Keskeinen lainsäädäntö henkilötietojen käsittelyssä
Henkilötietojen käsittely perustuu aina lakiin. Tässä luvussa käydään läpi, mitä se tarkoittaa käytännössä tutkijan näkökulmasta.
Kun haet Findatalta tietolupaa sosiaali- ja terveystietojen hyödyntämiseen tutkimuksessa, henkilötietojen käsittelyä ohjaavat erityisesti EU:n yleinen tietosuoja-asetus (GDPR), tietosuojalaki ja toisiolaki, sekä lähivuosina myös asetus eurooppalaisesta terveystietoalueesta (EHDS).
EU:n yleinen tietosuoja-asetus (GDPR)
GDPR säätelee henkilötietojen käsittelyä EU- ja ETA-alueella. Asetusta sovelletaan aina, kun käsitellään henkilötietoja.
GDPR määrittelee esimerkiksi rekisterinpitäjän vastuut, rekisteröidyn oikeudet ja henkilötietojen käsittelyn keskeiset tietosuojaperiaatteet.
GDPR:n keskeiset tietosuojaperiaatteet
▸ Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
Henkilötietoja käsitellään laillisesti, reilusti ja avoimesti rekisteröidylle.
▸ Käyttötarkoitussidonnaisuus
Tiedot kerätään tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käyttää muuhun. Poikkeuksena ovat tutkimus, tilastointi ja arkistointi yleisen edun mukaisesti.
▸ Tietojen minimointi
Kerätään vain käsittelyn tarkoituksen kannalta tarpeelliset tiedot.
▸ Täsmällisyys
Tietojen on oltava oikein ja ajan tasalla. Virheelliset tiedot on korjattava tai poistettava viipymättä.
▸ Säilytyksen rajoittaminen
Tietoja säilytetään tunnistettavassa muodossa vain niin kauan kuin tarpeen. Tutkimuksessa ja arkistoinnissa tietoja voidaan säilyttää pidempään, jos asianmukaiset suojatoimet ovat käytössä.
▸ Eheys ja luottamuksellisuus
Tietoja käsitellään turvallisesti ja suojataan luvattomalta käytöltä, häviämiseltä ja vahingoittumiselta.
▸ Osoitusvelvollisuus
Rekisterinpitäjän on pystyttävä osoittamaan, että tietosuojaperiaatteita noudatetaan käytännössä.
Tietosuojalaki
Suomen tietosuojalaki täydentää GDPR:ää kansallisella tasolla. Se täsmentää, milloin erityisiä henkilötietoja, kuten terveystietoja, saa käsitellä Suomessa.
Tyypillisiä tilanteita, joissa erityisiä tietoja saa käsitellä:
Tieteellinen tai historiallinen tutkimus
Esim. yliopisto voi käsitellä terveystietoja tutkimushankkeessa, kun asianmukaiset tietosuojasuojatoimet ovat käytössä.
Tilastointi ja arkistointi yleisen edun mukaisesti
Esim. Tilastokeskus voi käsitellä laajoja henkilötietoaineistoja tilastojen tuottamiseksi.
Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (toisiolaki)
Toisiolaki säätelee sosiaali- ja terveystietojen toisiokäyttöä Suomessa. Findatan toiminta perustuu toisiolakiin.
Toisiolaissa määritellään esimerkiksi kuka voi myöntää tietolupia, mihin tarkoituksiin tietoja voidaan käyttää ja missä niitä saa käsitellä.
Eurooppalainen terveystietoalue (EHDS)
EHDS-asetus (European Health Data Space) luo EU:hun yhteisen kehyksen terveystietojen käytölle ja vaihdolle. EHDS muistuttaa monin tavoin Suomen nykyistä toisiolakia, mutta se tuo mukanaan myös uusia toimintamalleja ja muutoksia esimerkiksi käyttötarkoituksiin sekä tietolupien käsittelyyn.
Aikataulu
EHDS-asetus astui voimaan maaliskuussa 2025. Toimeenpano tapahtuu asteittain, ja toisiokäyttöä koskevia osia aletaan soveltaa maaliskuussa 2029.