TIETOSUOJA JA TIETEELLINEN TUTKIMUS Tutkimuksen päätyttyä huomioitavat tietosuoja-asiat Ylitarkastaja Heljä-Tuulia Pihamaa Tietosuojavaltuutetun toimisto Tilastokeskus 6.5.2009, Helsinki
LUENTOAIHEET Yleistä tietosuojasta Henkilötietojen käsittelyn edellytykset ja rekisteripidon vastuu Rekisterin hävittäminen ja arkistoiminen 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 2
Tietosuoja on: 1) kansainvälistä 2) suomalainen yksilön perusoikeus 3) oikeusturvaa rekisteröidylle ja rekisterinpitäjälle 4) oikein toteutettuna palvelun laatua 5) tietosuojalainsäädännön tehtävänä on luottamuksen luominen ja ylläpito 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 3
Tietosuojaperiaatteet: (HetiL) suunnitteluvelvoite ja tietojen käsittelyn oltava asiallisesti perusteltua käyttötarkoitussidonnaisuuden periaate tiedon laatua koskevat periaatteet avoimuuden periaate suojaamisvelvoite rekisteröidyn oikeudet HUOM! tietosuoja on välineriippumatonta 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 4
Keskeisiä käsitteitä (HetiL 3 ) Mikä on henkilötieto? Mikä on henkilörekisteri? Kuka on rekisterinpitäjä? Kuka on rekisteröity? Mitä on henkilötietojen käsittely? 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 5
TSV:n tehtävät Edistää hyvää tietojen käsittelytapaa Suorittaa rekisterien tarkastuksia Ratkaista rekisteröityjen tietojen tarkastusoikeus- ja korjaamisasiat TSV:lle varattava tilaisuus tulla kuulluksi Kansainvälinen yhteistyö 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 6
Henkilötietolain tavoitteet Toteuttaa yksityiselämän suojaa ja muita yksityisyyden turvaavia perusoikeuksia sekä Edistää hyvän tietojen käsittelytavan kehittämistä ja sen noudattamista 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 7
Henk.tietojen käsittelyn edellytykset tieteellisessä tutkimuksessa Henkilön suostumus jos käsittely asianmukaista rekisterinpitäjän toiminnan kannalta Jos käsittelystä säädetään laissa tai jos käsittely johtuu rek.pitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä/velvoitteesta HetiL:n 14 :n nojalla ja jos hetil:n yleiset käsittelyn edellytykset täyttyvät 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 8
HetiL:n 14 :n edellytykset HetiL:n 14 :n mukaan tieteellistä tutkimusta varten saa käsitellä henkilötietoja myös ilman tutkittavan suostumusta jos tutkimusta ei voi suorittaa ilman yksilöintitietoja ja; tietojen suuren määrän, iän, tms. vuoksi suostumus ei ole mahdollinen tutkimus perustuu asianmukaiseen tutkimussuunnitelmaan ja tutkimuksella vastuullinen johtaja/ryhmä 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 9
rekisteriä käytetään ja siitä luovutetaan tietoa vain tieteelliseen tutkimukseen ja toimitaan niin, ettei tiettyä henkilöä koskevat tiedot paljastu ulkopuolisille rekisteri hävitetään, arkistoidaan tai muutetaan tunnisteettomaan muotoon heti kun tiedot eivät enää ole tarpeen tutkimuksen suorittamiseksi tai asianmukaisuuden varmistamiseksi 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 10
Tutkimukseen osallistuvien määrittely ja vastuut Kuka on rekisterinpitäjä? kenen käyttöä varten rekisteri perustetaan olennaista kuka käyttää viimekädessä määräysvaltaa 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 11
Yhteistyötutkimus ja rekisterinpito Nimettävä henkilötietojen käsittelystä vastaava organisaatio Rekisterinpitovastuu voi olla myös jaettu vastuukysymykset määriteltävä sopimuksessa mikä rooli kullakin osallistujalla on henk.tietojen käsittelyssä 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 12
Ulkopuolisten palveluiden hankkiminen Suunniteltava osana rekisterinpitoa Kirjallinen tietojen käsittelyä koskeva sopimus, josta ilmettävä sen oikeudellinen luonne toimeksiantosopimus: tilaajalla määräysvalta henkilötietojen käsittelyn suhteen muut sopimukset: rekisterinpidon vastuu palvelun toteuttavalla taholla 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 13
Henkilötietojen luovutus tieteellistä tutkimusta varten Muut kuin salassa pidettävät tiedot tai arkaluonteiset tiedot viranomaiset: julkisuuslaki 16.3 muut rekisterinpitäjät: Hetil. 14 Salassa pidettävät tiedot asianomaisen henkilön suostumuksella julkisuuslain 28.n perusteella potilaslain 13 :n perusteella muun lain nimenomaisen säännöksen nojalla 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 14
Tietoja pyytävän tutkijan on esitettävä selvitys oikeudestaan saada tietoa, mm mistä eri lähteistä tietoja pyydetään tutkimuslupahakemus, rekisteriseloste, informointi-ja suostumuslomakkeet tieto siitä miten tiedot suojataan eri käsittelyvaiheiden osalta rekisterin säilyttämisaika 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 15
Esimerkkejä lakiin perustuvista luovutusperusteista THL:n terveydenhuollon valtakunnalliset rekisterit THL:n luvalla Potilasasiakirjat, JulkL:n 28 ao. toimintayksikön luvalla jos tietoja pyydetään vain ao. toimintayksiköltä STM:n luvalla jos tietoja pyydetään useammalta toimintayksilöltä Yksityisen terv.huollon potilasasiakirjat vain STM:n luvalla, potilaslaki 13 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 16
KELA, luovutusperuste Kelan ao.lakien säännökset Kelan luvalla Väestörekisterikeskus, luovutusperuste väestötietolaki Tilastokeskus Tilastokeskuksen luvalla 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 17
Suostumuksesta Henkilötietolain mukaan suostumus on vapaaehtoinen yksilöity ja tietoinen tahdonilmaisu, jolla henkilö hyväksyy henkilötietojensa käsittelyn arkaluontoisten tietojen osalta nimenomainen (kirjallinen) 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 18
Tiedollinen itsemääräämisoikeus ns. tiedollisen itsemääräämisoikeuden periaate, joka tarkoittaa yksilön pääsääntöistä oikeutta tietää omien tietojensa käsittelystä sekä oikeudesta vaikuttaa niiden käsittelyyn 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 19
Tutkittavalle annettava informaatio Informointivelvollisuus toteutetaan pääsääntöisesti henkilötietoja kerättäessä, esim. suostumusta pyydettäessä kyselyhaastattelua tehtäessä Informaatiota annettava tutkimuksesta ja sen yhteydessä tapahtuvasta henkilötietojen käsittelystä Informaatiota annettava myös siitä, mitä tutkimusaineistolle tapahtuu tutkimuksen päätyttyä 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 20
Poikkeukset informointivelvoitteesta Jos henkilötietoja kerätään eri rekistereistä/asiakirjoista ja jos tiedon antaminen on mahdotonta tai siitä aiheutuu kohtuutonta vaivaa eikä tietoja käytetä päätöksenteossa 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 21
Tietojen suojaaminen Rekisterinpitäjän tulee toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet tietojen suojaamiseksi luvattomalta käsittelyltä (HetiL 32 ) käyttäjätunnukset rajatut käyttöoikeudet käytön rekisteröinti lukitut tilat jne. 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 22
Tutkimuksen toteuttajan tulee huolehtia siitä, ettei rekisteröityjen yksityisyyttä perusteettomasti vaaranneta henkilöiden tunnistetietoja ei tule kerätä silloin, kun tutkimus voidaan suorittaa ilman tunnistetietoja tutkimus suoritetaan siten, että mahdollisimman harva käsittelee tietoja tunnisteellisena aineistot analysoidaan ilman tunnistetietoja tai kryptattuna henkilön tunnistetiedot hävitetään heti kun ne eivät ole välttämättömiä 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 23
Salassapitovelvollisuus Asiakirjasalaisuus ja vaitiolovelvollisuus Salassapitovelvollisuutta sääntelevät esim. Henkilötietolain 33 Potilaslain 13 Julkisuuslain 24 Salassapitosäännökset toisiaan täydentäviä Vaitiolositoumus tutkijoilta jotka käsittelevät salassa pidettäviä henkilötietoja 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 24
Tutkimusrekisterin hävittäminen ja arkistointi HetiL:n suunnitteluvelvoitteen mukaan ennen rekisterin perustamista suunniteltava rekisterin säilyttäminen, hävittäminen ja arkistointi Rekisterin hävittäminen tai arkistoiminen on ajankohtaista, kun rekisterin aktiivikäyttö lopetetaan 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 25
Kuinka kauan tutkimus voi ajallisesti kestää? Tutkimuksen kokonaiskesto määriteltävä ja ilmoitettava milloin tutkimuksen on määrä alkaa ja milloin päättyä Yli 5- vuotta kestävien tutkimuksien kohdalla huomioitava hetil:n 12 :n 2 mom., jonka mukaan arkaluonteisten tietojen säilyttämisen perustetta tulee arvioida aina vähintään viiden vuoden välein Yksilöity, vapaaehtoinen ja tietoinen suostumus antaa mahdollisuuden eliniän kestävään tutkimukseen 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 26
Tutkimusrekisterin hävittäminen Tutkimuksen päätyttyä henkilörekisteri hävitetään tai muutetaan tunnisteettomaan muotoon kuka hävittämisestä vastaa miten hävittäminen tapahtuu toimintayksikön ohjeet tarpeettomien tietojen hävittämiseen 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 27
Tutkimusrekisterin arkistoiminen Tutkimusrekisteri voidaan arkistoida jos rekisterin tiedot on säädetty tai määrätty arkistoitavaksi tai jos aineisto on tieteellisen tutkimuksen kannalta tai muusta syystä merkityksellinen viranomaistyönä tehtävä tutkimus arkistolain säännösten mukaan yksittäiset tutkijat, yhteisöt, säätiöt jne. kansallisarkiston luvalla 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 28
Muistilista rekisterinpitäjälle Suunnitelmallisuus etukäteisen suunnittelun vaatimus määriteltävä rekisterin käyttötarkoitus (tutkimuksen yksilöity kohde) Vastuiden määrittely rekisterinpitäjä rekisterinpidon tehtävien vastuut Yleisvelvoitteet (HetiL) suojaamis- ja huolellisuusvelvoite tarpeellisuus- ja virheettömyysvaatimus rekisterinpidon avoimuus rekisteröityjen oikeudet salassapitovelvoitteet 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 29
Hyödyllistä lisätietoa Tietosuojavaltuutetun toimiston kotisivut: www.tietosuoja.fi Asiaa tietosuojasta: Tietosuoja ja tieteellinen tutkimus henkilötietolain kannalta Hyvä tietää: Rekisteritutkimuksen tietosuojaopas tutkijoille ja tietopyyntöjä käsitteleville viranomaisille 6.5.2009 Tietosuojavaltuutetun toimisto/ Pihamaa 30