Behandling av uppgifter

I denna dataskyddsbeskrivning redogörs för hur Findata behandlar kund- och registeruppgifter inom social- och hälsovården vid beviljande av tillstånd för sekundär användning av social- och hälsodata. Med ”registrerad” avses i denna dataskyddsbeskrivning en person som de ursprungliga social- och hälsouppgifterna gäller.

Med ”personuppgifter” avses alla uppgifter om den registrerade som direkt eller indirekt kan identifiera honom eller henne, i enlighet med definitionen i EU:s allmänna dataskyddsförordning (2016/679) (”dataskyddsförordningen”).

Findata följer vid behandling av personuppgifter dataskyddsförordningen, lagen om sekundär användning av personuppgifter inom social- och hälsovården samt annan tillämplig dataskyddslagstiftning och god informationshanteringssed.

Personuppgiftsansvarig

Kontaktuppgifter:

Findata – Tillståndsmyndigheten för social- och hälsodata
PB 30, 00301 Helsingfors
info@findata.fi

Dataskyddsombud
tietosuojavastaava@findata.fi 

Ändamålen med behandlingen av personuppgifter och den rättsliga grunden för behandlingen

Dataanvändningstillstånd

Vi beviljar tillstånd för sekundär användning av social- och hälsovårdsuppgifter när ansökan gäller

• uppgifter från flera offentliga personuppgiftsansvariga inom social- och hälsovården
• uppgifter om en enskild offentlig personuppgiftsansvarig när den personuppgiftsansvarige i fråga har överfört sin tillståndsbehörighet till Findata
  • Se förteckningen över personuppgiftsansvariga som har överfört sin tillståndsbehörighet till Findata
• registeruppgifter om en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården.
• klientuppgifter som har registrerats i Kanta-tjänsterna.

Dataanvändningstillstånd kan beviljas för följande ändamål:

• vetenskaplig forskning
• statistikföring
• undervisning och
• myndigheternas planerings- och utredningsuppgifter.

När dataanvändningstillståndet har beviljats sammanställer och förbehandlar vi materialet och lämnar ut det förbehandlade materialet till mottagaren av beslutet för det användningsändamål som beskrivs i tillståndet.

Förbehandling innebär åtgärder som vi vidtar för uppgifter som olika personuppgiftsansvariga lämnar ut till Findata innan vi lämnar ut dem vidare till mottagaren av beslutet. I förbehandlingen samlar vi in, kombinerar, pseudonymiserar och anonymiserar information. Utgångspunkten är att vi pseudonymiserar uppgifterna innan vi lämnar dem vidare. Vi lämnar ut identifierbara uppgifter endast av särskilt motiverade och nödvändiga skäl. Vi behandlar uppgifter i myndighetens informationssäkra driftmiljö. Vid hantering av identifierare använder vi en applikation för identifierarhantering. Vid behandling av ostrukturerat textmaterial används en AI-modell som fungerar i myndighetens informationssäkra driftmiljö för att minska risken att direkta identifierare i textmaterialet hamnar hos en obehörig part. Behandling av personuppgifter kan också ske med ett verktyg för resultatgranskning.

Syftet med förbehandlingen av personuppgifter är att skapa material enligt det beviljade tillståndet utifrån social- och hälsovårdsuppgifterna som erhållits från de personuppgiftsansvariga som omfattas av lagen om sekundär användning.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Behandlingen av personuppgifter vid förbehandling av uppgifter enligt dataanvändningstillståndet grundar sig på följande lagar:

• 6 a §, 14 §, 51 § och 51 a § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artiklar 6.1 c och 6.1 e i den allmänna dataskyddsförordningen,
• 4 § 2 punkten i dataskyddslagen (1050/2018) och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 g i den allmänna dataskyddsförordningen.

Begäran om information

Via Findata är det möjligt att få statistikmaterial av personuppgiftsansvariga som omfattas av lagen om sekundär användning. Statistikmaterialet söks med en begäran om information. När vi har fattat ett positivt beslut om begäran om information sammanställer och förbehandlar vi de uppgifter som är nödvändiga för projektet och lämnar ut uppgifterna på statistiknivå till den som gjort begäran om information.

Material på statistiknivå kan fås via Findata på basis av en begäran om information när uppgifterna behövs för något av följande ändamål:

• utvecklings- och innovationsverksamhet
• undervisning
• vetenskaplig forskning
• informationsledning (jämförelsematerial)
• statistikföring
• myndighetsstyrning och myndighetstillsyn inom social- och hälsovården samt myndigheternas planerings- och utredningsuppgifter

Syftet med behandlingen av personuppgifter är att skapa statistikmaterial över social- och hälsouppgifter som erhållits från en eller flera personuppgiftsansvariga som omfattas av lagen om sekundär användning. På basis av begäran om information lämnar vi endast ut anonyma statistiska uppgifter. I statistiskt material har enskilda personuppgifter samkörts och summerats. Statistiken beskriver en grupp personer i stället för en enskild person. Uppgifterna om grupperna av personer har utformats så att enskilda individer inte kan identifieras.

Enskilda personer kan inte spåras eller identifieras i det färdiga statistikmaterialet.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Behandlingen av personuppgifter vid förbehandling av uppgifter enligt begäran om information grundar sig på följande lagar:

• 14 §, 45 §, 51 § och 51 a § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artiklar 6.1 c och 6.1 e i den allmänna dataskyddsförordningen,
• 4 § 2 punkten i dataskyddslagen (1050/2018) och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 g i den allmänna dataskyddsförordningen.

Personuppgifter som behandlas samt informationskällor

I varje dataanvändningstillstånd fastställs vilka uppgifter som kan behandlas utifrån tillståndet. Vi fastställer vilka uppgifter statistiken bildas av i varje beslut om begäran om information.

Vid förbehandlingen av uppgifter enligt dataanvändningstillståndet och begäran om information behandlar vi social- och hälsouppgifter som innehas av personuppgiftsansvariga som omfattas av lagen om sekundär användning i den utsträckning som de har bedömts vara nödvändiga för respektive projekt.

Vi beviljar inte tillstånd för allt material från alla personuppgiftsansvariga som omfattas av lagstiftningen. Mer information om materialbegränsningen finns i 6 § i lagen om sekundär användning (finlex.fi).

Personuppgiftsansvariga som omfattas av lagen om sekundär användning:

• Myndigheten för digitalisering och befolkningsdata (MDB)
• Pensionsskyddscentralen (PSC)
• Folkpensionsanstalten (FPA)
• Uppgifter som har registrerats i Kanta-tjänsterna
• Tillstånds- och tillsynsverket
• Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea
• Tjänsteleverantörer inom social- och hälsovården, både offentliga och privata
• Social- och hälsovårdsministeriet
• Institutet för hälsa och välfärd THL
• Statistikcentralen
• Arbetshälsoinstitutet

Uppgifterna skickas till Findata och, när det gäller dataanvändningstillstånd, vidare till mottagaren av beslutet via en informationssäker användartjänst.

Bekanta dig med beviljade dataanvändningstillstånd.

Regelmässigt utlämnande av personuppgifter och personuppgifternas mottagargrupper

Vi lämnar material som bildats utifrån dataanvändningstillståndet till mottagaren av beslutet. Mottagaren av beslutet blir då personuppgiftsansvarig för det utlämnade materialet. I största delen av de dataanvändningstillstånd som vi beviljar använder mottagarna uppgifterna för vetenskaplig forskning.

Uppgifter som baseras på dataanvändningstillståndet kan enligt 20 § i lagen om sekundär användning lämnas ut för behandling i en informationssäker driftmiljö eller, enligt 51 c § i lagen om sekundär användning av särskilda skäl i någon annan säker driftmiljö. Enligt 51 § d i lagen om sekundär användning kan Findata av särskilda skäl bevilja dataanvändningstillstånd för erhållande av uppgifter i anonymiserad form utanför en sådan informationssäker driftmiljö som avses i 20 §.

Läs mer om informationssäkra driftmiljöer.

På basis av begäran om information lämnar vi endast ut statistiska uppgifter. Vi lämnar inte ut personuppgifter.

Vi använder IT-centret för vetenskap (CSC) för att genomföra det tekniska underhålls- och utvecklingsarbetet för det informationssystem (Myndighetens informationssäkra driftmiljö) som vi använder vid förbehandlingen. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Förvaringstid för personuppgifter

Dataanvändningstillstånd

Vi förvarar uppgifterna som vi har erhållit från andra personuppgiftsansvariga samt det material som bildats vid förbehandlingen i fyra månader från det att vi har lämnat ut uppgifterna till mottagaren av beslutet. Under förvaringen använder vi uppgifterna för att korrigera eventuella fel som skett i bildandet av materialet.

Om det är fråga om ett rullande dataanvändningstillstånd, det vill säga att tillståndet ger rätt att få uppdateringar av uppgifterna, bevaras materialet från varje leverans i fyra månader från det att uppgifterna har överlämnats till mottagaren. Om skapandet av nytt material baseras på allt tidigare levererat material, bevarar vi allt material i fyra månader från det att den senaste leveransen till mottagaren har gjorts.

Man bör observera att mottagaren av beslutet förvarar materialet längre än Findata.

Vi förvarar identifierarna för pseudonymiserat material så länge de behövs för att genomföra studien och för att säkerställa att resultaten är korrekta, i regel i 12 år.

Begäran om information

Vi sparar uppgifterna som vi har erhållit från andra personuppgiftsansvariga i sex månader efter att vi har lämnat ut den statistik vi skapat till den som gjort begäran om information. Under förvaringen använder vi uppgifterna för att korrigera eventuella fel som skett i bildandet av statistiken.

Om det är fråga om en fortgående begäran om information, dvs. statistiken bildas och levereras med jämna mellanrum utifrån uppdaterade uppgifter, bevarar vi materialet i sex månader från det att varje statistiskt dataset har överlämnats till den som gjort begäran.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi lämnar i regel inte ut personuppgiftsmaterial utanför EU eller EES eller till internationella organisationer. Enligt lagen om sekundär användning ska uppgifterna lämnas ut till en informationssäker driftmiljö som på basis av de krav som den omfattas av inte kan vara belägen utanför EU och EES. Enligt 51 c § i lagen om sekundär användning, tillståndsmyndigheten kan av särskilda skäl bevilja ett dataanvändningstillstånd där datamaterialet får lämnas ut i någon annan säker driftmiljö. Om vi med stöd av någon annan lag i enskilda fall överför personuppgifter utanför EU och EES eller till en internationell organisation, använder vi en överföringsgrund enligt den allmänna dataskyddsförordningen som väljs enligt mållandet och -organisationen.

Om mottagaren av beslutet i egenskap av personuppgiftsansvarig vill möjliggöra behandling av sitt material utanför EU och EES, ska hen ansöka om tillstånd hos Findata för att möjliggöra behandlingen. Om vi beviljar tillstånd ska den personuppgiftsansvarige vid behov säkerställa att materialet överförs i enlighet med kapitel V i den allmänna dataskyddsförordningen.

Den statistik som skapas utifrån begäran om information innehåller inte personuppgifter, och därför kan den också lämnas ut utanför EU:s och EES:s medlemsländer.

 

Den registrerades rättigheter

Med registrerad avses en person som de ursprungliga social- och hälsouppgifterna gäller. Läs mer om den registrerades rättigheter längre upp på denna sida under rubriken ”Den registrerades rättigheter”.