Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Samankaltaiset tiedostot
Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO

Talousvaliokunta klo 11:20

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Teknologia avusteiset palvelutverkostopalaveri

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

LAUSUNTO Dnro 5935/96/2018

Kansallinen tietosuojalaki

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Tietosuojavaltuutetun toimiston tietoisku

Tietosuoja-asetus Immo Aakkula Arkistointi

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Tietosuojavaltuutetun lausunto YLEINEN OSA

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

1 (6) Kirjallinen vastine Maarit Huotari Sami Kivivasara. Hallintovaliokunnalle

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Työelämän tietosuojalaki Johanna Ylitepsa

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuoja-asetus ja -laki

Sosiaali ja terveysministeriö.

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Tietosuoja-asetus ja sen kansallinen implementointi

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Tiedollinen itsemääräämisoikeus ja MyData

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Varustekorttirekisteri - Tietosuojaseloste

Lausunto luonnoksesta hallituksen esitykseksi luottolaitostoiminnasta annetun lain muuttamisesta ja eräiksi siihen liittyviksi laeiksi.

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

LAUSUNTO 1 (5) Sosiaali- ja terveysministeriö

Tutkittavan informointi ja suostumus

Valtionvarainministeriö Valtionvarainministeriön lausuntopyyntö VM 080:00/2017

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

Valtiovarainministeriön lausuntopyyntö VM008:00/2017

Vaikutustenarviointi GDPR:n mukaan

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 389/03/ LAUSUNTOPYYNTÖNNE LUONNOKSESTA SOSIAALI- JA TERVEYDENHUOLLON VALINNANVAPAUSLAINSÄÄDÄNNÖKSI

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Tiedon elinkaaren hallinta Henkilötietojen suoja

TIETOSUOJAVALTUUTETUN TOIMISTON OHJE LAINSÄÄDÄNTÖLAUSUNTOIHIN

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

EU:N UUSI TIETOSUOJA- ASETUS

Valtiovarainministeriö E-KIRJE VM RMO Jaakkola Miia(VM) VASTAANOTTAJA: Suuri valiokunta

Tulevat säädösmuutokset ja tietosuoja

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Juha Lavapuro Lausunto

SOSIAALI- JA TERVEYSVALIOKUNNALLE

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Hallituksen esitys laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä (HE 159/2017 vp)

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietosuojaseloste Espoon kaupunki

Informaatiovelvoite ja tietosuojaperiaate

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2420/03/2016. Sosiaali- ja terveysministeriö.

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

IF-INFO MEKLAREILLE

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Eläketurvakeskuksen tietosuojapolitiikka

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton jäsenrekisterissä

Tietosuojaseloste 1 (5)

Tietosuojaseloste Tietosuoja tietosuoja-asetuksen (GDPR) 13 ja 14 artiklan mukaan

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2302/03/17. Sosiaali- ja terveysministeri

Tietosuojaseloste Espoon kaupunki

7 Poliisin henkilötietolaki 50

Transkriptio:

Dnro 6003/91/2018 1 (6) 09.10.2018 Sosiaali- ja terveysministeriö Kirjaamo kirjaamo@stm.fi Viite: Lausuntopyyntönne 12.09.2018, STM081:00/2018 Lausuntopyyntö Sosiaali- ja terveysministeriö on pyytänyt tietosuojavaltuutetun lausuntoa luonnoksesta hallituksen esitykseksi laiksi lääkelain muuttamisesta. Esityksessä on tarkoitus muun muassa säätää Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen (EU) 2016/679 edellyttämistä muutoksista koskien apteekkisopimuksia. Henkilötietojen käsittelyn kannalta relevanttia esitysluonnoksessa on apteekkisopimuksia koskevat kohdat. Tietosuojavaltuutetun lausunto Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä Kun säädetään erityislainsäädäntöä, joka sisältää henkilötietojen käsittelyä koskevia säännöksiä, on otettava huomioon Euroopan unionin yleinen tietosuoja-asetus (2016/679; tietosuoja-asetus). Asetus on tullut voimaan 24.5.2016, ja sen soveltaminen on alkanut 25.5.2018. Asetus on jäsenvaltioissa suoraan sovellettavaa lainsäädäntöä, ja sen tarkoitus on yhdenmukaistaa henkilötietojen käsittelyä Euroopan Unionin alueella. Suomen perustuslain (731/1999) 10 :ssä turvataan yksityisyyden suoja perusoikeutena jokaiselle. Lainkohdan mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Tietosuoja-asetus täyttää sellaisenaan osaltaan tätä lailla säätämisen vaatimusta. Perustuslakivaliokunta on katsonut, ettei ole estettä sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 31/2017 vp. s. 3-4, PeVL 5/2017 vp. s. 9). Perustuslakivaliokunnan mukaan on lähtökohtaisesti riittävää perustuslain 10 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (PeVL 14/2018 vp. s. 4-5, johon myös PeVL 15/2018 vp:ssa viitattu). Perustuslakivaliokunta on kuitenkin pitänyt selvänä, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperusteisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa perustuslakivaliokunnan näkemyksen mukaan on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (PeVL 14/2018 vp. s.5, johon myös PeVL 15/2018 vp:ssa viitattu).

2 (6) Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (PeVL 42/2016 vp. s. 2-3). Valiokunta on arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä. Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (PeVL 38/2016 vp, s.3) Luonnosta koskevat kommentit Tietosuojavaltuutetun lausunto koskee esitysluonnosta niiltä osin, kuin siinä on kysymys henkilötietojen käsittelystä. Henkilötietojen käsittelyä koskevat esitysluonnoksen apteekkisopimusjärjestelmää koskevat osat. Apteekkisopimuskäytäntö on alun perin luotu yhteistyössä apteekkien, päihdelääkäreiden sekä viranomaisten kesken, ja se on ollut käytössä 2000-luvun puolivälistä lähtien. Apteekkisopimus on kirjallinen sopimus, jonka allekirjoittamalla potilas sitoutuu vain yhden lääkärin tai hoitopalvelun määräämään pkv-lääkehoitoon ja käyttämään vain yhtä apteekkia noutaessaan näitä lääkkeitä. Lisäksi potilas suostuu siihen, että hänen valitsemansa apteekki voi välittää tiedon sopimuksen olemassaolosta toisille apteekeille. Kun apteekissa toimitetaan kenen tahansa asiakkaan pkv- tai huumausainereseptiä, apteekkijärjestelmästä lähetetään Suomen Apteekkariliiton ylläpitämälle välityspalvelimelle henkilötunnuskyselyn. Näin apteekki selvittää, onko asiakkaalla voimassaolevaa apteekkisopimusta ja voiko se toimittaa kyseessä olevat lääkkeet asiakkaalle. Apteekit tallentavat apteekkisopimuspotilaiden sopimustiedot Suomen Apteekkariliiton ylläpitämään välityspalvelimeen. Lainsäädännössä apteekkisopimus esiintyy päihdehuoltolain (41/1986) 28 :n nojalla annetussa sosiaali- ja terveysministeriön asetuksessa opioidiriippuvaisten vieroitusja korvaushoidosta eräillä lääkkeillä (33/2008). Apteekkisopimus määritellään asetuksen 2 4 kohdassa. Apteekkien välinen tiedonvälitys on tapahtunut tietosuojalautakunnan luvalla (viimeisin lupa annettu 15.11.2017, Dnro 10/932/2017) siltä osin, kun kysymyksessä on ollut niiden pkv-lääkkeitä ostaneiden henkilötietojen käsittelystä, jotka eivät ole laatineet apteekkisopimusta. Yleisen tietosuoja-asetuksen soveltamisen alettua tietosuojalautakunnan lupa ei enää ole mahdollinen käsittelyperuste, minkä vuoksi esitysluonnoksessa todetaan tarve sääntelyn tarkentamiselle. Tietosuoja-asetuksen 6 artiklan mukainen henkilötietojen käsittelyperuste Henkilötietojen käsittelylle on oltava tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa. Tietosuojaasetusta tarkentava kansallinen lainsäädäntö on mahdollista vain niiltä osin, kuin se sallitaan nimenomaisesti asetuksessa. Kansallista liikkumavaraa sisältyy tietosuojaasetuksen käsittelyperusteiden osalta 6 artiklan 1 kohdan c ja e alakohtiin, sekä arkaluonteisten tietojen kohdalla 9 artiklan 2 kohdan b, g, h, i ja j alakohtiin. Jotta esitysluonnosta voidaan arvioida suhteessa tähän liikkumavaraan, on siinä osoitettava, mihin yleisen tietosuoja-asetuksen kohtaan henkilötietojen käsittelyä koskevat erityissäännökset perustuvat. Käsittelyperusteita voidaan periaatteessa tunnistaa samanaikaisesti useampia. Se, mihin käsittelyperusteeseen käsittely perustuu, vaikuttaa esimerkiksi siihen, mitä oikeuksia rekisteröidyllä on suhteessa rekisterinpitäjään kyseessä olevan henkilötietojen käsittelyn osalta.

3 (6) Edellä esitetyistä syistä on tärkeää, että henkilötietojen käsittelyä koskevassa erityislainsäädännössä yksilöidään nimenomaisesti, mihin käsittelyperusteeseen käsittely on kulloinkin kytketty, ie. mihin yleisen tietosuoja-asetuksen artiklaan henkilötietojen käsittelyä koskevat erityissäännökset perustuvat. Esitystä tulisi tältä osin täsmentää siten, että käy ilmi, mihin 6 artiklan kohtaan henkilötietojen käsittelyn on katsottu perustuvan. Esityksessä on tuotu esille, että apteekkisopimuksen solmineiden asiakkaiden henkilötietojen käsittely apteekkisopimusjärjestelmän tarkoituksissa perustuisi asiakkaan ja tätä hoitavan tahon tekemään sopimukseen tai suostumukseen. Toisaalta esitysluonnoksen sivulla 6 määritellään apteekkisopimuksiin liittyvän käsittelyn käsittelyperusteeksi kokonaisuudessaan tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, eli käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Esityksen mukaan on tarkoitus lisätä lääkelakiin uusi kohta, jossa velvoitetaan pkvlääkkeitä toimitettaessa tarkistamaan apteekkijärjestelmän välityksellä, onko olemassa voimassa olevaa apteekkisopimusta, jonka perusteella lääkkeen toimittamisesta tulee pidättäytyä. Kun tällainen velvollisuus käsitellä henkilötietoja säädetään laissa, on kaikelle tässä tarkoituksessa tapahtuvalle henkilötietojen käsittelylle määriteltävissä sama tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste (6 artiklan 1 kohdan c alakohta). Tämä käsittelyperuste tarvitsee lisäkseen kansallista lainsäädäntöä. Lääkelaissa säädettäisiin näin ollen apteekkisopimuksiin liittyvä käsittely apteekin lakisääteiseksi tehtäväksi. Tietosuoja-asetuksen 9 artiklan mukainen erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyperuste Esityksessä todetusti, vaikka apteekkisopimusjärjestelmän kautta käsiteltävät tiedot eivät suoranaisesti sisällä terveyttä koskevia tietoja, antaa pelkkä järjestelmään kuuluminen sekä potilaan tietoihin sisältyvät lääketiedot välillisesti tietoa yksilön terveydentilasta (päihde- tai lääkeriippuvuus). Näin ollen käsittelylle on yksilöitävä tietosuoja-asetuksen 9 artiklan mukainen peruste käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. Erityisten henkilötietoryhmien osalta käsittelyperusteeksi on esitysluonnoksessa tunnistettu toisaalta 9 artiklan 2 kohdan g alakohta ja toisaalta h alakohta. Esityksessä ei ole täsmennetty tarkemmin sitä, kumpaan näistä käsittelyperusteista käsittely on kulloinkin tarkoitettu kytkeä. Apteekkisopimusjärjestelmässä käsitellään kaikkien niiden henkilöiden tietoja, joille toimitetaan kyseessä olevia lääkkeitä riippumatta siitä, onko ko. henkilöllä olemassa apteekkisopimusta vai ei. Tietosuojavaltuutetun käsityksen mukaan niiden henkilöiden kohdalla, jotka ovat laatineet apteekkisopimuksen lääkärin kanssa, 9 artiklan mukainen käsittelyperuste vaikuttaisi olevan h alakohdan mukainen, kun käsittely liittyy terveydenhuollon hoidollisiin tarkoituksiin. Niiden henkilöiden kohdalla puolestaan, joilla apteekkisopimusta ei ole, vaikuttaisi käsittelyperuste olevan 9 artiklan 2 kohdan h alakohdan mukainen, kun käsittelyä edellyttäisi tärkeä yleistä etua koskeva syy. Sekä 9 artiklan 2 kohdan g että h alakohdat edellyttävät lisäkseen kansallista lainsäädäntöä. Se, minkälaista sisältöä tältä lainsäädännöltä tietosuoja-asetuksessa edellytetään, eroaa näiden käsittelyperusteiden välillä. Jotta voidaan arvioida, täyttyvätkö kaikki tietosuoja-asetuksessa kansalliselle säätämiselle asetetut edellytykset, tulee käsittelyperuste yksilöidä selkeästi. Jatkovalmistelussa on syytä täsmentää tarkemmin, mihin 9 artiklan kohtaan käsittelyn on kulloinkin katsottu perustuvan, ie. mihin yleisen tietosuoja-asetuksen artiklaan henkilötietojen käsittelyä koskevat erityissäännökset perustuvat. Ilman tarkempaa täsmennystä esitettävän

4 (6) lainsäädännön suhdetta tietosuoja-asetuksen sisältämään kansalliseen liikkumavaraan ei voida arvioida. Lisäedellytyksistä kansalliselle erityislainsäädännölle Tietosuoja-asetuksessa asetetaan edellytyksiä kansalliselle lainsäädännölle, jossa säädetään henkilötietojen käsittelystä. Nämä lisäedellytykset vaihtelevat osin sen mukaan, mihin tietosuoja-asetuksen 6 ja 9 artiklan mukaiseen käsittelyperusteeseen henkilötietojen käsittelyn on ko. lainsäädännössä katsottu perustuvan. Kuten edellä on todettu, jotta näiden lisäedellytysten täyttyminen voidaan arvioida, on esitettävässä lainsäädännössä yksilöitävä tarkkaan, mihin 6 ja 9 artiklan kohtiin käsittelyn on katsottu perustuvan. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan käsittelyn tarkoitus määritellään käsittelyperusteena olevassa lainsäädännössä. Kansallinen lainsäädäntö voi sisältää yksityiskohtaisempia säännöksiä asetuksen sääntöjen soveltamisen mukauttamiseksi määrittelemällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, jotka koskevat yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta, käsiteltävien tietojen tyyppiä asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa käyttötarkoitussidonnaisuutta säilytysaikoja käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet tietosuoja-asetuksen IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten Esitettävän säännöksen perusteella tulee voida yksiselitteisesti määritellä, mitä tarkoitusta varten henkilötietoja on tarpeellista käsitellä - eli ne tehtävät, joiden suorittamiseksi henkilötietojen käsittely on tarpeellista. Ehdotetussa säännöksessä tämä on määritelty tarkkarajaisesti. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan perustuvan kansallisen lainsäädännön on oltava oikeasuhteista tavoitteeseen nähden, siinä tulee noudattaa keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä tulee säätää asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Käsittelyn on oltava tarpeen tärkeää yleistä etua koskevasta syystä. Esityksessä olisi hyvä avata, millä perusteilla käsittely on yleisen edun kannalta tarpeellista, sekä millä tavalla valmistelussa on huomioitu käsittelyyn liittyvät tietosuojaperiaatteet (yleinen tietosuoja-asetus 5 artikla), kuten tietojen minimointi, säilytyksen rajoittaminen ja käyttötarkoitussidonnaisuus ja niin edelleen (yleinen tietosuoja-asetus 5 artikla). Tässä voidaan hyödyntää esimerkiksi tietosuojalautakunnan aikaisempaa apteekkisopimusjärjestelmää koskevaa ratkaisukäytäntöä, jossa tietosuojalautakunta on arvioinut tärkeän yleisen edun puoltaneen puheena olevaa henkilötietojen käsittelyä. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohtaan perustuvalle kansalliselle lainsäädännölle on 9 artiklan 3 kohdassa asetettu erityisenä edellytyksenä ja suojatoimena se, että tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen

5 (6) perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella. Tämä toteutuukin esitysluonnoksen mukaisesti lääkelain mukaisen salassapitovelvollisuuden kautta. Rekisterinpitäjyydestä Esitetyn säännöksen perusteella ei käy ilmi, mikä taho on apteekkisopimusjärjestelmän tarkoituksiin käsiteltävien henkilötietojen rekisterinpitäjä. Rekisterinpitäjä on käsite, jolla tarkoitetaan yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltion lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Rekisterinpitäjä voidaan määritellä lainsäädännössä. Tämä määrittelyä koskeva vaatimus korostuu erityisesti, kun käsittelyperusteena on yleinen etu. Sääntelyn sekä vastuunjaon selkeys puoltaa sitä, että rekisterinpitäjyys ilmaistaisiin säännöstekstissä. Rekisterinpitäjäksi määritellään se taho, joka tosiasiallisesti käyttää rekisterinpitäjälle kuuluvaa määräysvaltaa ja voi toteuttaa rekisterinpitäjälle kuuluvat velvoitteet. Tietosuoja-asetus tunnistaa myös yhteisrekisterinpitäjyyden, josta säädetään asetuksen 26 artiklassa. Artiklan mukaan rekisterinpitäjään sovellettavassa lainsäädännössä voidaan määritellä yhteisrekisterinpitäjien vastuualueet henkilötietojen käsittelyssä. Järjestelyssä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Myös henkilötietojen käsittelyä koskevan tehtävän ulkoistamisesta rekisterinpitäjältä henkilötietojen käsittelijälle voidaan säätää laissa. Tällöin lailla voidaan myös vahvistaa yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan a-h alakohdan mukaiset seikat, eli ne kysymykset, joista rekisterinpitäjän ja käsittelijän välisessä sopimuksessa tulisi muutoin sopia. Lainsäädännössä voidaan 29 artiklan perusteella säätää henkilötietojen käsittelijälle myös sellaisia itsenäisiä velvoitteita tai käsittelyoikeuksia, jotka ovat erillisiä rekisterinpitäjän antamista ohjeista. Rekisterinpitäjyyttä koskevan mallin voi toteuttaa lainsäädännössä tarkoituksenmukaisimmaksi katsottavalla tavalla. Esitystä on syytä täsmentää siten, että rekisterinpitäjä käy selkeästi ilmi säännöstekstistä. Rekisteröidyn oikeuksista Tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeudesta saada tietoa henkilötietojen käsittelystä (13 ja 14 art.), oikeudesta saada pääsy tietoihin (15 art.), oikeudesta tietojen oikaisemiseen (16 art.), oikeudesta tietojen poistamiseen (17 art.), oikeudesta käsittelyn rajoittamiseen (18 art.), oikeudesta siirtää tiedot järjestelmästä toiseen (20 art.) sekä vastustamisoikeudesta (21 art.). Se, miten kattavasti rekisteröidyllä on mahdollisuus vedota näihin oikeuksiin, riippuu siitä, minkä käsittelyperusteen nojalla henkilötietoja käsitellään. Tietosuoja-asetuksen mukaisiin oikeuksiin voidaan säätää rajoituksia asetuksen 23 artiklan mukaisesti. 15 artiklan mukaista oikeutta saada pääsy tietoihin koskevista, henkilötietolain 27 :ä vastaavista kieltäytymisperusteista säädettäneen tietosuojalaissa. Muita tietosuoja-asetuksen mukaisia oikeuksia koskevia rajoituksia ei tietosuojalakiin tultane sisällyttämään. Näin ollen, jos asiakkaan tai potilaan muihin tietosuoja-

6 (6) asetuksen mukaisiin oikeuksiin halutaan säätää rajoituksia, se on tehtävä erityislainsäädännössä. Esityksessä on syytä arvioida, onko rekisteröidyille tietosuojaasetuksen perusteella kuuluviin oikeuksiin tarpeen säätää rajoituksia yleisen tietosuoja-asetuksen 23 artiklassa säädetyllä tavalla. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Tanja Muotka

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute