Tietosuojavaltuutetun toimiston puheenvuoro Ylitarkastaja Raisa Leivonen Tietosuojavaltuutetun toimisto Valtakunnallinen tutkimuseettisten toimikuntien koulutus- ja neuvottelupäivä 20.5.2014
Sisältö Henkilötietolaki osana tutkimustoiminnan lainsäädäntökehikkoa Tietosuojakysymykset lausuntohakemuksen arvioinnissa Lopuksi
Eettinen toimikunta - tietosuojasäännösten huomioiminen tutkimuksessa Tutkimushankkeen arviointi (Laki lääketieteellisestä tutkimuksesta 17 ) Lausuntoa varten on selvitettävä, onko tutkimussuunnitelmassa otettu huomioon tässä tai muussa laissa taikka lain nojalla annetut lääketieteellistä tutkimusta koskevat säännökset ja määräykset. Arvioitava muun muassa sitä, onko tutkimussuunnitelmassa otettu huomioon tietosuojasäännökset (HE 229/1998)
Tietosuojalainsäädännöstä Tietosuojadirektiivi 95/46/EY on voimaan saatettu henkilötietolailla Henkilötietolain tavoitteena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden turvaavia perusoikeuksia sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista Komission ehdotus 25.1.2012: Tietosuojadirektiivi 95/46/EY kumotaan ja korvataan yleisellä tietosuoja-asetuksella ja IIIpilarin direktiivillä
Henkilötietolaki on henkilötietojen käsittelyn yleislaki Huomioitava lainsäädäntö Tutkimuksessa Käsitellään henkilötietoja..ja kajotaan tutkittavan koskemattomuuteen..ja tutkimus on kliininen lääketutkimus Henkilötietolaki X X X Laki ja asetus lääketieteellisestä tutkimuksesta Lääkelaki X X X
Tietosuojasäännökset tutkimuksessa Yleiset säännökset Soveltamisala ja käsitteiden määritelmät (1-4 ) Henkilötietojen käsittelyä koskevat yleiset periaatteet Huolellisuusvelvoite (5 ) Henkilötietojen käsittelyn suunnittelu (6 ) Käyttötarkoitussidonnaisuus (7 ) Käsittelyn yleiset edellytykset (8 ) Tietojen laatua koskevat periaatteet (9 ) Rekisteriseloste (10 ) Arkaluonteiset tiedot ja henkilötunnus Arkaluonteisten tietojen käsittelykielto (11 ) Poikkeukset arkaluonteisten tietojen käsittelykiellosta (12 ) Henkilötunnuksen käsittely (13 ) Henkilötietojen käsittely erityisissä tarkoituksissa Tutkimus (14 ) Henkilötietojen siirto Euroopan unioinin ulkopuolelle Yleiset edellytykset (22 ) Komission päätökset (22 a ) Poikkeusperusteet (23 ) Rekisteröidyn oikeudet Informointi tietojen käsittelystä (24-25 ) Tarkastusoikeus (26-28 ) Tietoturvallisuus ja tietojen säilytys Tietojen suojaaminen (32 ) Vaitiolovelvollisuus (33 ) Henkilörekisterin hävittäminen (34 ) Henkilötietojen siirto arkistoon (35 ) Ilmoitus tietosuojavaltuutetulle Ilmoitusvelvollisuus (36 ) Ilmoituksen tekeminen (37 )
Sisältö Henkilötietolaki osana tutkimustoiminnan lainsäädäntökehikkoa Tietosuojakysymykset lausuntohakemuksen arvioinnissa Lopuksi
Käsitelläänkö tutkimuksessa henkilötietoja? Kuka on tutkimuksen rekisterinpitäjä? Onko henkilötietojen käsittelyn elinkaari suunniteltu alusta loppuun? Onko henkilötietojen käsittelylle olemassa lainmukainen käsittelyperuste? Kuinka tutkimusaineisto suojataan? Mitä tutkimusaineistolle tapahtuu tutkimuksen jälkeen?
Käsitelläänkö tutkimuksessa henkilötietoja?
Mikä on henkilötieto? Henkilötiedolla tarkoitetaan kaikenlaista luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi (HetiL 3 ) Käytännössä kaikki tutkittavasta kerättävät tiedot Henkilö voi olla suoraan tai välillisesti tunnistettavissa
Mikä on henkilötieto? Henkilötietojen käsittelystä on kysymys silloin, kun henkilön nimiä tai henkilötunnusta säilytetään erillään tai itse tutkimus suoritetaan ilman nimiä, jos tunnistetiedot ovat koodin avulla yhdistettävissä aineistoon Henkilötietojen käsittelystä on kysymys myös silloin, jos kerättävä aineisto sisältää muutoin tutkittavista yksityiskohtaista tietoa siten, että tutkittava on välillisesti tunnistettavissa, vaikka suoria henkilötunnisteita ei kerättäisikään - harvinainen sairaus - tarpeeksi muuttujia/tietotyyppejä tutkittavasta
Biologinen materiaali henkilötietona Ihmisistä peräisin olevaa biologista materiaalia (elimet, kudokset, solut tai veri) voidaan pitää lähteenä, josta saadaan sen haltijaa koskevia henkilötietoja. Henkilötietojen käsittelyä koskevat säännökset tulevat sovellettavaksi, kun Materiaalin käsittelyn tarkoituksena on tuottaa ko. tietoja Biologisen materiaalin mukana saadaan näin hankittuja tietoja Euroopan tietosuojavaltuutetun lausunto (2009/ C 192/02) Ihmisten kudosnäytteet ovat lähteitä, joista biometrisia tietoja saadaan Siksi tietojen erottaminen näytteistä on henkilötietojen kokoamista, joka kuuluu direktiivin soveltamisalaan. WP 29 Lausunto 4/2007 henkilötiedon käsitteestä
Kuka on tutkimuksen rekisterinpitäjä?
Kuka on tutkimuksen rekisterinpitäjä? Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta ja tietosuojasäännösten soveltamisesta käytännössä!! Rekisterinpitäjä ei voi ulkoistaa vastuuta henkilötietojen käsittelyn lainmukaisuudesta esim. sopimusten perusteella (vrt. toimeksiantosopimus) Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty (HetiL 3 )
Kuka on tutkimuksen rekisterinpitäjä lääketieteellisessä tutkimuksessa? Huomaa ero henkilötietolain sekä lääketieteellisestä tutkimuksesta annetun lain välisessä terminologiassa!! Henkilötietolaissa toimijana rekisterinpitäjä Lääketieteellisestä tutkimuksesta annetussa laissa toimijoina mm. tutkija, toimeksiantaja ja tutkimuksesta vastaava henkilö Rekisterinpitäjän määrittäminen tapahtuu yhä henkilötietolain perusteella!! Kenen käyttöä varten tutkimusrekisteri perustetaan? Kuka käyttää määräysvaltaa? Tutkija, toimeksiantaja, tutkijaryhmä, organisaatio, yhteistyöhanke?
Onko henkilötietojen käsittelyn elinkaari suunniteltu alusta loppuun?
Henkilötietojen käsittelyn suunnitteluvelvoite ennen henkilörekisterin perustamista Analysoitava ja määriteltävä henkilötietojen käsittelyyn liittyvät prosessit alusta loppuun Apuna rekisteriseloste (HetiL 10 ) Huomioi koko tiedon elinkaari Tietojen kerääminen ja tallettaminen rekisteriin Tietojen käsittely määritellyissä käyttötarkoituksissa Rekisterin hävittäminen/ arkistointi/jne.
Tutkimuksen kesto Huomaa ero henkilötietolain sekä lääketieteellisestä tutkimuksesta annetun lain välisessä terminologiassa!! Henkilötietolaki: Tutkimuksen kestolla viitataan henkilötietojen käsittelyaikaan (kattaa mm. säilyttämisen) Lääketieteellisestä tutkimuksesta annettu laki: Tutkimus alkaa siitä, kun tutkittava allekirjoittaa suostumusasiakirjan ja päättyy silloin, kuin koko tutkimuksen kliininen vaihe on ohi viimeisen tutkittavan osalta Henkilötietolaissa tarkoitettu tutkimusrekisteri on määräaikainen Käsittelyn oltava ajallisesti rajattu Arkaluonteisten tietojen käsittelytarvetta arvioitava 5 vuoden välein
HENKILÖTIETOLAKI Henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi JulkL HENKILÖREKISTERI 3 3k Arvioi oma toiminta 5-6 Aloitus Tietoturvallisuus 32 Suunnittelu huolellisuus 5-6 Vaitiolovelvollisuus 33 Käsittelyn tarkoitus 3 3-k & 6 Ulkoistaminen 8.1 7-k Oikeus käsitellä 8, 12, 13, 14-20 Käyttötarkoitussidonnaisuus 7 Rekisteriseloste 10 Käytön hallinnointi 5 Mistä henkilötiedot kerätään 8, 9, 12-20 Henkilötiedot 3 1 k, 9, 12-20 Pidä jokaisen saatavilla 10 Rekisteröidyn oikeudet 24-29 Informointivelvollisuus 24 Nimeä vastuuhenkilö 5 Luovutukset 8, 12-20 (6 ) Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 Kouluta, ohjeista 5 Ulkomaille siirrot 22-23 Viranomaisilmoitukset 36-37
Asianmukainen tutkimussuunnitelma (HetiL 14 ) Määritellään tutkimustehtävä (HetiL 6, 7, 14 ), tutkimusaineisto (HetiL 6, 14 ) ja menetelmät (14 ) mahdollisimman yksilöidysti Suunnitelmasta käytävä ilmi mm. se, mitä tietoja tutkimuksen suorittamiseen tarvitaan (6 ) ja miten nämä tiedot ovat tarpeellisia tutkimuksen suorittamisen kannalta (9 )
Onko henkilötietojen käsittelylle olemassa lainmukainen käsittelyperuste?
Henkilötietojen käsittelyperusteista tutkimuksessa Henkilön suostumuksella, jos henkilötietojen käsittely asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta (lisäksi HetiL 14 ) Ilman suostumusta, jos tutkimusta ei ole mahdollista suorittaa ilman henkilön yksilöintiä koskevia tietoja ja jos rekisteröityjen suostumusta ei ole tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi mahdollista hankkia (lisäksi HetiL 6, 14 )
Suostumus henkilötietolain näkökulmasta Informoitu (24 ) Vapaaehtoinen, yksilöity ja tietoinen tahdonilmaisu, jolla henkilö hyväksyy henkilötietojensa käsittelyn (3 ) Yksiselitteinen (8 ) Nimenomainen (12 )
MUISTA! Suostumus ei syrjäytä tarpeellisuusvaatimusta tai muitakaan tietosuojaperiaatteita Suostumuksen yhteydessä annettu informaatio luo rajat henkilötietojen käsittelylle Vain lainmukainen suostumus voi toimia henkilötietojen käsittelyperusteena Rekisterinpitäjällä näyttövelvollisuus suostumuksen olemassa olosta
Aiemman tutkimusaineiston uudelleen käyttö Suostumuksella kerättyjen henkilötietojen käyttöä rajaa suostumuksen sisältö eli se, minkälaiseen käsittelyyn suostumus on alunperin annettu Myöhempään käyttöön muussa tutkimuksessa tulee saada uusi lainmukainen suostumus (informoitu, yksilöity, vapaaehtoinen ja tietoinen ja arkaluonteisten tietojen osalta nimenomainen) Viranomaisen henkilörekistereistä kerätyn aineiston uudelleen käyttö toisessa tutkimuksessa on mahdollista vain toimivaltaisen viranomaisen uudella luvalla. Lähtökohtaisesti sen viranomaisen lupa, joka luovuttanut tiedot alkuperäiseen tutkimukseen
Kuinka tutkimusaineisto suojataan?
Miten tiedot suojataan? (HetiL 5, 32, 33 ) Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa Suojaamisvelvoite edellyttää, että rekisterinpitäjän ryhtyy tarpeellisiin teknisiin ja organisatorisiin toimenpiteisiin henkilötietojen suojaamiseksi asiattomalta käytöltä Tietojen koodaaminen/pseudonymisointi, käyttäjätunnukset, rajatut käyttöoikeudet, ohjeistus ja koulutus, lukitut tilat, salassapitositoumukset, lokitusjärjestelmät jne. Vaitiolovelvollisuus koskee jokaista, joka käsittelee tietoja!
Mitä tutkimusaineistolle tapahtuu tutkimuksen jälkeen?
Mitä tiedoille tapahtuu, kun tutkimus päättyy? (HetiL 14 ) Henkilörekisteri tulee 1) hävittää tai 2) siirtää arkistoitavaksi tai 3) sen tiedot on muutettava sellaiseen muotoon, ettei tiedon kohde ole niistä tunnistettavissa, kun henkilötiedot eivät enää ole tarpeen - tutkimuksen suorittamiseksi tai - sen tulosten asianmukaisuuden varmistamiseksi.
Tutkimusrekisterin hävittäminen ( HetiL 34 ) Henkilörekisteri, joka ei enää ole rekisterinpitäjän toiminnan kannalta tarpeellinen, on hävitettävä, jollei siinä talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi tai jollei rekisteriä siirretä 35 :ssä tarkoitetulla tavalla arkistoon Se, miten aineisto hävitetään, riippuu tallennusalustasta FIMEA:n määräys 2/2012: Kliiniset lääketutkimukset Alkuperäiset tutkimusasiakirjat on säilytettävä vähintään 15 vuoden ajan tutkimuksen päättymisestä. Potilastiedostojen säilyttämiseen sovelletaan niitä koskevia yleisiä säännöksiä ja määräyksiä. Tutkimusrekistereihin sovelletaan lisäksi, mitä henkilötietolaissa (523/1999) on säädetty.
Tutkimusrekisterin arkistointi Viranomaisten perustamien tutkimusrekisterien säilyttämiseen sovelletaan arkistolakia (831/1994) Tarkempia ohjeita arkistolain soveltamisesta saa kansallisarkistolta Kun rekisterinpitäjänä on joku muu, kuin viranomainen, arkistointi on mahdollista kansallisarkiston luvalla Henkilörekisteri, joka tieteellisen tutkimuksen kannalta tai muusta syystä merkityksellinen.. (HetiL 35 )
Sisältö Henkilötietolaki osana tutkimustoiminnan lainsäädäntökehikkoa Tietosuojakysymykset lausuntohakemuksen arvioinnissa Lopuksi
Seuraamussäännökset Vahingonkorvausvelvollisuus (HetiL 47 ) Rekisterinpitäjä Rangaistussäännökset Joka käsittelee henkilötietoja Henkilörekisteririkkomus (HetiL 48 ) mm. HetiL 6 ja 10 Henkilörekisteririkos (RL 38:9 ) mm. HetiL 12 ja 14 Salassapitorikkomus (RL 38:2 ) Salassapitorikos (RL 38:1 ) Mm. HetiL 33 Virkasalaisuuden rikkominen (RL 40:5 )
Lisätietoa Tietosuojavaltuutetun toimisto www.tietosuoja.fi Materiaalia Lomakkeet (mm. rekisteriselostemallit/ilmoitukset) Oppaat (mm. Tietosuoja ja tieteellinen tutkimus henkilötietolain kannalta) Päätökset Tietosuojavaltuutetun ratkaisut (mm. tieteellinen tutkimus -osio) Puhelinneuvonta Komission tietosuojasivut http://ec.europa.eu/justice/data-protection/index_en.htm Article 29 Working Party Documentation (Opinions and recommendations)
Tietosuoja on.. Tutkittavan perusoikeus Tutkimuksen toteuttajan sekä tutkimushenkilökunnan ammattitaitoa ja oikeusturvaa Luottamuksen ylläpitoa Tulevaisuuden tutkimuksen edellytys