Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Samankaltaiset tiedostot
Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Talousvaliokunta klo 11:20

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Maa- ja metsätalousministeriö

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

TIETOSUOJAVALTUUTETUN TOIMISTO

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Luo luottamusta Suojele lasta Jaana Tervo 2

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

HE 112/2009 vp. Esityksessä ehdotetaan säädettäväksi laki Kansaneläkelaitoksen oikeudesta saada vammaisten henkilöiden tulkkipalveluja koskevia

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tutkittavan informointi ja suostumus

Itsemääräämisoikeus ja yksityisyydensuoja

Potilaan asema ja oikeudet

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

Kansallinen tietosuojalaki

Kirjaaminen ja sosiaali- ja terveydenhuollon yhteisissä palveluissa ja Henkilörekisterien uudistaminen

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Uudistettu asiakastietolaki edistämään tiedonvaihtoa sosiaalija terveydenhuollossa

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Helsingin kaupunki Pöytäkirja 1 (5)

Kirjaaminen sosiaali- ja terveydenhuollon yhteisissä. palveluissa ja Sote-henkilörekisterilakien uudistaminen

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Tiedollinen itsemääräämisoikeus ja MyData

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Sote-rajapinnan tiedonkäsittely tulevaisuudessa

Päätös. Laki. sosiaalihuoltolain väliaikaisesta muuttamisesta

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

TIETOSUOJAILMOITUS DIDIVE-HANKE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Tietosuojaseloste Henkilötietolain 10 ja 24, majoitus- ja ravitsemustoiminnasta annetun lain 7

7 Poliisin henkilötietolaki 50

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

1. Matkustajarekisterinpitäjä Itä-Suomen Liikuntaopisto Oy Länsikatu 15, Joensuu Toimisto ,

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24 ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.

puh

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

LAUSUNTO OM 198/43/2015

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

Potilas aktiivisena toimijana omassa hoidossaan

Suostumuskäytännöt Suomen perustuslaki

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Johannes Heikkonen Turun Yliopisto. Eduskunnan perustuslakivaliokunnalle. HE 111/2016 vp Hallituksen esitys eduskunnalle nuorisolaiksi.

Lausunto luonnoksesta hallituksen esitykseksi laeiksi henkilötietojen käsittelystä maahanmuuttohallinnossa sekä eräiksi siihen liittyviksi laeiksi

puh

VITRIINI - LEHDEN JAKELUREKISTERI

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Helsingin kaupunki Pöytäkirjanote 1 (3)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

KULTARANTA RESORT OY:N MATKUSTAJAREKISTERI

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

HE 16/2018 vp Hallituksen esitys eduskunnalle laiksi asiakkaan valinnanvapaudesta sosiaalija terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi

Juha Lavapuro Lausunto. Asia: Hallituksen esitys HE 72/2017 vp eduskunnalle laiksi valtakunnallisista opinto- ja tutkintorekistereistä

Rekisteri on perustettu Rauman kaupungin sosiaali- ja terveystoimialan terveyspalvelujen käyttöä varten.

MARAN KURSSIREKISTERI = EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja MaRan kurssirekisterissä tapahtuvasta tietojen käsittelystä

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Eduskunnan perustuslakivaliokunnalle

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Riipinen Restaurants Oy asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Yksityisen terveydenhuollon potilasasiakirjat

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

~ - ". ()IKEUSMINISTERIC)

Lausunto ID (5)

Juha Lavapuro Kirjallinen lausunto

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Juha Lavapuro Kirjallinen lausunto

Transkriptio:

Dnro 4065/91/2018 1 (7) 07.09.2018 Sosiaali- ja terveysministeriö Kirjaamo kirjaamo@stm.fi Viite: Lausuntopyyntönne 06.07.2018, STM082:00/2017 Lausuntopyyntö Sosiaali- ja terveysministeriö on pyytänyt tietosuojavaltuutetun lausuntoa luonnoksesta hallituksen esitykseksi uudeksi asiakas- ja potilaslaiksi sekä lastensuojelulain muutoksista. Lakiluonnoksia on valmisteltu osana asiakkaiden ja potilaiden itsemääräämisoikeuden vahvistamista. Laki sisältäisi sosiaali- ja terveydenhuollon asiakkaan ja potilaan osallistumiseen, kohteluun, itsemääräämisoikeuteen ja oikeusturvaan liittyvät keskeiset oikeudelliset periaatteet. Laki korvaisi sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain sekä terveydenhuollon potilaan asemasta ja oikeuksista annetun lain. Lakiin lisättäisiin uusia itsemääräämisoikeutta ja muita perusoikeuksia vahvistavia säännöksiä. Tietosuojavaltuutetun lausunto Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä Kun säädetään erityislainsäädäntöä, joka sisältää henkilötietojen käsittelyä koskevia säännöksiä, on otettava huomioon Euroopan unionin yleinen tietosuoja-asetus (2016/679; tietosuoja-asetus). Asetus on tullut voimaan 24.5.2016, ja sen soveltaminen on alkanut 25.5.2018. Asetus on jäsenvaltioissa suoraan sovellettavaa lainsäädäntöä, ja sen tarkoitus on yhdenmukaistaa henkilötietojen käsittelyä Euroopan Unionin alueella. Suomen perustuslain (731/1999) 10 :ssä turvataan yksityisyyden suoja perusoikeutena jokaiselle. Lainkohdan mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Tietosuoja-asetus täyttää sellaisenaan osaltaan tätä lailla säätämisen vaatimusta. Perustuslakivaliokunta on katsonut, ettei ole estettä sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 31/2017 vp. s. 3-4, PeVL 5/2017 vp. s. 9). Perustuslakivaliokunnan mukaan on lähtökohtaisesti riittävää perustuslain 10 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (PeVL 14/2018 vp. s. 4-5, johon myös PeVL 15/2018 vp:ssa viitattu). Perustuslakivaliokunta on kuitenkin pitänyt selvänä, että erityislainsäädännön tarpeellisuutta on arvioitava myös jo tietosuoja-asetuksenkin edellyttämän riskiperusteisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa perustuslakivaliokunnan näkemyksen

2 (7) mukaan on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (PeVL 14/2018 vp. s.5, johon myös PeVL 15/2018 vp:ssa viitattu). Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (PeVL 42/2016 vp. s. 2-3). Valiokunta on arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä. Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (PeVL 38/2016 vp, s.3) Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta tarpeellisiin tietoihin, jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta (PeVL 17/2016 vp. s.2-3). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Jos ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen edellä kuvatun käytännön mukaiseksi (PeVL 38/2016 vp. s.3). Esitysluonnos sisältää henkilötietojen käsittelyä koskevia säännöksiä. Lausuttavana olevassa luonnoksessa ei kuitenkaan ole arvioitu ehdotuksen sisältämän henkilötietojen käsittelyn suhdetta tietosuoja-asetukseen, erityisesti asetuksen sisältämään kansalliseen liikkumavaraan. Esitystä olisi syytä tältä osin täydentää. Henkilötietojen käsittelyä ja rekisterinpitoa koskevalta osalta ei käy selkeästi ilmi, mikä olisi tämän lain sekä muun sosiaalihuollon asiakas- ja potilastietojen käsittelyä koskevan lainsäädännön keskinäinen suhde. Näiden henkilötietojen käsittelystä säädetään useissa eri laeissa: esimerkiksi terveydenhuoltolaissa, laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä, vielä valmisteltavana olevissa sosiaali- ja terveydenhuollon rakenneuudistukseen liittyvässä lainsäädännössä, sosiaali- ja terveydenhuollon asiakastietojen toissijaista käsittelyä koskevassa laissa, asiakastietolaissa ja niin edelleen. Tämä lainsäädäntöympäristön kokonaiskuva ei ole erityisen helposti hahmotettava ja selkeä. Luonnosta koskevat yksityiskohtaiset kommentit 3 : Määritelmät. Asiakkaan ja potilaan määritelmät vastaavat lausuttavana olevalla lailla korvattavien sosiaalihuollon asiakaslain ja potilaslain mukaisia määritelmiä. Nämä termit on kuitenkin määritelty näistä poikkeavalla tavalla uudemmassa lainsäädännössä sekä valmistelussa olevassa lainsäädännössä. Esimerkiksi sosiaalihuoltolain (1301/2014) 3 :ssä asiakas on määritelty hieman eri tavalla kuin nyt käsiteltävänä olevassa lakiehdotuksessa. Myös sote-uudistukseen liittyvässä lainsäädännössä on annettu omat määritelmänsä. Hallituksen esitysluonnoksessa laiksi sosiaalija terveydenhuollon asiakastietojen sähköisestä käsittelystä puolestaan asiakkaalla

3 (7) tarkoitetaan sekä asiakaslaissa tarkoitettua sosiaalihuollon asiakasta että potilaslaissa tarkoitettua potilasta. Määritelmien vaihteleva käyttö tekee lainsäädäntökokonaisuuden hallinnan vaikeaksi niille, joiden toimintaa lainsäädäntö koskee. Tietosuojavaltuutettu ehdottaa, että käytetyt määritelmät tarkistettaisiin vastaamaan uudempaa käytäntöä siten, ettei jatkossa voimassa olevassa lainsäädännössä määriteltäisi esimerkiksi asiakasta ja potilasta eri laeissa eri tavoin, ellei ole erityistä syytä ylläpitää erilaisia määritelmiä. 11 : Asiakkaan tiedonsaantioikeuden turvaaminen ja 13 : Potilaan tiedonsaantioikeuden turvaaminen. Ehdotettujen 11 ja 13 :n viimeisissä momenteissa viitataan sosiaalihuollon asiakkaan sekä potilaan julkisuuslain mukaisiin tiedonsaantioikeuksiin. 11 :ä koskevien yksityiskohtaisten perustelujen mukaan pykälässä mainittaisiin niin ikään henkilötietolain 26-28 :n mukainen tarkastusoikeus. 13 :ä koskevissa yksityiskohtaisten perustelujen mukaan pykälässä viitattaisiin henkilörekisterilain ja -asetuksen mukaisiin tarkastusoikeutta koskeviin säännöksiin. Ehdotetuista pykälistä viittaukset tarkastusoikeuteen on kuitenkin poistettu. Perustelut ja pykälä on syytä muuttaa vastaamaan sisällöllisesti toisiaan. Henkilörekisterilaki on aikanaan korvattu henkilötietolailla. 25.5.2018 on alettu soveltaa kaksi vuotta tätä aikaisemmin voimaan tullutta Euroopan unionin yleistä tietosuoja-asetusta). Henkilötietolaki tullaan kumoamaan, kun yleistä tietosuoja-asetusta täydentävä tietosuojalaki tulee voimaan. Tietosuojalakia koskeva valmistelu on edelleen kesken, ja tämänhetkisen tiedon perusteella tietosuojalaki tulisi voimaan mahdollisesti syyskauden loppupuolella. Näin ollen henkilötietolakiin ei ole tarkoituksenmukaista viitata perustelutekstissä. Perustelutekstissä voidaan viitata tietosuoja-asetukseen. Asiakkaalla ja potilaalla on edelleen oikeus saada pääsy häntä itseään koskeviin tietoihin tietosuoja-asetuksen 15 artiklan nojalla. Tämä oikeus on olemassa suoraan tietosuoja-asetuksen nojalla. Oikeutta koskevista kieltäytymisperusteista säädetään osittain tietosuoja-asetuksessa sekä osittain toistaiseksi voimassa olevasta henkilötietolaissa, sekä sen kumoamisen jälkeen tietosuojalaissa. Tämä oikeus on syytä tuoda esille ainakin lainkohtaa koskevissa yksityiskohtaisissa perusteluissa. Tietosuoja-asetuksen johdanto-osan 8 kohdan mukaisesti osia tietosuoja-asetuksesta voidaan myös toistaa lakitekstin tasolla, jos se tekee lainsäädännön johdonmukaiseksi ja ymmärrettäväksi niille, joita sääntely koskee. Tietosuojavaltuutettu pitäisi tarkoituksenmukaisena arvioida tietosuoja-asetuksen 15 artiklan mukaiseen oikeuteen saada pääsy tietoihin viittaamista asiakkaan ja potilaan tiedonsaantioikeuden turvaamista koskevissa pykälissä. Tietosuoja-asetus sisältää myös muita asiakkaan ja potilaan itsemääräämisoikeuden kannalta merkityksellisiä oikeuksia. Tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeudesta saada tietoa henkilötietojen käsittelystä (13 ja 14 art.), oikeudesta saada pääsy tietoihin (15 art.), oikeudesta tietojen oikaisemiseen (16 art.), oikeudesta tietojen poistamiseen (17 art.), oikeudesta käsittelyn rajoittamiseen (18 art.), oikeudesta siirtää tiedot järjestelmästä toiseen (20 art.) sekä vastustamisoikeudesta (21 art.). Se, miten kattavasti rekisteröidyllä on mahdollisuus vedota näihin oikeuksiin, riippuu siitä, minkä käsittelyperusteen nojalla henkilötietoja käsitellään. Kuten edellä on todettu, tietosuoja-asetuksen mukaiset oikeudet voidaan toistaa lakitekstin tasolla, jos se tekee lainsäädännön johdonmukaiseksi ja ymmärrettäväksi sääntelyn kohteille. Tietosuojavaltuutettu pitäisi tarkoituksenmukaisena arvioida, voitaisiinko tietosuoja-asetuksen mukaisiin oikeuksiin viitata nyt lausuttavana olevassa laissa.

4 (7) Tietosuoja-asetuksen mukaisiin oikeuksiin voidaan säätää rajoituksia asetuksen 23 artiklan mukaisesti. 15 artiklan mukaista oikeutta saada pääsy tietoihin koskevista, henkilötietolain 27 :ä vastaavista kieltäytymisperusteista säädettäneen tietosuojalaissa. Muita tietosuoja-asetuksen mukaisia oikeuksia koskevia rajoituksia ei tietosuojalakiin tultane sisällyttämään. Näin ollen, jos asiakkaan tai potilaan muihin tietosuojaasetuksen mukaisiin oikeuksiin halutaan säätää rajoituksia, se on tehtävä erityislainsäädännössä. Esimerkiksi tietosuoja-asetuksen 18 artiklassa säädetään rekisteröidyn oikeudesta saada rajoitettua häntä koskevien henkilötietojen käsittelyä. Rekisteröity voi käyttää tätä oikeutta, jos a) rekisteröity kiistää henkilötietojen paikkansapitävyyden (tällöin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden), b) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista, c) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn rajoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai d) rekisteröity on vastustanut henkilötietojen käsittelyä 21 artiklan 1 kohdan nojalla odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet. Jos asiakas tai potilas käyttää tietosuoja-asetuksen 18 artiklan mukaista rajoittamisoikeuttaan, sosiaali- tai terveydenhuollon palvelunantaja ei enää edellä mainituissa tilanteissa saa käsitellä asiakasta tai potilasta koskevia tietoja. Käsittely on tällöin mahdollista vain asiakkaan tai potilaan suostumuksella; oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi; tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä. Rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kuin käsittelyä koskeva rajoitus poistetaan. Rajoittamisoikeuden perusteella esimerkiksi potilas voi kiistää henkilötietojen paikkansapitävyyden, ja kieltää potilastietojen käsittelyn asian selvittämisen ajaksi. Tämä voisi mahdollisesti joissakin tilanteissa johtaa tilanteeseen, joka voisi olla vaaraksi potilaan terveydelle tai hoidolle. Potilaan oman terveyden tai hoidon turvaaminen ei kuitenkaan ole lainmukainen peruste evätä rajoittamisoikeuden käyttöä. Jos tietosuoja-asetuksen mukaisiin asiakkaan ja potilaan oikeuksiin säädetään rajoituksia tietosuoja-asetuksen 23 artiklan mukaisesti, tietosuojavaltuutettu pitää perusteltuna arvioida, voitaisiinko nämä rajoitukset säätää tässä asiakkaan ja potilaan itsemääräämisoikeutta koskevassa laissa sen sijaan, että mahdollisista rajoituksista säädettäisiin hajanaisesti eri laeissa. 215 : Salassapidettävien tietojen antaminen asiakkaan hoidon ja huolenpidon turvaamiseksi. Ehdotettu säännös on sisällöltään lähes samanlainen kuin voimassa olevan sosiaalihuollon asiakkaan asemaa ja oikeuksia koskevan lain 17. Voimassa olevassa laissa käytetään kuitenkin termiä huolto, jonka on ymmärretty tarkoittavan sosiaalihuoltoa (esimerkiksi hoidon, huollon tai koulutuksen tarpeen ). Sosiaalihuoltolaissa on määritelty, mitkä kaikki palvelut tai etuudet kuuluvat sosiaalihuoltoon. Nyt lausuttavana oleva pykäläehdotuksessa huolto-sana on kuitenkin muutettu sanaksi huolenpito. Termi tulee esille myös muualla lausuttavana olevassa laissa (esimerkiksi 25, 26, 28, 96, 97 jne.). Termiä ei ole määritelty lakiehdotuksessa.

5 (7) Sen vuoksi jää epäselväksi, mitä huolenpitoon kuuluu. Lainkohtaa koskevissa yksityiskohtaisissa perusteluissa ei mainita sanaa huolenpito, vaan käytetään termiä sosiaalihuolto. Epäselväksi jää, sisältyykö huolenpitoon kaikki sosiaalihuollon palvelut ja etuudet. Epäselvää on niin ikään, kattaako termi kaikki tarvittavat tietojen luovutustilanteet sosiaalihuollon sisällä. Ehdotettu säännös ei tietosuojavaltuutetun käsityksen mukaan ole tältä osin riittävän yksilöity ja tarkkarajainen, kuten salassa pidettävien tietojen luovutussäännöksen tulee olla. Henkilötietojen käsittelyn kannalta kysymys on käsiteltävien henkilötietojen käyttötarkoituksen riittävän täsmällisestä määrittämisestä. Tämän vuoksi säännöstä pitää tietosuojavaltuutetun käsityksen mukaan tarkentaa, esimerkiksi korvaamalla huolenpito-sana perusteluissakin käytetyllä sosiaalihuoltosanalla. 218 : Potilasasiakirjat ja hoitoon liittyvä muu materiaali. Ehdotettu säännös vastaa pitkälti voimassa olevan potilaslain 12 :ä. Pykälässä asetettaisiin terveydenhuollon ammattihenkilölle velvollisuus merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Terveydenhuollon palveluyksikölle ja itsenäisesti ammattiaan harjoittavalle terveydenhuollon ammattihenkilölle asetetaan velvollisuus säilyttää potilasasiakirjat sekä tutkimuksessa ja hoidossa syntyvät biologista materiaalia sisältävät näytteet ja elinmallit potilaan hoidon järjestämisen ja toteuttamisen, hoitoon liittyvien mahdollisten korvausvaatimusten ja tieteellisen tutkimuksen edellyttämä aika. Lausuttavana olevasta ehdotuksesta ei käy ilmi, mihin tietosuoja-asetuksen 6 ja 9 artiklan kohtiin henkilötietojen käsittely sosiaali- ja terveydenhuollossa perustuu. Tietosuojavaltuutettu on kiinnittänyt huomiota vastaavaan seikkaan esimerkiksi lausunnossaan sosiaali- ja terveysministeriössä valmistellusta sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevasta laista. Käsittelyn peruste on syytä tuoda esille aina, kun säädetään henkilötietojen käsittelyä koskevaa erityislainsäädäntöä. Se, mihin käsittelyperusteeseen henkilötietojen käsittely perustuu, vaikuttaa muun muassa siihen, mitä tietosuojaoikeuksia rekisteröidyllä kulloinkin on. Riippumatta siitä, onko käsittelyn perustetta koskeva analyysi tehty tämän tai muun lain valmistelun yhteydessä, on käsittelyn perusteella merkittävä vaikutus asiakkaan ja potilaan oikeuksiin ja hänen tiedollisen itsemääräämisoikeutensa toteutumiseen. Tietosuojavaltuutettu pitää välttämättömänä, että käsittelyn peruste tuodaan esille selkeästi nyt lausuttavana olevan lain perusteluissa. 214 : Suostumus tietojen antamiseen sosiaalihuollossa ja 219 : Potilasasiakirjoihin sisältyvien tietojen salassapito. Voimassa olevaan lainsäädäntöön verrattuna ehdotus sisältää muutoksen suostumuksen pyytämiseen liittyen. Voimassa olevassa sosiaalihuollon asiakaslaissa edellytetään suostumukselta nimenomaisuutta. Voimassa olevan potilaslain mukaan perustilanteessa tietojen luovuttamiselta edellytetään potilaan kirjallista, ja tietyissä tilanteissa asiayhteydestä ilmenevää suostumusta. Ehdotetuissa 214 ja 219 :ssä siirryttäisiin käyttämään pelkästään termiä suostumus. Suostumuksen määritelmä annetaan tietosuoja-asetuksen 4 artiklan 11 kohdassa, jonka mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Suostumukseen sisältyy näin ollen jo määritelmällisesti sen yksiselitteisyys, tietoisuus ja yksilöity luonne, sekä suostumuksen antaminen lausumalla tai selkeästi suostumusta ilmaisevalla toimella.

6 (7) Tietosuoja-asetuksen 5 artiklan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että henkilötietoja käsitellään lainmukaisesti. Tietosuoja-asetuksen eräs keskeisiä ajatuksia on rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän on aina kyettävä osoittamaan henkilötietojen käsittelyn lainmukaisuus, ja näin ollen myös tietojen luovuttamisen perusteena olleen suostumuksen olemassaolo. Lakiehdotuksen perusteluissa olisikin syytä tuoda esille, että vaikka nimenomaisuuden ja kirjallisuuden vaatimukset sinänsä pykälän tekstistä poistuvat, käytännössä tietojen luovuttajan on tarvittaessa kyettävä osoittamaan se, että tietojen luovuttamiselle on ollut olemassa lainmukainen peruste. Käytännössä tämä edellyttää jatkossakin suostumusta koskevan dokumentaation olemassaoloa. Tietosuojavaltuutettu lisäksi katsoo, että ehdotuksen perusteluissa olisi hyvä tuoda esille, että vastaanottajalla, jolle tietoja luovutetaan, on oltava tietosuoja-asetuksen 6 ja 9 artiklojen mukaiset perusteet käsitellä henkilötietoja. 222 : Asiakastietojen käsittely sosiaali- ja terveydenhuollon yhteisissä palveluissa. Tietosuojavaltuutetun käsityksen mukaan lakiehdotuksen teksti ei ole riittävän täsmällinen. Ehdotettu pykälä on myös ristiriidassa sitä koskevien yksityiskohtaisten perustelujen kanssa. Niin ikään pykälää koskevat yksityiskohtaiset perustelut ovat varsin niukat. Säännöstä pitää tietosuojavaltuutetun käsityksen mukaan tarkentaa jatkovalmistelussa. Ehdotetun pykälän otsikko on Asiakastietojen käsittely sosiaali- ja terveydenhuollon yhteisissä palveluissa. Asiakastiedon käsitettä ei ole lausuttavana olevassa lakiluonnoksessa määritelty. Pykälän tekstin perusteella vaikuttaa siltä, että se on tarkoitettu koskemaan sekä asiakasta että potilasta koskevia tietoja. Otsikkoa on tältä osin tarve täsmentää. Pykälällä on ilmeisesti tarkoitus säätää tiedonsaantioikeudesta. Tällaisen, tietojen saamiseen oikeuttavan lainsäännöksen tulee olla tarkkarajainen. Pykälän sanamuodon sekä sitä koskevien perustelujen tulee olla niin selkeät, ettei säännöksen soveltamisalasta jää epäselvyyttä. Jos tarkoitus on säätää oikeudesta saada salassa pidettäviä tietoja, tulisi tämä mainita nimenomaisesti tiedonsaantioikeutta koskevassa pykälässä (esimerkiksi maininta salassapitosäännösten estämättä). Lainkohtaa koskevien yksityiskohtaisten perustelujen mukaan pykälä koskisi palvelua, jota sosiaali- ja terveydenhuollon henkilöstö toteuttaa yhdessä. Perustelujen mukaan säännös ei oikeuttaisi saamaan tietoja vastoin henkilön tahtoa. Se ei myöskään loisi oikeutta tietojen saamiseen, jos kyseessä ei olisi yhdessä toteutettu sama palvelu. Pelkkä samassa toimintayksikössä toimiminen ei olisi riittävä peruste tietojen saamiseen. Pykälä on kuitenkin kirjoitettu siten, että oikeus tietojen saamiseen sen perusteella olisi olemassa riippumatta siitä, mitä mieltä kyseessä oleva asiakas on tietojen luovuttamisesta. Säännön tulee muuttaa vastaamaan perusteluja. Pykälässä tulisi näin ollen todeta, että tiedonsaantioikeus on olemassa vain, ellei asiakas ole sitä kieltänyt. Ehdotetun pykälän ensimmäinen lause antaa tiedonsaantioikeudesta lisäksi huomattavasti laajemman kuvan kuin pykälän loppuosan sekä lainkohtaa koskevien perustelujen mukaan on tarkoitettu. Ensimmäisessä lauseessa tiedonsaantioikeutta ei ole rajattu yhteiseen palveluyksikköön ja yhteisen palvelun toteuttamiseen, kuten säännöksen lopun ja sitä koskevien perustelujen mukaan on ollut tarkoitus. Tietosuojavaltuutettu katsoo, että tämä rajaus pitää kirjoittaa lainkohtaan selkeästi.

7 (7) Perusteluiden mukaan kyseessä pitäisi olla yhdessä toteutettu sama palvelu tai palvelu, jota sosiaali- ja terveydenhuollon henkilöstö toteuttaa yhdessä. Lakitekstissä mainitaan sosiaalipalveluja ja terveyden- ja sairaanhoitoa sosiaali- ja terveydenhuollon yhteisessä yksikössä ja henkilö, joka osallistuu yhteisten palvelujen toteuttamiseen. Koska lakiehdotuksessa ei ole lainkaan määritelty, mitä tarkoitetaan termeillä yhdessä toteutettu sama palvelu, palvelu, jota sosiaali- ja terveydenhuollon henkilöstö toteuttaa yhdessä tai sosiaali- ja terveydenhuollon yhteinen yksikkö. Onko pykälässä tarkoitettu esimerkiksi kasvatus- ja perheneuvolatoiminnasta, yhdistetystä kotihoidosta tai jostain muusta toiminnasta. Nämä käsitteet on määriteltävä yksiselitteisesti, jotta on täysin selvää, milloin pykälä tulee sovellettavaksi. Ehdotetun pykälän sekä sitä koskevien perustelujen epätarkkuuden johdosta jää epäselväksi kokonaisuudessaan, mitä vaikutuksia pykälällä on tarkoitettu olevan. Säännöksen hyväksyttävyyttä ei voida tässä vaiheessa lainkaan arvioida, koska sen soveltamisala on tietosuojavaltuutetun käsityksen mukaan edellä kuvatulla tavalla epäselvä. Jos säännöstä ei poisteta ehdotuksesta tai sitä jatkovalmistellaan, tietosuojavaltuutettu haluaa varata mahdollisuuden lausua asiasta uudelleen. 223 : Velvollisuus antaa sosiaalihuollon viranomaiselle salassa pidettäviä tietoja. Ehdotetun pykälän viimeisen momentin viittaus on ilmeisesti väärä. Säännöksessä viitataan kyseessä olevan lain 10 :ssä tarkoitettuun toimielimeen. Lakiehdotuksen 10 koskee sosiaali- ja terveydenhuoltoa koskevia suunnitelmia, eikä siinä mainita pykälässä tarkoitettua toimielintä. 224 : Tietojen luovuttaminen teknisen käyttöyhteyden avulla. Ehdotetun pykälän ensimmäisen momentin viittaus on ilmeisesti väärä. Säännöksessä viitataan kyseessä olevan lain 64 :ssä tarkoitettuihin salassa pidettäviä henkilötietoja. Lakiehdotuksen 64 koskee kuitenkin ovien lukitsemista rajoitustoimenpiteenä sosiaalihuollossa. Säännöstä on muutettu verrattuna voimassa olevan asiakaslain tietojen luovuttamista teknisen käyttöyhteyden avulla koskevaan pykälään. Ehdotetussa lainkohdassa ei enää mainita sosiaalihuollon viranomaisen velvollisuudesta etukäteen ilmoittaa asiakkaalle tästä mahdollisuudesta. Säännöstä koskevissa yksityiskohtaisissa perusteluissa tämä kuitenkin edelleen todetaan. Pykälä ja sitä koskevat perustelut on muutettava vastaamaan toisiaan. Pykäläehdotuksesta on niin ikään poistettu maininta asiakkaan suostumuksesta riippumatta. Tämä mainitaan kuitenkin perusteluissa. Perusteluista ei käy ilmi, miksi sanat asiakkaan suostumuksesta riippumatta on päädytty jättämään pykälästä pois. Tietosuojavaltuutettu ehdottaa poisjättämisen perustelemista perusteluissa, jos tähän on olemassa perusteltu syy. Jos tällaista syytä ei ole, tietosuojavaltuutettu ehdottaa maininnan lisäämistä pykälään. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Tanja Muotka

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute