Huom!
Lainsäädäntöä ollaan uudistamassa
Lainsäädäntö-osio perustuu pääosin 25. toukokuuta 2018 alkaen sovellettavaan EU:n tietosuoja-asetukseen. Tietosuoja-asetus vahvistaa rekisteröidyn oikeuksia ja asettaa henkilötietojen käyttäjälle uusia velvoitteita, jotka poikkeavat voimassaolevasta lainsäädännöstä.

Henkilötietojen käsittelyä säätelevä henkilötietolaki aiotaan korvata tietosuoja-asetuksen voimaantulon myötä kansallisella tietosuojalailla. Hyvinvointi- ja terveystietojen tutkimuskäyttöön vaikuttaa tietosuoja-asetuksen ohella se, miten kansallisessa tietosuojalaissa tullaan käyttämään tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa.
Lue lisää kansallisen tietosuojalain valmistelusta ».

Suomessa on kansallisen tietosuojalain ohella valmisteilla myös sosiaali- ja terveystietojen toissijaista käyttöä koskevaa uutta lainsäädäntöä, jonka tarkoituksena on laajentaa ja helpottaa tietojen käyttöä.
Lue lisää sosiaali- ja terveystietojen toisssijaista käyttöä koskevasta uudistuksesta ».

EU:n tietosuoja-asetuksessa korostetaan henkilötietojen käytön avoimuutta ja yksilön mahdollisuutta vaikuttaa henkilötietojensa käyttöön.

Yksiselitteisimmin avoimuuden ja itsemääräämisoikeuden periaatetta voidaan toteuttaa pyytämällä henkilötietojen käyttöön tutkittavien suostumus, joka perustuu riittävän yksityiskohtaiseen kuvaukseen henkilötietojen käyttötarkoituksesta. Tietyissä tapauksissa tutkimusta ei voida suorittaa ilman tutkittavan suostumusta.

EU:n tietosuoja-asetuksessa määritellyt rekisteröidyn oikeudet on otettava soveltuvin osin huomioon yksilötasoisten hyvinvointi- ja terveystietojen tutkimuskäytössä riippumatta siitä käytetäänkö henkilötietoja suostumuksella tai jollakin muulla perusteella.

Avaa kaikki / Sulje kaikki

Henkilötietojen käyttö suostumuksen perusteella

Rekisteröidyn antama suostumus on yksi EU:n tietosuoja-asetuksen (artikla 6) määrittelemistä perusteista henkilötietojen lainmukaiselle käsittelylle. Tutkittavan suostumus tarvitaan, jos kyse on lääketieteellisestä tutkimuksesta tai jos tutkimuksessa aiotaan yhdistää esimerkiksi kyselytutkimuksella kerättäviä tietoja rekistereistä tai muista lähteistä poimittaviin tietoihin. Muissa tapauksissa yksilötasoisten hyvinvointi- ja terveystietojen tutkimuskäyttö on usein mahdollista ilman tutkittavilta erikseen pyydettävää suostumustakin.

§EU:n tietosuoja-asetus » | sovelletaan 25. toukokuuta 2018 alkaen

Suostumus ja nimenomainen suostumus

EU:n tietosuoja-asetuksen (johdanto-osa 32) mukaan suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Suostumus on annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, sähköisellä tai suullisella lausumalla ja sen on katettava kaikki käsittelytarkoitukset.

Arkaluontoisten henkilötietojen käsittelyn osalta suostumuksen on oltava lisäksi nimenomainen (artikla 9), minkä voidaan katsoa tarkoittavan ainakin käyttötarkoituksen selkeää yksilöintiä ja suostumuksen saamista pääsääntöisesti kirjallisena. Henkilötietojen tutkimuskäytön osalta käyttötarkoituksen yksilöinnistä on mahdollista poiketa, mikäli käyttötarkoitusta ei voida vielä täysin määrittää tutkimuksen aineistoa kerättäessä. Tutkittava voisi tällöin antaa suostumuksensa ainoastaan tietyille tutkimusaloille tai tutkimushankkeiden osille.

Suostumuksen edellytykset

Jos tietoja käsitellään suostumuksen perusteella (artikla 7), on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojensa käyttöön. Suostumukseen perustuvassa käsittelyssä on myös otettava huomioon, että rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa ja rekisteröidylle on ilmoitettava tästä oikeudesta suostumuksen pyytämisen yhteydessä. Suostumuksen peruuttaminen ei kuitenkaan vaikuta ennen suostumuksen peruuttamista suoritetun henkilötietojen käsittelyn lainmukaisuuteen.

Lue lisää
  • EU:n tietosuojaviranomaisista koostuvan WP29-työryhmän on tarkoitus julkistaa lisäohjeita suostumuksesta viimeistään helmikuussa 2018.

Tutkittavan informointi ja oikeudet

EU:n tietosuoja-asetuksessa on säädetty useista rekisteröidylle kuuluvista oikeuksista (3. luku, artiklat 12-23), jotka suojaavat yksilön informointia ja mahdollisuutta vaikuttaa henkilötietojen käyttöön. Tässä osiossa käsitellään rekisteröidyn oikeuksia siltä osin kuin ne koskevat yksilötasoisten hyvinvointi- ja terveystietojen käyttöä.

§EU:n tietosuoja-asetus » | sovelletaan 25. toukokuuta 2018 alkaen

Läpinäkyvä informointi henkilötietojen käytön perustana (artiklat 12-14)

Rekisteröidyllä on EU:n tietosuoja-asetuksen nojalla oikeus tietää henkilötietojensa käytöstä. Tiedonsaantioikeus koskee myös henkilötietojen tutkimuskäyttöä. Asetuksessa on säädetty erikseen mitä tietoja rekisteröidyille on toimitettava silloin, kun henkilötietoja kerätään rekisteröidyltä (artikla 13) ja mitä tietoja silloin, kun tietoja ei ole saatu rekisteröidyltä suoraan (artikla 14). Toimitettavat tiedot koskevat muun muassa henkilötietojen rekisterinpitäjää ja käyttötarkoitusta sekä rekisteröidylle kuuluvia oikeuksia.

Tutkimuskäytön osalta tiedonsaantioikeutta voidaan rajoittaa, jos tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa ottaen huomioon rekisteröityjen määrä, tietojen ikä ja mahdollisesti hyväksytyt asianmukaiset suojatoimet. Jos tietoja kerätään esimerkiksi vain rekistereistä tutkimuskäyttöä varten ilman, että tutkittaviin ollaan yhteydessä, ei tietojen keräämisestä tarvitse erikseen ilmoittaa tutkittaville. Tällaisissa tapauksissa on kuitenkin huolehdittava siitä, että tietosuoja-asetuksessa mainitut rekisteröidylle toimitettavat tiedot ovat julkisesti saatavilla.

Tarkastusoikeus (artikla 15)

Rekisteröidyllä on EU:n tietosuoja-asetuksen nojalla oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö hänen henkilötietojaan ja jäljennös rekisteröityä koskevista henkilötiedoista, joita rekisterinpitäjä mahdollisesti käsittelee. Rekisterinpitäjän on lisäksi annettava tietoja muun muassa henkilötietojen käsittelytarkoituksesta ja rekisteröidylle kuuluvista oikeuksista.

Oikeus tietojen oikaisemiseen ja oikeus vastustaa tietojen käsittelyä (artiklat 16 ja 21)

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröidyllä on myös oikeus vastustaa henkilötietojensa käsittelyä, jonka lainmukaisuuden perusteena on yleistä etua koskevan tehtävän suorittaminen tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Rekisterinpitäjän on osoitettava huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, jotta rekisteröidyn henkilötietojen käsittelyä voidaan jatkaa.

Oikeus käsittelyn rajoittamiseen (artikla 18)

Rekisteröity voi vaatia rekisterinpitäjää rajoittamaan henkilötietojensa käsittelyä ajaksi, jonka kuluessa rekisterinpitäjä selvittää rekisteröidyn esittämää vaadetta henkilötietojensa oikaisemisesta tai perusteita jatkaa rekisteröidyn henkilötietojen käsittelyä rekisteröidyn vastustuksesta huolimatta.

Rekisteröidyn oikeuksiin tehtävät rajoitukset, kun henkilötietoja käytetään tutkimuksessa (artikla 89)

EU:n tietosuoja-asetus mahdollistaa tiettyjen rekisteröidyn oikeuksien rajoittamisen kansallisella lainsäädännöllä, kun henkilötietoja käytetään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Rajoituksia rekisteröidyn oikeuksiin voidaan tehdä siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.