EU:N YLEINEN TIETOSUOJ A- ASETUS JA KLIININEN TU TKIMUS Marjut Salokannel OTT, dos. Sareco Kliinisen tutkimuksen seminaari, Tampere 21.3.2017
EU:n yleinen tietosuoja-asetus voimassa ja sovelletaan lakina kaikissa Euroopan talousalueen maissa 25.5.2018 lähtien periaatteet samat kuin nykyisessä henkilötietolaissa ja direktiivissä, mutta joiltain osin yksityiskohtaisempaa säätelyä henkilötietojen käsittelyn on aina perustuttava joko suostumukseen tai sillä on oltava lakisääteinen peruste terveystiedot ovat arkaluonteisia tietoja, jolloin niiden käsittely on tarkemmin säännelty
Yleiset periaatteet hlötietojen käsittelyn lainmukaisuus, asianmukaisuus ja läpinäkyvyys käyttötarkoitussidonnaisuus hlötietoja on kerätty ainoastaan käyttötarkoituksen edellyttämässä määrin (tietojen minimointiperiaate) niitä voidaan säilyttää tunnistettavissa olevassa muodossa ainoastaan käyttötarkoituksen edellyttämän ajan ne on suojattava teknisesti ja organisatorisesti
Yleiset periaatteet: accountability Rekisterinpitäjän on pystyttävä osoittamaan, että asetuksen edellyttämiä tietosuojaperiaatteita on noudatettu: accountability eli tietotilinpäätös velvoite käsittää EU:n tietosuojaviranomaisen mukaan ainakin seuraavat seikat: 1. Organisaatiolla pitää olla sen korkeimman johdon hyväksymät ja suosittelemat läpinäkyvät tietosuoja- ja yksityisyyden suojaperiaatteet. 2. Koko organisaation henkilökunnan täytyy olla tietoisia tietosuojaperiaatteista ja heitä täytyy kouluttaa periaatteiden noudattamisessa.
accountability jatkuu. Vastuu tietosuojaperiaatteiden noudattamisesta on organisaation korkeimmalla tasolla. Laadukasta periaatteiden noudattamista täytyy jatkuvasti arvioida ja tämä täytyy pystyä esittämään tietosuojaviranomaisille ja organisaation yhteistyökumppaneille sekä muille asianosaisille. 4. Organisaatiossa täytyy olla menettelytavat tietosuojaperiaatteiden puutteellisen noudattamisen ja tietosuojaloukkausten korjaamiseksi
Yleiset periaatteet jatkuu sisäänrakennettu ja oletusarvoinen tietosuoja (privacy-by-design ja privacy-by-default) tietoturvallinen käsittely-ympäristö pakollinen tietosuojavastaava julkisella sektorilla; raportoi organisaation korkeimmalle johdolle; riippumaton; ei voi olla sama taho joka vastaa IT:stä voi olla ulkoa ostettu palvelu
Tietosuojavaikutusten arviointi Asetus edellyttää tietosuojaa koskevaa vaikutustenarviointia (data protection impact assessment) silloin, kun tietyn tyyppinen käsittely voi aiheuttaa korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta. Tietosuojavaikutustenarviointia tehtäessä on otettava huomioon mm. käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Jos tietosuojavaikutustenarviointi osoittaa, että kyseessä on korkean riskin alan henkilötietojen käsittely eikä rekisterinpitäjä kykene lieventämään omilla suojatoimillaan näitä riskejä, rekisterinpitäjän on konsultoitava tietosuojavalvontaviranomaista ja pyydettävä tämän mielipidettä ja mahdollisia toimenpide-ehdotuksia korkean riskin käsittelyn läpiviemiseksi ehdotetaan Suomessa pakolliseksi terveystietojen tutkimuskäytön yhteydessä
Yleiset periaatteet jatkuu mekanismit tietovuodoista ja muista loukkauksista ilmoittamiseen ilmoitettava tietosuojaviranomaiselle aina; rekisteröidyille jos tietoturvaloukkaus todennäköisesti aiheuttaa korkea riskin luonnollisten henkilöiden oikeuksille ja vapauksille. erittäin korkeat hallinnolliset sanktiot; Suomessa ehdotetaan merkittäviä sanktioita myös julkiselle sektorille
Terveystietojen määrittely laaja määritelmä; pitää sisällään myös geenitiedot, biologiset näytteet ja esimerkiksi terveystietoihin yhdistetyt tunnisteet, kuten HETU Myös koodatut ja kryptatut tiedot ovat henkilötietoja Välillisen tunnistamisen mahdollisuus tekee tiedoista henkilötietoja Ainoastaan peruuttomasti anonymisoidut henkilötiedot eivät enää ole henkilötietoja asetuksen merkityksessä Asetusta ei sovelleta kuolleisiin henkilöihin
Terveystietojen käsittely käsittely periaatteessa kielletty; mahdollista ainoastaan 1) suostumuksen perusteella 2) lakiin pohjautuvalla käyttöperusteella
Potilastietojen käsittely kliinisessä tutkimuksessa a) suostumuksen perusteella potilas osallistuu tutkimukseen henkilötiedot kerätään suoraan potilaalta b) lain perusteella, jos kyseessä on ainoastaan potilasasiakirjoja hyödyntävä tutkimus potilastietojen käsittely hoitotarkoituksessa aina lain perusteella potilastietojen luovutuksesta tutkimuskäyttöön säädetty erikseen potilaslaki, julkisuuslaki, kanta-asiakaslaki etc. lainsäädäntö muuttuu
Suostumus terveystietojen käsittelyyn tietosuoja-asetuksen mukaan nimenomainen suostumus yhtä tai useampaa nimenomaista käyttötarkoitusta varten jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava suojatoimin, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse. Suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille samoin jos suuri epäsuhta osapuolten välillä, esim. jos toinen osapuoli on viranomainen
Suostumus jatkuu suostumus voidaan antaa tietyille tieteellisen tutkimuksen aloille silloin, kun noudatetaan tieteellisen tutkimuksen tunnustettuja eettisiä standardeja. aina taattava mahdollisuus antaa suostumus ainoastaan tietyille tutkimusaloille tai tutkimushankkeiden osille tutkimuksen tarkoituksen puitteissa suostumusta koskeva ohjeistus WP29:lta lokakuussa 2017
Tutkimuslain mukainen suostumus koskee tutkimukseen osallistumista suostumusta koskevat säännökset perustuvat EU:n perusoikeuskirjaan, jonka mukaan kaikkiin lääketieteen ja biologian alan interventioihin tarvitaan asianomaisen henkilön vapaaehtoinen ja asiaan vaikuttavista seikoista tietoisena annettu suostumus (EU:n lääketutkimusasetus johtolause 27) henkilötietojen käsittely tapahtuu tietosuoja-asetuksen mukaisesti (tietosuoja-asetus johtolause 161) eettinen arviointi tässä yhteydessä hyvä pyytää erillinen suostumus myös muiden, esim. rekisteritietojen yhdistämiseen esim. geenitietoihin
Tieteellisen tutkimuksen käsite Henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten olisi tulkittava laajasti niin, että se tarkoittaa myös teknologian kehittämistä ja esittelyä, perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta. kansanterveyden alalla yleistä etua varten tehdyt tutkimukset. otettava huomioon eurooppalaisen tutkimusalueen toteuttamista koskeva unionin tavoite
Terveystietojen käsittely tieteelliseen tutkimukseen ilman suostumusta TSA:n mukaan edellyttää nimenomaista lakisääteistä perustetta käsittely on tarpeen tieteellisiä tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että lainsäädäntö on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaa koskevaa lainsäädäntöä ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Tieteellistä tutkimusta koskevat suojatoimet suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen ensisijaisesti henkilötiedot on anonymisoitava, minkä jälkeen tietosuoja-asetusta ei tarvitse enää soveltaa niiden käsittelyyn henkilötietojen pseudonymisointi, jos käsittely voidaan toteuttaa tällä tavoin eettinen arviointi voi olla yksi suojatoimista; näin Ruotsissa
Kansallisen tason poikkeussäännökset eräistä yleisistä periaatteista kansallisella tasolla ehdotetaan alustavasti säädettäväksi mahdollisuudesta poiketa seuraavista yleisistä periaatteista 15 art. (oikeus saada pääsy omiin tietoihinsa) 16 art. (oikeus korjata virheelliset tiedot) 17 art. (oikeus pyyhkiä pois omat tiedot), sekä 21 art. (oikeus vastustaa omien tietojen käsittelyä tieteellisen tutkimuksen yhteydessä paitsi, kun käsittely tapahtuu yleistä etua palvelevan tehtävän suorittamiseksi) edellyttää tietosuoja-asetuksen ja kansallisen tason suojatatoimien toteutumista
Tietosuoja-asetuksen soveltamista koskevia siirtymäsäännöksiä asetuksen soveltamispäivää ennen aloitetut henkilötietojen käsittelyt saatettava asetuksen mukaisiksi 2 vuoden kuluessa asetuksen voimaantulosta mikäli henkilötietojen käsittelyä aiotaan jatkaa suostumuksen perusteella asetuksen soveltamisajankohdan jälkeen, tämä on mahdollista, mikäli suostumus on asetuksen mukainen valvontaviranomaisen antamat hyväksynnät pysyvät voimassa kunnes niitä muutetaan tai kumotaan
Summa summarum asetuksen määräyksiä syytä tarkoin noudattaa yhteiseurooppalaiset käytännöt esimerkiksi suostumuksen suhteen tietosuojaneuvosto tulee yhtenäistämään käytäntöjä henkilötietojen liikkuminen yli rajojen otettava myös huomioon: eurooppalaisen tutkimusalueen luominen ylitsemenevä reunaehto tietosuoja-asetuksen tutkimusta koskevassa kansallisessa säätelyvarassa henkilötietojen käsittelyä ja siirtoa EU:n ulkopuolisiin maihin koskevia määräyksiä ja käytäntöjä seurattava
KIITOS KUULIJOILLE! marjut.salokannel@sareco.fi