Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

Samankaltaiset tiedostot
LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

TIETOSUOJAVALTUUTETUN TOIMISTO

Hallituksen esitys laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä (HE 159/2017 vp)

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Esityksen valtiosääntöoikeudellinen merkitys

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Toivo-ohjelmaan liittyvä keskeinen lainsäädäntö. Hallituksen esitysten mukaisesti Mikko Huovila / STM OHO DITI

Tietosuoja-asetus Immo Aakkula Arkistointi

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

LAUSUNTO 1(6) neuvotteleva virkamies Pia-Liisa Heiliö hyvinvointi- ja palveluosasto hallitussihteeri Helena Raula ohjausosasto

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tutkittavan informointi ja suostumus

7 Poliisin henkilötietolaki 50

Hallituksen esitys laiksi asiakkaan valinnanvapaudesta sosiaali- ja terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi (HE 16/2018 vp)

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Kansallinen tietosuojalaki

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Tietosuoja-asetus ja sen kansallinen implementointi

Hallituksen esitys laiksi tulotietojärjestelmästä ja eräiksi siihen liittyviksi laeiksi (HE 134/2017 vp)

HE 9/2018 vp EU:n YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAIN- SÄÄDÄNNÖKSI

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

HE 94/2016 vp LAEIKSI PUOLUSTUSVOIMISTA ANNETUN LAIN, ALUEVALVON- TALAIN JA ASEVELVOLLISUUSLAIN MUUTTAMISESTA

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

LAUSUNTO Dnro 5935/96/2018

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Tietosuojavaltuutetun toimiston tietoisku

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Sosiaali- ja terveystietojen toissijainen käyttö

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

puh

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tiedollinen itsemääräämisoikeus ja MyData

Hallituksen esitys laiksi asiakkaan valinnanvapaudesta sosiaali- ja terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi (HE 16/2018 vp)

Sosiaalityön päällikkö, p Tietopyynnöt: PL 4 (Pohjolankatu 21), Iisalmi

Olli Mäenpää Perustuslakivaliokunnalle

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2420/03/2016. Sosiaali- ja terveysministeriö.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

Informaatiovelvoite ja tietosuojaperiaate

LAKI SOSIAALI- JA TERVEYSTIETOJEN TOISSIJAISESTA KÄYTÖSTÄ TIETOJOHTAMINEN

Lausunto Hallituksen esityksestä eduskunnalle säteilylaiksi ja eräiksi siihen liittyviksi laeiksi (HE 28/2018 vp)

LISÄLAUSUNTO KANSANELÄKELAITOKSEN ANTAMAAN LAUSUNTOON HALLITUKSEN ESITYKSESTÄ (HE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Tietosuojavaltuutetun lausunto YLEINEN OSA

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

L. Lehtonen/ll

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

Varustekorttirekisteri - Tietosuojaseloste

puh

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Tampereen Aikidoseura Nozomi ry

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Osteopaatti Jutta Aalto Anatomia- ja kehotietoisuuskoulutus TIETOSUOJASELOSTE

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Sosiaali ja terveysministeriö.

Itsemääräämisoikeus ja yksityisyydensuoja

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

EU TIETOSUOJA- ASETUS

LAPIN YLIOPISTO 1(5) Yhteiskuntatieteiden tiedekunta vastaajan nimi

Talousvaliokunta klo 11:20

Mitä rekisteriviranomaisen pitää ottaa huomioon henkilötietoja luovuttaessaan?

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Julia Reda Verts/ALE-ryhmän puolesta

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Usein kysyttyjä kysymyksiä tietosuojasta

Juha Lavapuro Lausunto

Olli Mäenpää Perustuslakivaliokunnalle. Hallituksen esitys laiksi kuntalain muuttamisesta (HE 250/2016 vp)

Tietosuojailmoitus Tapahtumat

3. HE 236/2002 vp laeiksi väestötietolain ja henkilökorttilain muuttamisesta. Kuultavina: puheenjohtaja Erkki Hartikainen, Vapaa-ajattelijain Liitto

Toimintaa ohjaava lainsäädäntö: Arava- ja korkotukilainsäädäntö

Olli Mäenpää Perustuslakivaliokunnalle

Rekisteriseloste, Espoon kaupunki

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Transkriptio:

Olli Mäenpää 1.12.2017 Perustuslakivaliokunnalle Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp) Henkilötietojen suojan sääntely Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 :n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä. Tällaisten tietojen käsittelyä koskevia säännöksiä on siten arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta. Myös sääntelyn täsmällisyydellä ja tarkkarajaisuudella on merkitystä tässä arviossa, samoin lakiperustaisuudella. Perustuslakivaliokunta on lausunnossaan PeVL 49/2017 vp arvioinut kootusti henkilötietojen perusoikeussuojan ja EU-sääntelyn välistä suhdetta. Valiokunnan arvion mukaan ei ole estettä sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla. Siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, valiokunta pitää tärkeänä, että tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset. Lakiehdotusta on aiheellista arvioida nämä näkökohdat huomioon ottaen sekä perustuslain 10 :n että henkilötietojen suojaa koskevan EU-sääntelyn kannalta. Käyttötarkoitussidonnaisuus Käyttötarkoitussidonnaisuus ja toissijaisen käsittelyn ala Lakiehdotuksen tarkoituksena olisi sen 1 :n mukaan mahdollistaa sosiaali- ja terveystietoja sisältävien henkilötietojen tehokas ja tietoturvallinen käsittely. Tällaisia sosiaali- ja terveystietoja kerätään lähtökohtaisesti sosiaali- ja terveyspalvelujen toteuttamiseksi. Lakiehdotuksen 2 :n mukaan niitä voitaisiin käsitellä lisäksi

2 siinä lueteltuihin seitsemään muuhun, toissijaiseen käyttötarkoitukseen, vaikka niitä ei olisi alun perin tallennettu näihin tarkoituksiin. Sääntely mahdollistaisi siten henkilötietojen monialaisen käytön muihin kuin niihin tarkoituksiin, joita varten ne on kerätty. Tällaista sääntelyä on paikallaan arvioida erityisesti henkilötietojen suojan kannalta keskeisen käyttötarkoitussidonnaisuuden vaatimuksen kannalta. Tietosuoja-asetuksen 5 artiklan 1 b kohdan mukaan käyttötarkoitussidonnaisuus tarkoittaa, että henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä näin kerättyjä henkilötietoja saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Myös perustuslakivaliokunta on vakiintuneesti korostanut tarvetta varmistaa käyttötarkoitussidonnaisuuden periaatteen toteutuminen henkilötietojen käsittelyssä (esim. PeVL 14/2017 vp; PeVL 33/ 2016 vp). Käyttötarkoitussidonnaisuudesta on valiokunnan mielestä voitu tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei ole saanut johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (ks. esim. PeVL 47/2010 vp). Valiokunnan linjaukset ovat liittyneet lähinnä tilanteisiin, joissa käyttötarkoitussidonnaisuudesta on ehdotettu poikettavaksi yksilön vapausoikeuksiin puuttumisen mahdollistavalla tavalla, minkä vuoksi poikkeusmahdollisuuksia on tulkittava suppeasti. Lakiehdotuksen mahdollistama sosiaali- ja terveystietojen toissijainen käyttö voisi 2 :n sisältämän käyttötarkoitusten määrittelyn mukaan olla verraten laaja-alaista. Toissijainen käyttö näyttäisi perustelujen mukaan mahdollistavan, että näiden tietojen käsittelyyn kohdistuva toiminta muodostuisi tietojen varsin merkittäväksi käyttötavaksi ainakin joidenkin 2 :ssä mainittujen käyttötarkoitusten alalla, kuten innovaatio- ja kehittämistoimintaan. Tämä olisi myös lakiehdotuksen keskeisenä tavoitteena. Lakiehdotuksen tavoitteena olevan toissijaisen käytön laaja-alaisuus ja osittainen pääasiallisuus huomioon ottaen käyttötarkoitussidonnaisuudesta tehtävät poikkeukset eivät todennäköisesti muodostuisi vähäisiksi. Toissijaista käyttöä koskevan ehdotuksen ei näin laajasti ja väljästi määriteltynä voida yleisesti arvioiden katsoa olevan henkilötietojen suojaan olennaisesti kohdistuvan käyttötarkoitussidonnaisuuden vaatimuksen mukainen. Lakiehdotuksen mukaiset toissijaisen käytön tarkoitukset eivät tosin lähtökohtaisesti liity yksilön vapausoikeuksiin puuttumiseen. Toissijaisen käytön erilaisia tarkoituksia on joka tapauksessa välttämätöntä arvioida myös erikseen yksittäisten käyttötarkoitusten ja lakiehdotuksen tarkempien säännösten kannalta. Tässä arvioinnissa on paikallaan ottaa huomioon myös tietosuoja-asetuksen määrittelemät puitteet henkilötietojen toissijaiselle käytölle. Samoin toissijaisen käytön tavoitteilla ja niiden hyväksyttävyydellä on merkitystä arviossa.

3 Tilastointi, tieteellinen tutkimus ja arkistointi (kohdat 1, 2 ja 6) Kuten edellä on todettu, perustuslakivaliokunnan vakiintuneen kannan mukaan käyttötarkoitussidonnaisuudesta on mahdollista tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Myös tietosuoja-asetuksen 5 artiklan 1 b kohta mahdollistaa poikkeamisen käyttötarkoitussidonnaisuudesta rajattuihin ja yleisesti hyväksyttäviin tarkoituksiin. Säännöksen mukaan myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota yhteensopimattomaksi alkuperäisten tarkoitusten kanssa. Henkilötietojen käsittelyssä tällaisiin tarkoituksiin sovelletaan lisäksi tietosuoja-asetuksen 89 artiklan säännöksiä. Lakiehdotuksen 2 :ssä määritellyistä toissijaisen käyttötarkoituksen soveltamiskohteista käyttötarkoitussidonnaisuus ei tietosuoja-asetuksen mukaan estäisi sosiaali- ja terveystietojen käyttöä, kun käytön tarkoituksena on pykälässä tarkoitettu 1) tilastointi tai 2) tieteellinen tutkimus. Toissijainen käyttö näihin tarkoituksiin on siten henkilötietojen suojan mukaista. Siltä osin kuin 6) sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta edellyttävät tietojen arkistointia, myöskään tämä käyttötarkoitus ei ole ongelmallinen käyttötarkoitussidonnaisuuden kannalta. Kehittämis- ja innovaatiotoiminta (kohta 3) Suostumuksella on keskeinen merkitys henkilötietojen käsittelyn sallittavuutta arvioitaessa. Tämä käy ilmi myös siitä, että henkilötietojen käsittely on asetuksen 6 artiklan 1 a kohdan mukaan lainmukaista muun muassa, jos rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Kerättyjä henkilötietoja saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopivalla tavalla henkilötietojen suojaa koskevan tarkemman sääntelyn puitteissa. Lakiehdotuksen 38 :n mukaan toissijainen käyttö kehittämis- ja innovaatiotoimintaan muuten kuin tieteellisen tutkimuksen menetelmin olisi mahdollista, jos rekisteröity on antanut suostumuksensa tietojen käsittelyyn tässä tarkoituksessa. Tällaisen suostumuksen tulee tietosuoja-asetuksen mukaan olla nimenomainen, kun kyseessä ovat terveystiedot (TietosuojaA 9 art.). Suostumuksen merkitystä toissijaisen käytön kannalta on lisäksi arvioitu tietosuoja-asetuksen johdannon 50 kohdassa, jonka mukaan suostumus mahdollistaa toissijaisen käytön, mikäli henkilötietojen perusteita noudatetaan ja rekisteröity on täysin informoitu hänen oikeuksistaan: Jos rekisteröity on antanut suostumuksensa tai käsittely perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen, jolla pyritään turvaamaan erityisesti yleiseen julkiseen etuun liittyviä tärkeitä ta-

4 voitteita, rekisterinpitäjälle olisi sallittava henkilötietojen myöhempi käsittely riippumatta tarkoitusten yhteensopivuudesta. Kaikissa tapauksissa olisi kuitenkin varmistettava, että sovelletaan tässä asetuksessa vahvistettuja periaatteita ja varmistettava erityisesti, että rekisteröidylle ilmoitetaan näistä muista tarkoituksista ja hänen oikeuksistaan, kuten oikeudesta vastustaa henkilötietojenkäsittelyä. Siltä osin kuin rekisteröity on antanut nimenomaisen suostumuksensa siihen, että häntä koskevia sosiaali- ja terveystietoja käsitellään myös kehittämis- ja innovaatiotoiminnassa, tietojen toissijainen käyttö tähän laissa määriteltyyn tarkoitukseen on näin ollen esitetyt näkökohdat huomioon ottaen mahdollista. Suostumuksen nimenomaisuuden vaatimus olisi kuitenkin aiheellista kirjata myös säädettävään lakiin, vaikka (tai koska) tämä vaatimus sisältyy tietosuoja-asetukseen. Henkilötietojen käsittelyn on myös tältä osin täytettävä henkilötietojen suojaan kohdistuvat perustavat vaatimukset, jotka määritellään tietosuoja-asetuksessa ja joita täsmennetään säädettävässä laissa. Erityisesti käyttöluvan perusteella tapahtuvassa henkilötietojen käsittelyssä henkilötietojen suojan turvaamiseen kohdistuvan valvonnan asianmukaisuuteen, kattavuuteen ja toimivuuteen erilaisissa tilanteissa sekä oikeusturvan tehokkuuteen tulisi tältä osin lisäksi kiinnittää tarvittavaa huomiota. Opetus, tietojohtaminen, viranomaisen suunnittelu- ja selvitystehtävä (4, 5 ja 7 kohta) Toissijainen käyttö opetustarkoitukseen olisi lakiehdotuksen 39 :n mukaan mahdollista tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla opetusaineistojen valmistamiseksi sosiaali- ja terveydenhuollon asiakastietoja käsittelevän henkilöstön ja sosiaali- ja terveydenhuollon ammattihenkilöiksi opiskelevien opetukseen, jos se on välttämätöntä opetuksen tarkoituksen toteuttamiseksi. Sääntely merkitsee hyväksyttävää ja rajattua poikkeusta henkilötietojen suojaan. Myös tietosuoja-asetus mahdollistaa tällaisen henkilötietojen käytön. Toissijainen käyttö tietojohtamiseen olisi lakiehdotuksen 41 :n mukaan mahdollista sosiaali- ja terveydenhuollon palvelunantajan toimesta tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan nojalla käsittelemällä ja yhdistelemällä tunnisteellisesti asiakastietoja, jotka ovat syntyneet sen omassa toiminnassa tai ovat sen omiin rekistereihin tallennettuja, jos se on välttämätöntä palvelunantajan vastuulla toteutettavan palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua, kehittämistä, johtamista ja valvontaa varten. Toissijainen käyttö rajoittuu tältä osin hyväksyttävällä tavalla palvelunantajan toimintaan eikä muodostu ongelmaksi henkilötietojen suojan kannalta. Toissijainen käyttö viranomaisen suunnittelu- ja selvitystehtävää varten olisi lakiehdotuksen 40 :n mukaan mahdollista tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla ja säännöksessä tarkemmin määritellyin edellytyksin. Sääntelyä voidaan pitää asianmukaisena henkilötietojen suojan kannalta.

5 Käyttölupa sosiaali- ja terveystietojen toissijaiseen käyttöön Sosiaali- ja terveystietojen toissijainen käsittely edellyttäisi lakiehdotuksen 35 :n mukaan käyttölupaa, jonka nojalla tällaisia tietoja saisi käsitellä. Lakiehdotuksen 35 :n tarkoittama käyttölupa sisältää siten luvan käsitellä sosiaali- ja terveystietoja. Käyttöluvan sallimat käsittelymuodot olisivat käyttöluvan alasta johtuen lähtökohtaisesti varsin laajat, sillä henkilötietojen käsittelyyn sisältyy monenlaisia menettelyjä ja tapoja käsitellä tällaisia tietoja. Tietosuoja-asetuksen 4 artiklan 2 kohdan mukaan henkilötietojen käsittelyllä tarkoitetaan muun ohella myös tietojen muokkaamista ja muuttamista sekä tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville samoin kuin tietojen rajoittamista, poistamista tai tuhoamista. Esimerkiksi lakiehdotuksen 38 :n mukainen tällainen sosiaali- ja terveystietojen käsittelyn salliva käyttölupa kehittämis- ja innovaatiotoimintaan voitaisiin antaa, jos kehittämis- ja innovaatiotoimintaa toteutetaan muutoin kuin tieteellisen tutkimuksen menetelmin. Kun sosiaali- ja terveystietojen sallittuja käsittelytapoja ei säännöksessä tarkemmin määritellä, sosiaali- ja terveystietojen toissijaisen käytön muodot voisivat näin ollen määräytyä käyttöluvan perusteella varsin väljästi. Henkilötietojen käsittelyn sääntelyä ei tältä osin voitane pitää riittävän täsmällisenä ja tarkkarajaisena, jos käyttölupa sallisi kaikki henkilötietojen käsittelytavat. Tosin luvan myöntäminen edellyttäisi myös rekisteröidyn antamaa suostumusta tässä tarkoituksessa. Sosiaali- ja terveystietojen edelleen luovuttaminen Lakiehdotukseen ei sisälly sosiaali- ja terveystietojen edelleenluovutusta koskevaa nimenomaista sääntelyä, joka kohdistuisi käyttöluvan saajaan. Tietojen edelleenluovutuksen mahdollisuus liittyisi perustelujen mukaan etenkin kehittämis- ja innovaatiotoimintaan. Perustelujen mukaan menestyvät yritykset pystyvät tuottamaan innovatiivisia uusia ratkaisuja ja kasvattamaan liikevaihtoaan korkean arvonlisän tuotteilla ja palveluilla. Kehittämistoiminnalla puolestaan tarkoitetaan tutkimusorganisaatioissa, yrityksissä ja julkisissa organisaatioissa erilaisilla systemaattisilla menetelmillä toteutettavaa kokeellista kehittämistoimintaa (s. 125-126). Käytännössä edelleenluovutus olisi mahdollinen tietosuoja-asetuksen määrittelemissä puitteissa. Lakiin olisi kuitenkin perusteltua henkilötietojen suojan turvaamiseksi lisätä selkeä sääntely siitä, onko käyttöluvan siirtäminen sallittua. Myönteisessä tapauksessa olisi perusteltua määritellä laissa myös tällaisen siirron edellytykset. Lakiehdotukseen ei myöskään sisälly säännöstä, joka estäisi käyttöluvan siirtymisen kolmannelle taholle esimerkiksi liikkeenluovutuksen yhteydessä tai käyttöluvan haltijaan kohdistuvan määräysvallan muuten muuttuessa. Sääntely, ja tässä

6 tapauksessa etenkin sen puuttuminen, vaikuttaa myös näiltä osin rekisteröidyn henkilötietojen suojan turvaamisen edellytyksiin ja henkilötietojen käsittelyä koskevaan valvontaan. Ehdotetussa sääntelyssä ei ole varauduttu tällaisiin tilanteisiin, millä voi olla merkitystä henkilötietojen suojan turvaamisen reaalisten mahdollisuuksien kannalta. Henkilötietojen luovuttamiseen vaikuttaisivat tosin joiltain osin rajoittavasti lakiehdotuksen 3 luvun säännökset toissijaisen käytön mahdollistamista palveluista. Tämän luvun sääntelyn kohteena olevat palvelut kattavat vain osan henkilötietojen käsittelyn muodoista. Osakeyhtiön toiminta Sosiaali- ja terveysministeriö saisi lakiehdotuksen 9 :n 1 momentin mukaan perustaa Sosiaali- ja terveysalan käyttölupaviranomaisen alaisuudessa toimivan osakeyhtiön, joka olisi valtion omistuksessa ja hallinnassa. Yhtiölle voitaisiin antaa lakiehdotuksen 10 :n 3 7 kohdassa tarkoitettuihin palveluihin liittyviä tehtäviä. Kyseiset tehtävät tarkoittavat erilaisia sosiaali- ja terveystietojen toissijaiseen käyttöön liittyviä palvelutehtäviä, jotka sisältävät pääasiassa henkilötietojen käsittelyä ja henkilötietojen käsittelyn edellyttämästä tietoturvallisuudesta huolehtimista. Yhtiön tehtävät ovat luonteeltaan sellaisia, joita voi kuulua ja vakiintuneesti myös kuuluu sekä yksityisille että julkisille toimijoille. Tehtävien hoitamiseen ei sisälly julkisen vallan käyttämistä eikä viranomaistehtävien hoitamista. Henkilötietojen käsittelyä koskeva lainsäädäntö koskee samoin perustein sekä yksityisiä että julkisia toimijoita. Kysymys ei siten yhtiön tehtävien hoitamisessa ole perustuslain 124 :ssä tarkoitetuista julkisista hallintotehtävistä. Henkilötietojen käsittelyä sisältävien tehtävien antamista perustettavalle yhtiölle ei tämän vuoksi ole perusteltua arvioida perustuslain 124 :n kannalta. Anonymisoitujen tietojen luovuttaminen Lakiehdotuksen 45 :n mukaan käyttölupaviranomainen arvioi tietojen anonymisoinnin mahdollisuuden, jos hakija pyytää henkilötietoja vain anonymisoituina. Perustelujen mukaan pykälällä luotaisiin Sosiaali- ja terveysalan käyttölupaviranomaiselle mahdollisuus käsitellä henkilötietoja anonymisointia varten tietoja, jotta se voi muuttaa ne anonymisoituun muotoon tiedon pyytäjän käyttöön (s. 140-141). Tämä säännökselle tarkoitettu varsin olennainen sisältö ei käy ilmi lakitekstistä. Lakiin ei toisaalta sisälly säännöstä, joka määrittelisi tai muuten osoittaisi tietojen luovutuspäätöksen tekevän toimivaltaisen viranomaisen. Tosin perustelujen mukaan asiassa ilmeisesti sovellettaisiin lakia viranomaisten toiminnan julkisuudesta. Ehdotettua sääntelyä voidaan tältä osin väljyytensä ja aukollisuutensa vuoksi pitää ongelmallisena siltä kannalta, että julkisen vallan käytön tulee perustuslain 2 :n 3

7 Oikeusturva momentin mukaan perustua lakiin. Toimivallan käytön lakiperustaisuuden merkitys korostuu, kun kyseessä on perusoikeuden turvaamiseen kohdistuva viranomaisen toiminta. Lakiehdotuksen 57 :ään sisältyy sinänsä asianmukainen muutoksenhakusäännös. Se mahdollistaisi kuitenkin vain käyttöluvan hakijan muutoksenhaun. Säännös on muotoiltu niin, että siitä voisi saada sen harhaanjohtavan käsityksen, että rekisteröidyllä ei olisi oikeutta hakea muutosta lain nojalla tehtyihin käyttölupaviranomaisen päätöksiin. Tätä ei voida pitää tyydyttävänä sääntelyratkaisuna perustuslain 21 :n kannalta (ks. myös PeVL 19/2012 vp). Sama huomio voidaan esittää säätämisjärjestysperusteluissa esitetystä arviosta, jonka mukaan oikeussuojakeinona voisi olla esimerkiksi oikeus tarkastaa itseä koskevat tiedot (s. 171). Tietosuoja-asetus perustaa myös henkilötietojen kohteelle itsenäisen valitusoikeuden käyttölupaviranomaisen päätöksestä, minkä seikan olisi perusteltua käydä ilmi säädettävästä laista, esimerkiksi viittaussäännöksenä. Tietosuoja-asetuksen 77 artiklan 1 kohdan mukaan jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta. Lisäksi tietosuoja-asetuksen 78 artiklan 1 kohdan mukaan jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin, tuomioistuimessa toteutettaviin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan. Mahdollisesti näitä oikeussuojasäännöksiä vastaava täsmentävä sääntely sisältyy valmisteltavana olevaan henkilötietolakiin. Tietosuoja-asetuksen täydentäminen Lakiehdotuksen 2 :n mukaan säädettävällä lailla on tarkoitus antaa tietosuojaasetusta täydentävät säännökset toissijaisesta käytöstä. Täydentävyys on tässä yhteydessä ongelmallinen ja käytännössä mahdollisesti jopa harhaanjohtava tavoite säädettävälle laille, sillä kansallinen lainsäädäntö voi lähinnä vain täsmentää tietosuoja-asetuksen säännöksiä (ks. myös PeVL 49/2017 vp). Tämä käy ilmi myös tietosuoja-asetuksen johdantokappaleen 10 mukaan henkilötietojen käsittelyn lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön kansallisia säännöksiä, joilla tämän asetuksen sääntöjen soveltamista voitaisiin täsmentää entisestään.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute