuuluvia tietoja, mutta käsiteltäviä tietoja ei esityksessä ole juurikaan tarkemmin yksilöity.

3 / 8 Asian arviointia Yleistä Tietosuojavaltuutettu ja oikeusministeriö ovat esittäneet kritiikkiä siitä, että hallituksen esityksen perusteluissa ei ole käsitelty edellä todettujen valinnanvapauslain säännösten suhdetta EU:n yleiseen tietosuoja-asetukseen. Perustelujen puutteista huolimatta lain valmistelussa on kuitenkin otettu huomioon tietosuoja-asetus ja siitä seuraavat vaatimukset. Lausuntojen perusteella on kuitenkin ilmeistä, että valinnanvapauslain eräitä säännöksiä on tarpeen täydentää. Lain 65, 74 ja 80 :ssä säädetyt tehtävät ja tietojen keruu voidaan perustaa seuraaviin tietosuoja-asetuksen säännöksiin: 1) Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan, jonka mukaan henkilötietojen käsittely on lainmukaista, kun se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Kun käsittely perustetaan tähän alakohtaan, yksilöllä ei asetuksen mukaan olisi 21 artiklan mukaista oikeutta vastustaa henkilötietojen käsittelyä (eli ei oikeutta sanoa, että häntä koskevia tietoja ei saa käsitellä). 2) Lisäksi niiltä osin kuin käsitellään nk. erityisiin henkilötietoryhmiin kuuluvia tietoja (henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettiset tai biometriset tiedot tai terveyttä koskevat tiedot taikka seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot) pitää olla lisäksi 9 artiklan 2 kohdan mukainen peruste käsittelylle. Siinä on useita alakohtia, joista g- tai h-alakohdat voivat mahdollistaa valinnanvapauslain 65 :n mukaisen kiinteän korvauksen määrittelyn. G alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvia tietoja saa käsitellä, jos se on tarpeen tärkeää yleistä etua koskevasta syystä jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. G-kohdan nojalla mahdollistetaan myös automatisoidut yksittäispäätökset. Tämä on välttämätöntä, jos kiinteän korvauksen määrittely katsottaisiin tietosuojaasetuksen mukaiseksi automatisoiduksi yksittäispäätökseksi. Automatisoituihin yksittäispäätöksiin kuuluu myös profilointi silloin, kun sillä on yksilöä koskevia oikeusvaikutuksia tai häneen kohdistuvia muita vastaavia merkittäviä vaikutuksia. Ei ole itsestään selvää, että kiinteän korvauksen määrittelyssä olisi kyse automatisoidusta yksittäispäätöksestä. Oikeudellisen epävarmuuden välttämiseksi lähtökohtana voidaan pitää tuota g kohtaa ja sen perusteella toteuttaa 22 artiklassa edellytetyt toimenpiteet rekisteröityjen oikeuksien suojelemiseksi. 3) Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan sekä 4 alakohdan perusteella kansallisessa laissa on vahvistettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

4 / 8 Profilointi ja automatisoitu päätöksenteko Profilointi määritellään asetuksen 4 artiklan 4 kohdassa, ks. alaviite 1 1. Kun arvioidaan, onko jokin toiminta profilointia, keskeistä on se, miksi luokittelua tehdään. Luokittelua voidaan tehdä esimerkiksi tilastointia tai tietojohtamista varten, jolloin tarkoituksena ei ole tehdä päätelmiä esimerkiksi yksittäisen potilaan terveydentilasta. Koska tarkoituksena ei ole tällöin analysoida yksilön henkilökohtaisia ominaisuuksia, kyse ei kuitenkaan ole profiloinnista. Profilointi tulee erottaa automatisoidusta päätöksenteosta, josta säädetään tietosuoja-asetuksen 22 artiklassa. Profilointi ja automatisoitu päätöksenteko ovat toisistaan erilliset käsitteet, vaikka samaan henkilötietojen käsittelyyn voi sisältyä molempia. Myös tietosuoja-asetuksen 22 artikla sisältää profiloinnin tietyiltä osin. Sen mukaan 1. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. 2. 1 kohtaa ei sovelleta, jos päätös b) on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; 4. Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a [nimenomainen suostumus] tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu [toistaa oikeastaan sen, mitä jo 9 artiklan 2 kohdan g alakohdassa edellytetään]. Kapitaatiokorvauksen laskemisessa on sosiaali- ja terveysministeriön arvion mukaan sinänsä kyse tietosuoja-asetuksen 4 artiklan mukaisesta profiloinnista. On kuitenkin huomattava, että tietosuoja-asetus ei kiellä profilointia sinänsä, vaan vain sellaisen profiloinnin, jolla on yksilöä koskevia oikeusvaikutuksia tai vastaavia häneen kohdistuvia merkittäviä vaikutuksia. 1 profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

5 / 8 Keskeistä on siis se, onko kyse artiklassa tarkoitetusta automaattisesta päätöksenteosta eli sovelletaanko 22 artiklaa kapitaatiokorvauksen laskemiseen. Tähän liittyen artiklassa edellytetään ensinnäkin, että käsittely perustuu pelkästään automaattiseen käsittelyyn. Jos käsittelyyn osallistuu luonnollinen henkilö, jolla on tosiasiallinen mahdollisuus vaikuttaa päätökseen, se ei ole pelkästään automaatista. Kuitenkin, jos esimerkiksi tiettyjä kriteerejä sovelletaan henkilöihin automaattisoidussa prosessissa, on kyseessä automaattinen päätöksenteko, vaikka siihen muodollisesti osallistuisi ihminen. Jotta kyse ei olisi automatisoidusta päätöksenteosta, ihmisellä pitää siis olla päätöksenteossa tosiasiallinen mahdollisuus vaikuttaa lopputulokseen. Kun kapitaatiokorvauksen kriteerit vahvistetaan valtioneuvoston asetuksella, ei ihmiselle jääne itsenäistä päätöksentekovaltaa, vaan kriteereitä sovelletaan automaattisesti yksittäisiin henkilöihin. Toinen keskeinen seikka arvioinnissa on se, onko automatisoidulla päätöksenteolla rekisteröityä koskevia oikeusvaikutuksia tai vaikuttaako se häneen vastaavalla tavalla merkittävästi. Keskeistä on siis se, katsotaanko nyt, että tuolla Kelan korvausten laskentamallilla on yksilöä koskevia oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia. Tietosuojavaltuutettu on lausunnossaan todennut tältä osin Asiakkaalla on palvelujen valintaoikeus ja oikeus saada tarvittavaa tutkimusta ja hoitoa. Asiassa tulee arvioida, voiko ehdotettu asiakaskohtainen kiinteä korvaus johtaa siihen, että asiakasta ei joko hyväksytä sote- keskuksen asiakkaaksi tai että sote-keskuksen asiakkaille tosiasiassa esim. määrättäisiin tutkimuksia eri lailla riippuen siitä, paljonko heistä maksetaan. Jos tällaisia terveyspalveluihin pääsyä tai niiden saantia koskevia seurauksia voi olla, niin menettelyllä olisi vaikutusta rekisteröidyn oikeuksiin tai se vaikuttaisi heihin vastaavalla tavalla merkittävästi. Mahdollisiin seurauksiin vaikuttanee mm. se, saako sote-keskus tietoonsa kustakin asiakkaasta maksettavan kiinteän korvauksen määrän joko suoraan tai välillisesti. Tältä osin voidaan todeta, että kapitaatiokorvauksella ei ole yksilöä koskevia välittömiä oikeusvaikutuksia. Yksilöiden oikeudet sosiaali- ja terveyspalveluihin ja palvelun sisältö määräytyvät erityislainsäädännön perusteella. Sote-keskusten ja suunhoidon yksilöiden kannalta keskeisistä säännöksistä voidaan todeta esimerkkeinä terveydenhuoltolaki ja potilaslaki. Myös useissa muissa laeissa on palvelujen sisältöä koskevia säännöksiä, jotka vaikuttavat sekä asiakkaan oikeuksiin että palveluntuottajan velvollisuuksiin. Lisäksi on syytä todeta, että ehdotetun valinnanvapauslain perusteella sote-keskuksella ei ole oikeutta valita asiakkaitaan eikä myöskään oikeutta rajoittaa asiakkaiden lukumäärää. Tähän liittyen tullaan toteuttamaan valtakunnallinen tietojärjestelmäratkaisu, jonka kautta asiakas voi ilmoittautua haluamansa sote-keskuksen asiakkaaksi ja sote-keskuksella on lakiin perustuva velvollisuus ottaa kaikki ilmoittautujat asiakkaikseen. Asiakas voi tehdä ilmoittautumisen myös maakunnan kautta kirjallisesti tai halutessaan myös suoraan sote-keskukselle. Kapitaatiokorvauksen nimenomaisena tarkoituksena on varmistaa suoran valinnan palvelun tuottajalle riittävä rahoitus, jotta se voi tuottaa erityislainsäädännön mukaiset palvelut. Jos rahoitus ei perustuisi palveluntuottajan asiakkaiden tarpeisiin, riskinä olisi, että tuottaja pyrkisi vaikuttamaan asiakaskuntaan tavalla, joka varmistaisi sille taloudellisesti mahdollisimman edullisen toiminnan.

6 / 8 Koska kapitaatiokorvauksessa ei pystytä ottamaan huomioon kaikkia palvelujen kustannuksiin vaikuttavia tekijöitä, suoran valinnan palveluntuottajien rahoituksessa on myös muita elementtejä, joiden tarkoituksena on varmistaa riittävät ja laadultaan hyvät palvelut kustannusvaikuttavalla tavalla. Näitä muita tekijöitä ovat suoriteperusteiset korvaukset, kannustinperusteiset korvaukset ja muut korvaukset. Suoriteperusteiset korvaukset voidaan kohdistaa maakunnan päätöksen mukaisesti sellaisten sairauksien hoitokustannuksiin, joista aiheutuu huomattavan suuria kustannuksia. Suoriteperusteinen kustannus maksetaan kapitaatiokorvauksen lisäksi toteutuneiden palvelujen perusteella. Muut korvaukset perustuvat lähinnä tuotantokustannuksiin vaikuttaviin tekijöihin, kuten esimerkiksi harvaan asutukseen ja pitkiin etäisyyksiin. Rekistereistä Sekä THL:een että Kelaan syntyy valinnanvapauslain 65, 74 ja 80 :issä säädettyihin tehtäviin liittyen EU:n yleisen tietosuoja-asetuksen [(EU) 2016/679] 4 artiklan 6 kohdan tarkoittama rekisteri. Mainitun 4 artiklan 7 kohdassa määritellään rekisterinpitäjä. Säännöksen mukaan, jos henkilötietojen käsittelyn tarkoituksen ja keinot määritellään lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat kriteerit voidaan vahvistaa lainsäädännön mukaisesti. Rekisterinpitäjän tehtävistä ja vastuista säädetään tietosuoja-asetuksen useissa eri artikloissa. Keskeinen tehtävä on vastata asetuksen mukaisesti, että rekisteri on toteutettu ja ylläpidetty asetuksen edellyttämällä tavalla ja että rekisteröityjen oikeudet toteutuvat. Ehdotuksessa valinnanvapauslaiksi ei ole säädetty 65 :n mukaisten painokertoimien valmistelun eikä 80 :n mukaisen korvauksen laskemisen yhteydessä muodostuvista rekistereistä eikä niiden rekisterinpitäjistä. Tietosuoja-asetuksen perusteella ei ole tarvetta erikseen säätää kapitaatiokorvauksen määrittelyssä ja korvausten maksamisessa tarvittavista rekistereistä, koska rekisteri muodostuu automaattisesti silloin kun syntyy henkilötietoja sisältävä tietojoukko. Valinnanvapauslain 65, 74 ja 80 :ien mukaisten tehtävien suorittaminen tarkoittaa, että THL:lle ja Kelalle syntyy asetuksen määritelmän mukaiset rekisterit. Koska näissä rekistereissä tarvittavat tiedot saadaan useista eri lähteistä, on niiden osalta tarpeen määritellä rekisterinpitäjä. Suojatoimet Tietosuoja-asetuksen 9 artiklan g alakohdan sekä 23 artiklan 2 kohta edellyttää, että henkilötietojen käsittelystä on tarpeen mukaan oltava erityisiä säännöksiä, jotka koskevat muun muassa suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen. Tietosuojavaltuutettu toteaa, että laissa pitäisi säätää tietosuoja-asetuksen edellyttämällä tavalla tietosuoja-asetuksen edellyttämistä suojatoimista. Suojatoimena voisi olla esimerkiksi

7 / 8 säännös siitä, että sote-keskus ei saisi tietoja asiakaskohtaisista kiinteistä maksuista. Lisäksi asiakkaalla tulee olla oikeus saada tieto itseään koskevasta arviosta. Kaptitaatiokorvausten laskennassa ja painokertoimien laskennassa tarvittavat tiedot ovat merkittävältä osin yksilöä koskevia arkaluonteisia tietoja. Niiden salassapidosta on säädetty erikseen. Salassa pidettäviä tietoja ei saa luovuttaa ilman asianomaisen suostumusta tai laissa olevaa säännöstä. Henkilön oikeus tarkastaa itseään koskevat tiedot puolestaan seuraa suoraan tietosuoja-asetuksesta. Tietosuoja-asetuksesta seuraa suoraan myös muita suojatoimenpiteitä, kuten velvollisuus nimetä tietosuojavastaava. Velvoite koskee myös Kelaa ja THL:sta. Koska nyt on kyse uuden tyyppisestä henkilöiden ominaisuuksia koskevasta käsittelystä, laissa olisi kuitenkin perusteltua olla nimenomaiset säännökset tietosuojavaltuutetun esittämistä asioista, asiakaskohtaisten tietojen luovutuksesta palveluntuottajalle. Kapitaatiokorvauksella on kuitenkin olennainen merkitys suoran valinnan palveluntuottajien talouteen ja sitä kautta edellytyksiin tuottaa palvelut lainsäädännön edellyttämällä tavalla. Sen vuoksi myös tuottajalla pitäisi olla oikeus tarkistaa korvauksen oikeellisuus perustellusta syystä. Koska asiakkaan oikeudesta tarkistaa itseään koskeva tiedot on jo kattavat säännökset tietosuoja-asetuksessa, ei tarkastusoikeudesta ole tarpeen säätää erikseen. Tietosuojaa koskeva vaikutusten arviointi Tietosuojavaltuutettu totesi lausunnossaan, että asiassa tulee tehdä tietosuoja-asetuksen 35 artiklan tarkoittama tietosuojaa koskeva vaikutusten arviointi. Kyseisen artiklan 3 kohdan a alakohdan mukaan se vaaditaan erityisesti silloin, kun on kyse luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällisestä ja kattavasta arvioinnista, joka perustuu automaattiseen käsittelyyn, kuten profiloitiin. Lisäksi lausunnossa viitattiin saman artiklan 7 alakohtaan. Asetuksen 35 artiklan mukaan 7. Arvioinnin on sisällettävä vähintään: a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut; b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden; c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut. Artiklan 10 kohdan mukaan vaikutuksenarviointi voidaan tehdä yleisen vaikutusarvioinnin yhteydessä lakia säädettäessä tai rekisterinpitäjän tulee se tehdä artiklan 1 kohdan mukaan.

8 / 8 Edellä todetun 35 artiklan 10 kohdan perusteella ja koska rekisterinpitäjällä on paremmat edellytykset tehdä vaikutusarviointi mm. rekisterin teknisen toteutuksen perusteella, arviointia ei ole tarkoituksenmukaista tehdä lain säätämisen yhteydessä. Valinnanvapauslakiin tarvittavat muutokset Edellä todetun perusteella hallituksen esityksen mukaista valinnanvapauslakia on tarpeen täydentää säännöksillä, joissa Kela ja THL määritellään rekisterinpitäjiksi niiden niille syntyvien rekisterien osalta. Lisäksi tietosuoja-asetuksen 9 artiklan g alakohtaan ja 23 artiklan 2 kohdan d alakohtaan perustuen lakiin ehdotetaan lisättäväksi säännös, joka koskee yksilökohtaista kapitaatiokorvausta koskevien tietojen luovuttamisesta palveluntuottajalle. Muutokset ehdotetaan tehtäväksi lain 65 ja 74 :iin. Rekisterinpitäjäksi tulisi määrätä i 65 :n osalta THL ja 74 :n osalta Kansaneläkelaitos. Yksilökohtaista kapitaatiokorvausta koskevien tietojen luovuttamista koskeva säännös ehdotetaan lisättäväksi lain 74 :ään. Ehdotetut lisäykset alla lisäykset kursiivilla. 65 Kiinteä korvaus suoran valinnan palveluntuottajalle - - - - - - - - Terveyden ja hyvinvoinnin laitoksella on oikeus saada painokertoimien määrittelemiseksi välttämättömät tiedot salassapitosäännösten estämättä ja korvauksetta maakunnilta, palveluntuottajilta, Eläketurvakeskukselta, Kansaneläkelaitokselta, Tilastokeskukselta ja Väestörekisterikeskukselta. Terveyden ja hyvinvoinnin laitos voi lisäksi käyttää salassapitosäännösten estämättä painokertoimien määrittelemiseksi välttämättömiä tietoja, jotka se on saanut sille säädettyjen muiden tehtävien hoitamista varten. Terveyden ja hyvinvoinnin laitos on rekisterinpitäjä painokertoimien määrittelemisessä käsiteltäville henkilötiedoille. 74 Kansaneläkelaitoksen tehtävät korvausten maksatuksessa - - - - - - - Maakunnat vastaavat korvausten sisällöstä ja niiden kohdentumisesta. Kansaneläkelaitos laskee 65 :n mukaiset kiinteät korvaukset. Korvaus maksetaan suoran valinnan palvelun tuottajille yhtenä kokonaisuutena ilman asiakaskohtaista erittelyä. Kansaneläkelaitos on rekisterinpitäjä kiinteän korvauksen laskennassa käsiteltäville henkilötiedoille. Hallitusneuvos Pekka Järvinen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute