MyFondia VirtualLawyer
23 marraskuuta, 2017

GDPR ja SOTE-tietojen käsittely – miten turvataan jatkossa riittävä yksityisyyden suoja?

Suomessa on kansainvälisesti arvioiden kattavat sosiaali- ja terveydenhuollon asiakasrekisterit, jotka sisältävät arvokasta henkilötasoista tietoa ihmisten terveydestä ja hyvinvoinnista. Sosiaali- ja terveydenhuollon palveluprosessin yhteydessä asiakkaista kerätään tietoja esimerkiksi hoidon ja hoivan, kuntoutuksen tai etuuden tarpeen arviointia sekä näihin liittyvää päätöksentekoa varten. Tällä hetkellä lainsäätäjä on ottamassa isoa askelta näiden tietovarantojen, todellisen kansallisen aarrearkun, saattamiseksi nykyistä laajempaan hyötykäyttöön.

Sosiaali- ja terveysministeriössä (STM) on loppusuoralla kokonaan uuden lain valmistelu liittyen sosiaali- ja terveystietojen (”sote-tietojen”) tietoturvalliseen hyödyntämiseen. Uutta lainsäädäntöä on valmisteltu pitkäjänteisesti ja yhtäaikaisesti EU:n tietosuojalainsäädännön uudistuksen kanssa ja yleisen tietosuoja-asetuksen (”GDPR”) sääntely huomioon ottaen. Jos uusi laki astuu suunnitellusti voimaan 1.1.2018, sote-tietoja voidaan jatkossa hyödyntää suoraan lain nojalla nykyistä laajemmin eri käyttötarkoituksissa.

GDPR, jota aletaan soveltaa 25.5.2018 alkaen, yhtenäistää koko EU:n tasolla henkilötietojen käsittelyä ja tietosuojaa koskevan sääntelyn. Asetus on suoraan ja sellaisenaan sovellettavaa oikeutta kaikissa jäsenvaltioissa. GDPR asettaa reunaehdot kansalliselle henkilötietojen käsittelyä ja tietosuojaa koskevalle lainsäädännölle, ja mahdollisessa ristiriitatilanteessa se menee kansallisen sääntelyn edelle.

Sote-tiedot lukeutuvat tietosuojasääntelyn mukaan arkaluonteisiin henkilötietoihin, joiden käsittelylle on säädetty erityisen tiukat vaatimukset. Sosiaali- ja terveydenhuollossa tulevaisuuden haasteena on vastata jatkuvasti kasvaviin tietotarpeisiin digitalisoituvassa maailmassa samalla turvaten riittävä yksilönsuoja – erityisesti arkaluonteisia sote-tietoja käsiteltäessä.

Mitkä arkaluonteiset tiedot?

Kaikenlaisten henkilötietojen käsittelylle on oltava jokin laissa säädetty käsittelyn oikeusperuste. Rekisterinpitäjän tulee tunnistaa, millä oikeusperusteella se missäkin tilanteessa käsittelee henkilötietoja ja siitä on informoitava rekisteröityä.

Jo vanhastaan henkilötietodirektiiviin (46/1995/EY) perustuva henkilötietolaki (523/1999) erottaa arkaluonteiset henkilötiedot omaksi eritysryhmäkseen, joiden käsittelylle asetetaan tavallisia henkilötietoja tiukemmat perusteet. Vaikka sääntely uudistuu GDPR:n ja sitä implementoivan kansallisen sääntelyn myötä, jo olemassa olevat sääntelyn perusperiaatteet säilyvät.

GDPR:n mukaan henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti. GDPR 9 artiklassa säädetään arkaluonteisia henkilötietoja (”erityisiä henkilötietoryhmiä”) koskevasta käsittelystä. Tällaisia erityisiin henkilötietoryhmiin lukeutuvia henkilötietoja ovat muun muassa terveyttä koskevat tiedot ja sellaiset tiedot, joista ilmenee henkilön rotu tai etninen alkuperä, seksuaalinen käyttäytyminen tai suuntautuminen sekä geneettiset ja biometriset tiedot. Lähtökohtaisesti tällaisten tietojen käsittely on kielletty . Käsittely on sallittua ainoastaan, jos GDPR:n yleisten käsittelyperusteiden lisäksi jokin 9 artiklassa säädetyistä erityisistä käsittelyn oikeusperusteista täyttyy.

Käsittely sallitaan ensinnäkin, jos henkilö on antanut nimenomaisen suostumuksen henkilötietojensa käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten . Käsittely on sallittua myös muun muassa rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. GDPR jättää jäsenvaltioille liikkumavaraa siltä osin, että kansallisessa sääntelyssä voidaan asettaa lisäehtoja tai rajoituksia geneettisten tietojen, biometristen tietojen ja terveystietojen käsittelystä.

Henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty , on sallittua vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty (ns. käyttötarkoitussidonnaisuuden periaate). Myöhempää käsittelyä yleisen edun mukaisiin arkistointitarkoituksiin tai tieteellisiä tai historiallisia tutkimustarkoituksia varten taikka tilastollisiin tarkoituksiin pidetään GDPR:n mukaan yhteensopivana ja laillisena. Lisäksi unionin tai jäsenvaltion kansallisen lainsäädännön tarjoama oikeusperuste voi muodostaa oikeusperusteen myöhemmälle käsittelylle.

GDPR asettaa arkaluonteisia henkilötietoja käsitteleville organisaatioille myös erityisiä velvoitteita. Sote-organisaatioiden tulee nimittää jatkossa tietosuojavastaava , jos sen ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu GDPR:n tarkoittamiin erityisiin henkilötietoryhmiin.

Sote-tietojen hyödyntämisen rajat ja mahdollisuudet tulevaisuudessa

Sote-tietojen tietoturvallista hyödyntämistä koskevan lakiesityksen tarkoitus on mahdollistaa sosiaali- ja terveydenhuollon palvelutoiminnassa kertyvien asiakastietojen käsittely myös muissa kuin niissä ensisijaisissa käyttötarkoituksissa, joita varten tiedot on alun perin kerätty. Tällaisia myöhempiä ns. toissijaisia käyttötarkoituksia tietojen hyödyntämiselle ovat tilastointi, tutkimus, kehittämis- ja innovaatiotoiminta, opetus, tietojohtaminen, viranomaisohjaus ja -valvonta sekä viranomaisen suunnittelu- ja selvitystehtävät.

Uuden lain säätämiselle on selkeä tilaus. Tähän asti edellä mainituissa käsittelyn tarkoituksissa on jouduttu kääntymään eri rekisterinpitäjien puoleen tietojen saamiseksi. Tietojen luovutus on perustunut eri laeissa hajallaan oleviin säännöksiin. Käyttölupahakemusten rinnakkaiset käsittelyprosessit ovat osoittautuneet hitaiksi ja viranomaisten resursseja kuormittaviksi. Lakiesityksen tavoite on purkaa lupakäsittelyyn liittyvää hallinnollista taakkaa ja samalla sujuvoittaa olennaisesti lupakäsittelyn sekä eri rekistereiden tietojen yhdistelyyn liittyvää prosessia. Tämä mahdollistettaisiin keskitetyllä sähköisellä lupamenettelyllä, jolloin tarvittavat tiedot saataisiin hyötykäyttöön yhdeltä lupaviranomaiselta ”one stop shop” -periaatteella. Lupaviranomaisena toimisi Terveyden ja hyvinvoinninlaitos (THL).

Taustalla henkilötietojen käsittelyä koskevat perusperiaatteet

Sote-kenttä elää jatkuvassa muutostilassa ja uutta lainsäädäntöä annetaan vastaamaan myös datan käsittelyä koskeviin tarpeisiin. Tästä huolimatta jatkossakin sote-toimijoiden tulisi pitää mielessä henkilötietojen käsittelyä koskevan sääntelyn perusperiaatteet pohdittaessa, missä roolissa he kulloinkin toimivat sote-tietojen käsittelyssä.

Sote-tietoja käsittelevän tahon (esimerkiksi maakunnan tai yksityisen palveluntuottajan) tulisi tunnistaa oma roolinsa henkilötietojen käsittelyssä. Keskeistä on hahmottaa, kuka on rekisterinpitäjä ja kuka mahdollisesti henkilötietojen käsittelijä , jolle henkilötietojen käsittely on osin tai kokonaan ulkoistettu. Rekisterinpitäjä on se taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta ja lukuun rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti. GDPR edellyttää, että rekisterinpitäjän ja henkilötietojen käsittelijän välistä suhdetta säännellään sopimuksella tai ”muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla”, jossa tulee erityisesti säätää GDPR 28 artiklassa luetellut asiat.

Uuden sote-tietojen hyödyntämistä koskevan lain haasteena on ollut luoda yhtäaikaisesti mahdollistava sääntelykehys datan hyödyntämiseksi vastaten samalla GDPR:n sääntelyn vaatimuksiin siten, että taataan riittävä tietosuojan ja tietoturvan taso. Eräs mielenkiintoinen näkökulma lakiesityksessä on kysymys siitä, onko ainoastaan rekisterinpitäjällä oikeus hyödyntää omien rekistereidensä henkilötietoja lakiesityksen tarkoittamissa ns. toissijaisissa käyttötarkoituksissa vai onko tämä oikeus myös henkilötietojen käsittelijällä, joka käsittelee sote-tietoja toimeksiannon perusteella rekisterinpitäjän lukuun. Vasta lain voimaantulon ja soveltamiskäytännön myötä jää nähtäväksi, miten lakia tulkitaan harmoniassa GDPR:n kanssa.