Huom!
Lainsäädäntöä ollaan uudistamassa
Lainsäädäntö-osio perustuu pääosin 25. toukokuuta 2018 alkaen sovellettavaan EU:n tietosuoja-asetukseen. Tietosuoja-asetus vahvistaa rekisteröidyn oikeuksia ja asettaa henkilötietojen käyttäjälle uusia velvoitteita, jotka poikkeavat voimassaolevasta lainsäädännöstä.

Henkilötietojen käsittelyä säätelevä henkilötietolaki aiotaan korvata tietosuoja-asetuksen voimaantulon myötä kansallisella tietosuojalailla. Hyvinvointi- ja terveystietojen tutkimuskäyttöön vaikuttaa tietosuoja-asetuksen ohella se, miten kansallisessa tietosuojalaissa tullaan käyttämään tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa.
Lue lisää kansallisen tietosuojalain valmistelusta ».

Suomessa on kansallisen tietosuojalain ohella valmisteilla myös sosiaali- ja terveystietojen toissijaista käyttöä koskevaa uutta lainsäädäntöä, jonka tarkoituksena on laajentaa ja helpottaa tietojen käyttöä.
Lue lisää sosiaali- ja terveystietojen toisssijaista käyttöä koskevasta uudistuksesta ».

Tietosuojasta huolehtiminen on edellytys tutkittavien luottamuksen ylläpitämiseksi ja tietojen saannin turvaamiseksi myös tulevaisuudessa. EU:n tietosuoja-asetuksessa on säädetty rekisterinpitäjälle velvoitteita, jotka suojaavat rekisteröidyn yksityisyyttä ja oikeuksia. Tietosuojan toteuttamiseen liittyvillä ennakollisilla toimenpiteillä rekisterinpitäjä voi myös osoittaa noudattavansa EU:n tietosuoja-asetuksessa määriteltyjä henkilötietojen käsittelyä koskevia periaatteita.

Avaa kaikki / Sulje kaikki

Vaikutustenarviointi ja ennakkokuuleminen

Henkilötietojen käsittelyä tulee lähestyä riskiperusteisesti ja arvioida EU:n tietosuoja-asetuksen asettamia velvoitteita ja suojatoimia suhteessa henkilötietojen käsittelystä rekisteröidylle aiheutuviin riskeihin. Jos henkilötietojen käsittelystä todennäköisesti aiheutuu korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi ennen käsittelyn aloittamista.

§EU:n tietosuoja-asetus » | sovelletaan 25. toukokuuta 2018 alkaen

Vaikutustenarvioinnissa tarkastellaan erityisesti suunniteltuja toimenpiteitä ja suojatoimia, joiden avulla henkilötietojen käsittelyyn kohdistuvaa riskiä voidaan pienentää. Vaikutustenarvioinnille ei ole säädetty määrämuotoista menettelyä. EU:n tietosuoja-asetuksen (artikla 35) mukaisesti siihen on kuitenkin sisällytettävä vähintään seuraavat asiat:

1
järjestelmällinen kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista
2
arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden
3
arvio henkilön oikeuksille ja vapauksille kohdistuvista riskeistä
4
suunnitellut toimenpiteet riskeihin puuttumiseksi
Milloin vaikutustenarviointi tulee tehdä?

EU:n tietosuoja-asetuksen voimaantulon myötä perustettava kansallinen tietosuojaviranomainen tulee julkaisemaan listan käsittelytoimista, joiden kohdalla vaikutustenarviointi on tehtävä.

Yksilötasoiset hyvinvointi- ja terveystiedot ovat pääsääntöisesti arkaluontoisia ja salassa pidettäviä, joten niitä hyödyntävän tutkimuksen kohdalla vaikutustenarviointi on joka tapauksessa aiheellinen. Vaikutustenarvioinnin avulla voidaan myös osaltaan varmistua henkilötietojen käsittelyn lainmukaisuudesta ja täyttää tietosuoja-asetuksen mukainen osoitusvelvollisuus asetuksen noudattamisesta.

Tietosuojaviranomaisen ennakkokuuleminen

Tietosuojaviranomaista on kuultava ennen henkilötietojen käsittelyn aloittamista, jos käsittelyyn liittyy vaikutustenarvioinnin perusteella korkea riski, eikä rekisterinpitäjä ole toteuttanut toimenpiteitä sen pienentämiseksi. Kuulemista varten on valvontaviranomaiselle toimitettava rekisterinpitäjää, käsittelyä ja suojatoimia koskevat perustiedot sekä tietosuojaa koskeva vaikutustenarviointi.

Lue lisää

Seloste käsittelytoimista

Valtaosa yksilötasoisista hyvinvointi- ja terveystiedoista on arkaluontoisia (tietosuoja-asetuksessa erityisiä henkilötietoryhmiä koskevat tiedot), joiden käsittelystä on EU:n tietosuoja-asetuksen (artikla 30) nojalla ylläpidettävä selostetta. Seloste vastaa sisällöllisesti nykyistä rekisteriselostetta, jonka jokaisen rekisterinpitäjän on voimassaolevan lainsäädännön mukaisesti laadittava. Seloste sisältää myös niitä tietoja, jotka on pidettävä EU:n tietosuoja-asetuksen (artikla 14) nojalla julkisesti saatavilla, jos rekisteröidyn oikeutta saada tietoja henkilötietojensa käsittelystä on rajoitettu.

§EU:n tietosuoja-asetus » | sovelletaan 25. toukokuuta 2018 alkaen

Selosteesta on tultava ilmi seuraavia tietoja:

1
rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
2
käsittelyn tarkoitukset
3
kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
4
henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat
5
mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat
6
mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista, joilla varmistetaan henkilötietojen käsittelyn turvallisuus

Tietosuojaviranomaiset ja seuraamusjärjestelmä

Tietosuojavaltuutettu ja tietosuojalautakunta ovat Suomen tietosuojaviranomaisia. Euroopan tietosuojavaltuutettu valvoo henkilötietojen käyttöä EU:n tasolla.

EU:n tietosuoja-asetuksen myötä tietosuojavaltuutetun toimistosta aiotaan muodostaa uusi tietosuojavirasto, joka toimisi tietosuoja-asetuksessa tarkoitettuna valvontaviranomaisena. Tietosuojalautakunta lakkautettaisiin. Tietosuojavirastolla tulee olemaan tietosuojavaltuutettua ja tietosuojalautakuntaa suurempi toimivalta. Se voi muun muassa määrätä rekisterinpitäjälle tai henkilötietojen käsittelijälle hallinnollisia sakkoja. Säädösten vastaisesta henkilötietojen käsittelystä voi joutua myös rikosoikeudelliseen vastuuseen.

Tietosuojavaltuutettu ja tietosuojalautakunta

Tietosuojavaltuutettu antaa henkilötietojen käsittelyyn liittyvää yleistä ohjausta ja neuvontaa, tekee ratkaisuja rekisteröidyn oikeuksien toteutumisesta, valvoo ja tekee tarkastuksia ja antaa lausuntoja viranomaisille, syyttäjille ja tuomioistuimille.

Tietosuojalautakunta käsittelee henkilötietojen käsittelyyn liittyviä periaatteellisesti tärkeitä kysymyksiä ja seuraa henkilötietojen käsittelyä koskevan lainsäädännön kehittämistarvetta sekä tekee tarpeelliseksi katsomiaan aloitteita. Tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta kieltää säädösten vastaisen henkilötietojen käsittelyn ja asettaa päätöksensä tehosteeksi uhkasakon.

Tietosuojaviranomainen

Uusi tietosuojavirasto tulee toimimaan EU:n tietosuoja-asetuksessa tarkoitettuna valvontaviranomaisena, jonka vastuulla on valvoa henkilötietojen käsittelyä koskevien säädösten soveltamista. Tietosuojaviranomaiselle kuuluu vastaavia tehtäviä kuin tällä hetkellä tietosuojaviranomaisina toimiville tietosuojavaltuutetulle ja tietosuojalautakunnalle. Merkittävimpänä muutoksena on tietosuojaviranomaisen valtuus määrätä hallinnollisia sakkoja säädösten vastaisesta henkilötietojen käsittelystä.

Tietosuojaviranomaiselle on tehtävä ilmoitus tietoturvaloukkauksista ilman aiheetonta viivytystä. Tieto tietoturvaloukkauksesta on saatettava myös rekisteröidyille, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille.

Lue lisää