582/2020

Terveyden ja hyvinvoinnin laitos tarjoaa ja hyväksyy mobiilisovelluksesta ja siihen liittyvästä taustajärjestelmästä koostuvan tietojärjestelmän koronavirukselle mahdollisesti altistuneiden tavoittamiseksi ja ylläpitää sitä. Mobiilisovellus on käyttäjälleen maksuton ja sen käyttö on vapaaehtoista.

Tietojen käyttö ja siirto mobiilisovelluksen ja taustajärjestelmän välillä edellyttää käyttäjän suostumusta. Suostumus annetaan sovelluksessa. Suostumuksesta tulee käydä ilmi, että se on annettu vapaaehtoisesti ja nimenomaisesti sekä tietoisena siitä, mihin tarkoituksiin mobiilisovelluksella siirrettyjä tietoja voidaan käyttää ja luovuttaa. Suostumuksesta on myös käytävä ilmi, ettei sitä ole annettu sosiaali- ja terveydenhuollon asiakaspalvelutilanteessa eikä viranomaismenettelyssä. Suostumuksen voi milloin tahansa peruuttaa poistamalla sovelluksen käytöstä.

Terveyden ja hyvinvoinnin laitos toimii tietojärjestelmän yhteydessä tapahtuvan henkilötietojen käsittelyn osalta rekisterinpitäjänä.

Terveyden ja hyvinvoinnin laitos vastaa tietojärjestelmän toiminnasta sekä tietoturvallisuuden hyväksymisestä ja voi asettaa tietojärjestelmälle tarkempia toiminnallisia ja teknisiä vaatimuksia sekä tietoturvavaatimuksia.

Terveyden ja hyvinvoinnin laitoksen on huolehdittava, että tietojärjestelmä on käytössä vain niin kauan kuin se on tarpeellista covid-19-tartuntaketjujen katkaisemiseksi.

Kansaneläkelaitos vastaa Terveyden ja hyvinvoinnin laitoksen lukuun taustajärjestelmän ylläpidosta Terveyden ja hyvinvoinnin laitoksen määrittelemällä tavalla.

Tietojärjestelmän käytön yhteydessä saadaan henkilötietoja käsitellä covid-19-tartuntaketjujen katkaisemiseksi ja sovellusta käyttävien sekä tartunnalle mahdollisesti altistuneiden henkilöiden tavoittamiseksi ja informoimiseksi sekä covid-19-epidemian seurannan ja tietojärjestelmän toiminnan arvioinnin kannalta tarpeellisiin tilastollisiin tarkoituksiin tässä luvussa säädetyllä tavalla. Henkilötietoja saa käyttää ainoastaan tämän luvun mukaisiin tarkoituksiin, eikä niitä saa käyttää poliisitutkinnassa, esitutkinnassa, oikeudenkäynnissä tai muussa lainvalvontaan liittyvässä tarkoituksessa. Tietoja ei myöskään saa käyttää 60 §:n mukaisessa päätöksenteossa yksinomaisena perusteena eikä muussa covid-19-tartuntaa koskevaan hoitopäätökseen liittymättömässä julkisen vallan käytössä.

Tietojärjestelmän käytön yhteydessä saadaan käsitellä seuraavia henkilötietoja:

1) käyttäjän pseudonyymiset tunnisteet;

2) käyttäjän kohtaamien toisten käyttäjien pseudonyymiset tunnisteet ja näihin kohtaamisiin liittyvät tarpeelliset tiedot niiden kestosta ja ajankohdasta sekä mobiililaitteen bluetooth-signaalin voimakkuudesta;

3) tartunnastaan ilmoittaneen käyttäjän pseudonyymiset tunnisteet;

4) käyttäjän saama tieto mahdollisesta altistumisestaan;

5) käyttäjän 43 e §:n 1 momentissa tarkoitetun yhteydenottopyynnön yhteydessä ilmoittamat nimi, puhelinnumero, kotikunta ja tarvittaessa tilapäinen asuinpaikka ja oiretiedot.

Edellä 2 momentin 1, 2 ja 4 kohdassa tarkoitetut tiedot saadaan tallentaa käyttäjän mobiililaitteeseen. Taustajärjestelmään saadaan tallentaa 2 momentin 3 kohdassa tarkoitetut tiedot mahdollisesti tartunnalle altistuneiden mobiilisovelluksen käyttäjien tavoittamiseksi ja 5 kohdassa mainitut tiedot luovutettaviksi kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikölle sekä Ålands hälso- och sjukvård -nimiselle viranomaiselle siten kuin 43 e §:ssä säädetään.

Edellä 2 momentin 1–5 kohdassa tarkoitetut tiedot on poistettava ja tuhottava 21 vuorokauden kuluessa niiden tallentumisesta. Tiedot on kuitenkin poistettava ja tuhottava viimeistään, kun tietojärjestelmä poistetaan 43 a §:n 5 momentin mukaisesti käytöstä.

Poiketen siitä, mitä 22 §:ssä säädetään, tässä luvussa tarkoitetun mobiilisovelluksen käyttäjän ei tarvitse ilmoittaa tietojärjestelmän avulla saamiaan tietoja lääkärille.

Terveyden ja hyvinvoinnin laitoksella on salassapitosäännösten estämättä oikeus luovuttaa kunnan ja sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksiköille sekä Ålands hälso- och sjukvård -nimiselle viranomaiselle 43 c §:n 2 momentin 5 kohdassa tarkoitetut tarpeelliset tiedot, jotta terveydenhuollon toimintayksikkö voi ottaa yhteyttä mahdollisesti altistuneeseen hoidon tarpeen tai muiden covid-19-epidemian torjuntatyön kannalta tarpeellisten toimenpiteiden arvioimiseksi.

Edellä 1 momentissa tarkoitetusta yhteydenottopyynnöstä ilmenevät tiedot mahdollisesta altistumisesta voidaan tallentaa kunnan tai sairaanhoitopiirin kuntayhtymän terveydenhuollon toimintayksikön perustamaan väliaikaiseen rekisteriin 1 momentissa tarkoitettua yhteydenottoa varten. Tieto on poistettava ja tuhottava rekisteristä viivytyksettä, kun se ei ole enää välttämätön tähän tarkoitukseen.

Sosiaali- ja terveysministeriö ohjaa ja seuraa Kansaneläkelaitosta 43 b §:ssä tarkoitetun tehtävän toimeenpanossa.

Liikenne- ja viestintävirasto arvioi tietojärjestelmän tietoturvallisuuden ennen sen käyttöönottoa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti.

Sosiaali- ja terveysalan lupa- ja valvontavirasto valvoo tietojärjestelmän tietoturvallisuutta.

Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellyttämiä tarkastuksia ja tarkastajalla on oikeus päästä tiloihin, jotka ovat merkityksellisiä valvonnan kannalta ja joissa säilytetään valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. Tarkastusta toteutettaessa on noudatettava, mitä hallintolain (434/2003) 39 §:ssä säädetään tarkastuksen toteuttamisesta.

Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat välttämättömiä tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi välttämättömistä asiakirjoista.