Seurattu SDK 989/2019 saakka.

26.4.2019/552

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä

Katso tekijänoikeudellinen huomautus käyttöehdoissa.

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain tavoite

Lain tavoitteena on mahdollistaa sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen tehokas ja tietoturvallinen käsittely sekä niiden yhdistäminen Kansaneläkelaitoksen, Väestörekisterikeskuksen, Tilastokeskuksen ja Eläketurvakeskuksen henkilötietoihin.

Lain tavoitteena on lisäksi turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä.

2 §
Soveltamisala

Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679, jäljempänä tietosuoja-asetus, täydentävät säännökset, kun 1 §:ssä tarkoitettuja henkilötietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun perin tallennettu mainitussa tarkoituksessa:

1) tilastointi;

2) tieteellinen tutkimus;

3) kehittämis- ja innovaatiotoiminta;

4) opetus;

5) tietojohtaminen;

6) sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta; sekä

7) viranomaisen suunnittelu- ja selvitystehtävä.

Organisaatioista, joiden tietoja saa tämän lain nojalla käsitellä 1 momentin mukaisesti, sekä tietojen käsittelyyn liittyvistä rajauksista säädetään 6 ja 7 §:ssä.

Luovutusperusteista sekä vastaanottajan oikeudesta käsitellä luovutettuja henkilötietoja 1 momentissa tarkoitettuihin käyttötarkoituksiin säädetään 4 ja 5 luvussa.

3 §
Määritelmät

Tässä laissa tarkoitetaan:

1) asiakastiedolla lain mukaan salassa pidettävää, tietosuoja-asetuksen 4 artiklan 1 kohdan mukaista henkilötietoa, joka on tallennettu sosiaali- ja terveydenhuollon tai etuuskäsittelyn asiakassuhteessa asiakasrekisteriin tai asiakkuuteen liittyvään hallinnolliseen rekisteriin;

2) henkilötietojen ensisijaisella käyttötarkoituksella sellaista käyttötarkoitusta, jossa henkilötiedot on alun perin tallennettu;

3) henkilötietojen toissijaisella käyttötarkoituksella henkilötietojen käsittelyä muussa käyttötarkoituksessa kuin 2 kohdan tarkoittamassa ensisijaisessa käyttötarkoituksessa;

4) kehittämis- ja innovaatiotoiminnalla teknisen ja liiketoimintatiedon sekä olemassa olevan muun tiedon soveltamista ja käyttöä yhdessä tässä laissa tarkoitettujen henkilötietojen kanssa, kun tavoitteena on kehittää uusia tai merkittävästi parannettuja tuotteita, prosesseja tai palveluja;

5) tietojohtamisella tiedon käsittelemistä palvelunantajan asiakas-, palvelu- ja tuotantoprosesseissa toiminnan, tuotannon ja talouden ohjauksen, johtamisen ja päätöksenteon tukena;

6) sosiaali- ja terveydenhuollon viranomaisohjauksella kansallisten sosiaali- ja terveydenhuollon viranomaisten lainsäädäntöön perustuvaa alan toimijoiden ohjausta, joka pohjautuu tarkoitukseen koottuihin henkilö- ja tilastotietoihin taikka tietoihin, jotka on yksittäistapauksessa saatu ohjaus- tai valvontatehtävää varten;

7) sosiaali- ja terveydenhuollon viranomaisvalvonnalla kansallisten sosiaali- ja terveydenhuollon viranomaisten lainsäädäntöön perustuvaa sosiaali- ja terveydenhuollon ammattihenkilöiden ja toimintayksiköiden valvontaa;

8) tietoluvalla tämän lain mukaisesti myönnettyä lupaa käsitellä luvassa määriteltyjä salassa pidettäviä henkilötietoja luvassa mainittuun käyttötarkoitukseen;

9) tietopyynnöllä pyyntöä saada tämän lain mukaiseen käyttötarkoitukseen tässä laissa tarkoitetuista henkilötiedoista muodostettua aggregoitua tilastotietoa;

10) tietoturvallisella käyttöpalvelulla tietoturvallista ratkaisua, jonka kautta osapuolet voivat luovuttaa ja vastaanottaa käyttörajoituksen alaisia tietoja;

11) tietoturvallisella käyttöympäristöllä teknistä, organisatorista ja fyysistä tietojen käsittelyn toimintaympäristöä jossa tietoturvallisuus on varmistettu asianmukaisin hallinnollisin ja teknisin toimin;

12) tietopyyntöjen hallintajärjestelmällä järjestelmää, jonka välityksellä tietoluvan hakija tai tietoja tämän lain perusteella muutoin pyytävä toimittaa tietolupahakemuksen tai tämän lain mukaisen tietopyynnön ja sen liitteet viranomaiselle ja jossa tietolupaa tai tietopyyntöä koskeva päätös annetaan tiedoksi luvan hakijalle;

13) palvelunantajalla sosiaali- tai terveydenhuoltoa taikka sosiaali- tai terveyspalveluja järjestävää, tuottavaa tai toteuttavaa viranomaista taikka yksityistä palvelujen tuottajaa, jota tarkoitetaan yksityisistä sosiaalipalveluista annetussa laissa (922/2011) tai yksityisestä terveydenhuollosta annetussa laissa (152/1990);

14) palvelunjärjestäjällä sosiaali- tai terveydenhuollon palvelunantajaa, jolla on:

a) viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden; taikka

b) yksityisenä palvelunantajana velvollisuus huolehtia siitä, että yksityisesti palvelun ostava asiakas saa kuluttajansuojaa koskevien säännösten mukaisen, hänelle kuuluvan palvelun;

15) palveluntuottajalla palvelunantajaa, joka palvelunjärjestäjän kanssa tehdyn sopimuksen perusteella tai muutoin palvelunjärjestäjän lukuun tuottaa sosiaali- tai terveyspalvelua;

16) palveluntarjoajalla toimijaa, joka tarjoaa asiakkailleen tietoturvalliseen käyttöympäristöön liittyviä palveluita;

17) tiedonhyödyntämissuunnitelmalla tutkimussuunnitelmaa, hankesuunnitelmaa ja vastaavaa suunnitelmaa, josta ilmenevät lupahakemuksessa tarkoitettujen tietojen käyttötarkoitus, niiden rekisterinpitäjä ja käsittelijät, käsittelyn oikeudellinen peruste sekä tietojen käsittelyn tietosuojaan ja tietoturvaan liittyvät olennaiset seikat kattaen koko tietojen elinkaaren mukaan lukien tietojen säilytys sekä hävittäminen tai arkistointi;

18) aggregoidulla tilastotiedolla tilastomuotoista, luotettavasti anonymisoitua tietoa;

19) valmisaineistolla aineistokokonaisuutta, jotka 4 §:ssä tarkoitettu Sosiaali- ja terveysalan tietolupaviranomainen on koostanut yhden tai useamman kuin yhden organisaation tiedoista ja yhdistänyt yhdeksi aineistoksi taikka tallentanut siten, että aineistojen tunnistetiedot on koodattu yhdenmukaisella koodilla;

20) tietoturvallisuuden arviointilaitoksella sellaista yritystä, yhteisöä ja viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) perusteella arvioimaan sitä, täyttääkö tietojärjestelmä tietoturvallisuutta koskevat vaatimukset.

2 luku

Viranomaiset ja organisaatiot

4 §
Sosiaali- ja terveysalan tietolupaviranomainen

Tässä laissa tarkoitettu Sosiaali- ja terveysalan tietolupaviranomainen (Tietolupaviranomainen) toimii Terveyden ja hyvinvoinnin laitoksen yhteydessä. Tietolupaviranomaiselle säädetyistä tehtävistä vastaa laitoksessa itsenäinen yksikkö, joka on eriytetty Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 2 §:ssä säädetyistä tehtävistä.

Tietolupaviranomainen toimii sosiaali- ja terveysministeriön tulosohjauksessa, ja sillä on erillinen sosiaali- ja terveysministeriön nimittämä johtaja sekä ministeriön asettama ohjausryhmä.

5 §
Tietolupaviranomaisen tehtävät

Tietolupaviranomainen tekee muiden rekisterinpitäjien aineistoja koskevia tietolupapäätöksiä ja päättää, onko 45 §:ssä tarkoitettu tietopyyntö tämän lain mukainen, sekä vastaa päätöstensä mukaisten tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön tämän lain mukaisesti. Lisäksi Tietolupaviranomainen saa koota tässä laissa säädettyä käyttötarkoitusta varten tietopyynnön perusteella eri rekisterinpitäjien henkilötietoja ja niitä yhdistelemällä tuottaa anonyymejä tietoja pyytäjän käyttöön.

Tietolupaviranomainen ylläpitää tietopyyntöjen hallintajärjestelmää tietopyyntöjen ja lupahakemusten välittämiseksi ja käsittelemiseksi sekä tietoturvallista käyttöpalvelua henkilötietojen vastaanottamiseksi ja luovuttamiseksi. Lisäksi Tietolupaviranomainen ylläpitää tietoturvallista käyttöympäristöä, jossa luvansaajan on mahdollista käsitellä tietoluvan perusteella saamiaan henkilötietoja.

Tietolupaviranomainen valvoo myöntämänsä luvan ehtojen noudattamista. Se saa peruttaa tietoluvan, jos luvansaaja ei noudata lakia tai rikkoo luvan ehtoja.

Tietolupaviranomainen vastaa julkaistavien tulosten pohjana olleiden henkilötietojen anonymisoinnista siten kuin 52 §:ssä säädetään.

6 §
Palveluista vastaavat viranomaiset ja organisaatiot sekä tietoaineistorajaukset

Palveluista, joita tarvitaan sosiaali- ja terveydenhuollon asiakastietojen sekä niihin yhdistettävien muiden tässä laissa tarkoitettujen henkilötietojen käsittelemiseksi 2 §:n mukaisiin käyttötarkoituksiin, säädetään 3 luvussa. Vastuu niiden tuottamisesta on Tietolupaviranomaisella sekä seuraavilla viranomaisilla ja organisaatioilla:

1) sosiaali- ja terveysministeriö;

2) Terveyden ja hyvinvoinnin laitos lukuun ottamatta sen tilastoviranomaisena tilastotarkoituksiin keräämiä tietoja;

3) Kansaneläkelaitos siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja sekä sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen ja 5 kohdassa tarkoitettuun reseptiarkistoon tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista;

4) Sosiaali- ja terveysalan lupa- ja valvontavirasto;

5) aluehallintovirastot siltä osin kuin ne käsittelevät sosiaali- ja terveydenhuoltoon liittyviä asioita;

6) Työterveyslaitos siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä;

7) Lääkealan turvallisuus- ja kehittämiskeskus;

8) sosiaali- ja terveydenhuollon julkiset palvelunjärjestäjät;

9) Tilastokeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan kuolemansyyn selvittämisestä annetussa laissa (459/1973) tarkoitettuja tietoja;

10) Eläketurvakeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan Eläketurvakeskuksen rekistereihin sisältyviä välttämättömiä henkilötietoja, jotka koskevat työeläketurvan toimeenpanossa tallennettuja vakuutettujen työ- ja ansiotietoja sekä myönnettyjä etuuksia ja niiden perusteita mukaan lukien työkyvyttömyyseläkkeiden diagnoosit; sekä

11) Väestörekisterikeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja väestötietojärjestelmästä.

7 §
Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset

Tilastokeskus sekä Terveyden ja hyvinvoinnin laitos tilastoviranomaisena (tilastoviranomaiset) vastaavat tilastoviranomaisena tilastotarkoituksiin keräämiensä tietojen tietoluvista tieteellistä tutkimusta varten sekä samaan tutkimussuunnitelmaan liittyvien tietojen yhdistelystä omiin tietoihinsa ja niiden pseudonymisoinnista tai anonymisoinnista tilastolain (280/2004) mukaisesti. Lupahakemus, joka koskee muita tässä laissa tarkoitettuja tietoja sekä tilastoviranomaisten tilastotarkoituksissa keräämiä tietoja, toimitetaan Tilastokeskukselle sekä Terveyden ja hyvinvoinnin laitokselle 16 §:ssä tarkoitetun tietopyyntöjen hallintajärjestelmän välityksellä. Myös lupahakemuksen käsittelyyn liittyvä yhteydenpito luvanhakijaan ja päätöksen tiedoksianto toteutetaan sanotun hallintajärjestelmän välityksellä.

Tietojen luovuttamisesta tilastolain mukaisesti yhdisteltyihin, tässä laissa tarkoitettuihin tietoihin säädetään 51 §:n 4 momentissa.

8 §
Tietolupaviranomaisen toiminnan ohjaus ja rekisterinpitäjien yhteistoiminnan kehittäminen

Tietolupaviranomaisen toiminnan ohjausta ja palveluista vastaavien organisaatioiden yhteisen toiminnan kehittämistä varten sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle ohjausryhmän kolmivuotiskaudeksi, sekä nimittää ohjausryhmän puheenjohtajan. Sosiaali- ja terveysministeriö nimeää ohjausryhmään jäseniksi:

1) 6 §:ssä mainittujen organisaatioiden ja viranomaisten esitysten pohjalta kuusi edustajaa;

2) yhden jäsenen edustamaan kuntia sosiaali- ja terveyspalvelujen järjestäjänä;

3) yhden jäsenen edustamaan kuntia ehkäisevän sosiaali- ja terveydenhuollon järjestäjänä Kuntaliiton esityksen pohjalta;

4) yhden jäsenen edustamaan yksityisten sosiaali- ja terveyspalvelujen järjestäjiä.

Ohjausryhmän tehtävänä on käsitellä ja tehdä esitys Terveyden ja hyvinvoinnin laitokselle ja sosiaali- ja terveysministeriölle:

1) Tietolupaviranomaisen vuosittaisesta toimintasuunnitelmasta ja siihen liittyvästä talousarviosta;

2) toimintakertomuksesta ja tilinpäätöksestä Tietolupaviranomaista koskevilta osin;

3) rekisterinpitäjien toiminnan yhteisestä kehittämisestä ja siihen suunnattavista voimavaroista;

4) kullekin toimijalle suunnattavista voimavaroista tietojärjestelmien ja yhteistoiminnan kehittämiseksi.

Ohjausryhmä seuraa Tietolupaviranomaisen toiminnan ja palvelujen toimivuutta sekä 47 §:ssä tarkoitettujen, lupakäsittelyyn liittyvien ja 48 §:ssä tarkoitettujen, tietojen luovutusta koskevien määräaikojen toteutumista. Lisäksi ohjausryhmä voi:

1) asettaa tavoitemittareita Tietolupaviranomaisen toimintaprosesseille ja käynnistää niihin kohdistuvia ulkoisia auditointeja;

2) tehdä tarvittaessa ehdotuksen Tietolupaviranomaisen toiminnan kehittämisestä Terveyden ja hyvinvoinnin laitokselle ja sosiaali- ja terveysministeriölle; ja

3) asettaa Tietolupaviranomaisen toimintaa tukevia asiantuntijaryhmiä.

Sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle korkean tason asiantuntijaryhmän, jonka tehtävänä on laatia anonymisointia, tietosuojaa ja tietoturvaa koskevat Tietolupaviranomaisen toiminnan periaatelinjaukset. Asiantuntijaryhmässä on oltava tekoälyn, data-analytiikan, tietoturvan, tietosuojan, alan tutkimuksen, tilastotieteen ja tilastotoimen asiantuntija sekä Tietolupaviranomaisen edustaja. Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin asiantuntijaryhmän tehtävistä sekä sen jäsenten määrästä ja kelpoisuusehdoista.

9 §
Mahdollisuus perustaa osakeyhtiö

Sosiaali- ja terveysministeriö saa perustaa Tietolupaviranomaisen alaisuudessa toimivan osakeyhtiön yksin taikka yhden tai useamman 6 §:ssä tarkoitetun organisaation, opetus- ja kulttuuriministeriön, työ- ja elinkeinoministeriön tai valtiovarainministeriön kanssa. Yhtiö on valtion omistuksessa ja hallinnassa. Yhtiön omistajaohjauksesta ja sen osakkeiden hallinnoinnista vastaa sosiaali- ja terveysministeriö. Yhtiön tarkoituksena ei ole tuottaa voittoa.

Yhtiölle voidaan antaa 10 §:n 3–7 kohdassa tarkoitettuihin palveluihin liittyviä tehtäviä. Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä yhtiön tehtävistä.

Terveyden ja hyvinvoinnin laitos tai Tietolupaviranomainen voi tuottaa osakeyhtiölle hallinnollisia palveluja ja muita tukipalveluja markkinahintaista korvausta vastaan.

Yhtiön on annettava sosiaali- ja terveysministeriölle sen pyynnöstä tiedot, jotka ovat tarpeen yhtiön ohjaamiseksi ja valvomiseksi. Yhtiön asiakirjoihin sovelletaan, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, säädetään viranomaisen asiakirjasta. Päätöksen siitä, ettei yhtiön asiakirjaa luovuteta sitä pyytäneelle, tekee Tietolupaviranomainen julkisuuslain 4 luvun mukaisesti.

Yhtiön toimintaan voidaan myöntää valtionavustusta valtion talousarvioon otettavien määrärahojen rajoissa. Valtionavustuksesta säädetään valtionavustuslaissa (688/2001).

Yhtiön palveluksessa olevaan henkilöön ja yhtiön hallituksen jäseniin sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä.

3 luku

Toissijaisen käytön mahdollistavat palvelut

Tietopalvelut
10 §
Organisaatioiden toissijaista käyttöä varten tuottamat palvelut

Rekisteritietojen toissijaista käyttöä varten ylläpidetään seuraavia 6 §:ssä tarkoitettujen organisaatioiden palveluita:

1) tietoaineistojen kuvaukset;

2) neuvontapalvelu;

3) tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelu;

4) tunnisteiden hallinnointipalvelu;

5) tietopyyntöjen hallintajärjestelmä;

6) tietoturvallinen käyttöpalvelu;

7) tietoturvallinen käyttöympäristö.

11 §
Organisaatioiden vastuut palveluista

Tietolupaviranomainen vastaa aina 10 §:n 3–7 kohdassa tarkoitetuista palveluista, kun kyse on 45 §:ssä tarkoitetusta tietopyynnöstä tai kun tietolupahakemus koskee:

1) usean 6 §:ssä tarkoitetun rekisterinpitäjän henkilörekistereitä;

2) sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007), jäljempänä asiakastietolaki, tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennettuja tietoja; tai

3) yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja.

Tietolupaviranomainen vastaa kuitenkin Eläketurvakeskuksen, Väestörekisterikeskuksen ja Tilastokeskuksen tietoihin kohdistuvista palveluista vain, jos kyseisiä tietoja yhdistetään 6 §:n 1–8 kohdassa tarkoitettujen organisaatioiden tietoihin tai Kanta-palveluihin tallennettuihin tietoihin taikka yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin.

Jos tietolupahakemus koskee vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation henkilörekistereissä olevia tietoja, sanottu organisaatio vastaa itse kaikista 10 §:n 1–4 kohdassa tarkoitetuista palveluista. Sanotut organisaatiot voivat kuitenkin ilmoittaa Tietolupaviranomaiselle, että ne luopuvat ylläpitämästä muita kuin 10 §:n 1 ja 2 kohdassa tarkoitettuja palveluita. Tietolupaviranomainen vastaa tällöin ilmoituksen tehneen organisaation henkilötietoja koskevista 10 §:n 3–7 §:ssä tarkoitetuista palveluista.

12 §
Tietoaineistojen kuvaukset

Edellä 6 §:ssä tarkoitettujen organisaatioiden on rekisterinpitäjänä laadittava aineistokuvaukset tietovarantojensa tietosisällöistä siten, että niiden perusteella on mahdollista arvioida rekisteritietojen soveltuvuutta 2 §:ssä mainittuihin tarkoituksiin. Tietolupaviranomaisen on laadittava aineistokuvaukset 14 §:n 5 momentissa tarkoitetuista valmisaineistoistaan.

Tietolupaviranomainen antaa tarkemmat määräykset aineistokuvausten tietosisällöistä, käsitteistä ja tietorakenteista. Ennen määräysten antamista Tietolupaviranomaisen tulee kuulla asianomaisia organisaatioita.

Sosiaali- ja terveysministeriön asetuksella säädetään, mistä lähtien 1 momentissa säädettyjä velvoitteita sovelletaan.

13 §
Neuvontapalvelu

Edellä 6 §:ssä tarkoitetun rekisterinpitäjän on järjestettävä mainitussa pykälässä tarkoitettuja rekisteritietojaan koskeva neuvontapalvelu siten, että niitä 2 §:ssä mainitussa tarkoituksessa tarvitseva saa riittävät tiedot käytettävissä olevien rekistereiden tietosisällöistä ja rekisteritietojen soveltuvuudesta tiedon tarpeisiinsa.

Sen lisäksi, mitä 1 momentissa säädetään, Tietolupaviranomaisen on järjestettävä neuvontapalvelu, joka koskee tietoluvan myöntämisedellytyksiä, tietopyyntöjen hyväksymisedellytyksiä, 10 §:ssä tarkoitettujen palvelujen sisältöä ja merkitystä sekä 14 §:n 5 momentissa tarkoitettuja valmisaineistoja.

14 §
Tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelu

Kun Tietolupaviranomainen on myöntänyt 44 §:ssä tarkoitetun tietoluvan tai tehnyt 45 §:ssä tarkoitettua tietopyyntöä koskevan myönteisen päätöksen, se kokoaa, yhdistelee ja esikäsittelee sekä tarvittaessa pseudonymisoi tai anonymisoi aineiston luvansaajan käsiteltäväksi taikka tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon päätöksen mukaisesti.

Kun tietoluvan on myöntänyt yksittäinen 6 §:n 1–8 kohdassa tarkoitettu rekisterinpitäjä omissa rekistereissään oleviin tietoihin, se tuottaa luvan mukaisen aineiston luvansaajan käsiteltäväksi. Jos kuitenkin aineisto luvan mukaan luovutetaan anonymisoituna, rekisterinpitäjän on toimitettava lupa ja siihen liittyvä tietoaineisto Tietolupaviranomaiselle yhdisteltäväksi, esikäsiteltäväksi ja anonymisoitavaksi.

Tietolupaviranomaisen on säilytettävä kuvaus luovuttamiensa tietoaineistojen ja aggregoitujen tilastotietojen muodostamisesta, käyttämistään pseudonymisointi- ja anonymisointimenetelmistä sekä luovutetuista lopputuloksista.

Jos henkilötietoja luovutetaan usean eri tiedonhyödyntämissuunnitelman perusteella pseudonymisoituna, tiedot on pseudonymisoitava jokaista luovutusta varten eri tunnisteella.

Tietolupaviranomainen saa muodostaa valmisaineistoja 6 §:ssä tarkoitettujen viranomaisten ja organisaatioiden tiedoista. Tietolupaviranomainen saa myöhemmin poimia tietoluvan myöntämiseksi tarvittavat ja myönnetyn tietoluvan tai tietopyyntöä koskevan päätöksen mukaiset tiedot valmisaineistoista.

15 §
Tunnisteiden hallinnointipalvelu

Tietoluvan antanut viranomainen säilyttää pseudonymisoitujen aineistojen tunnisteet tietoturvallisesti ja siten, että aineisto on mahdollista tarvittaessa muuttaa tunnisteelliseksi ja että sama aineisto on niiden avulla mahdollista tuottaa uudelleen.

Viranomaisen on säilytettävä tunnisteet niin kauan kuin ne ovat tarpeen tutkimuksen tekemiseksi ja sen tulosten asianmukaisuuden varmistamiseksi.

Toiminnan edellytyksenä olevat tietojärjestelmäpalvelut ja niiden turvallisuuden varmistaminen
16 §
Tietopyyntöjen hallintajärjestelmä

Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa tietopyyntöjen hallintajärjestelmää, jonka välityksellä tietolupahakemus tai tämän lain mukainen tietopyyntö on toimitettava sille.

Käsittelyn edellytyksenä olevat Tietolupaviranomaisen selvitys- ja täydennyspyynnöt sekä hakijan sille toimittamat selvitykset, täydennykset ja hakemusta koskevat muutokset toteutetaan hallintajärjestelmän välityksellä. Lupapäätös annetaan hakijalle tiedoksi hallintajärjestelmän välityksellä.

Jos käyttötarkoituksen edellytyksenä on lakisääteisesti tiedonhyödyntämissuunnitelman eettinen ennakkoarviointi, myös eettinen arviointi saatetaan vireille ja lausunto toimitetaan hallintajärjestelmän välityksellä.

17 §
Tietoturvallinen käyttöpalvelu

Tietolupaviranomainen ylläpitää tietoturvallista käyttöpalvelua tietolupahakemuksen ja tietopyynnön käsittelyssä tarvittavien tietojen sekä myönnetyn tietoluvan mukaisten tietojen luovuttamiseksi. Käyttöpalvelun välityksellä saa tässä laissa säädetyin edellytyksin luovuttaa henkilötietoja Tietolupaviranomaisen ja muiden 6 §:ssä mainittujen viranomaisten välillä, Tietolupaviranomaisen ja yksityisten sosiaali- ja terveydenhuollon palvelunantajien välillä sekä luvanhakijan ja Tietolupaviranomaisen välillä.

Kun henkilötietoja välitetään tietoturvallisen käyttöpalvelun välityksellä, niiden eheys ja alkuperä on varmistettava sähköisellä allekirjoituksella. Organisaation ja tietoteknisten laitteiden lähettämien tietojen eheys ja alkuperä on varmistettava käyttämällä luotettavuudeltaan vastaavaa tekniikkaa kuin luonnollisen henkilön sähköisessä allekirjoituksessa. Tietoturvallisen käyttöpalvelun käyttäjät on tunnistettava vahvasti, kun heille luovutetaan henkilötietoja. Kehittyneestä sähköisestä allekirjoituksesta ja vahvasta sähköisestä tunnistamisesta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009).

Tietolupaviranomaisen on luotava tarvittavat rajapinnat käyttöpalvelun yhteentoimivuutta varten ja huolehdittava siitä, että tiedonsiirto voidaan tehdä yleisesti käytössä olevien teknologioiden avulla.

18 §
Yleiset tietoturvavaatimukset

Kun henkilötietoja käsitellään tämän lain nojalla, käsittelyn riittävä tietoturvallisuus on varmistettava riskienhallinnalla, pääsynhallinnalla, aktiivisella valvonnalla sekä noudattamalla tietoturvallisuuden ja tietosuojan toteutuksesta ja valvonnasta vastaavan viranomaisen määräyksiä ja ohjeita. Erityistä huomiota on kiinnitettävä käyttörajoitusten sekä salassapitovelvoitteen toteuttamiseen.

19 §
Lokitiedot

Kun henkilötietoja käsitellään tämän lain mukaista lupaharkintaa, päätöksentekoa tai tietojen luovuttamista varten, lokitiedot on kerättävä seuraavasti:

1) Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on tallennettava käyttölokitietoihin tiedot siitä organisaatiosta, jonka tietoja käytetään, tietojen käyttäjästä, käsitellyistä tiedoista ja tietoryhmistä, tietojen käyttötarkoituksesta, tietolupahakemuksen tai tietopyynnön tunnisteesta sekä käyttöajankohdasta; ja

2) Tietolupaviranomaisen, yksityisen sosiaali- ja terveydenhuollon palvelunantajan ja 6 §:ssä tarkoitetun organisaation on tallennettava luovutuslokitietoihin tiedot luovuttaneesta organisaatiosta, tietojen luovuttajasta, tietojen 2 §:n mukaisesta luovutustarkoituksesta, tietolupahakemuksen tai tietopyynnön tunnisteesta, luovutuksensaajasta ja luovutusajankohdasta.

Henkilötietoja tämän lain mukaisen tietoluvan perusteella käsittelevän on tallennettava käyttölokitietoihin tieto tietoluvan saaneesta rekisterinpitäjästä, 2 §:n mukaisesta käyttötarkoituksesta, käsittelyyn oikeuttavasta tietoluvasta, tietojen käsittelyyn tietoluvan mukaan oikeutetusta käyttäjästä, käsitellyistä tiedoista ja tietoryhmistä sekä käyttöajankohdasta.

Kun palvelunantaja käsittelee omissa henkilörekistereissään olevia henkilötietoja tietojohtamisen käyttötarkoituksessa, sen on tallennettava käyttölokitietoihin tieto käytetyistä henkilötiedoista, tietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta.

Lokitiedot on hävitettävä tai arkistoitava 12 vuoden kuluttua tietoluvan päättymisestä tai 3 momentissa tarkoitetun käsittelyn päättymisestä.

Tietolupaviranomainen voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä.

20 §
Tietoturvallinen käyttöympäristö

Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa tietoturvallista käyttöympäristöä, jossa voidaan varmistaa Tietolupaviranomaisen tai muun tässä laissa tarkoitetun viranomaisen tämän lain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely.

Käsittelyn on oltava mahdollista teknisesti erilaisin tavoin ja käyttöympäristöön on oltava pääsy eri paikoista. Tietolupaviranomaisen on arvioitava luovutettavien tietojen arkaluontoisuuden tasoa ja huomioitava tämä tietolupapäätöksessä tietoturvallisen käyttöympäristön käytölle asetettavissa vaatimuksissa.

Jos tietolupahakemuksessa pyydetään luovuttamaan tietoaineistoja käsiteltäviksi muussa kuin 1 momentissa tarkoitetussa käyttöympäristössä, hakemuksessa on erikseen perusteltava syyt, joiden vuoksi tämä on välttämätöntä. Tietolupaviranomainen tai muu tässä laissa tarkoitettu viranomainen saa tällöin luovuttaa tiedot hakijalle vain, jos käyttöympäristö täyttää 2 momentissa ja 21–29 §:ssä säädetyt edellytykset.

21 §
Tietoturvallisen käyttöympäristön käyttäjien tunnistaminen

Tietoturvallisen käyttöympäristön käyttäjät on tunnistettava luotettavasti sekä todennettava.

Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä tunnistamisen ja todentamisen teknisestä toteuttamisesta.

22 §
Tietoturvallisen käyttöympäristön käyttäjien käyttöoikeudet

Palveluntarjoajan on määriteltävä luvansaajan ja muun henkilötietoja käyttöympäristössä käsittelevän henkilön käyttöoikeus henkilötietoihin. Luvansaajalle annetaan käyttöoikeus tietoluvan mukaisiin henkilötietoihin. Muille henkilötietoja käyttöympäristössä käsitteleville annetaan käyttöoikeudet heidän työtehtävissään tarvitsemiinsa välttämättömiin henkilötietoihin.

Palveluntarjoajan on pidettävä rekisteriä tietoturvallisen käyttöympäristön käyttäjistä sekä näiden käyttöoikeuksista. Käyttöympäristön käyttäjien käyttöoikeustiedot on hävitettävä tai arkistoitava 12 vuoden kuluttua käyttöoikeuden päättymisestä.

Tietolupaviranomainen antaa määräykset niistä perusteista, joiden mukaisesti palveluntarjoajan on määriteltävä luvansaajan käyttöoikeudet asiakastietoihin.

23 §
Tietoturvallisen käyttöympäristön suojaaminen

Tietoturvallinen käyttöympäristö on suojattava valtion viranomaisten tietoturvallisuutta koskevien velvoitteiden mukaisesti noudattaen, mitä julkisuuslain 36 §:ssä ja mainitun pykälän 1 momentin nojalla annetussa valtioneuvoston asetuksessa säädetään.

Käyttöympäristön on mahdollistettava lokitietojen kerääminen luovutettujen tietojen käytöstä seurantaa ja valvontaa varten 19 §:n mukaisesti.

24 §
Tietoturvallisen käyttöympäristön vähimmäisvaatimukset

Tietoturvallisen käyttöympäristön on täytettävä tietoturvaa ja tiedonsiirron yhteentoimivuutta koskevat vaatimukset, jotka perustuvat viranomaisten antamiin määräyksiin, suosituksiin ja näiden osoittamiin, tietoturvalliseen käyttöympäristöön soveltuviin standardeihin.

Tietolupaviranomainen antaa tarkemmat määräykset muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavista vaatimuksista. Vaatimuksissa on edellytettävä vastaavaa tietoturvan tasoa kuin Tietolupaviranomaisen omassa käyttöympäristössä vaaditaan.

25 §
Tietoturvallisen käyttöympäristön tietoturvallisuuden osoittaminen

Käyttöympäristön tietoturvallisuus on osoitettava 26 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla todistuksella.

Tietolupaviranomainen voi antaa tarkempia määräyksiä tietoturvallisuuden osoittamisessa noudatettavista menettelyistä.

26 §
Tietoturvallisuuden arviointi

Tietoturvallisuuden arviointilaitos arvioi tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti palveluntarjoajan hakemuksesta, täyttääkö käyttöympäristö tietoturvallisuutta koskevat vaatimukset. Arviointiperusteina on käytettävä Tietolupaviranomaisen määräyksiä turvalliselle käyttöympäristölle asetettavista vaatimuksista.

Jos käyttöympäristö täyttää tämän lain mukaiset tietoturvallisuusvaatimukset, tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan arvioinnista palveluntarjoajalle todistus sekä siihen liittyvä tarkastusraportti. Jos arviointi tai uudelleenarviointi koskee vain käyttöympäristön osaa, arviointilaitoksen antamaan todistukseen on selkeästi merkittävä, mikä osa käyttöympäristöstä on arvioitu.

Arviointilaitoksen myöntämä todistus on voimassa enintään viisi vuotta. Tietoturvallisuuden arviointilaitos voi vaatia palveluntarjoajalta kaikki arvioinnin sekä todistuksen laatimisen ja ylläpitämisen edellytyksenä olevat tiedot. Todistuksen antamiseen sovelletaan muutoin tietoturvallisuuden arviointilaitoksista annetun lain 9 §:n 3 momenttia.

27 §
Arviointilaitoksen myöntämän todistuksen peruuttaminen

Jos tietoturvallisuuden arviointilaitos toteaa, että käyttöympäristö ei ole täyttänyt tai ei enää täytä tässä laissa säädettyjä vaatimuksia tai että todistusta ei muutoin olisi tullut myöntää, laitoksen on kehotettava palveluntarjoajaa korjaamaan puutteet. Arviointilaitos voi peruuttaa todistuksen määräajaksi tai kokonaan taikka myöntää sen rajoitettuna, jollei palveluntarjoaja korjaa puutteellisuuksia arviointilaitoksen asettamassa määräajassa. Määräajan pituutta määritettäessä on otettava huomioon käyttöympäristön korjaamiseksi tarvittava kohtuullinen aika.

28 §
Tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus

Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai kokonaan peruutetuista tai evätyistä todistuksista sekä 27 §:n mukaisista kehotuksista ja rajoituksista. Lisäksi tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot.

29 §
Tietoturvallisen käyttöympäristön käyttöönoton jälkeinen seuranta

Palveluntarjoajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietoturvallisesta käyttöympäristöstä sen tuotantokäytön aikana saatavia kokemuksia. Palveluntarjoajan on seurattava tämän lain muutoksia ja tehtävä käyttöympäristöön muutosten edellytyksenä olevat korjaukset. Käyttöympäristön olennaisista muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle. Arviointilaitoksen myöntämä todistus on uudistettava, jos käyttöympäristöön tehdään merkittäviä muutoksia tai jos käyttöympäristöä koskevia vähimmäisvaatimuksia on muutettu tavalla, jonka edellytyksenä on uusi arviointi.

Palveluntarjoajan on säilytettävä vaatimustenmukaisuutta koskevat ja muut valvonnan edellytyksenä olevat tiedot vähintään viisi vuotta tietoturvallisen käyttöympäristön tuotantokäytön päättymisestä.

30 §
Tietojärjestelmien valvonta ja tarkastukset

Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää sitä, että tietoturvalliset käyttöympäristöt täyttävät tietosuojaa ja tietoturvaa koskevat vaatimukset. Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä käyttöympäristöistä.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellytyksenä olevia tarkastuksia. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa.

Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista.

Sosiaali- ja terveysalan lupa- ja valvontaviraston on säilytettävä tarkastuksesta laadittava tarkastuskertomus kymmenen vuoden ajan tarkastuksen suorittamisesta.

31 §
Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita arvioimaan tietoturvallisen käyttöympäristön vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata käyttöympäristöjä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellytyksenä oleva asiantuntemus ja pätevyys.

Ulkopuoliseen asiantuntijaan sovelletaan virkamiehen esteellisyyttä koskevia hallintolain (434/2003) säännöksiä sekä rikosoikeudellista virkavastuuta hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä.

32 §
Sosiaali- ja terveysalan lupa- ja valvontaviraston tiedonsaantioikeus

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä käyttöympäristöjen valvontaa varten välttämättömät tiedot valtion ja kunnan viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset koskevat.

33 §
Sosiaali- ja terveysalan lupa- ja valvontaviraston määräys puutteiden korjaamiseksi ja uhkasakko 

Sosiaali- ja terveysalan lupa- ja valvontavirasto saa 30 §:n nojalla tehdyn tarkastuksen perusteella määrätä palveluntarjoajan korjaamaan tuotantokäytössä olevaa käyttöympäristöä koskevat puutteet.

Jos tietoturvallinen käyttöympäristö voi vaarantaa tietosuojan tai toteuttaa puutteellisesti tässä laissa sille asetetut vaatimukset eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, lupa- ja valvontavirasto saa kieltää käyttöympäristön käytön, kunnes puutteet on korjattu. Lisäksi Tietolupaviranomainen tai muu 6 §:ssä tarkoitettu viranomainen voi sulkea yhteyden ylläpitämiinsä tietojärjestelmiin, jos niitä käyttävä vaarantaa tai niihin liitetty ulkopuolinen järjestelmä voi vaarantaa niiden asianmukaisen toiminnan.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa palveluntarjoajan tai valtuutetun edustajan tiedottamaan käyttöympäristön tuotantokäyttöä koskevasta päätöksestä lupa- ja valvontaviraston asettamassa määräajassa ja määräämällä tavalla.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi asettaa 1 momentin nojalla tekemänsä päätöksen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Lupa- ja valvontaviraston on ilmoitettava päätöksestään Tietolupaviranomaiselle.

34 §
Määräys velvollisuuksien täyttämiseksi

Jos palveluntarjoaja, 6 §:ssä tarkoitettu viranomainen tai henkilötietoja muutoin tämän lain mukaisesti käsittelevä on laiminlyönyt tässä laissa säädetyn tietojärjestelmiin tai niiden käyttöön liittyvän velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa.

Lisäksi Tietolupaviranomainen tai muu 6 §:ssä tarkoitettu viranomainen voi sulkea yhteyden ylläpitämiinsä tietojärjestelmiin, jos palveluntarjoaja, 6 §:ssä tarkoitettu viranomainen tai henkilötietoja muutoin tämän lain mukaisesti käsittelevä on Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamasta määräajasta huolimatta laiminlyönyt tässä laissa säädetyn tietojärjestelmiin tai niiden käyttöön liittyvän velvollisuutensa.

Sosiaali- ja terveysalan lupa- ja valvontavirasto voi asettaa 1 momentin nojalla tekemänsä määräyksen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Sosiaali- ja terveysalan lupa- ja valvontaviraston on ilmoitettava päätöksestään Tietolupaviranomaiselle.

4 luku

Henkilötietojen toissijaisen käytön perusteet ja edellytykset

Toissijaisen käytön yleiset perusteet
35 §
Henkilötietojen käsittelyn perusteet

Edellä 6 §:ssä tarkoitettujen rekisterinpitäjien rekisteritietoja ja yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja saa käsitellä toissijaisessa käyttötarkoituksessa rekisterinpitäjän tai Tietolupaviranomaisen myöntämällä määräaikaisella tietoluvalla taikka suoraan lain säännösten perusteella siten kuin jäljempänä säädetään.

36 §
Tietolupaviranomaisen oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä

Tietolupaviranomaisella on salassapitovelvoitteista ja muista tietojen käyttöä koskevista rajoituksista riippumatta oikeus saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltä, yksityisiltä sosiaali- ja terveydenhuollon palvelunantajilta sekä Kanta-palveluihin sisältyvistä, asiakastietolaissa tarkoitetuista tiedoista Kansaneläkelaitokselta tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot, kuten:

1) tietoluvan myöntämiseksi tarvittavat tiedot;

2) myöntämässään tietoluvassa tarkoitetut tiedot niiden kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi 14 §:n mukaisesti sekä luovuttamiseksi luvansaajan käsiteltäväksi;

3) tiedot sen arvioimiseksi, onko tietolupahakemuksessa tarkoitetut tiedot mahdollista anonymisoida tai 45 §:ssä tarkoitetuista tiedoista mahdollista tuottaa aggregoitua tilastotietoa;

4) aggregoidun tilastotiedon tuottamista varten tarvittavat tiedot; sekä

5) 14 §:n 5 momentissa tarkoitettujen valmisaineistojen koostamiseksi tarvittavat tiedot.

Edellä 1 momentissa tarkoitetut tiedot voidaan luovuttaa Tietolupaviranomaisen käyttöön 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä.

Tietolupaviranomainen voi salassapitovelvoitteista ja muista tietojen käyttöä koskevista rajoituksista riippumatta poimia tietoluvan mukaiset tiedot 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä sellaisista 1 momentissa tarkoitettujen rekisterinpitäjien tiedoista ja tietovarannoista, joista se on rekistereiden ja tietovarantojen sisältö ja tekninen toteutus huomioon ottaen mahdollista ja tarkoituksenmukaista.

Tietolupaviranomainen on tässä pykälässä tarkoitetuin tavoin saamiensa tietojen rekisterinpitäjä.

Tietojen hyödyntäminen aggregoituna tilastotietona
37 §
Kehittämis- ja innovaatiotoiminta

Tietolupaviranomainen saa salassapitovelvoitteiden estämättä tuottaa 3 §:n 9 kohdassa tarkoitetun tietopyynnön perusteella yksittäistapauksessa asiakastietoihin sekä muihin 6 §:ssä tarkoitettujen organisaatioiden henkilötietoihin perustuvat aggregoidut tilastotiedot kehittämis- ja innovaatiotoimintaan, jota toteutetaan muutoin kuin 38 §:ssä tarkoitettuna tieteellisenä tutkimuksena.

Edellä 1 momentissa tarkoitetut tiedot voidaan antaa 45 §:n mukaisesti edellyttäen, että tietopyynnön ja siihen liitetyn tiedonhyödyntämissuunnitelman mukaan toiminnan tarkoituksena on:

1) edistää kansanterveyttä tai sosiaaliturvaa; tai

2) kehittää sosiaali- ja terveydenhuollon palveluja tai palvelujärjestelmää; taikka

3) suojella yksilöiden terveyttä tai hyvinvointia taikka turvata heidän niihin liittyviä oikeuksiaan ja vapauksiaan.

Tietoluvan nojalla luovutettavat tiedot
38 §
Tietolupa tieteelliseen tutkimukseen ja tilastointiin

Tieteelliseen tutkimukseen ja tilastointiin saa salassapitovelvoitteiden estämättä antaa yksittäistapauksessa tietoluvan asiakastietoihin sekä muihin 6 §:ssä tarkoitettujen organisaatioiden henkilötietoihin.

Tietolupaa harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan.

Tietojen käsittelystä tieteellistä tutkimusta ja tilastointia varten säädetään lisäksi tietosuojalaissa (1050/2018).

39 §
Opetus

Sosiaali- tai terveydenhuollon palvelunantajan asiakastietoja saa käsitellä salassapitovelvoitteiden estämättä sekä tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla opetusaineistojen valmistamiseksi sosiaali- ja terveydenhuollon asiakastietoja käsittelevän henkilöstön ja sosiaali- ja terveydenhuollon ammattihenkilöiksi opiskelevien opetukseen, jos se on välttämätöntä opetuksen tarkoituksen toteuttamiseksi. Edellytyksenä on lisäksi, että käsittelylle on myönnetty tässä laissa tarkoitettu tietolupa.

Tunnisteellisina tietoja saa käyttää opetustilanteissa kuitenkin vain, jos opetusta ei voida toteuttaa anonyyminä käsiteltävän tapauksen harvinaislaatuisuuden, opetuksen luonteen tai muun vastaavan syyn vuoksi. Opetusta antavan henkilön on informoitava opetusta seuraavia laissa säädetystä salassapitovelvollisuudesta ja sen rikkomisesta seuraavista sanktioista.

Rekisteröidyllä ei ole tietosuoja-asetuksen 21 artiklan mukaista oikeutta vastustaa henkilötietojensa käsittelyä opetustarkoituksessa, jos tietojen käsittely on välttämätöntä tapauksen harvinaislaatuisuuden vuoksi.

Luvansaajan on hävitettävä opetustarkoitusta varten koottu erillinen aineisto, kun se ei enää ole välttämätön kyseistä tarkoitusta varten.

40 §
Viranomaisen suunnittelu- ja selvitystehtävä

Viranomaisen suunnittelu- ja selvitystehtävää varten välttämättömiä asiakastietoja sekä muita 6 §:ssä tarkoitettujen organisaatioiden henkilötietoja saa käsitellä tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla seuraavin edellytyksin:

1) käsittelylle on myönnetty tässä laissa tarkoitettu tietolupa;

2) käsittely perustuu asianmukaiseen tiedonhyödyntämissuunnitelmaan; ja

3) suunnittelu- ja selvitystehtävää tai sen tarkoituksena olevaa tiedontarvetta ei voida toteuttaa ilman henkilötietojen käsittelyä.

Tietojen käsittely lain nojalla ilman tietolupaa
41 §
Tietojohtaminen

Sosiaali- tai terveydenhuollon palvelunantajalla on oikeus salassapitovelvoitteiden estämättä sekä tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan nojalla käsitellä ja yhdistellä tunnisteellisesti asiakastietoja, jotka ovat syntyneet sen omassa toiminnassa tai ovat sen omiin rekistereihin tallennettuja, jos se on välttämätöntä palvelunantajan vastuulla toteutettavan palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua, kehittämistä, johtamista ja valvontaa varten.

Jos palvelunantajalle on tarpeen vastuullaan toteutettavan palvelutoiminnan taikka palveluketjujen arviointia, suunnittelua tai kehittämistä varten verrata omaa toimintaansa muiden palvelunantajien toimintaan, Tietolupaviranomainen voi tuottaa tarvittavan vertailuaineiston aggregoituna tilastotietona 45 §:n mukaisesti 3 §:n 9 kohdassa tarkoitetun tietopyynnön perusteella.

Sen lisäksi, mitä 1 ja 2 momentissa säädetään, kunnalla tai kuntayhtymällä on tietojohtamisen tarkoituksessa oikeus käsitellä ja yhdistellä tunnisteellisesti myös asiakastietoja, jotka on tallennettu terveydenhuoltolain (1326/2010) 9 §:n 1 momentissa tarkoitettuun yhteisrekisteriin.

42 §
Sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta

Jos sosiaali- ja terveysalan ohjaus- tai valvontaviranomainen tarvitsee laissa säädetyn ohjaus- tai valvontatehtävänsä toteuttamiseksi sosiaali- tai terveydenhuollon rekistereihin tallennettuihin henkilötietoihin tai muihin tunnisteellisiin 6 §:ssä tarkoitettujen rekisterinpitäjien rekisteritietoihin perustuvia yhdisteltyjä tietoja, Tietolupaviranomainen voi tuottaa tarvittavat aggregoidut tilastotiedot 45 §:n mukaisesti 3 §:n 9 kohdassa tarkoitetun tietopyynnön perusteella.

Sellaiset 1 momentissa tarkoitetut tiedot, jotka sanotussa momentissa tarkoitetulla valvontaviranomaisella on muun lain mukaan oikeus saada salassapitovelvoitteista riippumatta, voidaan perustellusta pyynnöstä luovuttaa myös tunnisteellisina.

Edellä 2 momentissa tarkoitetut tiedot voidaan luovuttaa valvontaviranomaiselle 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä.

5 luku

Tietolupahakemuksen ja tietopyynnön sekä luovutettavien tietojen käsittely

43 §
Tietoluvan myöntämisen yleiset perusteet

Tietolupa henkilötietoihin voidaan myöntää, jos hakemuksesta ja tiedonhyödyntämissuunnitelmasta ilmenevä tiedon käyttötarkoitus on tietosuoja-asetuksen, tietosuojalain sekä tämän ja muun kyseessä olevia tietoja koskevan lain mukainen ja jos käyttötarkoitus on tarkoituksenmukaisimmin toteutettavissa hakemuksessa tarkoitettuja tietoja käyttäen.

Jos tietolupahakemus liittyy sellaiseen käyttötarkoitukseen, jota koskevasta lupamenettelystä ja luvan myöntämisen perusteista säädetään erikseen, sanotun luvan kaikkien edellytysten on täytyttävä.

Jos luovutettavat tiedot on koottu rekisteröidyn suostumuksella, tietolupa häntä koskeviin rekisteritietoihin voidaan myöntää vain, jos se on suostumuksen ja tiedon käytölle ja luovutukselle annettujen ehtojen mukaista. Jos tietolupahakemusta koskevat tiedot liittyvät käyttötarkoitukseen, joka perustuu rekisteröidyn suostumukseen, tietolupa voidaan myöntää vain sellaisiin tietoihin, jotka rekisteröidyn suostumus kattaa.

Tietolupa voidaan antaa määräajaksi, jos on ilmeistä, ettei tiedon antaminen loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lupaan on liitettävä tietojen käsittelyn suojaustoimenpiteitä koskevat riskien mukaiset vaatimukset ja muut yksityisen edun suojaamiseksi tarpeelliset määräykset. Lupa voidaan peruuttaa, jos siihen harkitaan olevan syytä.

Jos Tietolupaviranomainen toteaa tietolupahakemuksen perusteella, että tietoluvan sijaan asia voidaan käsitellä 45 §:n mukaisena tietopyyntönä, Tietolupaviranomaisen on otettava yhteys luvanhakijaan ja esitettävä, että asia käsitellään tietopyyntönä. Jos luvanhakija vaatii tietolupapäätöksen käsittelyä, Tietolupaviranomaisen on tehtävä asiaa koskeva päätös.

44 §
Tietolupakäsittelyyn liittyvä toimivalta

Tietolupaviranomainen vastaa aina tietolupapäätöksestä, kun tietolupahakemus koskee:

1) usean 6 §:n 1–8 kohdassa tarkoitetun rekisterinpitäjän tietoja;

2) Kanta-palveluihin tallennettuja tietoja; tai

3) yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja.

Tietolupaviranomainen vastaa lisäksi Eläketurvakeskuksen, Väestörekisterikeskuksen ja Tilastokeskuksen 6 §:n 9–11 kohdassa tarkoitettuihin tietoihin kohdistuvasta tietolupapäätöksestä, jos sanottuja tietoja yhdistetään 1 momentin 1–3 kohdassa tarkoitettuihin tietoihin.

Jos tietolupahakemus koskee vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation henkilörekistereissä olevia tietoja, organisaatio vastaa itse tietolupapäätöksestä. Jos kuitenkin sanottu organisaatio on ilmoittanut Tietolupaviranomaiselle 11 §:n 3 momentin mukaisesti luopuvansa ylläpitämästä muita kuin 10 §:n 1 ja 2 kohdassa tarkoitettuja palveluita, vastaa Tietolupaviranomainen sen tässä laissa tarkoitettuja henkilötietoja koskevista tietolupapäätöksistä.

Tietolupapäätöksestä vastaavalla viranomaisella on oikeus pyytää tietosuojavaltuutetulta lausunto tietolupahakemuksesta, jos arvioi sen tarpeelliseksi.

45 §
Tietopyynnön käsittely

Tietolupaviranomainen päättää, onko 3 §:n 9 kohdassa tarkoitettu tietopyyntö 2 §:n 1 momentissa säädettyjen käyttötarkoitusten ja muiden tietopyynnölle asetettujen vaatimusten mukainen.

Päätöstä tehdessään Tietolupaviranomaisen on arvioitava tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan ja 86 artiklan nojalla sekä ottaen huomioon 8 §:n 4 momentissa tarkoitetun asiantuntijaryhmän periaatelinjaukset, onko pyytäjän esittämistä rekisteritiedoista mahdollista muodostaa tietopyynnössä tarkoitettu aggregoitu tilastotieto.

Jos tietopyyntö kuitenkin koskee tieteellisen tutkimuksen käyttötarkoitusta ja pyyntö koskee myös tilastoviranomaisen tilastotarkoituksiin keräämiä tietoja, noudatetaan menettelyssä, mitä 7 §:ssä ja 51 §:n 4 momentissa säädetään.

46 §
Tietolupahakemuksen ja tietopyynnön toimittaminen Tietolupaviranomaiselle

Tietopyyntö sekä tietolupahakemus Tietolupaviranomaiselle on toimitettava 16 §:ssä tarkoitetun tietopyyntöjen hallintajärjestelmän välityksellä. Jos hakija täydentää hakemustaan, myös täydennys on toimitettava Tietolupaviranomaiselle tietopyyntöjen hallintajärjestelmän välityksellä. Lupahakemukseen ja aggregoituja tilastotietoja koskevaan tietopyyntöön on liitettävä tiedonhyödyntämissuunnitelma.

Tietolupaviranomainen antaa määräykset tietolupahakemuksen ja tiedonhyödyntämissuunnitelman sekä tietopyynnön tietosisällöistä ja tietorakenteista.

47 §
Tietolupakäsittelyn määräajat

Päätös tietolupahakemukseen on annettava viipymättä, kuitenkin viimeistään 3 kuukauden kuluessa siitä, kun lupahakemus on saapunut täydellisenä viranomaiselle.

Tietolupaviranomainen voi painavasta syystä päättää, että tietolupahakemuksen käsittelyaikaa jatketaan enintään 3 kuukautta, jos hakemuksen ja siihen liittyvän tiedonhyödyntämissuunnitelman käsittelyn edellytyksenä on poikkeuksellisen laaja ja usean eri rekisterinpitäjän tietojen käsittely taikka erityisen vaativa harkinta. Tietolupaviranomaisen on annettava luvan hakijalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa lupapäätös annetaan.

Jos tietolupapäätöksestä vastaava viranomainen pyytää 44 §:n 4 momentissa tarkoitettua lausuntoa tietosuojavaltuutetulta, tietolupapäätöksestä vastaavan viranomaisen määräaika hakemuksen käsittelylle keskeytyy, kunnes lausunto on saapunut.

Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava Tietolupaviranomaiselle tietolupahakemuksen tai 45 §:ssä tarkoitetun, aggregoitua tilastotietoa koskevan tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 15 arkipäivässä pyynnön saapumisesta.

48 §
Tietojen luovutuksia koskevat määräajat

Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai 45 §:ssä tarkoitetun aggregoituja tilastotietoja koskevan pyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivässä siitä, kun Tietolupaviranomainen on tehnyt päätöksen siitä, että tiedot saa luovuttaa hakijalle. Jos hakijan tietojen luovuttamisen tueksi esittämä selvitys on riittämätön, Tietolupaviranomaisen on ilmoitettava viipymättä hakijalle, mitä lisäselvitystä edellytetään. Pyydetyt tiedot on tällöin toimitettava hakijalle 30 arkipäivän kuluessa lisäselvityksen vastaanottamisesta, jos luovutuksen edellytyksistä voidaan varmistua toimitetun lisäselvityksen perusteella.

Jos tietojen luovuttaminen Tietolupaviranomaiselle ei ole mahdollista 1 momentissa tarkoitetussa määräajassa, rekisterinpitäjän on ilmoitettava viivästyksestä, sen syystä ja tietojen luovutukseen tarvittavasta määräajan pidennyksestä ennen määräajan päättymistä. Tietolupaviranomaisen on asetettava perustellusta syystä luovutukselle uusi määräaika.

Tietolupaviranomaisen on luovutettava luvansaajalle tietoluvan perusteella kokoamansa ja yhdistelemänsä tiedot viipymättä, kuitenkin viimeistään 60 arkipäivän kuluessa luvan myöntämisestä.

Tietolupaviranomainen voi painavasta syystä pidentää luovutuksen määräaikaa, jos tietojen käyttötarkoituksen edellytyksenä on poikkeuksellisen laaja ja usean eri rekisterinpitäjän tietojen käsittely tai erityisen vaativa yhdistelytyö. Tietolupaviranomaisen on annettava luvan saajalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa tiedot luovutetaan.

49 §
Tietolupaa ja tietopyyntöä koskevasta päätöksestä perittävät maksut

Tietolupaviranomainen tai muu luvan myöntänyt viranomainen saa periä maksun tietoluvasta ja tietopyyntöä koskevasta päätöksestä. Maksun määräytymisen perusteista säädetään valtion maksuperustelaissa (150/1992).

50 §
Palveluista perittävät korvaukset

Tietolupaviranomainen saa periä korvauksen tässä laissa tarkoitetun tietoluvan mukaisten tietojen poimimisesta, toimittamisesta ja yhdistelystä, esikäsittelystä, pseudonymisoinnista ja anonymisoinnista sekä tietoturvallisen käyttöympäristön käytöstä.

Korvaukset, jotka koskevan tietolupaan perustuvien tietojen poimintaa ja toimittamista muista kuin Tietolupaviranomaisen omista tietovarannoista, määräytyvät kutakin tiedot toimittanutta rekisterinpitäjää koskevien säännösten mukaisesti. Rekisterinpitäjällä tai henkilötietojen käsittelijällä, joka luovuttaa Tietolupaviranomaiselle tietoja tässä laissa tarkoitetun tietoluvan perusteella, on oikeus saada Tietolupaviranomaiselta korvauksena näin määräytyvä osuutensa luvansaajan maksettaviksi määrätyistä kustannusten korvauksista.

Korvaukseen tämän pykälän mukaisesti oikeutetun on toimitettava Tietolupaviranomaiselle pyynnöstä arvio kustannuksista, joita tietojen käsittelystä korvaukseen oikeutetulle aiheutuu. Tietolupaviranomainen laatii saamiensa tietojen pohjalta kustannusarvion tietopyynnön toteuttamisesta ja toimittaa sen luvanhakijalle. Tietolupaviranomainen perii luvansaajalta 2 momentissa tarkoitetut korvaukset ja tulouttaa ne tiedot toimittaneille rekisterinpitäjille.

Tietolupaviranomaisen korvausten määräytymisen perusteista säädetään valtion maksuperustelaissa. Tietoturvallisuuden arviointilaitoksen suorittamasta arvioinnista perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä.

Sosiaali- ja terveysalan lupa- ja valvontavirastolle 30 §:n 1 momentin mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen.

51 §
Tietoaineistojen käsittely ja luovutus luvansaajalle tietoluvan myöntämisen jälkeen

Jos Tietolupaviranomainen on 44 §:ssä edellytetyissä tilanteissa myöntänyt tietoluvan, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi tämän pykälän 3 momentin mukaisesti.

Jos 44 §:n 3 momentissa tarkoitettu yksittäinen rekisterinpitäjä on tehnyt omiin rekistereihinsä sisältyviä tietoja koskevan tietolupapäätöksen, se kokoaa rekistereistään tiedot, tarvittaessa yhdistelee, esikäsittelee ja pseudonymisoi ne sekä luovuttaa tietoaineiston luvansaajan käsiteltäväksi tämän pykälän 3 momentin mukaisesti. Jos kuitenkin tietoaineisto luovutetaan luvansaajalle anonymisoituna, on rekisterinpitäjän toimitettava lupapäätös sekä luvan mukaiset tiedot Tietolupaviranomaiselle tarvittaessa yhdisteltäviksi ja esikäsiteltäviksi sekä anonymisoitavaksi. Tietolupaviranomainen vastaa aina käsiteltäviksi luovutettavien tietojen anonymisoinnista ja niiden luovuttamisesta luvansaajan käsiteltäväksi.

Tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi aina 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä, ellei siitä ole muodostettu aggregoitua tilastotietoa. Ensisijaisesti tämän pykälän 1 ja 2 momentissa tarkoitettu tietoaineisto luovutetaan käsiteltäväksi 20 §:n 1 momentissa tarkoitetussa, Tietolupaviranomaisen ylläpitämässä tietoturvallisessa käyttöympäristössä. Jos se kuitenkin tiedonhyödyntämissuunnitelmasta ja tietoluvasta erikseen ilmenevästä syystä on tärkeää, voidaan tietoaineisto luovuttaa vastaavasti 20 §:n 3 momentissa tarkoitetussa muussa tietoturvallisessa käyttöympäristössä käsiteltäväksi.

Jos käyttötarkoitukseen tarvitaan myös Tilastokeskuksen tai Terveyden ja hyvinvoinnin laitoksen tilastoviranomaisena tilastotarkoitusta varten kokoamia tietoja, sanottu tilastoviranomainen yhdistelee sekä tarvittaessa esikäsittelee ja pseudonymisoi tai anonymisoi luovutettavat tiedot. Jos käyttötarkoitukseen tarvitaan molempien tilastoviranomaisten tietoja, sanotut viranomaiset sopivat keskenään, kumpi yhdistelee ja pseudonymisoi tai anonymisoi tiedot. Tiedot voidaan tämän jälkeen luovuttaa 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä saajan käsiteltäväksi tietojen luonteesta ja määrästä riippuen Tilastokeskuksen tai Tietolupaviranomaisen ylläpitämässä tietoturvallisessa käyttöympäristössä taikka muussa 20 §:n mukaisessa käyttöympäristössä.

Käyttöympäristön palveluntarjoajan on varmistettava ennen yhteyden avaamista luvansaajalle, että luvansaaja täyttää tietoluvassa asetetut vaatimukset.

52 §
Tietoluvan nojalla luovutetuista tiedoista johdettujen tulosten julkaiseminen

Kun tietoluvan nojalla on luovutettu tietoja käsiteltäviksi 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja niiden pohjalta tuotettuja tuloksia halutaan julkaista, vastaa Tietolupaviranomainen julkaistavien tietojen anonymisoinnin varmistamisesta. Tietolupaviranomainen voi kuitenkin perustellusta syystä lupapäätöksessään myöntää luvansaajalle oikeuden toteuttaa itse julkaistavien edellä mainittujen tietojen anonymisoinnin ehdolla, että ne toimitetaan jälkikäteen Tietolupaviranomaisille.

Tietolupaviranomainen tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle vapaasti julkaistaviksi tämän tekemän pyynnön ja pyyntöön liitetyn ehdotuksen perusteella riippumatta siitä, onko tietoluvan myöntänyt yksittäinen rekisterinpitäjä vai Tietolupaviranomainen.

53 §
Tietolupakäsittelystä vastaavien viranomaisten selvitysvelvollisuus

Tietolupakäsittelystä vastaavien viranomaisten on toimitettava vähintään kerran vuodessa tämän lain nojalla suorittamastaan tietojen käsittelystä ja lokirekisteriin tallennettujen tietojen käsittelystä yksityiskohtainen selvitys tietosuojavaltuutetulle.

54 §
Salassapitovelvoitteet

Myös muihin tämän lain nojalla saatuihin tietoihin kuin viranomaisen tietoihin sovelletaan julkisuuslain:

1) 22 §:ää asiakirjasalaisuudesta;

2) 23 §:ää vaitiolovelvollisuudesta ja hyväksikäyttökiellosta;

3) 24 §:ssä salassa pidettävistä tiedoista;

4) 31 §:ää asiakirjan salassapidon lakkaamisesta;

5) 32 §:ää vaitiolovelvollisuudesta poikkeamisesta ja sen lakkaamisesta.

Jos tämän lain nojalla luovutetaan salassa pidettäviä tietoja muulle kuin viranomaiselle, niiden saajaa on luovutuksen yhteydessä informoitava salassapitovelvoitteista noudattaen julkisuuslain 25 §:ää.

Sen estämättä, mitä muualla laissa säädetään oikeudesta tai velvollisuudesta luovuttaa salassa pidettäviä tietoja, tämän lain nojalla kerättyjä tietoja ei saa luovuttaa käytettäväksi yksityishenkilöä koskevassa hallinnollisessa päätöksenteossa eikä muussa vastaavassa asioiden käsittelyssä ilman hänen nimenomaista suostumustaan. Sosiaali- ja terveysalan valvontaviranomainen voi kuitenkin käyttää 42 §:n nojalla saamiaan tietoja muuta henkilöä kuin rekisteröityä koskevassa valvontatehtävässä, kun arvioidaan sosiaali- ja terveydenhuollon toimintayksiköiden tai ammattihenkilöiden toiminnan lainmukaisuutta taikka ammatillista asianmukaisuutta.

6 luku

Erinäiset säännökset

55 §
Merkittäviin kliinisiin löydöksiin perustuvat oikeudet, velvoitteet ja toimenpiteet

Sen estämättä, mitä 54 §:n 3 momentissa säädetään, tietoluvan saajalla on oikeus ilmoittaa Tietolupaviranomaisen nimeämälle vastuuhenkilölle kliinisesti merkittävästä löydöksestä, jonka perusteella olisi mahdollista ehkäistä tietyn potilaan terveyteen liittyvää riskiä tai parantaa merkittävästi hoidon laatua.

Jos 1 momentissa tarkoitetun ilmoituksen perusteena olevat tiedot ovat pseudonymisoituja, sanotun vastuuhenkilön on selvitettävä, ketä tai keitä tieto koskee. Kun Tietolupaviranomaisen vastuuhenkilöllä on tiedossaan henkilö tai henkilöt, joita 1 momentissa tarkoitettu ilmoitus koskee, vastuuhenkilön on toimitettava ilman aiheetonta viivytystä tiedot Terveyden ja hyvinvoinnin laitoksen nimeämälle asiantuntijalle.

Edellä 2 momentissa tarkoitetun asiantuntijan on yhteistyössä laitoksen nimeämien muiden asiantuntijoiden kanssa arvioitava tiedon merkittävyys ja sen pohjalta toteutettavissa olevien toimenpiteiden odotettavissa oleva hyöty. Jos hyöty arvioidaan niin ilmeiseksi, että tutkittava olisi tärkeää saada hoidon piiriin, Terveyden ja hyvinvoinnin laitoksen 2 momentissa tarkoitetun asiantuntijan on ilmoitettava löydöksestä kunkin henkilön terveydenhuollosta alueellisesti terveydenhuoltolain nojalla vastuussa olevalle toimintayksikölle.

Edellä 3 momentissa tarkoitetun toimintayksikön on otettava yhteys potilaaseen ja selvitettävä, haluaako tämä tiedon kliinisesti merkittävästä löydöksestä ja sen perusteella mahdollisesti tehtävistä tutkimus- ja hoitotoimenpiteistä sekä niistä odotettavissa olevasta hyödystä.

Potilaalla on oikeus kieltää kliinisesti merkittävän löydöksen perusteella tehtävät yhteydenotot. Kielto kirjataan asiakastietolain 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun. Potilas voi tehdä kiellon kirjallisesti missä tahansa julkista terveydenhuoltoa tuottavassa toimintayksikössä taikka sähköisesti asiakastietolain 19 §:ssä tarkoitetun kansalaisen käyttöliittymän välityksellä.

56 §
Ohjaus, valvonta ja seuranta

Tämän lain mukaisen henkilötietojen käsittelyn ja siihen liittyvän tietohallinnon yleinen suunnittelu, ohjaus ja valvonta kuuluvat sosiaali- ja terveysministeriölle.

Tietosuojavaltuutettu, Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä Tietolupaviranomainen ohjaavat ja valvovat toimialueellaan niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.

Tietolupaviranomaisen ja muiden tämän lain mukaisesti tietolupia myöntävien viranomaisten sekä Sosiaali- ja terveysalan lupa- ja valvontaviraston on omalta osaltaan seurattava ja valvottava, että kunkin antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat ja että niiden myöntämien lupien ehtoja noudatetaan. Jos joku on lainvastaisesti käsitellyt henkilötietoja, asianomaisen viranomaisen on oma-aloitteisesti ryhdyttävä tarvittaviin toimenpiteisiin. Jos tietoja käsitellään 20 §:n 3 momentin nojalla muussa kuin Tietolupaviranomaisen tietoturvallisessa käyttöympäristössä, 19 §:ssä tarkoitetut lokitiedot sekä 22 §:n 2 momentissa tarkoitetun käyttäjärekisterin tiedot on toimitettava Tietolupaviranomaiselle seurannan ja valvonnan toteuttamiseksi sen pyynnöstä ilman aiheetonta viivytystä.

Jos Tietolupaviranomaisella tai tämän lain mukaisesti tietolupia myöntävällä viranomaisella on perusteltua syytä epäillä, että sen myöntämän tietoluvan perusteella tietoja käsittelevä ei käsittele henkilötietoja lain mukaisesti, sen on viipymättä tehtävä ilmoitus tietosuojavaltuutetulle.

57 §
Tietolupaviranomaisen velvollisuus raportoida ohjausryhmälle

Tietolupaviranomaisen on raportoitava ohjausryhmälle tapauksista, joissa poiketaan 47 ja 48 §:ssä tarkoitetuista määräajoista, sekä julkaistava tiedot niistä.

58 §
Muutoksenhaku

Tässä laissa tarkoitettuun 45 §:n mukaista tietopyyntöä koskevaan päätökseen sekä tietolupahakemusta ja luvan peruuttamista koskevaan päätökseen, jonka antaa Tietolupaviranomainen taikka 6 §:ssä tarkoitettu rekisterinpitäjä, sekä Sosiaali- ja terveysalan lupa- ja valvontaviranomaisen tämän lain nojalla tekemään päätökseen saa vaatia oikaisua päätöksen tehneeltä viranomaiselta siten kuin hallintolaissa säädetään.

Oikaisuvaatimukseen annettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.

59 §
Voimaantulo

Tämä laki tulee voimaan 1 päivänä toukokuuta 2019.

60 §
Siirtymäsäännökset

Tämän lain 19 §:ää lokitiedoista, 20 §:n 3 momenttia ja 21–34 §:ää tietoturvalliselta käyttöympäristöltä edellytettävistä vaatimuksista sekä 55 §:ää kliinisistä löydöksistä sovelletaan 1 päivästä toukokuuta 2021. Ennen mainittua ajankohtaa tietoja voidaan luovuttaa luvansaajan käsiteltäväksi 51 §:n 1 ja 2 momentin nojalla, vaikka tietolupahakemuksessa ei osoitettaisi 51 §:n 3 momentissa tarkoitettua tietoturvallista käyttöympäristöä tietojen käsittelylle.

Edellä 47 §:n 4 momentissa ja 48 §:ssä säädettyjä tietojen luovutusta koskevia määräaikoja sovelletaan Kansaneläkelaitokseen ja sosiaalihuollon palvelunjärjestäjiin 1 päivästä tammikuuta 2024 sekä sähköisestä lääkemääräyksestä annetun lain 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen ja 5 kohdassa tarkoitettuun reseptiarkistoon tallennettuihin tietoihin lääkemääräyksistä ja niihin liittyvistä toimitustiedoista 1 päivästä tammikuuta 2021.

Tätä lakia sovelletaan asiakastietolaissa tarkoitettuihin Kanta-palveluihin 1 päivästä tammikuuta 2021.

Ennen lain voimaantuloa asianomaisen suostumuksella kerättyjä tietoja saa käyttää ja luovuttaa tämän lain mukaisesti lain 2 §:n 1 momentin 1, 2 ja 7 kohdan mukaisiin käyttötarkoituksiin sen estämättä, mitä 43 §:n 3 momentissa säädetään, jos on ilmeistä, että tietojen tällainen käyttö ja luovutus ei poikkea niistä tarkoituksista, joita varten tiedot on annettu. Tietoluvasta päättävä viranomainen voi edellyttää, että luvanhakija pyytää eettisen arvion lupapäätöksen perusteeksi Terveyden ja hyvinvoinnin laitoksen eettiseltä toimikunnalta.

Hakemus, joka on tehty ennen tämän lain voimaantuloa, käsitellään loppuun noudattaen tämän lain voimaan tullessa voimassa olleita säännöksiä. Hakemukseen, joka koskee henkilötietojen luovuttamista terveydenhuollon valtakunnallisista henkilörekistereistä annetun lain (556/1989) 4 §:n mukaisesti, ei kuitenkaan sovelleta mainitun pykälän 1 momentin mukaista velvollisuutta varata tietosuojavaltuutetulle tilaisuus tulla kuulluksi, vaan tämän lain 44 §:n 4 momentin mukaista oikeutta pyytää tietosuojavaltuutetulta lausunto tietolupahakemuksesta.

Tämän lain 13 §:ää neuvontapalvelusta sovelletaan 1 päivästä marraskuuta 2019.

Tämän lain 41 §:n 2 momenttia ja 42 §:n 1 momenttia sekä 45 §:ää aggregoitua tilastotietoa koskevan tietopyynnön käsittelystä sovelletaan 1 päivästä tammikuuta 2020.

Tämän lain 14 §:n 1 ja 2 momenttia tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelusta, pseudonymisoinnista ja anonymisoinnista, 16 §:ää tietopyyntöjen hallintajärjestelmästä sekä 20 §:n 1 momenttia tietoturvallisesta käyttöympäristöstä sovelletaan 1 päivästä tammikuuta 2020.

Tietolupakäsittelyyn liittyvä toimivalta määräytyy tämän lain 44 §:n 1–3 momentin mukaisesti 1 päivästä huhtikuuta 2020. Tietolupahakemus ja tietopyyntö on toimitettava 16 §:ssä tarkoitetun tietopyyntöjen hallintajärjestelmän välityksellä Tietolupaviranomaiselle 1 päivästä huhtikuuta 2020.

HE 159/2017, StVM 37/2018, EV 303/2018

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.