TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

Samankaltaiset tiedostot
TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Valinnanvapauslain mukainen kapitaatio ja rekisterinpitäjyys

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 389/03/ LAUSUNTOPYYNTÖNNE LUONNOKSESTA SOSIAALI- JA TERVEYDENHUOLLON VALINNANVAPAUSLAINSÄÄDÄNNÖKSI

TIETOSUOJAVALTUUTETUN TOIMISTO

LAUSUNTO LAUSUNTOPYYNTÖNNE KOKEILULAISTA TIETOSUOJAVALTUUTETUN LAUSUNTO. Yleistä henkilötietojen käsittelystä säätämisestä

LAUSUNTO Dnro 5935/96/2018

LAUSUNTOPYYNTÖNNE; laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelyä koskevaksi laiksi ja eräiksi siihen liittyviksi laeiksi

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 497/03/2014. Liikenne- ja viestintäministeriö

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

HALLINTOVALIOKUNNAN MIETINTÖ 19/2005 vp. Hallituksen esitys eräiksi kiinteistöjen omistajatietojen ajantasaisuutta parantaviksi säännöksiksi JOHDANTO

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 1087/03/2014 '

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

1(9) LIITE vastineen mukainen ehdotus Tarkistettu ehdotus. 5 Asiakassuunnitelma. 5 Asiakassuunnitelma

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2815/03/13. Oikeusministeriö

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Sosiaali- ja terveysvaliokunta Muutosjohtaja Marjukka Turunen Erikoisasiantuntija Maritta Korhonen

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

Vaikutustenarviointi GDPR:n mukaan

7 Poliisin henkilötietolaki 50

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 3092/03/2015 ' Opetus- ja kulttuuriministeriö

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2025/03/12. Puolustusministeriö

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

vastineen mukainen ehdotus Tarkistettu ehdotus Tarkistettu ehdotus Asiakassuunnitelma

Uudistettu asiakastietolaki edistämään tiedonvaihtoa sosiaalija terveydenhuollossa

Itsemääräämisoikeus ja yksityisyydensuoja

Kirjaaminen ja sosiaali- ja terveydenhuollon yhteisissä palveluissa ja Henkilörekisterien uudistaminen

Tutkittavan informointi ja suostumus

Lausunto eduskunnan perustuslakivaliokunnalle hallituksen esityksestä eduskunnalle laiksi työttömyysturvalain muuttamisesta (HE 5/2015 vp)

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Tiedollinen itsemääräämisoikeus ja MyData

3. HE 236/2002 vp laeiksi väestötietolain ja henkilökorttilain muuttamisesta. Kuultavina: puheenjohtaja Erkki Hartikainen, Vapaa-ajattelijain Liitto

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2415/03/2011 ' Opetus- ja kulttuuriministeriö

Helsingin kaupunki Pöytäkirja 31/ (6) Kaupunginhallitus Asia/ Kaupunginhallitus päätti panna asian pöydälle.

HE 87/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Tietosuoja-asetus Immo Aakkula Arkistointi

HE 112/2009 vp. Esityksessä ehdotetaan säädettäväksi laki Kansaneläkelaitoksen oikeudesta saada vammaisten henkilöiden tulkkipalveluja koskevia

Talousvaliokunta klo 11:20

Teknologia avusteiset palvelutverkostopalaveri

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

HE 16/2018 vp Hallituksen esitys eduskunnalle laiksi asiakkaan valinnanvapaudesta sosiaalija terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Kansallinen tietosuojalaki

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11

Hallituksen esitys laiksi asiakkaan valinnanvapaudesta sosiaali- ja terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi (HE 16/2018 vp)

1. Arvionne lukuun 1 Johdanto

Laadun ja terveyshyödyn näkökulma soteuudistuksessa. Taina Mäntyranta

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Sote-asiakastietojen käsittely

LAUSUNTO OM 198/43/2015

Juha Lavapuro Lausunto

Päätös. Laki. sosiaalihuoltolain väliaikaisesta muuttamisesta

Hallituksen esitys laiksi asiakkaan valinnanvapaudesta sosiaali- ja terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi (HE 16/2018 vp)

Rekisteri on perustettu Rauman kaupungin sosiaali- ja terveystoimialan terveyspalvelujen käyttöä varten.

1 (6) Kirjallinen vastine Maarit Huotari Sami Kivivasara. Hallintovaliokunnalle

Juha Lavapuro Kirjallinen lausunto

Eduskunnan talousvaliokunnalle

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Sosiaali- ja terveysvaliokunnalle

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2407/03/2015 ' Opetus- ja kulttuuriministeriö

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 241/03/

HE 120/2007 vp. josta lukien edellä mainituista tehtävistä vastaa

Palveluntuottajan vaatimukset sote-lainsäädännössä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

OPPILASREKISTERISELOSTE

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

LUONNOS HALLITUKSEN ESITYKSEKSI HENKILÖTIETOJEN KÄSITTELYSTÄ MAAHANMUUTTOHALLINNOSSA

Tietosuoja-asetus ja sen kansallinen implementointi

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tulevat säädösmuutokset ja tietosuoja

HE 15/2017 vp Asetuksenantovaltuudet

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Transkriptio:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018 Eduskunnan hallintovaliokunta HaV@eduskunta.fi Asia HE 16/2018 vp Hallituksen esitys eduskunnalle laiksi asiakkaan valinnanvapaudesta sosiaali- ja terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi Kuultava Tietosuojavaltuutettu Kuuleminen 20.4. kello 11.15, kirjallinen lausunto TIETOSUOJAVALTUUTETUN KIRJALLINEN LAUSUNTO Euroopan Unionin yleisestä tietosuoja-asetuksesta Euroopan Unionin yleistä tietosuoja-asetusta aletaan Suomessa soveltaa 25.5.2018 alkaen. Se on suoraan sovellettavaa oikeutta. Tämän vuoksi myös nyt ehdotettuun lainsäädäntöön sisältyvien henkilötietojen käsittelyä tai rekisterinpitoa koskevien säännösehdotusten tietosuoja-asetuksen mukaisuus tulee arvioida. Kansallisen lain säännökset eivät saa olla ristiriidassa tietosuoja-asetuksen säännösten kanssa. Lisäksi tietosuoja-asetuksen säännöksistä voidaan poiketa vain silloin, kun se on tietosuoja-asetuksessa nimenomaan sallittu. Tietosuoja-asetuksesta poikkeavien kansallisen lain säännösten tulee täyttää myös tietosuoja-asetuksen sen säännöksistä poikkeamiselle asettamat vaatimukset. Suomen perustuslaista Perustuslain (731/1999) 10 turvaa yksityisyyden suojan perusoikeutena jokaiselle. Pykälän mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Eduskunnan perustuslakivaliokunta on esimerkiksi lausunnoissaan PeVL 14/1998 vp ja 13/2016 vp todennut, että tämän henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat ainakin: * rekisteröinnin tavoite, * rekisteröitävien henkilötietojen sisältö, * niiden sallitut käyttötarkoitukset mukaan luettuna tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä * sekä rekisteröidyn oikeusturva samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla. Perustuslakivaliokunta on myöhemmin todennut lailla

TIETOSUOJAVALTUUTETUN TOIMISTO 2/5 säätämisen vaatimuksen ulottuvan myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla (PEVL 12/2000vp, s.5). Hallintovaliokunnan, jonka toimialaan henkilötietokysymykset kuuluvat, linjanvedot henkilötietojen käsittelyn sääntelystä vastaavat perustuslakivaliokunnan edellä mainittua kantaa. Tämä käy ilmi muun muassa hallintovaliokunnan lausunnoista HaVL 16 ja 19/1998 vp sekä hallintovaliokunnan mietinnöistä HaVM 25 ja 26/1998 vp. Hallintovaliokunnan mukaan lain tasolla on ilmettävä ainakin perustuslakivaliokunnan edellä mainitussa lausunnossa mainitut asiat. Asetustasolla on hallintovaliokunnan kannan mukaan mahdollista antaa rekisterin tietosisältöä täydentäviä ja tarkentavia säännöksiä, kunhan lakitekstin perusteella voidaan riittävän selkeästi päätellä asetuksen tasoisen sääntelyn sisältö. Hallintovaliokunta pitää kuitenkin asianmukaisena lähtökohtana pyrkimystä mahdollisimman yksityiskohtaisesti säätää henkilötietojen suojaan liittyvistä seikoista jo lain tasolla. Perustuslakivaliokunnan ja hallintovaliokunnan edellä mainitut linjanvedot henkilörekistereiden ja henkilötietojen käsittelystä sääntelystä on otettava huomioon myös silloin kun tällaisia säännöksiä on tarkoitus sisällyttää erityislainsäädäntöön ja kun erityislainsäädännön säädöksiä ja niiden mahdollisia tarkistamistarpeita arvioidaan. Kyseessä olevasta lakiehdotuksesta Olen arvioinut lakiehdotusta sekä tietosuoja-asetuksen säännösten että perustuslain soveltamiskäytännön valossa. Kommentoin ehdotusta siltä osin kuin se mielestäni on näiden vastainen. 5 Asiakassuunnitelma Ehdotuksen mukaan laajasti palveluja tarvitseville asiakkaille laadittaisiin sosiaali- ja terveydenhuollon yhteinen palvelusuunnitelma, jonka tulee kattaa kaikki asiakkaan sosiaali- ja terveydenhuollon palvelut tuotantovastuusta riippumatta. Ehdotuksessa säädetään myös mm. yhteistyövelvoitteesta. Tietosuojavaltuutettu toteaa, että säännöksen ja sen perustelujen perusteella jää jossain määrin epäselväksi, sisältäisikö asiakassuunnitelma kaikki samat tiedot jotka sosiaalihuollon ja terveydenhuollon erillisissäkin suunnitelmissa on, vai koottaisiinko yhteiseen suunnitelmaan vain sellaiset tiedot, jotka ovat kaikille palvelunantamiseen osallistuville tahoille tarpeellisia. Henkilötietojen käsittelyn näkökulmasta yhteisessä palvelusuunnitelmassa saisi olla vain kaikille asiakkaan palvelun antamiseen osallistuville tahoille tarpeellisia tietoja. Asiaan vaikuttaa myös se, että valinnanvapauden piiriin kuuluvat sote-keskukset eivät anna ollenkaan sosiaalihuoltoa, vaan ainoastaan sosiaalihuoltoa koskevaa neuvontaa. Tietosuojavaltuutettu ehdottaa säännökseen lisättäväksi, että yhteinen asiakassuunnitelma voi sisältää vain kaikille asiakkaan palvelun antamiseen osallistuville välttämättömiä tietoja. Tietosuoja-asetuksen 5 artiklan 1 momentin c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Samassa artiklassa säädetään myös käyttötarkoitussidonnaisuudesta ja 6 artiklan 4 kohdassa mahdollisuudesta säätää kansallisessa laissa siitä poikkeavasti.

TIETOSUOJAVALTUUTETUN TOIMISTO 3/5 Pykälässä velvoitetaan myös mm. yhteistyön tekemiseen ja paljon palveluja tarvitsevien asiakkaiden tunnistamiseen. Tietojen antaminen ja saaminen yhteistyön yhteydessä ei ole ongelmallista silloin, kun on kyse maakunnan järjestämisvastuun piiriin kuuluvasta terveydenhuollosta ja tietoja annetaan terveydenhuollon sisällä. Tällöin on kyse saman rekisterinpitäjän tietojen käyttämisestä potilaan tutkimukseen ja hoitoon liittyviin tarkoituksiin ja niitä voi saada potilaslain mukaisesti työtehtävien edellyttämässä laajuudessa. Vastaava periaate on voimassa silloin, jos tietoja annetaan maakunnan järjestämisvastuuseen kuuluvan sosiaalihuollon sisällä. Sen sijaan yhteistyö on ongelmallisempaa silloin, jos yhteistyötä tehdään sosiaali- ja terveydenhuollon kesken. Sekä sosiaalihuollon asiakastiedot että terveydenhuollon potilastiedot ovat salassa pidettäviä. Niiden luovuttaminen sosiaalihuollosta terveydenhuoltoon tai toisin päin edellyttää asiakkaan/potilaan nimenomaista suostumusta tai siihen oikeuttavaa lainsäännöstä. Tietoja voidaan antaa sosiaalihuollon asiakkaan asemaa ja oikeuksia koskevan lain tai potilaan asemaa ja oikeuksia koskevan lain säännösten mukaisesti. Jos tässä yhteistyövelvoitteessa on tarkoituksena, että tietoja luovutettaisiin laajemmin, niin siitä pitäisi erikseen säätää. Pelkkä yhteistyövelvoite ei oikeuta salassa pidettävien tietojen luovuttamiseen. Tässä yhteydessä tulisi arvioida myös sitä, onko tietosuoja-asetuksen edellyttämiä perusteita tietojen käyttämiseen eri tarkoitukseen kuin mihin niitä on alkuaan kerätty (käyttötarkoitussidonnaisuus). 65 Kiinteä korvaus suoran valinnan palveluntuottajalle Tietosuojavaltuutettu pitää tärkeänä, että valiokunta arvioisi tähän pykälään perustuvan maakunnan sote-keskukselle maksaman asiakaskohtaisen kiinteän korvauksen määräytymisen tietosuoja-asetuksen mukaisuuden. Pykälän mukaan kiinteän korvauksen suuruutta määrättäessä maakuntien on noudatettava kansallisia tarvetekijöitä. Niitä olisivat asiakkaiden ikä, sukupuoli, sairastavuus, työssäkäynti ja muut sosio-ekonomiset tekijät. Terveyden ja hyvinvoinnin laitos valmistelee tarvetekijöille painokertoimet. Pykälän yksityiskohtaisissa perusteluissa ei ole ollenkaan arvioitu kiinteän korvauksen määritysmenettelyn liittyvän henkilötietojen käsittelyn sallittavuutta tietosuoja-asetuksen säännösten valossa. Ehdotettu säännös mahdollistaisi erittäin laajasti asiakasta koskevien, myös tietosuojaasetuksen 9 artiklan tarkoittamiin erityisiin tietoryhmiin (nykyisen henkilötietolain 11 :n mukaisiin arkaluonteisiin henkilötietoihin) kuuluvien tietojen keräämisen ja käytön tähän tarkoitukseen. Vastaava säännöstä ei aiemmassa valinnanvapauslakia koskevassa ehdotuksessa ollut. Aiemmassa lakiehdotuksessa ollut säännös vaikutti koskevan vain väestön tietojen arviointia maakunnan tasolla, ei asiakaskohtaisesti. Tietosuojavaltuutetun käsityksen mukaan nyt ehdotetussa säännöksessä olisi kyse tietosuoja-asetuksen 22 artiklan mukaisista automatisoiduista yksittäispäätöksistä, profilointi mukaa luettuna. Tietosuoja-asetuksen 4 artiklan 4 kohdan mukaan profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät esim. kyseisen luonnollisen henkilön

TIETOSUOJAVALTUUTETUN TOIMISTO 4/5 terveyteen. 22 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Asiakkaalla on palvelujen valintaoikeus ja oikeus saada tarvittavaa tutkimusta ja hoitoa. Asiassa tulee arvioida, voiko ehdotettu asiakaskohtainen kiinteä korvaus johtaa siihen, että asiakasta ei joko hyväksytä sote- keskuksen asiakkaaksi tai että sote -keskuksen asiakkaille tosiasiassa esim. määrättäisiin tutkimuksia eri lailla riippuen siitä, paljonko heistä maksetaan. Jos tällaisia terveyspalveluihin pääsyä tai niiden saantia koskevia seurauksia voi olla, niin menettelyllä olisi vaikutusta rekisteröidyn oikeuksiin tai se vaikuttaisi heihin vastaavalla tavalla merkittävästi. Mahdollisiin seurauksiin vaikuttanee mm. se, saako sote-keskus tietoonsa kustakin asiakkaasta maksettavan kiinteän korvauksen määrän joko suoraan tai välillisesti. Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaan edellä mainittua 1 kohtaa ei kuitenkaan sovelleta, jos automaattiset päätökset, mukaan lukien profilointi, on hyväksytty jäsenvaltion lainsäädännössä. Tietosuoja-asetus siten mahdollistaa sen, että profiloinnista voidaan 1 kohdan mukaisesta kiellosta huolimatta kansallisesti säätää. Kansalliselle lainsäädännölle on kuitenkin asetettu samassa artiklassa ehtoja. Kansallisessa lainsäädännössä tulee vahvistaa asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Lisäksi automatisoidut yksittäispäätökset, mukaan lukien profilointi, voivat perustua tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin tietoryhmiin, kuten terveydentilatietoihin, jos sovelletaan 9 artiklan 2 kohdan g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu. 9 artiklan 2 kohdan g kohdassa edellytetään lisäksi, että käsittely on tarpeen tärkeää yleistä etua koskevasta syystä jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhtaista tavoitteeseen nähden, siinä noudatetaan keskeiseltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tietosuojavaltuutettu katsoo, että tulee arvioida, onko tavoitteeseen nähden oikeasuhtaista kerätä kaikista kansalaisista näin kattavasti tietoja. Riittäisivätkö vähemmätkin tiedot tai voitaisiinko kiinteä maksatus mahdollisesti hoitaa muullakin tavoin kuin pääosin asiakaskohtaisilla, kunkin asiakkaan pisteytykseen perustuvilla kiinteillä maksuilla. Mikä on se tärkeä yleinen etu, joka vaatii tämän kaltaisen menettelyn toteuttamisen ja päästäänkö ehdotetulla tavalla asetettuun tavoitteeseen. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Poikkeuksia tästä periaatteesta voidaan säätää vain tietosuoja-asetuksen 23 artiklan edellytyksillä. Ehdotuksessa ei ole säännöksiä tietosuoja-asetuksen edellyttämistä suojatoimista. Jos tällaiseen säännökseen päädytään, niin siinä tulee säätää tietosuoja-asetuksen edellyttämistä suojatoimista. Muutoin se on asetuksen vastainen. Suojatoimena voisi olla

TIETOSUOJAVALTUUTETUN TOIMISTO 5/5 esim. säännös siitä, että sote-keskus ei saisi tietoja asiakaskohtaisista kiinteistä maksuista. Lisäksi asiakkaalla itsellään tulee olla oikeus saada tieto itseään koskevasta arviosta. Suojatoimia on määritelty myös tietosuoja-asetuksen 23 artiklassa. Sen 2 kohdan mukaan lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin kohdassa mainittuja asioita. Siinä on mainittu esim. suojatoimet, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen, tietojen säilytysajat ja rekisteröidyn oikeuksiin ja vapauksiin kohdistuvat riskit. Tietosuojavaltuutettu katsoo, että asiassa tulee tehdä tietosuoja-asetuksen 35 artiklan tarkoittama, tietosuojaa koskeva vaikutustenarviointi. Kyseisen artiklan 3 kohdan a alakohdan mukaan se vaaditaan erityisesti silloin, kun on kyse luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällisestä ja kattavasta arvioinnista, joka perustuu automaattiseen käsittelyyn, kuten profilointiin. Saman artiklan 7 kohdan mukaan arvioinnin on sisällettävä mm. arvio käsittelytoimien tarpeellisuudesta ja oikeasuhtaisuudesta tarkoituksiin nähden. Kohdan 10 mukaan tietosuojaa koskeva vaikutustenarviointi voidaan tehdä yleisen vaikutustenarvioinnin yhteydessä lakia säädettäessä. Jos sitä ei ole silloin tehty, niin rekisterinpitäjän tulee se tehdä saman artiklan 1 kohdan mukaan. Pykälän viimeisessä momentissa on ehdotettu terveyden- ja hyvinvoinninlaitokselle laajat tiedonsaantioikeudet painokertoimien määrittelemiseksi. Kyse on henkilötietojen saamista koskevasta säännöksestä, joka merkitsee sitä, että tietojen luovuttajat luovuttaisivat henkilötietoja eri käyttötarkoitukseen kuin mihin se ne on alkuaan kerätty. Tällainen tietojen käyttötarkoituksen muutos edellyttää, että kyseisen tietojen saantia koskevan säännöksen ja muidenkin lakiehdotuksen tietojen saamista tai luovuttamista koskevien säännösten, tulee täyttää tietosuoja-asetuksen 6 artiklan 4 kohdan vaatimukset. Kyseinen kohta mahdollista käyttötarkoitussidonnaisuuden muutoksen, jos se perustuu jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhtaisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden toteuttamiseksi. Sen mukaan tällaisessa lainsäädännössä tulee kuitenkin noudattaa keskeisiltä osin perusoikeuksia ja -vapauksia. Käyttötarkoitussidonnaisuudesta voidaan säätää poikkeuksia, jotta voidaan taata mm. kansanterveys ja sosiaaliturva. Tietosuojavaltuutettu kiinnittää huomiota myös siihen, että asiakaskohtaiset, kiinteän korvauksen määrittelytiedot, mm. asiakaskohtaiset pisteytystiedot, ovat henkilötietoja ja niistä muodostuu henkilörekisteri. Myös tästä henkilörekisteristä tulee säätää ja sen rekisterinpitäjästä. Tällaista rekisterisäännöstä ei lakiehdotuksessa näytä olevan. Ehdotuksen 74 :n mukaan maakunnat vastaavat korvausten sisällöstä ja niiden kohdentumisesta ja Kela laskee 65 :n mukaiset kiinteät korvaukset. Kelalle ehdotetaan lakiehdotuksen 80 :ssä tiedonsaantioikeutta mm. korvauksen määrittelyssä tarvittavien tietojen saamiseksi.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute