Vanliga frågor om lagen om sekundär användning
Myndigheter som ansvarar för behandlingen av dataanvändningstillstånd
Enligt 53 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019, ”lagen om sekundär användning”) ska de myndigheter som ansvarar för behandlingen av dataanvändningstillstånd minst en gång om året lämna dataombudsmannen en detaljerad redogörelse för behandlingen av uppgifter med stöd av lagen om sekundär användning och för behandlingen av uppgifter som registrerats i loggregistret.
Genom redogörelseskyldigheten strävar man efter att trygga behandlingens laglighet och de registrerades rättsskydd. Syftet är att den ska fungera som en skyddsåtgärd enligt den allmänna dataskyddsförordningen som tryggar den registrerades rättigheter och friheter.
Läs mer:
Lagen om sekundär användning av personuppgifter inom social- och hälsovården i Finlex
Redogörelseskyldigheten gäller de myndigheter som ansvarar för behandlingen av dataanvändningstillstånd, vilka enligt 6 § i lagen om sekundär användning är
- tillståndsmyndigheten, det vill säga Findata
- social- och hälsovårdsministeriet
- Institutet för hälsa och välfärd
- Folkpensionsanstalten
- Tillstånds- och tillsynsverket för social- och hälsovården (Valvira)
- regionförvaltningsverken
- Arbetshälsoinstitutet
- Säkerhets- och utvecklingscentret för läkemedelsområdet (Fimea)
- offentliga serviceanordnare inom social- och hälsovården
- Statistikcentralen
- Pensionsskyddscentralen
- Myndigheten för digitalisering och befolkningsdata.
Om en organisation har överfört sitt ansvar för behandlingen av dataanvändningstillstånd till Tillståndsmyndigheten (Findata) på det sätt som föreskrivs i 11 § 3 mom. i lagen om sekundär användning, behöver organisationen i fråga inte längre lämna en redogörelse enligt 53 § i lagen om sekundär användning till dataombudsmannen.
En redogörelse ska lämnas till dataombudsmannens byrå minst en gång om året.
Utredningen kan till exempel omfatta ett kalenderår. Den kan också omfatta en kortare tidsperiod eller en tidsperiod som sträcker sig över två olika kalenderår. Redogörelserna ska dock tidsmässigt täcka behandlingen av personuppgifter i sin helhet. Det finns ingen särskild tidsfrist för att lämna redogörelsen.
Redogörelsen kan skickas till registratorskontoret vid dataombudsmannens byrå per e-post till adressen tietosuoja(at)om.fi eller per post till adressen Dataombudsmannens byrå, PB 800, 00531 Helsingfors.
Redogörelsen gäller behandling av uppgifter med stöd av lagen om sekundär användning och behandling av uppgifter som registrerats i loggregistret. Redogörelsen ska vara detaljerad.
Av redogörelsen ska framgå åtminstone följande uppgifter om den tidsperiod som redogörelsen omfattar:
- Hur många ansökningar om dataanvändningstillstånd har den myndighet som ansvarar för behandlingen av dataanvändningstillstånd godkänt för varje användningsändamål enligt 2 § 1 mom. i lagen om sekundär användning, hur många har avslagits? Om en ansökan om dataanvändningstillstånd har avslagits, på vilka grunder har den avslagits?
- På basis av hur många dataanvändningstillstånd har den myndighet som ansvarar för behandlingen av dataanvändningstillstånd lämnat ut anonymiserade uppgifter? (14 § 1 mom., 14 § 2 mom., 51 § 1 mom. och 51 § 2 mom. i lagen om sekundär användning)
- På basis av hur många dataanvändningstillstånd har den myndighet som ansvarar för behandlingen av dataanvändningstillstånd överfört personuppgifter till tredjeländer? Om personuppgifter har överförts, på vilka grunder enligt kapitel V i dataskyddsförordningen har uppgifterna överförts och till vilket land? Om personuppgifter har överförts med stöd av artikel 46 i dataskyddsförordningen, har behovet av eventuella kompletterande skyddsåtgärder bedömts vid överföringen? Vilka kompletterande skyddsåtgärder har eventuellt använts vid överföringen?
- På vilket sätt säkerställer den myndighet som ansvarar för behandlingen av dataanvändningstillstånd att endast personuppgifter som är nödvändiga med tanke på användningsändamålet lämnas ut med stöd av dataanvändningstillståndet (artikel 5.1.c i dataskyddsförordningen)?
- På vilket sätt försäkrar sig den myndighet som ansvarar för behandlingen av dataanvändningstillståndet om att uppgifter som samlats in med stöd av den registrerades samtycke lämnas ut endast i enlighet med villkoren i samtycket? (Lagen om sekundär användning, 43 § 3 mom.)
- Om den myndighet som ansvarar för behandlingen av dataanvändningstillstånd med stöd av dataanvändningstillståndet lämnar ut personuppgifter i en informationssäker driftmiljö som myndigheten själv upprätthåller, upprättas ett avtal eller någon annan rättsakt om behandlingen av personuppgifter? Om inget avtal eller någon annan rättsakt upprättas, på vilka grunder upprättas dessa inte? (Artikel 28.3 i dataskyddsförordningen)
- Informerar den myndighet som ansvarar för behandlingen av dataanvändningstillstånd de registrerade om behandlingen av personuppgifter med stöd av lagen om sekundär användning, den rättsliga grunden för behandlingen, eventuell överföring av personuppgifter i samband med behandlingen, tiden för bevaring av personuppgifter samt de rättigheter de registrerade har tillgång till? (Artikel 13–14 i dataskyddsförordningen)
- På vilket sätt underlättar den myndighet som ansvarar för behandlingen av dataanvändningstillstånd utövandet av den registrerades rättigheter enligt dataskyddsförordningen i fråga om behandling av personuppgifter med stöd av lagen om sekundär användning? (Artikel 12.2 i dataskyddsförordningen)
- På vilket sätt sörjer den myndighet som ansvarar för behandlingen av dataanvändningstillstånd för en tillräcklig informationssäkerhet vid behandlingen av personuppgifter med stöd av lagen om sekundär användning? (18 § i lagen om sekundär användning och artikel 32 i dataskyddsförordningen)
- På vilket sätt försäkrar sig den myndighet som ansvarar för behandlingen av dataanvändningstillstånd om att de som beviljas dataanvändningstillstånd behandlar de personuppgifter som lämnas ut i enlighet med bestämmelserna om skydd av personuppgifter?
- På vilket sätt följer och övervakar den myndighet som ansvarar för behandlingen av dataanvändningstillstånd att villkoren i det beviljade dataanvändningstillståndet följs? Har den myndighet som ansvarar för behandlingen av dataanvändningstillstånd med stöd av det datatillstånd som myndigheten i fråga beviljat vidtagit åtgärder vid eventuell lagstridig behandling av personuppgifter och i så fall vilka åtgärder? Har den myndighet som ansvarar för behandlingen av dataanvändningstillstånd återkallat ett beviljat datatillstånd och i så fall på vilka grunder? (43 § 4 mom. och 56 § 3 mom. i lagen om sekundär användning)
- På vilket sätt sörjer den myndighet som ansvarar för behandlingen av dataanvändningstillstånd för insamlingen av logguppgifter när den behandlar personuppgifter för tillståndsprövning, beslutsfattande eller utlämnande av uppgifter enligt lagen om sekundär användning? (Lagen om sekundär användning, 19 § 1 mom.)
- På vilket sätt sörjer den myndighet som ansvarar för behandlingen av dataanvändningstillstånd insamlingen av logguppgifter när den behandlar personuppgifter och informationsledning är användningsändamålet? (Lagen om sekundär användning, 19 § 3 mom.)
- På vilket sätt sörjer den myndighet som ansvarar för behandlingen av dataanvändningstillstånd för att de logguppgifter som samlas in med stöd av lagen om sekundär användning förstörs eller arkiveras? (Lagen om sekundär användning, 19 § 4 mom.)
Tillståndsmyndigheten ska i sin redogörelse utöver ovan nämnda uppgifter lyfta fram åtminstone följande omständigheter för den tidsperiod som redogörelsen omfattar:
- Vilka organisationer som avses i 6 § 1–8 punkten i lagen om sekundär användning har meddelat Tillståndsmyndigheten att de avstår från att tillhandahålla andra tjänster än de som avses i 10 § 1 och 2 punkten i lagen om sekundär användning (beskrivningar av datamaterial eller rådgivningstjänst)? (Lagen om sekundär användning, 11 § 3 mom.)
- Hur många begäranden om information har Tillståndsmyndigheten godkänt för varje användningsändamål enligt 2 § 1 mom. i lagen om sekundär användning och hur många har avslagits? Om en begäran om information har avslagits, på vilka grunder har den avslagits? (43 § 5 mom. och 45 § i lagen om sekundär användning)
- På basis av hur många dataanvändningstillstånd har de organisationer som avses i 6 § 1–8 punkten i lagen om sekundär användning skickat personuppgifter till Tillståndsmyndigheten för anonymisering? (14 § 2 mom. och 51 § 2 mom. i lagen om sekundär användning)
- På basis av hur många dataanvändningstillstånd har Tillståndsmyndigheten säkerställt att de uppgifter som publiceras har anonymiserats? På basis av hur många dataanvändningstillstånd har Tillståndsmyndigheten beviljat tillståndshavaren rätt att själv anonymisera de uppgifter som publiceras? På vilka grunder har tillståndshavaren beviljats rätt att anonymisera uppgifterna? (52 § i lagen om sekundär användning)
- Vilka färdiga datamaterial har Tillståndsmyndigheten utformat? På basis av hur många dataanvändningstillstånd eller begäranden om information har information lämnats ut ur de färdiga datamaterialen? (Lagen om sekundär användning, 14 § 5 mom.)