Dataskyddsförordningen förutsätter att uppgifter rör sig fritt inom EU. Lagen har dock utarbetats så att uppgifterna i regel behandlas centraliserat i en driftsäker miljö som tillhör Tillståndsmyndigheten för användning av social- och hälsovårdsdata och till vilken endast personer som fått användningstillstånd har åtkomsträttigheter. Tillståndshavaren kan även vistas någon annanstans än i Finland. En datasäker driftmiljö är en central teknisk metod för att även trygga skyddet av personuppgifter.
Om det är nödvändigt kan uppgifterna lämnas ut till en annan datasäker driftmiljö som tillståndshavaren anvisar. Den övriga miljön ska dock uppfylla kriterierna i Findatas föreskrift, den ska vara auditerad mot föreskriften och det intyg som fås från auditeringen ska vara i kraft. Valvira upprätthåller registret Toini som även i detta fall får användas endast i det syfte som uppgifterna har utlämnats till tillståndshavaren. EU:s dataskyddsförordning anger på vilka villkor uppgifter kan utlämnas utanför EU.
Kan social- och hälsouppgifter användas för marknadsföring eller andra motsvarande kommersiella ändamål?
Social- och hälsovårdsuppgifterna får inte användas för marknadsföring eller för att fastställa individuella kommersiella tjänster, såsom försäkringspremier.