Usein kysyttyä koronaviruksesta ja tietosuojasta

Terveystiedoilla tarkoitetaan tietoja, jotka kuvaavat henkilön terveydentilaa, sairautta, vammaisuutta tai hoitotoimenpiteitä.

Terveystiedot kuuluvat erityisiin henkilötietoryhmiin. Erityisiin henkilötietoryhmiin kuuluvia tietoja on suojeltava erityisen tarkasti.

• Tieto siitä, että henkilö on saanut koronavirustartunnan, on terveystieto.
• Tieto siitä, että henkilö on palannut riskialueelta, ei ole terveystieto.
• Tieto siitä, että henkilö on karanteenissa (antamatta lisätietoja syystä), ei ole terveystieto.

Kaikki edellä mainitut tiedot ovat kuitenkin henkilötietoja ja niiden käsittelyyn sovelletaan tietosuojalainsäädäntöä.

Työntekijöiden henkilötietojen käsittelyyn sovelletaan EU:n yleisen tietosuoja-asetuksen ohella lakia yksityisyyden suojasta työelämässä (työelämän tietosuojalaki). Työelämän tietosuojalaissa on erikseen säädetty työntekijöiden henkilötietojen käsittelyä koskevasta tarpeellisuusvaatimuksesta ja terveystietojen käsittelystä. Sovellettavaksi voivat tulla myös tartuntatautilaki ja muu työturvallisuuteen liittyvä lainsäädäntö.

Lisätietoa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä
Lisätietoa työelämän tietosuojalaista Finlexissä

Anonyymit tiedot ovat tietoja, joista yksittäistä henkilöä ei voida tunnistaa. Jos tiedot ovat anonyymeja, niiden käsittelyyn ja julkaisemiseen ei sovelleta tietosuojalainsäädäntöä. Tunnistamisen täytyy estyä peruuttamattomasti. Tieto on edelleen tunnistettavaa, jos siitä esimerkiksi muihin tietoihin yhdistettynä voidaan päätellä, kenestä on kysymys. Anonymisoidut tilastotason tiedot voi kertoa julkisuuteen.

Potilastietoja ovat terveydenhuollossa hoidon yhteydessä syntyvät tiedot, jotka merkitään potilasasiakirjoihin. Niiden salassapidosta ja niiden antamisesta, myös kuolleiden osalta, säädetään potilaan asemasta ja oikeuksista annetun lain 13 §:ssä (Potilaslaki 785/1992). Tietosuoja-asetusta (2016/679) ei sovelleta kuolleita koskeviin henkilötietoihin.

Jos organisaation työntekijällä todetaan koronavirus, työnantaja ei saa lähtökohtaisesti nimetä kyseistä työntekijää. Työnantaja voi informoida yleisesti muita työntekijöitä tartunnasta tai mahdollisesta tartunnasta ja ohjata heitä työskentelemään kotoa käsin.

Työntekijän terveystietoja saavat käsitellä vain ne henkilöt, joiden tehtäviin se kuuluu. Työnantajan on nimettävä nämä henkilöt etukäteen tai määriteltävä ne tehtävät, joihin sisältyy terveystietojen käsittelyä.  Terveystietoja käsittelevät henkilöt ovat vaitiolovelvollisia.

Lisätietoa työntekijän terveystietojen käsittelystä

Työnantaja on vaitiolovelvollinen työntekijän terveystiedoista. Tarvittaessa työnantaja voi ilmaista yleisellä tasolla, organisaation käytänteiden mukaisesti, että työntekijä on estynyt hoitamasta työtehtäviään. Jos organisaation työntekijällä todetaan koronavirus tai työntekijä on asetettu karanteeniin, työnantaja ei saa lähtökohtaisesti nimetä kyseistä työntekijää.

Lisätietoa työntekijän terveystietojen käsittelystä

Koronavirustaudin riskiryhmään kuuluminen on terveystieto, jos riskiryhmään kuulumista käsitellään terveydentilan arvioimiseksi (kuuluuko työntekijä riskiryhmään perussairauksien vuoksi). Terveydentilatietoa ei saa kertoa sivullisille ilman työntekijän nimenomaista suostumusta tai muuta lainmukaista perustetta. Työnantaja on vaitiolovelvollinen työntekijän terveystiedoista.

Riskiryhmään voi kuulua myös iän perusteella. Tieto työntekijän iästä ei ole terveydentilatieto.

Tarvittaessa työnantaja voi ilmaista yhteistyökumppanille yleisellä tasolla, työntekijän terveyden suojaamisen tarkoituksessa, että työntekijä on estynyt hoitamasta työtehtäviään.

Työnantaja on viranomaisten ohjeiden ja työturvallisuuslain mukaan velvollinen ohjaamaan riskiryhmään kuuluvan työntekijän tarvittaessa työterveyshuoltoon riskinarviointiin töiden uudelleenjärjestämiseksi. Terveydentilatietoja voidaan käsitellä, jos työntekijä nimenomaisesti haluaa työkykyisyyttään selvitettävän terveydentilaa koskevien tietojen perusteella. Asiassa sovelletaan työelämän tietosuojalain (Finlex) mukaista käsittelyn perustetta työsuhteen oikeuksien ja velvollisuuksien vuoksi. Erillistä nimenomaista suostumusta ei tarvita.

Työpaikan sisäisessä tiedottamisessa koskien riskiryhmäläisten uudelleen sijoittamista on otettava huomioon välitön tarpeellisuusvaatimus ja vaitiolovelvollisuus terveydentilatietojen käsittelyssä.

Työturvallisuuslaki velvoittaa työnantajaa huolehtimaan työpaikan turvallisuudesta. Työnantajan velvollisuudesta järjestää lain nojalla terveydentilaa koskevia tarkastuksia ja testejä säädetään mm. työterveyshuoltolaissa. Vapaaehtoisia terveystarkastuksia voidaan myös järjestää.

Työelämän tietosuojalain mukaan työntekijöiden terveydentilaa koskevien tarkastusten ja testien suorittamiseen sekä näytteiden ottamiseen tulee käyttää terveydenhuollon ammattihenkilöitä, asianomaisen laboratoriokoulutuksen saaneita henkilöitä ja terveydenhuollon palveluja terveydenhuollon lainsäädännön mukaisesti.

Terveystarkastuksen suorittaa lääkäri tai asianmukaisen koulutuksen saanut muu terveydenhuollon ammattihenkilö lääkärin valvonnassa. Tarkastuksen osana voidaan ottaa välttämättömiä näytteitä ja tehdä muu tutkimus, josta ei aiheudu merkittävää haittaa tutkittavalle. Työntekijällä on oikeus käydä terveystarkastuksessa tai tutkimuksissa työaikana.

Tartuntatautilain mukaan aluehallintovirasto voi määrätä järjestettäväksi kohdennettuja terveystarkastuksia tietyssä työpaikassa, laitoksessa, kulkuneuvossa tai vastaavassa paikassa oleskeleville, jos tarkastus on yleisvaarallisen tartuntataudin leviämisen estämiseksi tarpeen. Terveystarkastukseen osallistuminen on vapaaehtoista.

Tartunnan saanut henkilö voi oma-aloitteisesti kertoa muille, esimerkiksi taksinkuljettajalle, koronavirustartunnastaan. Tiedon voi kertoa myös kysyttäessä. Jos kysyjä ei tallenna tietoa, ei tietosuojalainsäädäntöä sovelleta tilanteeseen. Kysyjä ei saa syyllistyä syrjintään.

Esimerkiksi Ruotsissa yleisvaaralliseen tartuntatautiin sairastuneen on kerrottava tartunnastaan niille, jotka ovat lähikontaktin vuoksi tartuntavaarassa. Suomessa tartunnan saaneella ei sen sijaan ole vastaavaa velvollisuutta. Tartuntatautilain perusteella tartunnasta on velvollisuus ilmoittaa asiaa selvittävälle lääkärille. Tälle on ilmoitettava henkilön käsitys tartuntatavasta, -ajankohdasta ja -paikasta sekä niiden henkilöiden nimet, jotka ovat voineet olla tartunnan lähteenä tai saada tartunnan.

Hoitavan lääkärin on tartuntatautilain mukaan ilmoitettava kunnan tai sairaanhoitopiirin kuntayhtymän tartuntataudeista vastaavalle lääkärille, jos hän saa tietää potilaansa sairastavan tai sairastaneen yleisvaarallista tartuntatautia, joka voi aiheuttaa tartuntavaaran toiselle henkilölle. Tartuntataudeista vastaavalla lääkärillä on tällöin oikeus tartunnan lähdettä ilmaisematta ilmoittaa todennäköisestä tartuntavaarasta asianomaiselle henkilölle.

Tartunnan saanut henkilö voi myös itse kertoa tartunnasta haluamilleen tahoille.

Potilastietoihin merkittyyn tietoon virustartunnasta tai altistumisesta virukselle sovelletaan tietosuojasääntelyä. Jos tällainen tieto annetaan terveydenhuollosta esimerkiksi potilaan läheiselle, on kyse potilastiedon luovuttamisesta sivulliselle. Potilastietojen luovuttaminen on mahdollista potilaan asemasta ja oikeuksista annetun lain (potilaslaki) 13 §:ssä säädetyillä perusteilla.

Potilastietoja voidaan antaa sivulliselle potilaan kirjallisella suostumuksella. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja voidaan antaa hänen laillisen edustajansa kirjallisella suostumuksella. Lisäksi tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan potilaan lähiomaiselle tai muulle läheiselle voidaan antaa tieto potilaan henkilöllisyydestä sekä hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi menettelemästä näin. Tätä joudutaan arvioimaan tapauskohtaisesti.

Jos potilas on kykenemätön päättämään hoidostaan mielenterveyden häiriön, kehitysvammaisuuden tai muun syyn vuoksi, on ennen tärkeän hoitopäätöksen tekemistä kuultava potilaan laillista edustajaa, lähiomaista tai muuta läheistä, jotta voidaan selvittää, millainen hoito vastaisi parhaiten potilaan tahtoa. Hoitoon on tällöin saatava tämän henkilön suostumus. Tällaisessa tilanteessa potilaan laillisella edustajalla, lähiomaisella tai muulla läheisellä on oikeus saada tarpeelliset tiedot potilaan terveydentilasta kuulemista ja suostumuksen antamista varten.

Terveydenhuollon organisaatio voi yllä sanotusta riippumatta antaa yleisen tason informaatiota esimerkiksi vierailujärjestelyistä, varautumisesta COVID19-epidemiaan tai epidemian hallitsemiseen liittyvistä toimenpiteistä.

Sosiaalihuollon asiakastietoihin merkittyyn tietoon virustartunnasta tai altistumisesta virukselle sovelletaan tietosuojasääntelyä. Jos tällainen tieto annetaan esimerkiksi asiakkaan läheiselle, on kysymys sosiaalihuollon asiakastietojen luovuttamisesta. Asiassa tulee tällöin noudattaa sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain (sosiaalihuollon asiakaslaki) 14-16 §:ä.

Sosiaalihuollon asiakaslain 16 §:n mukaan salassa pidettävästä asiakirjasta saa antaa tietoja asiakkaan nimenomaisella suostumuksella tai siten kuin laissa erikseen säädetään. Jos asiakkaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa suostumuksella.                    

Sosiaalihuollon asiakaslain 9 §:ssä säädetään itsemääräämisoikeudesta erityistilanteissa. Pykälän mukaisessa tilanteessa on asiakkaan tahtoa selvitettävä yhteistyössä hänen laillisen edustajansa, omaisensa tai muun henkilön kanssa, kun asiakas ei yksin pysty osallistumaan ja vaikuttamaan palvelujensa tai sosiaalihuoltoon liittyvien muiden toimenpiteiden suunnitteluun ja toteuttamiseen.  Tällöinkin on huomattava, että tietoja ei voida tässäkään laissa tunnistetussa erityistilanteessa luovuttaa omaisille, jos ne eivät nimenomaisesti liity tämän yksittäisen asiakkaan sosiaalihuollon palvelujen järjestämiseen. Lisäksi asiakkaan toimintakyvyn tehdä asiassa itse päätöksiä tulee olla olennaisesti laskenut, jotta pykälä tulisi sovellettavaksi. Sosiaalihuollon palveluista vastuussa oleva taho määrittelee, täyttääkö asiakkaan tilanne sosiaalihuollon asiakaslain 9 §:n mukaiset kriteerit.

Kuten terveydenhuollon organisaation kohdalla, myös sosiaalihuollossa voidaan antaa yleisen tason informaatiota esimerkiksi vierailujärjestelyistä, varautumisesta COVID19-epidemiaan tai epidemian hallitsemiseen liittyvistä toimenpiteistä.

Tietosuojavaltuutetun näkemyksen mukaan kartoittamiseen voidaan käyttää potilastietoja, kun kartoittamistehtävän voidaan katsoa kuuluvan terveydenhuollon toimintayksikön tehtäviin ja tavoitteena on henkilön hoidon tarpeen arviointi.

Jos yhteydenoton aikana käy ilmi henkilön halu tai tarve saada muiden tahojen tarjoamia palveluja, voidaan tiedot välittää näille tahoille kyseessä olevan henkilön suostumuksella. Joissakin tapauksissa tieto voi olla mahdollista välittää myös lain nojalla.

Kartoittamiseen liittyvä henkilötietojen käsittely on suunniteltava etukäteen (EU:n yleisen tietosuoja-asetuksen 25 artiklan mukainen sisäänrakennettu ja oletusarvoinen tietosuoja). Erityisesti on varmistettava, että kartoittamistehtäviin osallistuvat henkilöt ottavat toiminnassaan huomioon salassapitoon ja tietojen minimoinnin vaatimukseen liittyvät seikat.

Organisaatio voi tehdä tällaisia ratkaisuja myös pandemian aikana. Pandemia ei kuitenkaan ole peruste jättää tietosuojasääntelyä noudattamatta, vaan se on otettava poikkeuksellisessa tilanteessakin huomioon, kun tehdään henkilötietojen käsittelyä koskevia ratkaisuja.

Valittavassa välineessä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille. EU:n yleisen tietosuoja-asetuksen 32 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa sellaiset tekniset ja organisatoriset tietoturvallisuuden varmistamiseen tähtäävät toimenpiteet, jotka vastaavat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä.

Rekisterinpitäjän pitää arvioida, tulisiko uuden välineen käyttöönotosta tehdä tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi.

Toteutetut toimenpiteet ja tehdyt ratkaisut on syytä dokumentoida osoitusvelvollisuuden toteuttamiseksi.

EU:n yleisessä tietosuoja-asetuksessa säädetään, että tietosuojavastaavaa ei saa irtisanoa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuoja-asetuksessa ei säädetä erikseen lomautuksista. Lomautuksia koskeviin kysymyksiin sovelletaan siten lähtökohtaisesti työoikeudellista sääntelyä.

Jos yleinen tietosuoja-asetus edellyttää, että organisaatio nimeää tietosuojavastaavan, velvoitteen noudattamisesta on huolehdittava myös esimerkiksi tilanteessa, jossa henkilöstöä lomautetaan.

Yleisen tietosuoja-asetuksen asettamista edellytyksistä tietosuojavastaavan tehtävään nimettävälle ei voida poiketa esimerkiksi lomautustilanteessa. Tietosuojavastaavalla on oltava asiantuntemusta tietosuojalainsäädännöstä ja valmius hoitaa hänelle suoraan asetuksessa säädettyjä tehtäviä. Organisaatio voi tarvittaessa tukeutua arvioinnissaan esimerkiksi aiempiin ratkaisuihinsa siitä, miten tietosuojavastaavan sijaisuus on järjestetty loma-aikoina niin, että se täyttää tietosuoja-asetuksen vaatimukset.

Tietosuojavastaava on organisaation sisäinen tietosuoja-asiantuntija, joka seuraa organisaationsa henkilötietojen käsittelyä sekä auttaa johtoa ja henkilöstöä noudattamaan tietosuojalainsäädäntöä. Tietosuojavaltuutetun toimisto kiinnittää tässä yhteydessä huomiota siihen, että koronatilanteessa on tullut esiin useita henkilötietojen suojaa koskevia kysymyksiä. Tietosuojavastaavalla on tärkeää asiantuntemusta näiden tilanteiden tunnistamiseksi ja tietosuojalainsäädännön noudattamiseksi.

Osa sairaanhoitopiireistä on suositellut ravintoloille ja tapahtumajärjestäjille asiakkaiden yhteystietojen keräämistä, jotta yhteystietoja voidaan tarvittaessa käyttää koronavirustartuntojen ja -altistumisten jäljittämiseen.

Jos keräät tietoja, kiinnitä erityistä huomiota seuraaviin asioihin.

1. Varmista käsittelyperuste ja suostumuksen lainmukaisuus

Henkilötietojen käsittelylle on aina oltava jokin peruste. Viranomaisen suositus ei yksistään ole peruste käsitellä henkilötietoja.

Suomessa yrityksillä ei ole laissa säädettyä velvollisuutta kerätä yhteystietoja tartuntojen jäljittämiseen. Tietojen kerääminen on kuitenkin mahdollista rekisteröidyn suostumuksen perusteella. Se tarkoittaa, että asiakas saa itse päättää, haluaako hän antaa tietojaan ravintolalle tai tapahtuman järjestäjälle koronavirusaltistumisten jäljittämistä varten.

Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteisesti annettu. Asiakkaalle on kerrottava selkeästi, mihin tarkoitukseen tietoja kerätään. Asiakkaalla on myös oikeus kieltäytyä tietojensa antamisesta. Tietojen antamista ei voida pitää edellytyksenä esimerkiksi ravintolaan pääsylle.

Lisätietoa käsittelyperusteista
Lisätietoa rekisteröidyn suostumuksen pyytämisestä

2. Rajaa tietojen käyttötarkoitus

Tietoja saa käyttää vain tartuntaketjujen jäljittämiseen, ei esimerkiksi markkinointiin tai muuhun asiakasviestintään.

Lisätietoa käyttötarkoituksen rajaamisesta

3. Minimoi kerättävien tietojen määrä

Kerätä saa vain sellaisia tietoja, jotka ovat tarpeellisia tartuntojen jäljittämistä varten. Asiakkaalta voidaan kysyä esimerkiksi nimeä ja puhelinnumeroa. Myös yhteystieto ja alias -yhdistelmä voi riittää tartuntaketjujen jäljittämiseen.

Lisätietoa tietojen minimoinnista

4. Määritä tietojen säilytysaika

Tietoja saa käsitellä vain niin kauan, kun se on tarpeen tartuntaketjujen määrittämiseksi. Esimerkiksi Koronavilkun kohdalla tiedot säilytetään 21 päivän ajan, sen jälkeen tiedot hävitetään. Tiedot on hävitettävä huolellisesti, kun niitä ei enää tarvita.

Lisätietoa tietojen säilytysajan määrittämisestä

5. Toteuta rekisteröidyn oikeudet

Rekisteröidyillä on monia oikeuksia, joiden toteutuminen on varmistettava. Asiakkaille on kerrottava selkeästi ja kattavasti, miten ja mihin tarkoitukseen henkilötietoja aiotaan käsitellä. Asiakas voi myös perua suostumuksensa tietojen käsittelyyn, ja tiedot pitää poistaa, jos asiakas sitä pyytää.

Lisätietoa rekisteröidyn oikeuksista

6. Huolehdi tietojen turvallisesta käsittelystä

Tietoihin saavat päästä käsiksi vain sellaiset henkilöt, joiden työtehtäviin henkilötietojen käsittely liittyy.

Asiakkaita ei pidä ohjata jättämään yhteystietojaan siten, että muut asiakkaat voivat nähdä tiedot.

7. Kuvaa henkilötietojen käsittelyn roolit

Käsitteleekö jokin toinen taho tietoja ravintolan tai tapahtumanjärjestäjän lukuun esimerkiksi sovelluksen välityksellä? Silloin on laadittava käsittelysopimus.

Lisätietoa henkilötietojen käsittelijöistä
Lisätietoa henkilötietojen käsittelijän velvollisuuksista