LAUSUNTOPYYNTÖNNE; laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelyä koskevaksi laiksi ja eräiksi siihen liittyviksi laeiksi

Samankaltaiset tiedostot
TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Uudistettu asiakastietolaki edistämään tiedonvaihtoa sosiaalija terveydenhuollossa

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

LAUSUNTO LAUSUNTOPYYNTÖNNE KOKEILULAISTA TIETOSUOJAVALTUUTETUN LAUSUNTO. Yleistä henkilötietojen käsittelystä säätämisestä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

Laki. EDUSKUNNAN VASTAUS 195/2010 vp

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 389/03/ LAUSUNTOPYYNTÖNNE LUONNOKSESTA SOSIAALI- JA TERVEYDENHUOLLON VALINNANVAPAUSLAINSÄÄDÄNNÖKSI

Tutkimus ja tilastointijaos. Ilona Autti-Rämö Terveystutkimuksen päällikkö Tutkimusprofessori Kela tutkimusosasto

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Lausunto ID (5)

TIETOSUOJAVALTUUTETUN TOIMISTO

Kirjaaminen ja sosiaali- ja terveydenhuollon yhteisissä palveluissa ja Henkilörekisterien uudistaminen

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 1087/03/2014 '

Postinumero Kela. Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 497/03/2014. Liikenne- ja viestintäministeriö

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11

Nimi: Tuomas Hujala Sähköposti: tuomas.hujala. Puhelin: Sähköposti: tietosuoja

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Sähköisen lääkemääräyslain muutokset HE 219/ /251 THL/OPER lakimies Joni Komulainen Joni Komulainen, lakimies, OPER

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Suostumuskäytännöt Suomen perustuslaki

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Postinumero Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Lausuntopyyntökysely: Asiakastietolaki

Informointeja, kieltoja ja suostumuksia Onko käyttö ja luovutus hallinnassa?

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2815/03/13. Oikeusministeriö

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Otin saatujen tietojen perusteella asian omana aloitteena tutkittavaksi.

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Rekisterinpito ja valvonta uusitussa SOTE-lainsäädännössä

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2415/03/2011 ' Opetus- ja kulttuuriministeriö

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

tiedonhallinnan lainsäädännön muutokset osana maakunta- ja soteuudistusta

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Sivu 1/1. Lausuntopyyntökysely: Asiakastictolaki. 1. Taustatiedot * Vastaajatahon virallinen nimi Ruokolahden kunta

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

TIETOSUOJASELOSTE Henkilötietolaki (523/1999)10 ja 24

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Lausuntopyyntökysely: Asiakastietolaki

Päätös. Laki. sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta

Valtuutussäännökset. Voimassaoloaika. Määräys tulee voimaan pp. päivänä [x]kuuta 2015 ja se on voimassa toistaiseksi.

REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Johtopäätöksiä Kanta-arkiston toisiokäytön mahdollisuudet -workshopista

Yksityisen terveydenhuollon potilasasiakirjat

HE 160/2005 vp. Esityksessä ehdotetaan muutettavaksi pelastuslakia

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Tietojen saamisesta ja luovuttamisesta eri organisaatioiden välisessä moniammatillisessa yhteistyössä Tietosuojavaltuutettu Reijo Aarnio

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Tutkittavan informointi ja suostumus

Itä-Savon sairaanhoitopiirin kuntayhtymän sosiaalihuollon kasvatus- ja perheneuvolan asiakasrekisteri

vastineen mukainen ehdotus Tarkistettu ehdotus Tarkistettu ehdotus Asiakassuunnitelma

Kansallinen tietosuojalaki

Tietorekisteriseloste. Fysioterapeutti Annukka Laukkanen 2019

Lausuntopyyntökysely: Asiakastietolaki

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Muutokset lakiin sähköisestä lääkemääräyksestä. Jari Porrasmaa ministry of social affairs and health (Finland)

Kirjaaminen sosiaali- ja terveydenhuollon yhteisissä. palveluissa ja Sote-henkilörekisterilakien uudistaminen

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

HALLINTOVALIOKUNNAN MIETINTÖ 19/2005 vp. Hallituksen esitys eräiksi kiinteistöjen omistajatietojen ajantasaisuutta parantaviksi säännöksiksi JOHDANTO

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 241/03/

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja Hämeenkyrö

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

Helsingin kaupunki Pöytäkirja 1 (5)

Potilas aktiivisena toimijana omassa hoidossaan

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Talousvaliokunta klo 11:20

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 3092/03/2015 ' Opetus- ja kulttuuriministeriö

REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Itä-Savon sairaanhoitopiirin kuntayhtymän työterveyshuollon asiakasrekisteri

TIETOSUOJAVALTUUTETUN TOIMISTO

Lausuntopyyntö STM. 1. Vastaajatahon virallinen nimi. 2. Vastauksen kirjanneen henkilön nimi. 3. Vastauksen vastuuhenkilön yhteystiedot

Julkaistu Helsingissä 31 päivänä maaliskuuta /2014 Laki. sähköisestä lääkemääräyksestä annetun lain muuttamisesta

Suostumuksen hallinnan uudet käytännöt

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Postinumero Käyntiosoite Nordenskiöldinkatu 12, Helsinki. Nimi Kanta-palvelujen tietosuojavastaava

Tietosuojaseloste / Kansanterveystyön rekisteri / suun terveydenhuolto

Naantalin kaupunki Rekisteriseloste

Tietosuojakysely 2018

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

1(9) LIITE vastineen mukainen ehdotus Tarkistettu ehdotus. 5 Asiakassuunnitelma. 5 Asiakassuunnitelma

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

2. REKISTERINPITÄJÄ Nimi Pohjois-Pohjanmaan sairaanhoitopiiri

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

Julkaistu Helsingissä 13 päivänä huhtikuuta /2012 Sosiaali- ja terveysministeriön asetus

Transkriptio:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1264/03/2018 9.5.2018 Sosiaali- ja terveysministeriö kirjaamo@stm.fi marja.penttila@stm.fi VIITE Lausuntopyyntönne 12.4.2018 ja 23.4.2018 toimittamanne hallituksen esitysluonnos, STM022:00/2017 LAUSUNTOPYYNTÖNNE; laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelyä koskevaksi laiksi ja eräiksi siihen liittyviksi laeiksi Kerroitte, että lakiesitys on ollut lausuntokierroksella maaliskuussa 2017 ja lausuntoja tuli noin 180. Lausuntopalautteet on otettu huomioon ja niiden pohjalta on tehty tarvittavat muutokset lakiesityksen pykäliin sekä yleis- ja yksityiskohtaisiin perusteluihin. Lausuntokierroksen jälkeen asiakastietolakiesitystä on täydennetty ja täsmennetty myös muilta osin. Esitykseen on tehty mm. EU:n yleisestä tietosuojaasetuksesta johtuvia muutoksia. Esityksessä mm. poistettaisiin aiemmassa esityksessä ollut ehdotus sosiaali- ja terveydenhuollon yhteisestä asiakasrekisteristä. Lisäksi Kanta -palveluiden rekisterinpitäjyyttä on tarkistettu suhteessa tietosuoja-asetukseen. TIETOSUOJAVALTUUTETUN LAUSUNTO Euroopan Unionin yleisestä tietosuoja-asetuksesta Euroopan Unionin yleistä tietosuoja-asetusta aletaan Suomessa soveltaa 25.5.2018 alkaen. Se on suoraan sovellettavaa oikeutta. Tämän vuoksi myös nyt ehdotettuun lainsäädäntöön sisältyvien henkilötietojen käsittelyä tai rekisterinpitoa koskevien säännösehdotusten tietosuoja-asetuksen mukaisuus tulee arvioida. Kansallisen lain säännökset eivät saa olla ristiriidassa tietosuoja-asetuksen säännösten kanssa. Lisäksi tietosuoja-asetuksen säännöksistä voidaan poiketa vain silloin, kun se on tietosuoja-asetuksessa nimenomaan sallittu. Tietosuoja-asetuksesta poikkeavien kansallisen lain säännösten tulee täyttää myös tietosuoja-asetuksen sen säännöksistä poikkeamiselle asettamat vaatimukset. Suomen perustuslaista Perustuslain (731/1999) 10 turvaa yksityisyyden suojan perusoikeutena jokaiselle. Pykälän mukaan henkilötietojen suojasta säädetään tarkemmin lailla.

TIETOSUOJAVALTUUTETUN TOIMISTO 2/9 Eduskunnan perustuslakivaliokunta on esimerkiksi lausunnoissaan PeVL 14/1998 vp ja 13/2016 vp todennut, että tämän henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat ainakin: * rekisteröinnin tavoite, * rekisteröitävien henkilötietojen sisältö, * niiden sallitut käyttötarkoitukset mukaan luettuna tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä * sekä rekisteröidyn oikeusturva samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla. Perustuslakivaliokunta on myöhemmin todennut lailla säätämisen vaatimuksen ulottuvan myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla (PEVL 12/2000vp, s.5). Hallintovaliokunnan, jonka toimialaan henkilötietokysymykset kuuluvat, linjanvedot henkilötietojen käsittelyn sääntelystä vastaavat perustuslakivaliokunnan edellä mainittua kantaa. Tämä käy ilmi muun muassa hallintovaliokunnan lausunnoista HaVL 16 ja 19/1998 vp sekä hallintovaliokunnan mietinnöistä HaVM 25 ja 26/1998 vp. Hallintovaliokunnan mukaan lain tasolla on ilmettävä ainakin perustuslakivaliokunnan edellä mainitussa lausunnossa mainitut asiat. Asetustasolla on hallintovaliokunnan kannan mukaan mahdollista antaa rekisterin tietosisältöä täydentäviä ja tarkentavia säännöksiä, kunhan lakitekstin perusteella voidaan riittävän selkeästi päätellä asetuksen tasoisen sääntelyn sisältö. Hallintovaliokunta pitää kuitenkin asianmukaisena lähtökohtana pyrkimystä mahdollisimman yksityiskohtaisesti säätää henkilötietojen suojaan liittyvistä seikoista jo lain tasolla. Perustuslakivaliokunnan ja hallintovaliokunnan edellä mainitut linjanvedot henkilörekistereiden ja henkilötietojen käsittelystä sääntelystä on otettava huomioon myös silloin kun tällaisia säännöksiä on tarkoitus sisällyttää erityislainsäädäntöön ja kun erityislainsäädännön säädöksiä ja niiden mahdollisia tarkistamistarpeita arvioidaan. Kyseessä olevista lakiehdotuksista Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä Tietosuojavaltuutettu pitää hyvänä ratkaisuna sitä, että nyt käsiteltävänä olevassa esityksessä ei ehdoteta sosiaali- ja terveydenhuollon yhteistä asiakas- ja potilasrekisteriä. Aiemmin lausunnolla olleessa ehdotuksessa tällainen ehdotus oli. Perustelitte lausuntopyynnössänne sitä, miksi yhteisrekisteristä on nyt luovuttu. Tietosuojavaltuutettu viittaa esittämienne perustelujen lisäksi vielä siihen, että asiassa tulee ottaa huomioon myös salassapitosäännökset. Pelkällä rekisterimäärittelyllä ei voida ohittaa salassapitosäännöksiä. Siten myös salassapitosäännöksiä tulee arvioida silloin, jos tietojen saantia on tarkoitus helpottaa sosiaali- ja terveydenhuollon välillä. Lakiehdotuksen yleisperusteluissa nykytila -kohdassa on kerrottu mm. henkilötietolain säännöksistä. Henkilötietolaki kumotaan tietosuojalain säätämisen yhteydessä ihan lähitulevaisuudessa. Tämän vuoksi perusteluihin olisi hyvä liittää tätä koskeva tieto. 4 Asiakastietojen käytettävyys ja säilyttäminen Säännös on osittain saman sisältöinen kuin tietosuoja-asetuksen 32 artikla, joka koskee käsittelyn turvallisuutta. Myös asetuksen 5 artiklan (1) (f) kohdassa edellytetään eheyttä ja luottamuksellisuutta. Ehdotus vaikuttaa kaventavan tietoturvavelvoitteita

TIETOSUOJAVALTUUTETUN TOIMISTO 3/9 suhteessa asetukseen, jonka vuoksi tietosuojavaltuutetut ehdottaa tämän säännöksen poistamista. 5 2 mom. ja 7 1 mom., valtakunnalliset tietojärjestelmäpalvelut, mm. rekisterinpitäjä Vaikuttaa siltä, että otsikossa mainittujen lainkohtien terminologia olisi ristiriidassa keskenään. 7 :n 1 momentissa määritellään, mitä valtakunnallisia tietojärjestelmäpalveluja Kelan tulee järjestää. Sen 2 kohdassa on mainittu lokirekisterien säilytyspalvelu. Sen sijaan 5 :n 2 momentissa todetaan Kelan olevan lokitietojen säilytyspalvelun rekisterinpitäjä. Terminologia on syytä yhtenäistää, mikäli samaa asiaa tarkoitetaan. Tietosuojavaltuutettu katsoo, että 5 :n 2 momentin osalta myös rekisterinpitäjää on syytä vielä osin arvioida ja asiasta tulisi selkeästi säätää. On selvää, että Kela on sen omaan toimintaan liittyvien käyttölokien rekisterinpitäjä, kuten kohdassa on todettukin. Selvää on myös se, että kukin sosiaali- ja terveydenhuollon palvelunantaja on toiminnassaan syntyneiden käyttölokien rekisterinpitäjä. Lakiehdotuksen 25 :n mukaan palvelunantajan tulee kerätä asiakasrekisterikohtaisesti tietoja sekä käyttölokirekisteriin että luovutuslokirekisteriin. Tietosuojavaltuutettu katsoo, että lähtökohtaisesti sama taho, joka on varsinaisten asiakastietojen rekisterinpitäjä, on myös asiakastietojen käsittelyä, kuten asiakastietojen luovuttamista koskevien lokitietojen rekisterinpitäjä. Siten kukin sosiaali- ja terveydenhuollon rekisterinpitäjä voisi olla rekisterinpitäjä myös Kanta-järjestelmän kautta tapahtuvien, sen omien asiakastietojen luovutuslokitietojen osalta. Ne voisivat olla yhteisrekisterinpitäjiä. Lisäksi tulisi arvioida, mikä Kelan rooli on? Olisiko Kela vain käsittelijä, vai kuuluuko sille myös rekisterinpitäjälle kuuluvia tehtäviä. Laista tulisi selkeästi ilmetä mahdollinen yhteisrekisterinpitäjyys, Kelan rooli yhteisrekiserinpitäjänä tai käsittelijänä ja eri osapuolten vastuut. 5 :n 2 momentissa säädettäisiin myös, että Kela on rekisterinpitäjä ammattilaisen käyttöliittymän käyttölokien osalta. Mielestäni ainakin perusteluissa tulisi tarkentaa, miksi tällaiseen ratkaisuun on päädytty. Mitä ovat ammattilaisen käyttöliittymän käyttöloki-tiedot? Eivätkö ne ole asiakastietojen käsittelyä koskevia lokitietoja ja mikä on se perusteltu syy, jonka vuoksi niistä pitää säätää eri tavalla kuin muista käyttölokitiedoista. Lakiehdotuksen 25 :n perustelujen mukaan tuossa pykälässä tarkoitettu käyttölokin keräämisvelvoite koskisi myös käyttöliittymän, esim. Kelaimen käyttäjiä. 6 kohdat 5-6 Palveluntuottajan vastuut palvelunjärjestäjän lukuun toimittaessa Tietosuojavaltuutettu katsoo, että kohdassa 5 ei ole ongelmaa. Sen mukaan palveluntuottaja vastaa asiakkaan oikeuksien toteuttamisesta yhdessä palvelunjärjestäjän kanssa. Kohdan 6 mukaan palveluntuottaja vastaisi Kantaan tallettamisensa tietojen oikeellisuudesta ja virheellisen tiedon korjaamisesta. Tietosuojavaltuutettu katsoo, että kohta 6 pitää tietosuoja-asetuksen vastaisena poistaa. Päätösvalta ja vastuu tietojen oikeellisuudesta ja rekisteröidyn oikeuksien toteuttamisesta on palvelunjärjestäjällä rekisterinpitäjänä, eikä sitä voida kansallisella lailla siirtää palveluntuottajalle. Eri asia on, että palveluntuottaja ja palvelunjärjestäjä käytännössä toteuttavat rekisteröidyn oikeuksia yhteistyössä rekisterinpitäjän antamien ohjeiden tai niiden välisen sopimuksen mukaisesti, mutta lopullinen vastuu ja päätösvalta tietojen oikeellisuudesta ja niiden korjaamisesta on asetuksen mukaan aina rekisterinpitäjällä.

TIETOSUOJAVALTUUTETUN TOIMISTO 4/9 12 1 mom. Tiedonhallintapalvelu Ehdotuksen 1 momentin mukaan tiedonhallintapalvelun avulla voidaan koostaa sosiaali- ja terveydenhuollon toteuttamisen kannalta keskeiset asiakastiedot, joita palvelunantaja voi käyttää asiakkaan sosiaali- ja terveydenhuoltoa järjestettäessä tai tuotettaessa. Lakiehdotuksen ja sen perustelujen perusteella jää epäselväksi, sisältäisikö kooste sekä sosiaali- että terveydenhuollon tietoja vai laadittaisiinko erilliset koosteet sosiaalihuollon tiedoista ja erilliset koosteet terveydenhuollon tiedoista. Tietosuojavaltuutettu katsoo, että mitään lakiin perustuvaa perustetta yhteisten koosteiden laatimiseen ei ole, kun otetaan huomioon mm. salassapitosäännökset ja tietojen erilaiset käyttötarkoitukset. Tämän vuoksi tietosuojavaltuutettu katsoo, että kyseisestä ehdotusta tulee selventää niin, että siitä selvästi ilmenee sosiaali- ja terveydenhuollon koosteiden olevan erilliset. 14 3 mom. ja 4 mom. Kansaneläkelaitoksen vastuu valtakunnallisten tietojärjestelmäpalvelujen ylläpidossa henkilötietojen käsittelijänä Ehdotetun 3 momentin d ja f kohtia tulisi vielä arvioida. Onko f kohta tarpeeton? Eikö se sisälly jo d kohtaan? Jos ei sisälly, niin perusteluissa tulisi tarkentaa, mikä niiden ero on. D-kohta koskee Kelan oikeutta luovuttaa Kelan rekisterinpidossa olevia asiakirjoja ja niiden lokitietoja asianosaisille organisaatioille seurantaa ja valvontaa varten. Kohdasta on hyvin vaikea ymmärtää, mitä sillä tarkoitetaan. Asiaa on sen sijaan perusteluissa avattu. Perustelujen mukaan kyse olisi suostumuksenhallinnan lokitietojen luovuttamisesta sekä Tiedonhallintapalveluun että Omatietovarantoon tallennettujen tietojen käsittelyyn liittyvien lokitietojen luovuttamisesta tietosuojaselvityksiä varten. Tietosuojavaltuutettu ehdottaa d-kohdan selkeyttämistä perustelujen mukaisesti. Ehdotettu 4 momentti koskee Kelan oikeutta laatia ja luovuttaa siinä mainittuja yhteenvetoja. Tietosuojavaltuutettu katsoo, että säännös tällaisenaan on liian epämääräinen ja sitä tulee täsmentää. Kyse on mm. tietojen luovuttamista koskevasta säännöksestä, jonka tulee olla tarkkarajainen. Siitä tulee mm. ilmetä se, kenelle Kelalla on oikeus yhteenvetotietoja luovuttaa. Eduskunnan valiokunnat ovat todenneet, että laissa säänneltäviä asioita ovat mm. henkilötietojen luovuttaminen ja että säännöksen tulee olla tarkkarajainen. Tulisi myös arvioida, onko perusteltua antaa Kelalle tällainen näin laaja oikeus ja onko se asetuksen mukainen. Säännös oikeuttaisi Kelan laatimaan yhteenvetoja myös varsinaisista asiakas ja potilastiedoista, joiden rekisterinpitäjä se ei ole. Perusteluissa mainitaan mm., että momentissa esitettäisiin, että Kela voisi luovuttaa tietoja rekisterinpitäjänä esim. valvonta- ja muille viranomaisille silloin, kun luovutuksensaajalla olisi tiedon saantiin lakiin perustuva oikeus. Tällaista ei kuitenkaan itse momentissa lue, eikä tarvitsekaan lukea, koska rekisterinpitäjänä Kelalla on oikeus luovuttaa sellaisia tietoja, joiden rekisterinpitäjä se on, lainsäännösten mukaisesti. Perustelut vaikuttavat siten olevan ristiriidassa itse momentin tekstin kanssa.

TIETOSUOJAVALTUUTETUN TOIMISTO 5/9 18 Asiakkaan oikeus kieltää asiakastietojen luovuttaminen Säännös oikeuttaisi asiakastietojen luovuttamisen toiselle sosiaali- tai terveydenhuollon rekisterinpitäjälle, ellei asiakas ole sitä kieltänyt. Jos lukee tätä pykälää yhdessä 20 :n ja 21 :ien kanssa, niin viimeksi mainituista pykälistä ilmenee tarkoituksena olevan, että tietoja voisi luovuttaa terveydenhuollon rekisterinpitäjältä vain terveydenhuollon toiselle rekisterinpitäjälle ja vastaavasti sosiaalihuollon sisällä rekiserinpitäjältä toiselle. 18 :n 1 momentissa käytetäänkin tai -sanaa, mutta silti sen perusteella jää epäselväksi, voisiko tietoja luovuttaa myös sosiaalija terveydenhuollon rajan yli. Tämän vuoksi tietosuojavaltuutettu ehdottaa kyseiseen momenttiin kirjoitettavaksi auki erikseen oikeus kieltää tietojen luovutus sosiaalihuollon sisällä ja erikseen oikeus kieltää tietojen luovutus terveydenhuollon sisällä. Koska kyse on tietojen luovuttamisperusteesta, niin säännöksen tulisi olla täysin selkeä. Tietosuojavaltuutettu esittää myös harkittavaksi, olisiko tähän kohtaan myös hyvä informatiivisuuden vuoksi lisätä perusteluissa todettu seikka siitä, että kiellolla ei voi estää ammattihenkilön tai viranomaisen lakiin perustuvaa ja asiakkaan tahdonilmaisusta riippumatonta tiedonsaantioikeutta tietoon. Perusteluista ei ilmene, minkä vuoksi 18 :n 2 momentin lopussa säädettäisiin kiellon kohdentamisesta ehdotetulla tavalla. Sen mukaan lisäksi kiellon voi kohdentaa sosiaali- ja terveydenhuollon palvelunantajaan ja työterveydenhuollon ja maakunnan yksittäiseen rekisteriin. Perusteluista olisi hyvä ilmetä, miksi työterveydenhuollon ja maakunnan osalta on mainittu mahdollisina kieltokohteina yksittäiset rekisterit. 18 :n 3 momentissa säädetään siitä, että terveyden- tai sairaanhoitoa annettaessa ei saa luovuttaa toiselle terveydenhuollon rekisterinpitäjälle kiellon alaisia tietoja, ellei kieltoa ole peruttu. Lisäksi ehdotuksen mukaan ei saa luovuttaa, jos potilaan tahdosta ei voi saada selvitystä potilaslain 8 :n tarkoittamassa kiireellisessä hoitotilanteessa. Viimeksi mainitun lauseen osalta tietosuojavaltuutettu kiinnittää huomiota tietosuojaasetuksen 6 artiklan 1 kohdan d alakohtaan, jonka mukaan käsittely on lainmukaista silloin, kun käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi. Tietosuoja-asetuksen 9 artiklan 2 kohdan c alakohdan mukaan mm. terveydentilatietojen käsittely on sallittu, jos se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan. Tietosuojavaltuutetun käsityksen mukaan edellä mainituista asetuksen säännöksistä seuraa, että aiemmin annettu voimassa oleva kielto ei estä terveydentilatietojen käsittelyä, jos potilas on tajuton tai muutoin sellaisessa tilassa, ettei kykene arvioimaan kiellon merkitystä ja vaikutuksia ja sen mahdollista peruuttamista. Tämän vuoksi momenttia tulee mielestäni tältä osin korjata. 25 5 mom. Asiakas- ja hyvinvointitiedon käytön ja luovutuksen seuranta Kyseisen pykälän perusteluissa todetaan, että asiakkailla olisi oikeus saada tieto lokitiedoista siten kuin henkilötietolain 27 :ssä säädetään. Tämä kohta perusteluista tulee

TIETOSUOJAVALTUUTETUN TOIMISTO 6/9 poistaa, koska henkilötietolaki kumotaan samalla kun tietosuoja-asetusta aletaan soveltaa ja uusi tietosuojalaki tulee voimaan 25.5.2018. Lisäksi asiakkailla ei tietosuojavaltuutetun vakiintuneen tulkinnan mukana ole ollut oikeutta henkilötietolain nojalla tarkastaa lokitietoja, koska ne eivät koske asiakasta, vaan hänen asiakastietojaan käsitelleitä työntekijöitä. Tietosuoja-asetus ei ainakaan näillä näkymin näytä muuttavan tätä tulkintaa, joten asiakkaalla ei olisi myöskään tietosuoja-asetuksen mukaista oikeutta saada pääsyä lokitietoihin. Vastaavat viittaukset henkilötietolakiin tulisi muualtakin perusteluista poistaa, koska tietosuoja-asetuksen ja tietosuojalain soveltaminen on piakkoin alkamassa ja lakiehdotusta tulee arvioida tietosuoja-asetuksen näkökulmasta. Pykälän 5 momentissa annettaisiin ministeriölle oikeus säätää tarkemmin asetuksella käyttöoikeus- ja lokitiedoista sekä tietojen vähimmäissäilytysajasta. Lisäksi THL voisi antaa tarkempia määräyksiä lokirekistereihin talletettavista tiedoista ja tietosisällöistä. Tietosuojavaltuutettu katsoo, että tämän momentin perustuslainmukaisuutta on vielä syytä arvioida. Ainakin tietojen säilytysajasta tulee eduskunnan vakiintuneen tulkinnan mukaan säätää lain tasolla. Sama koskee rekisteröitävien henkilötietojen sisältöä ainakin oleellisilta osin. 26 1 mom. Asiakkaan tiedonsaantioikeus tietojensa käsittelystä Momentin perusteluista ei ilmene, miksi siinä on rajattu asiakkaan oikeus saada käyttö- ja luovutuslokirekisterien tietoja suppeammaksi kuin mitä tietoja näihin rekistereihin kerätään. Jos tähän on jokin perusteltu syy, niin siitä voisi perusteluissa kertoa. Jos mitään tällaista erityistä syytä ei ole, niin tietosuojavaltuutettu esittää harkittavaksi, voisiko asiakkaan oikeus saada lokitietoja olla ehdotettua laajempi. Nyt ehdotetun säännöksen mukaan asiakaan tiedonsaantioikeuden ulkopuolelle jäisivät mm. tieto käytetyistä tai luovutetuista asiakas- ja hyvinvointitiedoista ja käyttö- tai luovutusajankohdasta. Nämä ovat hyvin oleellisia tietoja, jotta on mahdollista arvioida asiakastietojen käytön lainmukaisuutta. 28 Tietoturvallisuuden omavalvonnan toteuttaminen ja vastuu Tästä pykälästä on poistettu velvoite tietosuojavastaavan nimittämisestä. Ainoastaan pykälän perusteluissa on todettu, että lisäksi jokaisella palvelunantajalla sekä Kansaneläkelaitoksella olisi oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. Jos tietosuojavastaavan nimittämisvelvollisuus on tarkoitus laista poistaa, tulisi vastaava kohta poistaa myös perusteluista. Tietosuojavaltuutettu ehdottaa kuitenkin, että säännös tietosuojavastaavan nimittämisvelvollisuudesta otettaisiin uuteenkin asiakastietolakiin. Säännöksessä voitaisiin todeta lisäksi, että tietosuojavastaavan asemasta ja tehtävistä säädetään tietosuoja-asetuksessa. Jos tietosuojavastaavan nimittäminen jätetään pelkästään tietosuoja-asetuksen säännösten varaan, niin se saattaa johtaa siihen, että sosiaali- ja terveydenhuoltoon tulee nimetä tietosuojavastaavia nykyistä vähemmän. 35 Vaatimusten mukaisuuden osoittaminen ja 36 Yhteentoimivuuden testaaminen Kyseisissä pykälissä säädettäisiin tietojärjestelmäpalvelujen tuottajan selvityksistä ja

TIETOSUOJAVALTUUTETUN TOIMISTO 7/9 muista velvoitteista, kun sen sijaan niiden perusteluissa kerrotaan tietojärjestelmän valmistajan selvityksistä ja muista velvoitteista. Säännökset ja perustelut ovat siten ristiriidassa keskenään, joten ne pitää yhtenäistää. Valmistajan vastuun on tärkeä näkyä lain säännöksissä. 40 4 mom. Ohjaus, valvonta ja seuranta Tietosuojavaltuutettu ehdottaa momentin loppua selkeytettäväksi, koska ihan loppu on vaikeasti ymmärrettävä. Puuttuuko lopusta mahdollisesti joku sana, esim.. käsitellyt asiakkaan tiedonhallintapalvelussa ja omatietovarannossa? Laki sosiaalihuollon asiakasasiakirjalain muuttamisesta 11 merkinnät tietojen saamisesta Säännökseen ehdotetun muutoksen mukaan kohdassa mainitut tiedot tulisi todentaa vain silloin, kun asiakasta koskevia tietoja saadaan muualta kuin asiakkaalta itseltään. Lastensuojelussa asiakkaana on yleensä vain lapsi. Sosiaalihuollon asiakasasiakirjoihin, esim. lastensuojelun asiakaskertomukseen, tehtyjen merkintöjen osalta on kuitenkin oleellista tietää, kenen kertomasta asiasta on kyse. Onko esim. kyse lapsen itsensä kertomasta asiasta, hänen äitinsä tai isänsä tai jonkun muun henkilön kertomasta asiasta tai esim. sosiaalityöntekijän arviosta lapsen ja perheen tilanteesta. Tietosuojavaltuutettu esittää vielä tämän säännöksen harkitsemista ja mahdollista korjaamista, jotta edellä mainitut tiedot tulisivat myös kirjatuiksi. 22 tietojen tallettaminen sosiaalihuollon henkilörekisteriin 22 :n 1 momentissa todetaan, että sosiaalihuollon viranomaisen on talletettava asiakirjat niin kuin asiakastietolain 7 :ssä säädetään. Viittaussäännöksen ja 7 :n perusteella on vaikea ymmärtää, mitä momentissa tarkoitetaan. Perustelujen mukaan tässä on säädetty sosiaaliviranomaisen velvollisuudesta tallettaa asiakirjat valtakunnallisiin tietojärjestelmäpalveluihin. Tietosuojavaltuutettu ehdottaa, että tästä säädettäisiin suoraan 1 momentissa esim. siten kuin perusteluissa on todettu. Velvollisuus koskee vain sosiaaliviranomaista. Tästä saa sen käsityksen, että rekisterinpitäjänä toimivan yksityisen palvelunantajan ei tarvitse asiakirjoja Kantaan tallettaa. Jos näin on, niin momentti antaa oikean käsityksen asiasta. Saman pykälän 2 momentissa säädettäisiin ensin sosiaaliviranomaisen velvollisuudesta palvelutarpeen selvittämistä koskevien ilmoitusten ym. tietojen tallettamiseen sosiaalihuollon henkilörekiseriin. Tämä momentin alkuosa koskee vain sosiaaliviranomaista. Tämän vuoksi tietosuojavaltuutettu ehdottaa, että momentin loppu sekä muut asiakasasiakirjat erotettaisiin erilliseksi lauseeksi, koska se koskee myös yksityisiä palvelunantajia esim. seuraavasti: Sosiaalihuollon henkilörekisteriin on talletettava myös muut asiakasasiakirjat. Laki sähköisestä lääkemääräyksestä Ehdotuksen mukaan luovuttaisiin reseptiarkistosta. Jatkossa lääkemääräystiedot tallennetaan vain reseptikeskukseen, missä ne myös säilytetään. Reseptikeskuksen rekisterinpitäjyys määriteltäisiin Kansaneläkelaitoksen, apteekkien ja sähköisiä lääkemääräyksiä laativien toimintayksiköiden ja itsenäisten ammatinharjoittajien ja itsenäisten

TIETOSUOJAVALTUUTETUN TOIMISTO 8/9 lääkkeen määrääjien yhteisrekisterinpitäjyyden kautta. 12 Sähköisen lääkemääräyksen toimittaminen Kohdassa...jos potilas tai hänen laillinen edustajansa on antanut siihen valtuutuksen tai hänellä on esittää valtuuttajan Kela-kortti ja potilasohje jää epäselväksi, keneen hänellä-sanalla viitataan. 15 Tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen ja hyvinvointisovelluksille Otsikkoon ehdotetaan lisättävän maininta hyvinvointisovelluksista. Muuten pykälässä ei mainita erikseen hyvinvointisovelluksia. Jää epäselväksi, mihin tällä muutoksella pyritään. Epäselväksi jää, mitä näillä sovelluksilla tässä yhteydessä tarkoitetaan ja miten tämä pykälä liittyy tietojen luovuttamiseen hyvinvointisovelluksille. Jää epäselväksi, mitä vastaanottajia maininnalla tarkoitetaan. On huomattava, että hyvinvointisovelluksia on olemassa lukuisia, ja ne ovat moninaisten organisaatioiden ylläpitämiä. Usein rekisteröity itse toimittaa haluamansa tiedot hyvinvointisovellukseen. 16 Potilaan tiedonsaantioikeus Ehdotuksessa käytetty terminologia vastaa henkilötietolain 26-28 :n mukaista terminologiaa (tarkastusoikeus). Tietosuoja-asetuksen 15 artiklan mukainen oikeus on nimeltään rekisteröidyn oikeus saada pääsy tietoihin. Ehdotuksessa viitataan tietosuojaasetuksen 13-15 artikloihin. 13 ja 14 artikloissa säädetään kuitenkin oikeudesta saada informaatiota henkilötietojen käsittelystä. Käytönvalvontaa varten kerättyjä lokitietoja koskevan tiedonsaantioikeuden yhteydessä ei säädetä valitustiestä. Ehdotetun asiakastietolain 26 :ssä säädetään valitusoikeudesta. Tietosuojavaltuutettu ehdottaa, että vastaavan kaltainen valitusmahdollisuus toteutetaan myös reseptikeskuksen tietojen käytönvalvontaa koskeviin lokitietoihin. 18 Reseptikeskuksen rekisterinpitäjyys Ehdotetun pykälän mukaan reseptikeskus olisi Kansaneläkelaitoksen, apteekkien ja sähköisiä lääkemääräyksiä laativien toimintayksiköiden ja itsenäisten ammatinharjoittajien ja itsenäisten lääkkeenmäärääjien yhteisrekisteri. Näiden osapuolten vastuunjaosta säädettäisiin ehdotuksen mukaan seuraavasti: - Kansaneläkelaitos vastaisi reseptikeskuksessa olevien tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta sekä tietojen säilyttämisestä ja hävittämisestä - sähköisiä lääkemääräyksiä laativa toimintayksikkö, itsenäinen ammatinharjoittaja ja itsenäinen lääkkeen määrääjä vastaavat reseptikeskukseen tallennettavan lääkemääräyksen tietojen oikeellisuudesta - lääkkeen toimittanut apteekki vastaa reseptikeskukseen tallennettavien toimitustietojen oikeellisuudesta - Kansaneläkelaitos vastaa muista tietosuoja-asetuksessa reksiterinpitäjälle säädetyistä velvoitteista kuin tässä laissa apteekeille, sähköisiä lääkemääräyksiä laativille toimintayksiköille ja itsenäisille ammatinharjoittajille ja itsenäisille lääkkeen määrääjille asetetuista velvoitteista - Kansaneläkelaitos on lisäksi rekisteröityjen yhteyspiste

TIETOSUOJAVALTUUTETUN TOIMISTO 9/9 Pykälää on syytä tarkentaa siten, että käy ilmi mainittujen organisaatioiden olevan rekisterinpitäjiä niiden tietojen osalta, mitkä ovat syntyneet niiden toiminnan yhteydessä. Tällaisenaan jää epäselväksi vastuunjako tässä suhteessa. Tietosuojavaltuutettu ehdottaa, että ellei ole erityistä syytä toimia toisin, niin reseptikeskuksen kohdalla voisi rekisterinpitäjyys toteutua samaan tapaan kuin potilastiedon arkiston kohdalla. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Marita Höök

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute