Hallituksen esitys laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä (HE 159/2017 vp)

Samankaltaiset tiedostot
Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Kansallinen tietosuojalaki

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Tietosuoja-asetus ja sen kansallinen implementointi

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

Talousvaliokunta klo 11:20

LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

LAUSUNTO Dnro 5935/96/2018

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Tietosuoja-asetus Immo Aakkula Arkistointi

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Työelämän tietosuojalaki Johanna Ylitepsa

7 Poliisin henkilötietolaki 50

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Mitä rekisteriviranomaisen pitää ottaa huomioon henkilötietoja luovuttaessaan?

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Tutkittavan informointi ja suostumus

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Teknologia avusteiset palvelutverkostopalaveri

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

LAUSUNTO 1(6) neuvotteleva virkamies Pia-Liisa Heiliö hyvinvointi- ja palveluosasto hallitussihteeri Helena Raula ohjausosasto

Tiedon toissijainen käyttö lainsäädännön kannalta Helena Raula. Hallitussihteeri

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Esityksen valtiosääntöoikeudellinen merkitys

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Euroopan komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi (Eurodac-rekisteri) U 30/2016 vp ja UJ 4/2017 vp

Tietosuojavaltuutetun toimiston tietoisku

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

EU:N UUSI TIETOSUOJA- ASETUS

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

LISÄLAUSUNTO KANSANELÄKELAITOKSEN ANTAMAAN LAUSUNTOON HALLITUKSEN ESITYKSESTÄ (HE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

2. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus. 3. Yhteistyöhankkeena tehtävän tutkimuksen osapuolet ja vastuunjako

Usein kysyttyjä kysymyksiä tietosuojasta

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Tietoturva yhdistyksessä

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

1 (6) Kirjallinen vastine Maarit Huotari Sami Kivivasara. Hallintovaliokunnalle

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Kansallisten tietovarantojen toissijainen käyttö biopankkitutkimuksessa

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tietosuoja-asetuksen johdanto-osan kappaleessa 33 todetaan seuraavaa:

Kansallisten tietovarantojen toissijainen käyttö biopankkitutkimuksessa

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

LAKI SOSIAALI- JA TERVEYSTIETOJEN TOISSIJAISESTA KÄYTÖSTÄ TIETOJOHTAMINEN

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

OP Verkkokauppakokemuksen asiakasrekisteri

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Juha Lavapuro Lausunto

Helsingin kaupunki Pöytäkirja 1 (5)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

HALLITUKSEN ESITYS EDUSKUNNALLE EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 VP)

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tiedollinen itsemääräämisoikeus ja MyData

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

OIKEUSMINISTERIÖN VASTINE LAKIVALIOKUNNALLE ANNETTUJEN KIRJALLISTEN HUOMAUTUSTEN JOHDOSTA (HE 24/2017 vp)

Käyntiosoite Postiosoite Puhelin Faksi Sähköpostiosoite

Organisaatioluvan hakeminen

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

3. Tutkimushankkeen kuvaus ja henkilötietojen käsittelyn tarkoitus

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

LAKI SOSIAALI- JA TERVEYSTIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

TUTKIMUSLUPAHAKEMUS/PÄÄTÖS

LAUSUNTO OM 198/43/2015

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Tietosuoja-asetus ja -laki

Transkriptio:

LAUSUNTO Lainvalmisteluosasto Julkisoikeuden yksikkö LsN Anu Talus Sosiaali- ja terveysvaliokunnalle 13.3.2018 Hallituksen esitys laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä (HE 159/2017 vp) Sosiaali- ja terveysvaliokunta on pyytänyt oikeusministeriöltä lausuntoa hallituksen esityksestä sosiaali- ja terveystietojen toissijaisesta käytöstä sekä sosiaali- ja terveysministeriön (myöhemmin STM) muistiosta, joka sisältää perustuslakivaliokunnan lausunnon (PeVL 1/2018 vp) johdosta valmistellut uudet pykäläluonnokset. Oikeusministeriö on antanut asian valmistelun yhteydessä 31.10.2016 päivätyn lausunnon. EU:n yleinen tietosuoja-asetus on tullut voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018. Valmistelun yhteydessä annetussa lausunnossa on arvioitu ensimmäistä kertaa yleisen tietosuoja-asetuksen kansallista harkintamarginaalia ja esimerkiksi suojatoimien asianmukaisuutta ja riittävyyttä. Koska tietosuoja-asetusta ei vielä sovelleta, sen soveltamisesta ei ole muodostunut kansallista tai EU:n tuomioistuimen käytäntöä. Linjaukset asetuksen kansallisen harkintamarginaalin käytöstä ovat kehittyneet ja tarkentuneet siirtymäajan kuluessa ja tarkentuvat edelleen. Tässä lausunnossa oikeusministeriö tarkastelee erityisesti perustuslakivaliokunnan lausunnossaan esiin nostamia seikkoja. Lisäksi oikeusministeriö tuo esiin sellaisia näkökohtia, joiden osalta kansallista harkintamarginaalia koskevat linjaukset ovat tarkentuneet siirtymäajan kuluessa. Perustuslakivaliokunta on lausunnossaan katsonut, että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, mikäli sen 38 ja 45 :stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon. Perustuslakivaliokunnan huomautukset ovat koskeneet erityisesti anonymisoituja henkilötietoja ja suostumusta C:\Users\hans.hayrynen\AppData\Local\Microsoft\Windows\INetCache\Cont ent.outlook\vbou6v8l\lausunto_he 159_2017_stv.docx Käyntiosoite Postiosoite Puhelin Faksi Sähköpostiosoite Eteläesplanadi 10 PL 25 02951 6001 09 1606 7730 oikeusministerio@om.fi HELSINKI 00023 VALTIONEUVOSTO

2(7) sekä innovaatio- ja kehittämistoiminnassa tapahtuvan henkilötietojen käsittelytarkoituksen tarkentamista. Henkilötietojen käsittely anonymisointitarkoituksessa Perustuslakivaliokunta on lausunnossaan katsonut, että sosiaali- ja terveysvaliokunnan on tarkkaan selvitettävä kansallisen sääntelyn mahdollinen ala ja täsmennettävä 1. lakiehdotuksen 38 ja 45 :n sääntelyä olennaisesti siltä osin, kun ne kohdistuvat mahdollisuuteen luovuttaa anonymisoituna ilman rekisteröidyn suostumusta 38 :ssä tarkoitettuun kehittämis- ja innovaatiotoimintaan. Sosiaali- ja terveysministeriö on valmistellut perustuslakivaliokunnan lausunnon johdosta uudet pykäläluonnokset ehdotuksen 38 ja 45 :ksi. STM:n ehdotuksen mukaan tiedot olisi edelleen mahdollista luovuttaa ilman rekisteröidyn suostumusta. Yleistä tietosuoja-asetusta ei sovelleta anonyymeihin tietoihin. Anonymisoidut tiedot ovat tietoja, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Anonymisoidut tiedot voivat myös koskea henkilöä, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Pseudonymisoiduilla tiedoilla sitä vastoin tarkoitetaan henkilötietoja, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä. Henkilötietojen luovuttamiseen anonymisoituna ei siten sovelleta yleistä tietosuoja-asetusta, sillä kyse ei ole henkilötiedoista. Sitä vastoin henkilötietojen käsittely anonymisointitarkoituksessa kuuluu yleisen tietosuoja-asetuksen soveltamisalaan. Perustuslakivaliokunta on pitänyt keskeisenä sitä, että anonymisoinnin tehokkuus varmistetaan myös säädösperustaisesti. Valiokunta on todennut olevan itsestään selvää, että luonnollisen henkilön tunnistetietojen, kuten nimen ja henkilötunnuksen, poistaminen ei käsillä olevan kaltaisessa laajassa tietoaineistossa riitä anonymisoinnin tehokkuuden varmistamiseen. STM on uudessa ehdotuksessaan 45 :ksi tarkentanut niitä seikkoja, joita käyttölupaviranomaisen on otettava huomioon arvioidessaan anonymisointia. 45 Tietojen luovuttaminen anonymisoituna Jos hakija pyytää asiakastietoja tai 6 :ssä tarkoitettuja muita henkilötietoja 2 :n mukaiseen käyttötarkoitukseen vain anonymisoituna, Sosiaali- ja terveysalan käyttölupaviranomainen arvioi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan ja 86 artiklan nojalla, onko pyydetyt tiedot mahdollista anonymisoida. Arvioidessaan 1 momentissa tarkoitettua mahdollisuutta anonymisoida pyydetyt tiedot käyttölupaviranomaisen on otettava huomioon käytettävissä olevat parhaat ja ajanmukaiset anonymisointitekniikat sekä jatkuvasti kehittyvät tietotekniset edellytykset purkaa anonymisointi. Edellä 1 ja 2 momentissa tarkoitetun arvion perusteella käyttölupaviranomainen päättää siitä, luovutetaanko tiedot tietopyynnön esittäneelle. Anonymisoitujen tietojen luovuttamiseen sovelletaan lisäksi 41 ja 42 :ää. Oikeusministeriön näkemyksen mukaan STM:n valmistelemat muutosehdotukset selkiyttävät anonymisoinnin arviointiperusteita. Oikeusministeriön näkemyksen mukaan anonymisoinnin tehokkuuden varmistaminen säädösperustaisesti edellyttäisi, että pykälään sisällytettäisiin lisäksi edellytys, jonka mukaan tietoja ei olisi enää mahdollista yhdistää luonnolliseen henkilöön lisätietojakaan käyttämällä. Toisin sa-

3(7) noen anonymisointi edellyttäisi, että henkilötiedot on käsiteltävä siten, ettei henkilö ole enää tietojen perusteella tunnistettavissa yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan mukaisesti. Henkilötietojen käsittelyn oikeudellinen peruste ja kansallisen liikkumavaran ilmeneminen esityksestä Oikeusministeriö on 31.10.2016 antamassaan lausunnossa kiinnittänyt huomiota siihen, että esitysluonnoksesta ei käynyt selvästi ilmi, mikä on henkilötietojen käsittelyn oikeudellinen peruste. Henkilötietojen käsittelyn oikeudellista perustetta selvennetään nyt 35 :n yksityiskohtaisissa perusteluissa (HE, s. 121-122). Lisäksi käsittelyperustetta selvennetään pykäläkohtaisesti 4 luvussa, joka koskee henkilötietojen toissijaisen käytön perusteita ja edellytyksiä. Henkilötietojen käsittelylle tulee asetuksen soveltamisen alkaessa olla yleisen tietosuojaasetuksen 6 artiklassa tarkoitettu käsittelyn oikeudellinen perusta. Kansallisesti voidaan antaa täsmentävää sääntelyä ainoastaan 6 artiklan 1 kohdan c alakohdan mukaisen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ja e alakohdan mukaisissa tilanteissa, joissa käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Jos henkilötietoja käsitellään 6 artiklan 1 kohdan muiden alakohtien nojalla, ei käsittelyn oikeudellista perustaa voida täsmentää. Yleinen tietosuoja-asetus pätee yleisesti, on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Lailla sosiaali- ja terveystiedon toissijaisesta käytöstä ei siten voida ohittaa yleisen tietosuoja-asetuksen sääntelyä, vaan ainoastaan täydentää ja täsmentää kyseistä sääntelyä edellä esitetyn mukaisesti. Suostumus käsittelyperusteena Suostumuksen määritelmästä säädetään yleisen tietousoja-asetuksen 4 artiklan 11 kohdassa ja suostumuksen edellytyksistä yleisen tietosuoja-asetuksen 7 artiklassa. Yleinen tietosuoja-asetus ei näiltä osin sisällä minkäänlaista kansallista liikkumavaraa. Koska yleistä tietosuoja-asetusta ei vielä sovelleta, sen soveltamisesta ei edellä esitetyn mukaisesti ole vielä muodostunut kansallista tai EU:n tuomioistuimen käytäntöä. Yleisen tietosuoja-asetuksen kansallinen liikkumavara ei kuitenkaan näyttäisi mahdollistavan sitä, että kansallinen lainsäätäjä tältä osin säätäisi tietosuoja-asetusta täydentävästi suostumuksen edellytyksistä. Erityisiin tietoryhmiin kuuluvien tietojen käsittely suostumuksen perusteella Yleisen tietosuoja-asetuksen 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Lisäksi yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaan jäsenvaltion lainsäädännössä voidaan säätää, että 9 artiklan 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella. Kuten edellä on käynyt ilmi, yleisen tietosuoja-asetuksen soveltamisesta ja siten kansallisen liikkumavaran tulkinnasta ei ole EU:n tuomioistuimen käytäntöä. Selvää kuitenkin on, että 9 artiklan 4 kohdan liikkumavara, jonka mukaan jäsenvaltio voi pitää voimassa ottaa käyttöön lisäehtoja koskee ainoastaan terveystietojen, geneettisten tietojen ja biometristen tietojen käsittelyä.

4(7) Kansallinen lainsäätäjä voisi käyttää liikkumavaraa esimerkiksi siten, että vakuutusyhtiöiltä kiellettäisiin geneettisten tietojen käsittely. Yleisen tietosuoja-asetuksen johdanto-osassa selvennetään, että lisäehtojen ei kuitenkaan pidä vaikeuttaa henkilötietojen vapaata kulkua unionissa niissä tapauksissa, joissa ehtoja sovelletaan henkilötietojen rajatylittävään käsittelyyn. Sanatarkasti 9 artiklan 2 kohdan a alakohta puolestaan antaa kansalliselle lainsäätäjälle mahdollisuuden säätää siitä, että erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelykieltoa ei voida kumota suostumuksella, ei muuta. Siten 9 artiklan 2 kohdan a alakohdasta ei näyttäisi seuraavan kansallista liikkumavaraa suostumukselle asetettavien edellytysten säätämiselle yleisesti ottaen. Sitä vastoin 9 artiklan 4 kohdan nojalla tällaisten edellytysten säätäminen näyttäisi mahdolliselta, sillä kyseissä alakohdassa ei tarkemmin eritellä, millaisista rajoituksista tai lisäehdoista kansallisella lailla voidaan säätää. Kansallinen liikkumavara koskee tältä osin kuitenkin ainoastaan artiklankohdassa lueteltuja tietoja. Hallituksen esityksen yksityiskohtaisista perusteluista ei käy ilmi, mitä tietoja kehittämis- ja innovaatiotoiminnassa käsiteltäisiin. Rekisterit, joissa olevia tietoja lakiehdotuksen mukaan olisi mahdollista käsitellä sisältävät kuitenkin tyypillisesti myös muita kuin geneettisiä ja biometrisiä tietoja sekä terveyttä koskevia tietoja. Kyseiset rekisterit sisältävät tyypillisesti myös muita kuin erityisiin henkilötietoryhmiin kuuluviksi katsottavia tietoja. Oikeusministeriön näkemyksen mukaan kansallinen lainsäätäjä ei siten lähtökohtaisesti voi antaa suostumusta koskevia tarkempia säännöksiä. Suostumusta koskevien tarkempien säännöksien antaminen voisi olla mahdollista kuitenkin asetuksen 9 artiklan 4 kohdan antaman kansallisen harkintamarginaalin puitteissa, jolloin kyse olisi pikemminkin suojatoimista kuin käsittelyn oikeudellisesta perustasta. Asetuksen harkintamarginaalia koskevat linjaukset kehittyvät kuitenkin edelleen Euroopan unionissa. Sosiaali- ja terveysministeriön uusissa pykäluonnokisssa on kehittämis- ja innovaatioitoimintaa rajattu tarkemmin. Lisäksi edellytyksiin on lisätty kohta, jonka mukaan hakemukseen liitetystä selvityksestä tulee käydä ilmi, että saadut suostumukset täyttävät tietosuoja-asetuksessa ja muualla lainsäädännössä suostumukselle asetetut edellytykset. Tämä selkiyttäisi sitä, että suostumuksen on täytettävä suostumukselle säädetyt edellytykset. Oikeusministeriö pitää ehdotusta tältä osin kannatettava. Siltä osin kuin suostumuksen tulee olla yleisen tietousoja-asetuksen mukainen, tulee huomioon otettavaksi myös edellytys siitä, että suostumuksen on oltava aidosti vapaaehtoinen. Perustuslakivaliokunta kiinnitti tähän lausunnossaan erityistä huomiota. Esimerkiksi edellytys siitä, että rekisteröidyn ja rekisterinpitäjän välillä ei voi vallita epäsuhtaa seuraa suoraan yleisestä tietosuoja-asetuksesta. (Yleisen tietosuoja-asetuksen johdanto-osan kappale 43.) Ehdotuksessa jää kuitenkin epäselväksi, mihin viitataan sanoilla muualla lainsäädännössä. Henkilötietojen käsittelyä koskeva suostumus tulee erotella muusta suostumuksesta, joka voi koskea esimerkiksi osallistumista tutkimukseen. Henkilötietojen käsittely kehittämis- ja innovaatiotoimintaan Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että arkaluonteisten tietojen käsittely

5(7) Muita huomioita on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 13/2017 vp, s. 5 ja PeVL 3/2017 vp. s.5). Perustuslakivaliokunta on lausunnossaan kiinnittänyt huomiota niinikään siihen, että kehittämis- ja innovaatiotoimintaa ei ole säännösperustaisesti rajattu esimerkiksi tiettyihin tarkoituksiin tähtääväksi kehittämis- ja innovaatiotoiminnaksi. Lisäksi perustuslakivaliokunta on kiinnittänyt huomiota siihen, että muuta kuin alkuperäiseen käyttötarkoitukseen liittyvää käsittelyä ehdotetaan arkaluonteisten sosiaali- ja terveystietojen erittäin merkittäväksi käyttötavaksi. STM on valmistellut perustuslakivaliokunnan lausunnon johdosta uuden ehdotuksen kehittämis- ja innovaatiotoimintaa koskevaksi 38 :ksi. Ehdotuksessa kehittämis- ja innovaatiotoiminnan käyttöalaa on täsmennetty ja rajattu merkittävästi aiempaan ehdotukseen nähden. 38 Kehittämis- ja innovaatiotoiminta Sosiaali- ja terveysalan käyttölupaviranomainen saa luovuttaa tietoja kehittämisja innovaatiotoimintaan, jonka tavoitteena on 1) edistää kansanterveyttä tai sosiaaliturvaa; 2) kehittää sosiaali- ja terveydenhuollon palveluja tai palvelujärjestelmää; taikka 3) suojella yksilöitä tai turvata heidän oikeuksiaan ja vapauksiaan. Salassapitovelvoitteiden estämättä Sosiaali- ja terveysalan käyttölupaviranomainen saa antaa yksittäistapauksessa käyttöluvan asiakastietoihin sekä muihin 6 :ssä tarkoitettujen organisaatioiden henkilötietoihin, jos kehittämis- ja innovaatiotoimintaa toteutetaan muutoin kuin 37 :ssä tarkoitettuna tieteellisenä tutkimuksena, ja rekisteröity on antanut suostumuksensa tietojen käsittelyyn tässä tarkoituksessa. Luvan saa antaa rekisteröidyn suostumuksessa annettujen ehtojen mukaisesti. Edellytyksenä on lisäksi, että: 1) toiminnasta vastaa nimetty vastuuhenkilö tai ryhmä; 2) tietoja käytetään vain tiedonhyödyntämissuunnitelman mukaisesti sekä toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille; ja 3) hakemukseen liitetystä selvityksestä ilmenee, että saadut suostumukset täyttävät tietosuoja-asetuksessa ja muualla lainsäädännössä suostumukselle asetetut ehdot. Jos tietoja pyydetään anonymisoituina, tiedot voidaan luovuttaa ilman rekisteröidyn suostumusta 45 :n mukaisesti. Ehdotuksesta ei kuitenkaan käy ilmi, mikä olisi käsittelyn oikeudellinen peruste ja millä tavoin kansallista liikkumavaraa käytettäisiin. Tieteellinen tutkimus sekä kehittämis- ja innovaatiotoiminta Rekisterinpitäjä käsittelijä Oikeusministeriö on aiemmin antamassaan lausunnossa kiinnittänyt huomiota siihen, että tutkimus- ja innovaatiotoiminta näyttäisi olevan tieteellistä tutkimusta laajempi käsite. Oikeusministeriö on kiinnittänyt huomiota siihen, että sikäli kuin tietosuoja-asetuksen 89 artiklan sallimat poikkeukset tulisivat sovellettavaksi, ei niillä voida kattaa kyseistä toimintaa siltä osin kuin se on tieteellistä tutkimusta laajempi käsite. Hallituksen esityksessä kehittämis- ja innovaatiotoiminta ja tieteellinen tutkimus on eroteltu nyt erillisiksi käsittelytarkoituksiksi. Oikeusministeriö on aiemmin antamassaan lausunnossa kiinnittänyt huomiota myös kysymykseen siitä, onko lupaviranomaisen tarkoitus toimia rekisterinpitäjänä vai käsittelijänä. Esityksen yksityiskohtaisissa perusteluissa on nyt selvennetty sosiaali- ja terveysalan käyttölupaviranomaisen toimivan rekisterinpitäjänä niille tiedoille, jotka se itse saisi käyttölupaprosessissa ja

6(7) jotka tallentuisivat 16 :ssä tarkoitettuun tietopyyntöjen hallintajärjestelmään. Suojatoimet Lisäksi oikeusministeriö on aiemmassa lausunnossaan kiinnittänyt huomiota suojatoimiin. Erityisten henkilötietoryhmien käsittely tai rekisteröidyn oikeuksista poikkeaminen kansallisella lainsäädännöllä edellyttää, että kansallisessa lainsäädännössä on asianmukaiset ja erityiset suojatoimet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Lisäksi yleisen tietosuojaasetuksen johdanto-osan kappaleessa 157 todetaan, että henkilötietoja voidaan käsitellä rekisteripohjaisessa tutkimuksessa edellyttäen, että jäsenvaltion lainsäädännössä asetettuja asianmukaisia edellytyksiä ja suojatoimia noudatetaan. Hallituksen esityksen mukaan henkilötietoja käsiteltäisiin tietoturvallisessa toimintaympäristössä. Ottamatta kantaa käyttöympäristön teknisiin edellytyksiin, tämä vaikuttaisi toimelta, jolla suojataan rekisteröidyn oikeuksia asianmukaisesti. Erityisesti toimi, jolla henkilötiedot on valmiiksi yhdistelty ja käsitelty siten, että loppukäyttäjä saa tarvitsemansa tiedot, mutta ei henkilötietoja, näyttäisi sovittavan yhteen erinomaisesti rekisteröidyn oikeuksien suojaamisen ja tieteellisen tutkimuksen. Oikeusministeriö on lausunnossaan todennut, että jatkovalmistelussa tulisi kuitenkin kiinnittää huomiota niihin perusteluihin, joiden nojalla laajapohjainen rekisteritutkimus katsotaan oikeutetuksi ja oikeasuhtaiseksi. Hallituksen esityksen mukaan henkilötietojen käsittelyn oikeudellinen perusta seuraisi kuitenkin yleisestä tietosuoja-asetuksesta tai tietosuojalaista. Ehdotetun 43 :n mukaan käyttölupa henkilötietoihin voitaisiin myöntää, jos hakemuksesta ja tiedon hyödyntämissuunnitelmasta ilmenevä tiedon käyttötarkoitus on tietosuoja-asetuksen, henkilötietolain sekä tämän ja muun tietoja koskevan lain mukainen. Ehdotus uudeksi tietosuojalaiksi (HE 9/2018 vp), jolla kumottaisiin henkilötietolaki, on tällä hetkellä eduskunnalla käsiteltävänä. Seuraavassa arvioidaan nyt käsiteltävänä oleva hallituksen esitystä suhteessa uuteen tietosuojalakiin. Tietosuojalakia koskeva hallituksen esitys on annettu eduskunnalle 1.3.2018, on siten ymmärrettävää, että ehdotusta ei nyt käsiteltävän asian valmistelussa ei ole voitu ottaa kaikilta osin huomioon. Yleisen tietosuoja-asetuksen 6 artiklan 1 alakohta ja ehdotetun tietosuojalain 4 näyttäisivät muodostavan asianmukaisen käsittelyn oikeudellisen perustan 43 :ssä tarkoitetulle henkilötietojen käsittelylle. Lisäksi erityisiin tietoryhmiin kuuluvien henkilötietojen osalta jonkin 9 artiklan 2 kohdan alakohdista tulee täyttyä tai käsittelyn olla eduskunnan käsiteltävänä olevan tietosuojalakiehdotuksen 6 :n mukaista. Siltä osin kuin kyse on tieteellisestä tutkimuksesta, edellytys näyttäisi seuraavan ehdotetusta tietosuojalaista. Tietosuojalaissa ehdotetaan lisäksi, että eräitä rekisteröidyn tiedonsaantioikeuksia olisi mahdollista rajoittaa. Rajoittamisen edellytyksenä olisi, että rekisterinpitäjä tekisi tietosuoja-asetuksen 35 artiklassa tarkoitetun vaikutustenarvioinnin. Siltä osin kuin valiokunnan käsiteltävänä oleva lainsäädäntöuudistus perustuu rekisteröidyn suostumukseen, ei tietosuojalailla ehdotetuilla rajauksilla rekisteröidyn oikeuksiin olisi merkitystä, sillä rekisteröidyn tiedonsaantioikeus olisi mahdollista toteuttaa suostumusta pyydettäessä. Yleisen tietosuoja-asetuksen 16 artiklassa tarkoitetun tiedon oikaisemista koskevan oikeuden osalta tätä on kuitenkin vielä arvioitava tarkemmin. Sitä vastoin niissä tilanteissa, joissa rekisteritietoja yhdisteltäisiin ja anonymisoitaisiin ilman, että rekisteröidyllä olisi tästä tietoa,

7(7) tulisi rekisterinpitäjän toimia tietosuojalaissa edellytettyjen suojatoimien mukaisesti ja tehdä vaikutustenarviointi. Tämä velvoite näyttäisi tosin seuraavan tyypillisesti jo suoraan yleisestä tietosuoja-asetuksesta kuvatun kaltaisessa toiminnassa. Opetus, viranomaisen suunnittelu- ja selvitystehtävän sekä tietojohtamisen osalta oikeudesta käsitellä erityisiin tietoryhmiin kuuluvia tietoja näyttäisi seuraavan asianmukaisesti ehdotetusta laista. Kehittämis- ja innovaatiotoiminnan osalta ei kuitenkaan näytä selvältä, millä perusteella erityisiin tietoryhmiin kuuluvia tietoja saisi käsitellä edellä mainittuihin tarkoituksiin. Ehdotetun 38 :n mukaan henkilötietoja saisi käsitellä rekisteröidyn suostumuksen nojalla kyseisiin tarkoituksiin. On huomattava, että yleisen tietosuoja-asetuksen mukaan suostumuksen on kuitenkin oltava nimenomainen erityisiin tietoryhmiin kuuluvia henkilötietoja käsiteltäessä. Sikäli kuin kyse on erityisiin tietoryhmiin kuuluvista tiedoista, ehdotettu 38 näyttäisi laskevan yleisen tietosuoja-asetuksen mukaista suojan tasoa. Lisäksi oikeusministeriö katsoo, että ei ole selvää, että rekisterinpitäjän mahdollisuutta arvioida itsenäisesti henkilötietojen käsittelyperustaa voidaan kansallisella lailla rajoittaa tiettyyn käsittelyperusteeseen sikäli kuin asetus itsessään jättäisi rekisterinpitäjän harkittavaksi sovellettavan käsittelyn oikeusperusteen. Oikeusministeriö ei pidä tällaista sääntelyä tässä yhteydessä ongelmallisena, mutta katsoo, että vastaisuudessa tällaiseen sääntelyyn tulisi suhtautua pidättyvästi. Sama koskee käyttölupaa, jota tässä yhteydessä voidaan kuitenkin pitää asianmukaisena suojatoimena ottaen erityisesti huomioon käsiteltävien tietojen luonne.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute