Finlex - Etusivulle
Tietosuojavaltuutettu

26.3.2001

Tietosuojavaltuutettu

Tietosuojavaltuutetun ratkaisuja EU:n yleisen tietosuoja-asetuksen, rikosasioiden tietosuojalain ja henkilötietolain tulkinnasta

Terveydenhuollon eri toimintayksiköiden potilasrekisteritietojen tallettaminen samaan ulkopuolisen palveluntuottajan ylläpitämään tietokantaan

Asiasanat
potilasrekisteri, tietokanta, terveydenhuolto
Tapausvuosi
2001
Antopäivä
Diaarinumero
163/41/2001
Säädösperusta
Henkilötietolain mukainen päätös

Tietosuojavaltuutetun kannanotto 26.3.2001

ASIA
Onko useiden terveydenhuollon toimintayksikköjen potilasrekisterin tietojen tallettaminen samaan ulkopuolisen palvelujen tuottajan ylläpitämään tietojärjestelmään/tietokantaan laillista.

TIETOSUOJAVALTUUTETUN KANNANOTTO
Hankittaessa potilastietojen säilyttämis- ja ylläpitopalveluja terveydenhuollon toimintayksikön lukuun ulkopuoliselta palvelujen tuottajalta, kysymys on kyseisen toimintayksikön (rekisterinpitäjän) rekisteristä tai osarekisteristä. Toimeksiantopalvelut ostanut toimintayksikkö käyttää kyseiseen henkilötietojen käsittelyyn nähden määräysvaltaa. Toimeksi saaneen palvelun tuottajan velvoitteet määräytyvät sopimuksen perusteella sopimusvastuuna. Palvelun tuottajaa sitovat kuitenkin suoraan lain nojalla terveydenhuollon salassapitovelvoitteet sekä henkilötietolain suojaamis- ja huolellisuusvelvoitteet.

Jos palvelun tuottaja samanaikaisesti tuottaa palveluja muille toimintayksiköille, eri toiminta-yksiköiden potilastiedot tulee pitää järjestelmässä/tietokannassa erikseen ja eri rekistereinä. Eri toimintayksiköiden (rekisterinpitäjien) rekistereitä/rekisterien tietoja ei saa yhdistää samaksi rekisteriksi. Tietoja voidaan luovuttaa potilaan asemasta ja oikeuksista annetun lain 13 §:n perusteella toiselle samalta palvelujen tuottajalta tietojenkäsittelypalvelut hankkineelle toimintayksikölle vain potilaan asianmukaisen suostumuksen perusteella. Palveluntuottajan järjestelmien ja sovellusten ominaisuuksien tulee kuitenkin turvata salassapito-, tietosuoja- sekä tietoturvavaatimusten toteutuminen sekä mm. tietolähde ja –luovutusmerkintöjä koskevien määräysten huomioon ottaminen (potilasasiakirjojen laatimista ym. koskeva asetus 99/2001).

Toimeksiantopalvelujen tuottaja voi olla myös sairaanhoitopiiri. Tällöin se toimii vastaavassa asemassa kuin yksityinen palvelujen tuottaja ja on mm. velvollinen tekemään henkilötietolain 36 ja 37 §:ssä tarkoitetun toimintailmoituksen tietosuojavaltuutetulle. Myös toimeksiantopalvelut ostanut toimintayksikkö on henkilötietolain perusteella velvollinen tekemään tietojenkäsittelypalvelujen ulkoistamista koskevan ilmoituksen.

SOVELLETUT SÄÄNNÖKSET
Henkilötietolaki: 3.1 § 4 kohta, 5 §, 8 §, 32 §, 36 § ja 37 §
Erityislait: Potilaslaki 13 §, julkisuuslaki 5.2 §

Sivun alkuun