Usein kysyttyä toisiolaista
Tietolupakäsittelystä vastaavat viranomaiset
Sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019, ”toisiolaki”) 53 §:n mukaan tietolupakäsittelystä vastaavien viranomaisten on toimitettava vähintään kerran vuodessa toisiolain nojalla suorittamastaan tietojen käsittelystä ja lokirekisteriin tallennettujen tietojen käsittelystä yksityiskohtainen selvitys tietosuojavaltuutetulle.
Selvitysvelvollisuudella pyritään turvaamaan käsittelyn laillisuutta ja rekisteröityjen oikeusturvaa. Sen on tarkoitus toimia yleisen tietosuoja-asetuksen mukaisena rekisteröidyn oikeuksia ja vapauksia turvaavana suojatoimena.
Lue lisää:
Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (toisiolaki) Finlexissä
Selvitysvelvollisuus koskee tietolupakäsittelystä vastaavia viranomaisia, joita ovat toisiolain 6 §:n mukaan
- Tietolupaviranomainen eli Findata
- sosiaali- ja terveysministeriö
- Terveyden ja hyvinvoinnin laitos
- Kansaneläkelaitos
- Sosiaali- ja terveysalan lupa- ja valvontavirasto eli Valvira
- aluehallintovirastot
- Työterveyslaitos
- Lääkealan turvallisuus- ja kehittämiskeskus eli Fimea
- sosiaali- ja terveydenhuollon julkiset palvelunjärjestäjät
- Tilastokeskus
- Eläketurvakeskus
- Digi- ja väestötietovirasto
Jos organisaatio on siirtänyt tietolupien käsittelyyn liittyvän vastuunsa toisiolain 11 §:n 3 momentissa säädetyllä tavalla Tietolupaviranomaiselle (Findata), kyseisen organisaation ei enää ole tarpeen antaa toisiolain 53 §:n mukaista selvitystä tietosuojavaltuutetulle.
Selvitys on toimitettava tietosuojavaltuutetun toimistolle vähintään kerran vuodessa.
Selvitys voi kattaa esimerkiksi yhden kalenterivuoden. Se voi kattaa myös lyhyemmän ajanjakson tai kahdelle eri kalenterivuodelle kohdistuvan ajanjakson. Selvitysten on kuitenkin katettava henkilötietojen käsittely ajallisesti kokonaisuudessaan. Selvityksen toimittamiselle ei ole erityistä määräaikaa.
Selvitys voidaan toimittaa tietosuojavaltuutetun toimiston kirjaamoon sähköpostitse osoitteeseen tietosuoja(at)om.fi tai postitse osoitteeseen Tietosuojavaltuutetun toimisto, PL 800, 00531 Helsinki.
Selvitys koskee toisiolain nojalla suoritettavaa tietojen käsittelyä ja lokirekisteriin tallennettujen tietojen käsittelyä. Selvityksen on oltava yksityiskohtainen.
Selvityksessä tulisi tuoda esille ainakin seuraavat seikat selvityksen kattamalta ajanjaksolta:
- Kuinka monta tietolupahakemusta tietolupakäsittelystä vastaava viranomainen on kunkin toisiolain 2.1 §:n mukaisen käyttötarkoituksen osalta hyväksynyt, kuinka monta hylännyt? Jos tietolupahakemus on hylätty, millä perusteilla se on hylätty?
- Kuinka monen tietoluvan perusteella tietolupakäsittelystä vastaava viranomainen on luovuttanut tietoja anonymisoituna? (Toisiolain 14.1 §, 14.2 §, 51.1 § ja 51.2 §)
- Kuinka monen tietoluvan perusteella tietolupakäsittelystä vastaava viranomainen on siirtänyt henkilötietoja kolmansiin maihin? Jos henkilötietoja on siirretty, millä tietosuoja-asetuksen V luvun mukaisella siirtoperusteella tietoja on siirretty ja mihin maahan? Jos henkilötietoja on siirretty tietosuoja-asetuksen 46 artiklan perusteella, onko siirrossa arvioitu mahdollisten täydentävien suojatoimien tarve? Mitä täydentäviä suojatoimia siirrossa on mahdollisesti käytetty?
- Millä tavoin tietolupakäsittelystä vastaava viranomainen varmistuu siitä, että tietoluvan perusteella luovutetaan vain käyttötarkoituksen kannalta tarpeelliset henkilötiedot (tietosuoja-asetuksen 5.1.c artikla)?
- Millä tavoin tietolupakäsittelystä vastaava viranomainen varmistuu siitä, että tietoluvan perusteella luovutetaan suostumuksen perusteella kerättyjä tietoja vain suostumuksessa asetettujen ehtojen mukaisesti? (Toisiolain 43.3 §)
- Jos tietolupakäsittelystä vastaava viranomainen luovuttaa tietoluvan perusteella henkilötietoja itse ylläpitämäänsä tietoturvalliseen käyttöympäristöön, laaditaanko henkilötietojen käsittelystä sopimus tai muu oikeudellinen asiakirja? Jos sopimusta tai muuta oikeudellista asiakirjaa ei laadita, millä perusteilla sitä ei laadita? (Tietosuoja-asetuksen 28.3 artikla)
- Informoiko tietolupakäsittelystä vastaava viranomainen rekisteröityjä toisiolain nojalla suoritettavasta henkilötietojen käsittelystä, käsittelyn oikeusperusteesta, käsittelyyn mahdollisesti liittyvästä henkilötietojen siirrosta, henkilötietojen säilytysajasta sekä rekisteröityjen käytettävissä olevista oikeuksista? (Tietosuoja-asetuksen 13–14 artikla)
- Millä tavoin tietolupakäsittelystä vastaava viranomainen helpottaa tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien käyttämistä toisiolain nojalla suoritettavan henkilötietojen käsittelyn osalta? (Tietosuoja-asetuksen 12.2 artikla)
- Millä tavoin tietolupakäsittelystä vastaava viranomainen huolehtii toisiolain nojalla suoritettavan henkilötietojen käsittelyn riittävästä tietoturvallisuudesta? (Toisiolain 18 § ja tietosuoja-asetuksen 32 artikla)
- Millä tavoin tietolupakäsittelystä vastaava viranomainen varmistuu siitä, että tietoluvan saaja käsittelee luovutettavia henkilötietoja henkilötietojen suojaa koskevien säännösten mukaisesti?
- Millä tavoin tietolupakäsittelystä vastaava viranomainen seuraa ja valvoo myöntämänsä tietoluvan ehtojen noudattamista? Onko tietolupakäsittelystä vastaava viranomainen ryhtynyt myöntämänsä tietoluvan perusteella mahdollista lainvastaista henkilötietojen käsittelyä koskeviin toimenpiteisiin ja jos on, mihin toimenpiteisiin? Onko tietolupakäsittelystä vastaava viranomainen peruuttanut myöntämänsä tietoluvan ja jos on, millä perusteilla? (Toisiolain 43.4 § ja 56.3 §)
- Millä tavoin tietolupakäsittelystä vastaava viranomainen huolehtii lokitietojen keräämisestä, kun se käsittelee henkilötietoja toisiolain mukaista lupaharkintaa, päätöksentekoa tai tietojen luovuttamista varten? (Toisiolain 19.1 §)
- Millä tavoin tietolupakäsittelystä vastaava viranomainen huolehtii lokitietojen keräämisestä, kun se käsittelee henkilötietoja tietojohtamisen käyttötarkoitusta varten? (Toisiolain 19.3 §)
- Millä tavoin tietolupakäsittelystä vastaava viranomainen huolehtii toisiolain nojalla kerättävien lokitietojen hävittämisestä tai arkistoimisesta? (Toisiolain 19.4 §)
Tietolupaviranomaisen tulisi antamassaan selvityksessä edellä mainittujen tietojen lisäksi tuoda esille ainakin seuraavat seikat selvityksen kattamalta ajanjaksolta:
- Mitkä toisiolain 6 §:n 1–8 kohdassa tarkoitetut organisaatiot ovat ilmoittaneet Tietolupaviranomaiselle, että ne luopuvat muiden kuin toisiolain 10 §:n 1 ja 2 kohdassa tarkoitettujen palvelujen (tietoaineistojen kuvaukset tai neuvontapalvelu) ylläpitämisestä? (Toisiolain 11.3 §)
- Kuinka monta tietopyyntöä Tietolupaviranomainen on kunkin toisiolain 2.1 §:n mukaisen käyttötarkoituksen osalta hyväksynyt ja kuinka monta hylännyt? Jos tietopyyntö on hylätty, millä perusteilla se on hylätty? (Toisiolain 43.5 § ja 45 §)
- Kuinka monen tietoluvan perusteella Tietolupaviranomaiselle on toimitettu toisiolain 6 §:n 1–8 kohdassa tarkoitettujen organisaatioiden toimesta henkilötietoja anonymisoitavaksi? (Toisiolain 14.2 § ja 51.2 §)
- Kuinka monen tietoluvan perusteella Tietolupaviranomainen on varmistanut julkaistavien tietojen anonymisoinnin? Kuinka monen tietoluvan perusteella Tietolupaviranomainen on myöntänyt luvansaajalle oikeuden anonymisoida julkaistavat tiedot itse? Millä perusteilla oikeus tietojen anonymisointiin on luvansaajalle myönnetty? (Toisiolain 52 §)
- Mitä valmisaineistoja Tietolupaviranomainen on muodostanut? Kuinka monen tietoluvan tai tietopyynnön perusteella valmisaineistojen tietoja on luovutettu? (Toisiolain 14.5 §)