Vanliga frågor om coronaviruset och dataskydd

Hälsouppgifter syftar till uppgifter som beskriver personens hälsotillstånd, sjukdom, funktionshinder eller vårdåtgärder.

Hälsouppgifterna ingår särskilda kategorier av personuppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter kräver särskilt starkt skydd.

• Uppgiften om att en person har blivit smittad av coronaviruset är en hälsouppgift.
• Uppgiften om att en person har återvänt från ett riskområde är inte en hälsouppgift.
• Uppgiften om att en person hålls i karantän (utan detaljer om orsaken) är inte en hälsouppgift.

Alla ovan nämnda uppgifter är emellertid personuppgifter och behandlingen av dem omfattas av dataskyddslagstiftningen.

På behandlingen av arbetstagares personuppgifter tillämpas EU:s allmänna dataskyddsförordning och lagen om integritetsskydd i arbetslivet (Finlex). Lagen om integritetsskydd i arbetslivet innehåller särskilda bestämmelser om relevanskravet som gäller för behandlingen av arbetstagares personuppgifter samt behandlingen av hälsouppgifter. Även lagen om smittsamma sjukdomar och annan lagstiftning om arbetarskydd kan tillämpas.

Mer information om att behandla personuppgifter för olika kategorier av personuppgifter

Anonyma uppgifter är uppgifter ur vilka enskilda personer inte kan identifieras. Om uppgifterna är anonyma, tillämpas dataskyddslagstiftningen inte på behandlingen och publiceringen av uppgifterna. Identifieringen måste förhindras oåterkalleligt. Uppgifterna är fortfarande identifierbara, om det till exempel är möjligt att sluta sig till vem det är frågan om genom att kombinera dem med andra uppgifter. Anonymiserade uppgifter på statistiknivå får offentliggöras.

Patientdata är uppgifter som uppkommer i samband med behandling inom hälso- och sjukvården och de antecknas i journalhandlingar. Bestämmelser om sekretess för och utlämnande av dem, även angående avlidna personer, finns i 13 § i lagen om patientens ställning och rättigheter (patientlagen 785/1992). Dataskyddsförordningen (2016/679) tillämpas inte på personuppgifter om avlidna personer.

Om en anställd inom organisationen konstateras ha blivit smittad av coronaviruset får arbetsgivaren som regel inte nämna arbetstagaren i fråga. Arbetsgivaren kan informera andra anställda på ett allmänt om smittan eller möjliga smittan och råda dem att arbeta hemifrån.

Arbetstagarens hälsouppgifter får endast behandlas av de personer i vars arbetsuppgifter det ingår. Arbetsgivaren ska utse dessa personer på förhand eller definiera uppgifterna som innebär behandling av hälsouppgifter. Personerna som behandlar hälsouppgifter har tystnadsplikt.

Mer information om behandlingen av arbetstagarens hälsouppgifter

Arbetsgivaren har tystnadsplikt angående arbetstagarens hälsouppgifter. Vid behov kan arbetsgivaren berätta på allmän nivå i enlighet med organisationens praxis att den anställda är förhindrad att sköta sina arbetsuppgifter. Om en anställd inom organisationen blir smittad av coronaviruset eller en anställd hålls i karantän får arbetsgivaren som regel inte nämna arbetstagaren i fråga.

Mer information om behandlingen av arbetstagarens hälsouppgifter

Tillhörigheten till coronavirussjukdomens riskgrupp är en hälsouppgift om tillhörigheten behandlas för att bedöma hälsotillstånd (huruvida arbetstagaren hör till en riskgrupp på grund av bakomliggande sjukdomar). Uppgiften om hälsotillståndet får inte kommuniceras till utomstående utan arbetstagarens uttryckliga samtycke eller annan laglig grund. Arbetsgivaren har tystnadsplikt angående arbetstagarens hälsouppgifter.

Man kan höra till en riskgrupp också på grund av ålder. Uppgiften om arbetstagarens ålder är inte en uppgift om hälsotillstånd.

Vid behov kan arbetsgivaren på en allmän nivå uttrycka till en samarbetspartner, i syfte att skydda arbetstagarens hälsa, att arbetstagaren är förhindrad att sköta sina arbetsuppgifter.

Arbetsgivaren är enligt myndigheternas anvisningar och arbetarskyddslagen skyldig att vid behov hänvisa en arbetstagare som hör till en riskgrupp till företagshälsovården för riskbedömning i syfte att omorganisera arbetet. Uppgifter om hälsotillstånd kan behandlas om arbetstagaren specifikt önskar att arbetsförmågan utreds utifrån uppgifter relaterade till hälsotillståndet. På grund av rättigheterna och skyldigheterna som anställningsförhållandet innebär, tillämpas på frågan en behandlingsgrund i enlighet med lagen om dataskydd i arbetslivet (Finlex). Ett separat och uttryckligt samtycke behövs inte.

Angående omplacering av personer i riskgrupper ska man i arbetsplatsens interna kommunikation ta till hänsyn det direkta relevanskravet och sekretess vid behandling av uppgifter om hälsotillstånd.

Arbetarskyddslag förpliktar arbetsgivaren att se till att arbetsplatsen är säker. Bestämmelser om arbetsgivarens skyldighet att med stöd av lagen ordna granskningar och tester av hälsotillstånd finns i bl.a. företagshälsovårdslagen. Även frivilliga hälsokontroller kan ordnas.

Enligt lagen om integritetsskydd i arbetslivet ska yrkesutbildade personer inom hälso- och sjukvården, personer med behörig laboratorieutbildning och hälso- och sjukvårdstjänster anlitas så som föreskrivs i hälso- och sjukvårdslagstiftningen för utförande av kontroller och test som gäller arbetstagares hälsa samt för provtagningar.

Hälsokontrollen ska utföras av en läkare eller en annan yrkesutbildad person inom hälso- och sjukvården som fått behörig utbildning under övervakning av läkare. Som en del av kontrollen kan man ta nödvändiga prover och utföra andra undersökningar, som inte medför betydande olägenhet för den som undersöks. Arbetstagaren har rätt att gå till hälsokontroll eller undersökningar under arbetstid.

Enligt lagen om smittsamma sjukdomar kan regionförvaltningsverket förordna om hälsokontroll av personer som vistas på någon ort inom dess verksamhetsområde eller på vissa arbetsplatser, i vissa inrättningar, i färdmedel eller på liknande ställen, om undersökningen behövs för förhindrande av att en allmänfarlig smittsam sjukdom sprids. Det är frivilligt att delta i hälsokontrollen.

En person som blivit smittad kan på eget initiativ berätta för andra, t.ex. taxichaufförer, om sin coronavirussmitta. Uppgiften kan också ges om den efterfrågas. Om den som ställer frågan inte sparar uppgiften, tillämpas dataskyddslagstiftningen inte på situationen. Den som ställer frågan får inte göra sig skyldig till diskriminering.

Till exempel i Sverige ska de som insjuknat i en allmänfarlig smittsam sjukdom berätta om sin smitta för dem som löper risk att bli smittade på grund av närkontakt. I Finland har smittade däremot inte motsvarande skyldighet. Enligt lagen om smittsamma sjukdomar är personen skyldig att informera läkaren som undersöker saken om smittan. Läkaren ska informeras om personens uppfattning om smittvägen, tidpunkten och platsen för smittan samt namnen på de personer som kan ha varit smittkälla eller som kan ha blivit smittade.

Den behandlande läkaren ska enligt lagen om smittsamma sjukdomar informera den läkare som i kommunen eller i samkommunen för sjukvårdsdistriktet ansvarar för smittsamma sjukdomar, om han eller hon får veta att patienten är insjuknad eller har varit insjuknad i en allmänfarlig smittsam sjukdom som kan medföra fara för smitta för andra personer. Läkaren som ansvarar för smittsamma sjukdomar har i detta fall utan att uppge smittkällan informera personen i fråga om att det finns en sannolik fara för smitta.

Personen som blivit smittad kan också själv berätta för önskade parter om smittan.

Dataskyddsregleringen tillämpas på uppgifter om virusinfektion eller exponering för viruset som antecknats i journalhandlingar. Om en sådan uppgift lämnas ut från hälso- och sjukvården till exempel till patientens anhöriga, är det fråga om utlämning av uppgifter som ingår i journalhandlingar till utomstående. Det är möjligt att lämna ut uppgifter som ingår i journalhandlingar på de grunder som föreskrivs i 13 § i lagen om patientens ställning och rättigheter (patientlagen).

Uppgifter som ingår i journalhandlingar får lämnas till utomstående med patientens skriftliga samtycke. Med skriftligt samtycke från patientens lagliga företrädare får uppgifter lämnas ut, om patienten inte har förutsättningar att bedöma betydelsen av ett samtycke. Dessutom får uppgifter om patientens person och hälsotillstånd lämnas till en nära anhörig till patienten eller någon annan patienten närstående då patienten är intagen för vård på grund av medvetslöshet eller av någon annan därmed jämförbar orsak, om det inte finns skäl att anta att patienten skulle förbjuda detta. Detta måste bedömas från fall till fall.

Om en patient på grund av mental störning eller psykisk utvecklingsstörning eller av någon annan orsak inte kan fatta beslut om vården eller behandlingen, ska hans lagliga företrädare, en nära anhörig eller någon annan närstående person höras före ett viktigt vårdbeslut i avsikt att utreda hurdan vård som bäst motsvarar patientens vilja. I detta fall ska denna persons samtycke inhämtas för vården. I en sådan situation har en patients nära anhörig rätt att få sådana uppgifter om patientens hälsotillstånd som behövs för att personen i fråga ska kunna höras och att samtycke ska kunna ges.

Hälso- och sjukvårdsorganisationen kan oavsett det ovan nämnda ge allmän information om till exempel besöksarrangemang, beredskap för COVID-19-epidemin eller åtgärder som anknyter till hantering av epidemin.

Dataskyddsregleringen tillämpas på uppgifter om virusinfektion eller exponering för viruset som antecknats i socialvårdens klientuppgifter. Om en sådan uppgift lämnas exempelvis till en anhörig till klienten, är det frågan om utlämning av klientuppgifter inom socialvården. I detta fall ska 14–16 § i lagen om klientens ställning och rättigheter inom socialvården (socialvårdens klientlag) följas i ärendet.

Enligt 16 i socialvårdens klientlag får uppgifter ur en sekretessbelagd handling lämnas ut med klientens uttryckliga samtycke eller så som särskilt bestäms i lag. Med ett samtycke från klientens lagliga företrädare får uppgifter lämnas ut, om klienten inte har förutsättningar att bedöma betydelsen av ett samtycke.                    

I 9 § i socialvårdens klientlag föreskrivs om självbestämmanderätt i specialsituationer. I en situation enligt paragrafen ska klientens vilja utredas i samråd med klientens lagliga företrädare, en anhörig eller någon annan närstående, när klienten inte ensam kan delta i och påverka planeringen och genomförandet av de tjänster som tillhandahålls klienten eller de andra åtgärder som anknyter till den socialvård som ges klienten.  Även i detta fall bör det observeras att uppgifter inte ens i en specialsituation som identifieras i denna lag får lämnas ut till anhöriga, om de inte uttryckligen hänför sig till anordnandet av de socialvårdstjänster för denna enskilda klient. Dessutom ska klientens förmåga att själv fatta beslut i saken vara väsentligt nedsatt för att paragrafen ska tillämpas. Den instans som ansvarar för socialvårdstjänster fastställer huruvida klientens situation uppfyller kriterierna enligt 9 § i socialvårdens klientlag.

Precis som i fråga om hälso- och sjukvårdsorganisationer kan även socialvården ge allmän information om till exempel besöksarrangemang, beredskap för COVID-19-epidemin eller åtgärder som anknyter till hantering av epidemin.

Enligt dataombudsmannens syn kan klientuppgifter användas för kartläggning, när kartläggningsuppgiften kan anses höra till uppgifterna för verksamhetsenheten inom hälso- och sjukvården och målet är att bedöma en persons vårdbehov.

Om personens önskan eller behov av att få tjänster som andra parter tillhandahåller framgår under kontakten, kan uppgifterna förmedlas till dessa parter med den berörda personens samtycke. I vissa fall kan det också vara möjligt att förmedla uppgiften med stöd av lag.

Behandlingen av personuppgifter som gäller kartläggningen ska planeras på förhand (Inbyggt dataskydd och dataskydd som standard enligt artikel 25 i EU:s allmänna dataskyddsförordning). Det bör särskilt säkerställas att de personer som deltar i kartläggningsuppgifterna beaktar omständigheter som gäller sekretess och uppgiftsminimering i sin verksamhet.

En organisation kan göra sådana avgöranden även under en pandemi. Pandemin är dock inte en grund för att låta bli att iaktta dataskyddsregleringen, utan den ska beaktas också under exceptionella förhållanden, då avgöranden som gäller behandling av personuppgifter görs.

När det gäller det valda medlet ska man fästa särskild vikt vid datasäkerheten, för att förhindra att uppgifterna hamnar hos utomstående. Enligt artikel 32 i EU:s allmänna dataskyddsförordning ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som gäller fysiska personers rättigheter och friheter.

Den personuppgiftsansvarige ska bedöma huruvida en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen ska göras om införandet av det nya kommunikationsmedlet.

Det finns skäl att dokumentera de åtgärder som vidtagits och avgöranden som gjorts för att fullgöra ansvarsskyldigheten.

EU:s allmänna dataskyddsförordning fastställer att ett dataskyddsombud inte kan sägas upp på grund av att hen har skött sina uppgifter. Dataskyddsförordningen innehåller inte särskilda bestämmelser om permitteringar. Därför tillämpas arbetsrättslig lagstiftning som regel på frågor som gäller permitteringar.

Om den allmänna dataskyddsförordningen kräver att organisationen utser ett dataskyddsombud, ska man iaktta skyldigheten även till exempel i en situation där personal permitteras.
Man kan inte göra undantag från kriterierna som den allmänna dataskyddsförordningen ställer på den som utnämns till dataskyddsombud i exempelvis permitteringssituationer.

Dataskyddsombudet ska ha kunskaper inom dataskyddslagstiftningen och beredskap att sköta uppgifterna som har direkt fastställts i förordningen. I bedömningen kan organisationen vid behov stöda sig på sina tidigare beslut om hur dataskyddsombudets vikariat har ordnats under semestertider på ett sätt som uppfyller kraven i dataskyddsförordningen.

Dataskyddsombudet är en intern expert på dataskydd inom organisationen, som följer upp behandlingen av personuppgifter inom organisationen och stöder och hjälper ledningen och personalen följa dataskyddslagstiftningen. I detta sammanhang uppmärksammar dataombudsmannens byrå att ett antal frågor rörande skyddet av personuppgifter har dykt upp under coronasituationen. Dataskyddsombudet har viktig kompetens för att känna igen dessa situationer och för att iaktta dataskyddslagstiftningen.

Osa sairaanhoitopiireistä on suositellut ravintoloille ja tapahtumajärjestäjille asiakkaiden yhteystietojen keräämistä, jotta yhteystietoja voidaan tarvittaessa käyttää koronavirustartuntojen ja -altistumisten jäljittämiseen.

Jos keräät tietoja, kiinnitä erityistä huomiota seuraaviin asioihin.

1. Varmista käsittelyperuste ja suostumuksen lainmukaisuus

Henkilötietojen käsittelylle on aina oltava jokin peruste. Viranomaisen suositus ei yksistään ole peruste käsitellä henkilötietoja.

Suomessa yrityksillä ei ole laissa säädettyä velvollisuutta kerätä yhteystietoja tartuntojen jäljittämiseen. Tietojen kerääminen on kuitenkin mahdollista rekisteröidyn suostumuksen perusteella. Se tarkoittaa, että asiakas saa itse päättää, haluaako hän antaa tietojaan ravintolalle tai tapahtuman järjestäjälle koronavirusaltistumisten jäljittämistä varten.

Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteisesti annettu. Asiakkaalle on kerrottava selkeästi, mihin tarkoitukseen tietoja kerätään. Asiakkaalla on myös oikeus kieltäytyä tietojensa antamisesta. Tietojen antamista ei voida pitää edellytyksenä esimerkiksi ravintolaan pääsylle.

Lisätietoa käsittelyperusteista
Lisätietoa rekisteröidyn suostumuksen pyytämisestä

2. Rajaa tietojen käyttötarkoitus

Tietoja saa käyttää vain tartuntaketjujen jäljittämiseen, ei esimerkiksi markkinointiin tai muuhun asiakasviestintään.

Lisätietoa käyttötarkoituksen rajaamisesta

3. Minimoi kerättävien tietojen määrä

Kerätä saa vain sellaisia tietoja, jotka ovat tarpeellisia tartuntojen jäljittämistä varten. Asiakkaalta voidaan kysyä esimerkiksi nimeä ja puhelinnumeroa. Myös yhteystieto ja alias -yhdistelmä voi riittää tartuntaketjujen jäljittämiseen.

Lisätietoa tietojen minimoinnista

4. Määritä tietojen säilytysaika

Tietoja saa käsitellä vain niin kauan, kun se on tarpeen tartuntaketjujen määrittämiseksi. Esimerkiksi Koronavilkun kohdalla tiedot säilytetään 21 päivän ajan, sen jälkeen tiedot hävitetään. Tiedot on hävitettävä huolellisesti, kun niitä ei enää tarvita.

Lisätietoa tietojen säilytysajan määrittämisestä

5. Toteuta rekisteröidyn oikeudet

Rekisteröidyillä on monia oikeuksia, joiden toteutuminen on varmistettava. Asiakkaille on kerrottava selkeästi ja kattavasti, miten ja mihin tarkoitukseen henkilötietoja aiotaan käsitellä. Asiakas voi myös perua suostumuksensa tietojen käsittelyyn, ja tiedot pitää poistaa, jos asiakas sitä pyytää.

Lisätietoa rekisteröidyn oikeuksista

6. Huolehdi tietojen turvallisesta käsittelystä

Tietoihin saavat päästä käsiksi vain sellaiset henkilöt, joiden työtehtäviin henkilötietojen käsittely liittyy.

Asiakkaita ei pidä ohjata jättämään yhteystietojaan siten, että muut asiakkaat voivat nähdä tiedot.

7. Kuvaa henkilötietojen käsittelyn roolit

Käsitteleekö jokin toinen taho tietoja ravintolan tai tapahtumanjärjestäjän lukuun esimerkiksi sovelluksen välityksellä? Silloin on laadittava käsittelysopimus.

Lisätietoa henkilötietojen käsittelijöistä
Lisätietoa henkilötietojen käsittelijän velvollisuuksista