Organisaatioluvan hakeminen Vaatimukset Hakijan tulee toimittaa seuraavat kaksi asiakirjaa e-tutkijaan tehtävän lupahakemuksen liitteenä kun tutkimuksessa käsitellään henkilötietoja. 1. Tietosuojaseloste, joka sisältää seuraavat tiedot 1. Rekisterinpitäjä - virallinen nimi - Rekisterinpitäjän Y-tunnus, jos on - Rekisterinpitäjän postiosoite 2. Rekisterinpitäjän yhteyshenkilö ja yhteydenotot rekisterinpitäjään - Kuka vastaa rekisteristä (ylin vastuutaho): nimi ja yhteystiedot - Kuka on yhteyshenkilö henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa: nimi ja yhteystiedot - Kuka on rekisterinpitäjän tietosuojavastaava: nimi ja yhteystiedot 3. Rekisterin nimi - Rekisterin nimi (kuvaava ja yksilöivä nimi esim. tutkimuksen NN rekisteri) 4. Henkilötietojen käsittelyn tarkoitus ja käsittelyn lainmukaisuus - Mihin tarkoitukseen henkilötietoja ylläpidetään - Millaisten henkilöryhmien tietoja rekisterissä ylläpidetään - Millaisissa käyttötarkoituksissa henkilötietoja voidaan käsitellä - Henkilötietojen käsittelyn oikeusperusteet ja ensisijainen oikeusperuste 5. Rekisterin tietosisältö - Millaisia tietoja rekisterissä ylläpidetään - Millaisia tietoja rekisteröidystä voidaan tallentaa 6. Henkilötietojen säilytysaika - Kuinka kauan henkilötietoja säilytetään 7. Säännönmukaiset tietolähteet - Mistä lähteistä tietoja saadaan 8. Henkilötietojen vastaanottajat ja säännönmukaiset luovutukset - Kuka käsittelee henkilötietoja
- Mihin tietoja voidaan luovuttaa tietosuojaselosteen kohdassa 4 kuvattuihin käyttötarkoituksiin, noudattaen aina voimassa olevaa lainsäädäntöä - Tieto voidaanko henkilötietojen käsittelytehtäviä ulkoistaa - Tieto milloin henkilötietoja voidaan luovuttaa rekisterinpitäjän tai sen toimeksiantoa hoitavien tahojen ulkopuolelle 9. Tietojen siirto Euroopan Unionin tai Euroopan Talousalueen ulkopuolelle - Siirretäänkö rekisterissä olevia henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle. - Yksilöi vastaanottajat ja tilanteet, joissa siirto tapahtuu 10. Rekisterin suojauksen periaatteet - Sähköisten tietojärjestelmien ja digitaalisen aineiston suojauksen periaatteet - Manuaalisen aineiston osalta säilytyksen periaatteet - Arkistoinnin osalta suojauksen periaatteet 11. Profilointi - Voidaanko henkilötietoja käyttää profilointitarkoituksiin. - Jos kyllä, niin kerro kuinka profilointi käytännössä toteutetaan - Jos kyllä, niin erittele tiedot jotka säilytetään pysyvästi 12. Pysyvä säilytys - Säilytetäänkö tietoja pysyvästi - Jos kyllä, niin kerro millä perusteella - Jos kyllä, niin erittele tiedot jotka säilytetään pysyvästi 13. Rekisteröidyn oikeus tarkastaa tiedot Rekisteröidyllä on oikeus tarkastaa häntä koskevat rekisteriin tallennetut tiedot. Tarkastuspyyntö tulee tehdä kirjallisesti tämän tietosuojaselosteen kohdan 2 mukaisesti. Rekisterinpitäjä voi kieltäytyä luovuttamasta tietoja tietosuojalainsäädännössä määritellyin perustein. Tällöin rekisteröidylle toimitetaan kirjallinen kieltäytymistodistus, jossa kieltäytyminen perustellaan. Tarkastusoikeuden käyttäminen on lähtökohtaisesti maksutonta tietosuojalainsäädännössä määritellyin rajauksin. 14. Rekisteröidyn oikeus vaatia tiedon oikaisemista, poistamista tai käsittelyn rajoittamista sekä suostumuksen peruuttamista Rekisteröidyllä on oikeus vaatia korjaamaan häntä koskeva rekisterissä oleva virheellinen, tarpeeton, puutteellinen tai vanhentunut tieto. Siltä osin kuin rekisteröity ei pysty korjaamaan tietoja itse, rekisteröidyn tulee tehdä kirjallinen korjaus-
pyyntö tämän tietosuojaselosteen kohdan 2 mukaisesti, yksilöimällä sekä korjaustarve että korjaamisen peruste. Rekisteröidyllä on myös oikeus vaatia rekisterinpitäjää rajoittamaan henkilötietojensa käsittelyä esimerkiksi siinä tilanteessa, kun rekisteröity odottaa rekisterinpitäjän vastausta tietojensa oikaisemista tai poistamista koskevaan pyyntöön. Mikäli henkilötietojen käsittelyn lainmukaisuus perustuu rekisteröidyn suostumukseen, on rekisteröidyllä oikeus peruuttaa milloin tahansa tämä suostumus. 15. Rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä ja suoramarkkinointia Rekisteröidyllä on oikeus henkilökohtaiseen, erityiseen tilanteeseensa liittyen vastustaa itseensä kohdistuvaa profilointia ja muita käsittelytoimia, joita rekisterinpitäjä kohdistaa rekisteröidyn henkilötietoihin siltä osin, kun tietojen käsitteleminen perustuu rekisterinpitäjän oikeutettuun etuun. Rekisteröity voi esittää vastustamista koskevan vaatimuksensa tämän tietosuojaselosteen kohdan 2 mukaisesti. Rekisteröidyn tulee vaatimuksen yhteydessä yksilöidä se erityinen tilanne, johon perustuen hän vastustaa käsittelyä. Rekisterinpitäjä voi kieltäytyä toteuttamasta vastustamista koskevaa pyyntöä, jos sillä on perusteltu syy säilyttää tieto tehtäviensä hoitamiseksi. Tällöin rekisteröidylle toimitetaan kirjallinen kieltäytymistodistus, jossa kieltäytyminen perustellaan. 16. Rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle Rekisteröidyllä on oikeus tehdä valitus erityisesti vakinaisen asuin- tai työpaikkansa sijainnin mukaiselle valvontaviranomaiselle, mikäli hän katsoo, että henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (EU) 2016/679. 17. Lisätietoa rekisteröidyn oikeuksista Rekisteröidyn oikeuksista on säädetty Euroopan unionin yleisessä tietosuojaasetuksessa-(eu 679/2016) ja tullaan säätämään sitä täydentävässä kansallisessa lainsäädännössä. Tietosuojavaltuutetun toimisto julkaisee verkkosivuillaan www.tietosuoja.fi tietoa rekisteröidyn oikeuksista ja antaa toimintaohjeita oikeuksien käyttämiseen.
Täytä tarvittaessa. - Annan luvan tietosuojaselosteen julkaisuun www.psshp.fi sivuille - Tietosuojaseloste sisältää salassa pidettävää tietoa sekä 2. Vaikutustenarviointi erityisiä henkilötietoryhmiä* koskevien tietojen käsittelystä (*henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely). Vaikutustenarvioinnin tulee perustua tehtyyn riskiarvioon henkilötietojen käsittelystä tutkimuksessa. Voit hyödyntää riskiarvion laatimisessa riskiarvio-lomaketta. Noudata seuraavaa toimintamallia jättäessäsi organisaatiolupahakemusta. Toimintamalli Tee vaikutustenarviointi, joka perustuu laatimaasi henkilötietojen käsittelyn riskiarvioon (voit hyödyntää riskiarvio-lomaketta). Laadi tutkimuksesta tietosuojaseloste. Hyödynnä intranetin ohjeistusta ja työkaluja. Ole tarvittaessa yhteydessä PSSHP:n/KYS:n tietosuojavastaavaan. Varmista, että ulkopuolisesta tutkimusyhteistyöstä on tehty kirjallinen sopimus (voit käyttää olemassa olevia sopimuspohjia). Tutkimuksen rekisterinpitäjä vastaa siitä, että kaikkien tutkimusryhmän ulkopuolisten henkilötietojen käsittelijöiden kanssa on tarvittaessa tehty kirjallinen sopimus henkilötietojen käsittelyn ehdoista (voit käyttää olemassa olevia sopimuspohjia). Tutkimuksen rekisterinpitäjä vastaa siitä, että kaikissa mahdollisissa rekisterinpitäjän ulkopuolelle tehdyissä tietojensiirroissa on laillinen oikeusperuste ja tietojen siirroista on tehty kirjallinen sopimus. Kun jätät organisaatiolupahakemuksen e-tutkijaan, sinulle esitetään sitoumus, jonka hyväksymällä sitoudut noudattamaan KYS:n sääntöjä ja ohjeita. Tutkimuksen vastuuhenkilön vastuulla on, että tutkimusryhmän kaikki jäsenet sitoutuvat noudattamaan sääntöjä ja ohjeita.
Rekisteritutkimuksen aloittaminen Vaatimukset Toimita seuraavat dokumentit organisaatiolupahakemuksen liitteenä. 1. Rekisterinpitäjän lupa potilastietojen käyttöön 2. Tietosuojaseloste (vrt. KYS intranetin lomakepohja) 3. Vaikutustenarviointi 4. Tarvittavat sopimukset ulkopuolisten kanssa tutkimuksesta ja siinä tapahtuvasta henkilötietojen käsittelystä Toimintamalli Tee vaikutustenarviointi, joka perustuu laatimaasi henkilötietojen käsittelyn riskiarvioon (voit hyödyntää riskiarvio-lomaketta). Laadi tutkimuksesta tietosuojaseloste. Hyödynnä intranetin ohjeistusta ja työkaluja. Ole tarvittaessa yhteydessä PSSHP:n/KYS:n tietosuojavastaavaan. Varmista, että ulkopuolisesta tutkimusyhteistyöstä on tehty kirjallinen sopimus (voit käyttää olemassa olevia sopimuspohjia). Tutkimuksen rekisterinpitäjä vastaa siitä, että kaikkien tutkimusryhmän ulkopuolisten henkilötietojen käsittelijöiden kanssa on tarvittaessa tehty kirjallinen sopimus henkilötietojen käsittelyn ehdoista (voit käyttää olemassa olevia sopimuspohjia). Tutkimuksen rekisterinpitäjä vastaa siitä, että kaikissa mahdollisissa rekisterinpitäjän ulkopuolelle tehdyissä tietojensiirroissa on laillinen oikeusperuste ja tietojen siirroista on tehty kirjallinen sopimus. Kun jätät organisaatiolupahakemuksen e-tutkijaan, sinulle esitetään sitoumus, jonka hyväksymällä sitoudut noudattamaan KYS:n sääntöjä ja ohjeita. Tutkimuksen vastuuhenkilön vastuulla on, että tutkimusryhmän kaikki jäsenet sitoutuvat noudattamaan sääntöjä ja ohjeita. Lisätietoja Tarvittaessa saat lisätietoja PSSHP:n/KYS:n tietosuojavastaava Auli Mikkoselta, auli.mikkonen@kuh.fi, puh. 044 717 6894.