Tieteellinen tutkimus ja EU:n tietosuoja-asetus Marjut Salokannel OTT, dos. 21.11.2013
Ehdotus tietosuojapaketiksi Tammikuussa 2012 komissio antoi 1) ehdotuksen yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaata liikkuvuutta koskevaksi asetukseksi sekä 2) rajojen yli menevää lainvalvontaa koskevan direktiiviehdotuksen
Asetusehdotuksen juridinen perusta Treaty on the Functioning of the EU, art. 16 Everyone has the right to the protection of personal data concerning them. The European Parliament and the Council shall lay down the rules relating to the protection of individual with regard to the processing of personal data by the EU institutions and by the Member States when carrying out the activities which fall within the scope of the Union law, and the rules relating to the free movement of such data
Juridinen perusta jatk. Tarkoituksena suojata kansalaisten henkilötietoja perusoikeutena; Tavoitteena samalla henkilötietojen vapaa liikkuvuus Unionin alueella Ja EU:n henkilötietolainsäädännön harmonisoiminen ja saattaminen tietoyhteiskunnan asettamien vaatimusten edellyttämälle tasolle
Tietosuoja perusoikeutena Euroopan Unionin perusoikeusasiakirjan 8 artiklassa vahvistetaan oikeus henkilötietojen suojaan EU:n kansalaisten perusoikeutena Suojan oltava samantasoinen koko EU:ssa Liittyy läheisesti perusoikeusasiakirjan 7 artiklassa taattuun yksityisyyden suojaan, mutta on siitä erillinen Yksityisyyden suoja luo läpinäkymättömyyden pinnan yksityiselämälle; Henkilötietojen suoja edistää henkilötietojen käsittelyn läpinäkyvyyttä
Oikeus henkilötietojen suojaan ei ole absoluuttinen vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa Henkilötietojen suojaa rajoittavat muiden perusoikeuksien toteutuminen, kuten sananvapaus, mukaan luettuna tieteen harjoittamisen vapaus sekä esimerkiksi julkisuuslainsäädäntö ja immateriaalioikeudet
Suomen perustuslaki Kansalaisten yksityisyyden suoja on taattu perustuslain 10 :ssä, jossa erikseen todetaan, että henkilötietojen suojasta säädetään erikseen lailla Yksityisyyden suojan rajoituksista mahdollista säätä ainoastaan lain tasoisella säädöksellä
EU:n asetuksen kansallinen vaikutus Suoraan sovellettavaa oikeutta jäsenvaltioissa tultuaan voimaan Antaa EU:n komissiolle mahdollisuuksia täydentävien säännösten antamiseen Asetuksen lopullisesta sisällöstä riippuen, kansallisella tasolle voi jäädä tietyissä yksityiskohdissa liikkumavaraa, esim. julkisuusperiaatteen huomioon ottamisen suhteen
Henkilötiedoilla tarkoitetaan kaikkia niitä rekisteröityä koskevia tietoja, joiden perusteella luonnollinen henkilö on tunnistettavissa joko suoraan tai epäsuorasti kohtuullisesti käytettävissä olevin keinoin erityisesti henkilönumeron, sijaintitiedon, internet-tunnisteiden taikka yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella;
Asetuksen soveltamisalue Asetusta sovelletaan kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Tällöin otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi. Tietosuojaperiaatteita ei sovelleta tietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista. (anonymisoitu tieto) Tiedostettava täydellisen anonymisoinnin mahdottomuus tänä päivänä
Soveltamisalue jatkuu Ei sovelleta anonymisoituihin tietoihin, mutta tietojen anonymisointi voi olla käsittelyn edellytys Sovelletaan pseudonymisoituihin tietoihin; pseudonymous data' means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution (Parlamentin esitys 21.10.2013)
Kryptattu tieto on määritelty parlamentin raportissa encrypted data means personal data, which through technological protection measures is rendered unintelligible to any person who is not authorised to access it
Terveystiedot terveystiedoilla tarkoitetaan yksilön fyysiseen tai psyykkiseen terveyteen tai hänelle annettuihin terveyspalveluihin liittyviä henkilötietoja; Harvinaisten sairauksien osalta, sairaus sinänsä voi olla tunnistetieto
Henkilötiedon käsittelyyn sovellettavia periaatteita Henkilötietojen käsittelyn läpinäkyvyys, tietojen minimoinnin periaate ja rekisterinpitäjän kattavan vastuun vahvistaminen Henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; Henkilötietojen myöhempää käsittelyä historiallista tutkimusta, tilastollista tai tieteellistä tarkoitusta varten ei kuitenkaan pidetä yhteensopimattomana alkuperäisen tarkoituksen kanssa edellytyksellä, että 83 artiklan ehdot täyttyvät
Tutkimusta koskeva erityissääntely Henkilötietoja voidaan käsitellä tieteelliseen tutkimukseen 1) suostumuksen perusteella; 2) anonymisoituina 3) Mikäli tutkimusta ei voida suorittaa anonymisoitujen tietojen avulla, tiedot, joiden avulla tiedot voidaan kohdentaa tunnistettuun tai tunnistettavissa olevaan rekisteröityyn, on pidettävä erillään muista tiedoista siltä osin kuin nämä tarkoitukset voidaan täyttää tällä tavoin (83 artikla)
Tieteellisen tutkimuksen määritelmä Tieteellisellä tutkimuksella tarkoitetaan perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta Alkuperäinen ehdotus ei tee eroa sensitiivisten ja ei-sensitiivisten henkilötietojen käsittelyn välillä
Terveystietojen tutkimuskäyttö Terveystietojen tutkimuskäyttö tiukempien määräysten alainen (Art. 81, Parlamentin kompromissiehdotus 21.10.2013) Pääsääntö: terveystietojen käsittely tieteellistä tutkimusta varten on mahdollista ainoastaan tietosubjektin suostumuksen perusteella ja Artiklan 83 asettamissa puitteissa Jos datasubjektin suostumus koskee terveystietojen käsittelyä yksinomaisesti kansanterveydellisiä päämääriä koskevaa tieteellistä tutkimusta, suostumus voidaan antaa yhtä tai useampaa erityistä tai samankaltaista tutkimusta varten. Suostumus voidaan peruuttaa milloin vain
Terveystietojen tutkimuskäyttö Jäsenvaltiot voivat säätää terveystietojen tutkimuskäyttöä koskevaa suostumusta koskevia poikkeuksia, jos kyseessä on korkeaa julkista intressiä (high public interest) palveleva tutkimus ja tutkimusta ei mitenkään voi suorittaa muulla tavoin; Tällöin henkilötiedot on anonymisoitava ja mikäli tämä ei ole mahdollista tutkimuksen tarkoitusperien toteuttamiseksi, ne on pseudonymisoitava korkeimpien teknisten standardien mukaisesti;
Terveystietojen tutkimuskäyttö ja on ryhdyttävä kaikkiin mahdollisiin toimenpiteisiin tahattoman (un-warranted) datasubjektien uudelleen tunnistamisen estämiseksi datasubjektilla on oikeus estää terveystietojen käsittely milloin tahansa 19 artiklan mukaisesti.
Komissio voi määritellä julkisen edun terveystutkimuksessa Komissiolla on oikeus säätää delegoituja säädöksiä korkean julkisen intressin käsitteen tarkemmaksi määrittelyksi silloin, kun terveystietoja käsitellään ilman datasubjektien suostumusta (Art. 81.3) Tämä edellyttää etukäteistä lausuntoa Euroopan tietosuojalautakunnalta (European Data Protection Board)
Muiden henkilötietojen tutkimuskäyttö (Parlamentin ehdotus) 1) suostumuksen perusteella; 2) anonymisoituina 3) Mikäli tutkimusta ei voida suorittaa anonymisoitujen tietojen avulla, tiedot joiden avulla tiedot voidaan kohdentaa tunnistettuun tai tunnistettavissa olevaan rekisteröityyn, on pidettävä erillään muista tiedoista (83 artikla); ts. Henkilötiedot on pseudonymisoitava
Muun lainsäädännön huomioon ottaminen Jotta tieteellisiä tutkimustarkoituksia varten suoritettava henkilötietojen käsittely olisi lainmukaista, siinä olisi noudatettava myös muita asiaan liittyviä lakisääteisiä vaatimuksia, kuten kliinisiä kokeita koskevia säännöksiä, joista tulossa asetus 2014. (125 johtolause) Esimerkiksi potilaiden yksityisyyden suojaa koskeva lainsäädäntö
Tietosuojauudistuksen aikataulu Tietosuojapaketti odottaa parhaillaan ministerineuvoston yhteistä kantaa ja trilogian lopputulosta; Pieni mahdollisuus saada läpi ennen toukokuun 2014 vaaleja Parlamentti äänestää näillä näkymin huhtikuussa 2014
Lopuksi Kun yhtenäinen tietosuojalainsäädäntö hyväksytään, sen pitäisi helpottaa yli rajojen tapahtuvaa tutkimusta ja vähentää tarpeetonta byrokratiaa; Mahdollisuus käsitellä suoraan identifioitavissa olevia henkilötietoa tutkimuksessa muuten kuin suostumuksen perusteella voi poistua, mutta uusi teknologia mahdollistaa tietojen turvallisen ja tehokkaan yhdistämisen ja analyysin myös niin, että datasubjekteja ei tarvitse tunnistaa Uudet interaktiiviset dynaamisen suostumuksen mekanismit avaavat myös uusia mahdollisuuksia tutkimukselle ja helpottavat suostumuksen hallintaa
KIITOS! marjut.salokannel@helsinki.fi