Vår dataskyddspraxis

Användningsändamål

Vi beviljar tillstånd för sekundär användning av social- och hälsovårdsuppgifter när ansökan gäller

• uppgifter från flera offentliga personuppgiftsansvariga inom social- och hälsovården
• uppgifter om en enskild offentlig personuppgiftsansvarig när den personuppgiftsansvarige i fråga har överfört sin tillståndsbehörighet till Findata
  • Se förteckningen över personuppgiftsansvariga som har överfört sin tillståndsbehörighet till Findata
• registeruppgifter om en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården.
• klientuppgifter som har registrerats i Kanta-tjänsterna.

Dataanvändningstillstånd kan beviljas för följande ändamål:

• vetenskaplig forskning
• statistikföring
• undervisning och
• myndigheternas planerings- och utredningsuppgifter.

När dataanvändningstillståndet har beviljats sammanställer och förbehandlar vi materialet och lämnar ut det förbehandlade materialet till mottagaren av beslutet för det användningsändamål som beskrivs i tillståndet.

Förbehandling innebär åtgärder som vi vidtar för uppgifter som olika personuppgiftsansvariga lämnar ut till Findata innan vi lämnar ut dem vidare till mottagaren av beslutet. I förbehandlingen samlar vi in, kombinerar, pseudonymiserar och anonymiserar information.

Utgångspunkten är att vi pseudonymiserar uppgifterna innan vi lämnar dem vidare. Pseudonymisering innebär att vi behandlar uppgifterna på så sätt att de inte kan kopplas direkt till personer. Vi lämnar ut identifierbara uppgifter endast av särskilt motiverade och nödvändiga skäl.

Vi förvarar identifierarna för det pseudonymiserade materialet på ett datasäkert sätt. Vi förvarar identifierarna så att materialet kan göras identifierbart och samma material kan produceras på nytt med hjälp av identifierarna.

Syftet med förbehandlingen av personuppgifter är att skapa material enligt det beviljade tillståndet utifrån social- och hälsovårdsuppgifterna som erhållits från de personuppgiftsansvariga som omfattas av lagen om sekundär användning.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Uppgifter och informationskällor som behandlas

I varje dataanvändningstillstånd fastställs vilka uppgifter som kan behandlas utifrån tillståndet.

Vid förbehandlingen av uppgifter enligt dataanvändningstillståndet behandlar vi social- och hälsouppgifter som innehas av personuppgiftsansvariga som omfattas av lagen om sekundär användning i den utsträckning som de har bedömts vara nödvändiga för respektive projekt. Vi sparar identifierarna utifrån vilka vi kan utreda vilka personers uppgifter som har behandlats i projektet.

Vi beviljar inte tillstånd för allt material från alla personuppgiftsansvariga som omfattas av lagstiftningen. Mer information om materialbegränsningen finns i lagen om sekundär användning (finlex.fi).

Personuppgiftsansvariga som omfattas av lagen om sekundär användning:

• Regionförvaltningsverken (RFV)
• Myndigheten för digitalisering och befolkningsdata (MDB)
• Pensionsskyddscentralen (PSC)
• Folkpensionsanstalten (FPA)
• Uppgifter som har registrerats i Kanta-tjänsterna
• Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea
• Tillstånds- och tillsynsverket för social- och hälsovården Valvira
• Tjänsteleverantörer inom social- och hälsovården, både offentliga och privata
• Social- och hälsovårdsministeriet
• Institutet för hälsa och välfärd THL
• Statistikcentralen
• Arbetshälsoinstitutet

Uppgifterna skickas till Findata och vidare till mottagaren av beslutet via en informationssäker användartjänst.

Bekanta dig med beviljade dataanvändningstillstånd.

Regelmässigt utlämnande av uppgifter

Vi lämnar material som bildats utifrån dataanvändningstillståndet till mottagaren av beslutet. Mottagaren av beslutet blir då personuppgiftsansvarig för det utlämnade materialet.

Enligt lagen om sekundär användning kan uppgifter endast lämnas ut för behandling i en informationssäker driftmiljö.

Läs mer om informationssäkra driftmiljöer.

Personuppgifternas mottagargrupper

Vi lämnar ut de förbehandlade uppgifterna till mottagaren av beslutet. I största delen av de dataanvändningstillstånd som vi beviljar använder mottagarna uppgifterna för vetenskaplig forskning.

Vi använder IT-centret för vetenskap (CSC) för att genomföra det tekniska underhålls- och utvecklingsarbetet för det informationssystem (Myndighetens informationssäkra driftmiljö) som vi använder vid förbehandlingen. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Förvaringstid för uppgifter

Vi förvarar uppgifterna som vi har erhållit från andra personuppgiftsansvariga samt det material som bildats vid förbehandlingen i fyra månader från det att vi har lämnat ut uppgifterna till mottagaren av beslutet. Under förvaringen använder vi uppgifterna för att korrigera eventuella fel som skett i bildandet av materialet.

Om det är fråga om ett rullande dataanvändningstillstånd, dvs. man med stöd av dataanvändningstillståndet har rätt att få uppdateringar av uppgifterna, förvaras det senaste materialet tills nästa material bildas. Om bildandet av det nya materialet grundar sig på allt material som lämnats in tidigare, sparar vi allt material under tillståndets giltighetstid.

Man bör observera att mottagaren av beslutet förvarar materialet längre än Findata. Dess giltighetstid finns fastställd i tillståndet. Den personuppgiftsansvarige för denna behandling fastställs i dataanvändningstillståndet.

Vi förvarar identifierarna för pseudonymiserat material så länge de behövs för att genomföra studien och för att säkerställa att resultaten är korrekta, i regel i 12 år.

Överföring av uppgifter utanför EU eller EES eller till internationella organisationer

Vi lämnar i regel inte ut personuppgiftsmaterial utanför EU eller EES eller till internationella organisationer. Enligt lagen om sekundär användning ska uppgifterna lämnas ut till en informationssäker driftmiljö som på basis av de krav som den omfattas av inte kan vara belägen utanför EU och EES. Om vi med stöd av någon annan lag i enskilda fall överför personuppgifter utanför EU och EES eller till en internationell organisation, använder vi en överföringsgrund enligt den allmänna dataskyddsförordningen som väljs enligt mållandet och -organisationen.

Om mottagaren av beslutet i egenskap av personuppgiftsansvarig vill möjliggöra behandling av sitt material utanför EU och EES, ska hen ansöka om tillstånd hos Findata för att möjliggöra behandlingen. Om vi beviljar tillstånd ska den personuppgiftsansvarige vid behov säkerställa att materialet överförs i enlighet med kapitel V i den allmänna dataskyddsförordningen.

Den registrerades rättigheter

Med registrerad avses den person som de ursprungliga social- och hälsouppgifterna gäller. När vi behandlar personuppgifter som personuppgiftsansvarig har den registrerade följande rättigheter:

• Rätt att få information om behandlingen av personuppgifter (artikel 14 i dataskyddsförordningen)
• Rätt till tillgång till uppgifter (artikel 15 i dataskyddsförordningen)
• Rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen)
• Rätt att begränsa behandlingen (artikel 18 i dataskyddsförordningen)
• Rätt att göra invändning (artikel 21 i dataskyddsförordningen)
• Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77 i dataskyddsförordningen)

Den registrerade har rätt att invända mot att vi behandlar personuppgifter när som helst på grunder som hänför sig till den personliga särskilda situationen. Då får vi inte längre behandla uppgifter om denna person om det inte finns ett synnerligen viktigt och motiverat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastställa, framställa eller försvara rättsliga anspråk.

Läs mer om dina rättigheter som registrerad.

Behandlingsgrund

Behandlingen av personuppgifter vid förbehandling av uppgifter enligt dataanvändningstillståndet grundar sig på följande lagar:

• 14 §, 44 § ja 51 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården,
• 4 §, punkt 2 i dataskyddslagen och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 g i den allmänna dataskyddsförordningen.

Användningsändamål

Via Findata är det möjligt att få statistikmaterial av personuppgiftsansvariga som omfattas av lagen om sekundär användning. Statistikmaterialet söks med en begäran om information. När vi har fattat ett positivt beslut om begäran om information sammanställer och förbehandlar vi de uppgifter som är nödvändiga för projektet och lämnar ut uppgifterna på statistiknivå till den som gjort begäran om information.

Material på statistiknivå kan fås via Findata på basis av en begäran om information när uppgifterna behövs för något av följande ändamål:

• utvecklings- och innovationsverksamhet
• undervisning
• vetenskaplig forskning
• informationsledning (jämförelsematerial)
• statistikföring
• myndighetsstyrning och myndighetstillsyn inom social- och hälsovården samt myndigheternas planerings- och utredningsuppgifter

Syftet med behandlingen av personuppgifter är att skapa statistikmaterial över social- och hälsouppgifter som erhållits från en eller flera personuppgiftsansvariga som omfattas av lagen om sekundär användning. På basis av begäran om information lämnar vi endast ut anonyma statistiska uppgifter. I statistiskt material har enskilda personuppgifter samkörts och summerats. Statistiken beskriver en grupp personer i stället för en enskild person. Uppgifterna om grupperna av personer har utformats så att enskilda individer inte kan identifieras.

Enskilda personer kan inte spåras eller identifieras i det färdiga statistikmaterialet.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Uppgifter som behandlas samt informationskällor

Vi fastställer vilka uppgifter statistiken bildas av i varje beslut om begäran om information.

Vid förbehandlingen av uppgifter enligt begäranden behandlar vi social- och hälsouppgifter som innehas av personuppgiftsansvariga som omfattas av lagen om sekundär användning i den utsträckning som de har bedömts vara nödvändiga för respektive projekt.

Vi sammanställer inte statistik över allt material från alla personuppgiftsansvariga som omfattas av lagstiftningen. Mer information om materialbegränsningen finns i lagen om sekundär användning (finlex.fi).

Personuppgiftsansvariga som omfattas av lagen om sekundär användning:

• Regionförvaltningsverken (RFV)
• Myndigheten för digitalisering och befolkningsdata (MDB)
• Pensionsskyddscentralen (PSC)
• Folkpensionsanstalten (FPA)
• Uppgifter som har registrerats i Kanta-tjänsterna
• Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea
• Tillstånds- och tillsynsverket för social- och hälsovården Valvira
• Tjänsteleverantörer inom social- och hälsovården, både offentliga och privata
• Social- och hälsovårdsministeriet
• Institutet för hälsa och välfärd THL
• Statistikcentralen
• Arbetshälsoinstitutet

Uppgifterna skickas till Findata och vidare till mottagaren av beslutet via en informationssäker användartjänst.

Bekanta dig med beviljade begäran om information.

Regelmässigt utlämnande av uppgifter samt mottagargrupper

På basis av begäran om information lämnar vi endast ut statistiska uppgifter. Vi lämnar inte ut personuppgifter.

Vi använder IT-centret för vetenskap (CSC) för att genomföra det tekniska underhålls- och utvecklingsarbetet för det informationssystem (Myndighetens informationssäkra driftmiljö) som vi använder vid dataöverföring och framställning av statistik. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Personuppgifterna har inga andra mottagargrupper, eftersom vi inte lämnar ut personuppgifter på basis av begäran om information.

Förvaringstid för uppgifter

Vi sparar uppgifterna som vi har erhållit från andra personuppgiftsansvariga i sex månader efter att vi har lämnat ut den statistik vi skapat till den som gjort begäran om information. Under förvaringen använder vi uppgifterna för att korrigera eventuella fel som skett i bildandet av statistiken.

Om det är fråga om en rullande begäran om information, dvs. statistiken bildas och levereras med jämna mellanrum utifrån uppdaterade uppgifter, förvarar vi materialet i sex månader efter den senaste leveransen.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi överför inte personuppgifter utanför EU eller EES.

Den statistik som skapas utifrån begäran om information innehåller inte personuppgifter, och därför kan den också lämnas ut utanför EU:s medlemsländer.

Den registrerades rättigheter

Med registrerad avses den person som de ursprungliga social- och hälsouppgifterna gäller. När vi behandlar personuppgifter som personuppgiftsansvarig har den registrerade följande rättigheter:

• Rätt att få information om behandlingen av personuppgifter (artikel 14 i dataskyddsförordningen)
• Rätt till tillgång till uppgifter (artikel 15 i dataskyddsförordningen)
• Rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen)
• Rätt att begränsa behandlingen (artikel 18 i dataskyddsförordningen)
• Rätt att göra invändning (artikel 21 i dataskyddsförordningen)
• Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77 i dataskyddsförordningen)

Den registrerade har rätt att invända mot att vi behandlar personuppgifter när som helst på grunder som hänför sig till den personliga särskilda situationen. Då får vi inte längre behandla uppgifter om denna person om det inte finns ett synnerligen viktigt och motiverat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastställa, framställa eller försvara rättsliga anspråk.

Läs mer om dina rättigheter som registrerad.

Behandlingsgrund

Behandlingen av personuppgifter vid förbehandling av uppgifter enligt begäran om information grundar sig på följande lagar:

• 14 § och 45 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artikel 6.1 e i den allmänna dataskyddsförordningen,
• 4 §, punkt 2 i dataskyddslagen och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 g i den allmänna dataskyddsförordningen.

Användningsändamål

Till Findatas lagstadgade uppgifter hör att behandla ansökningar om dataanvändningstillstånd och begäranden om information samt att fatta förvaltningsbeslut om dessa. Vi tar emot ansökningar om dataanvändningstillstånd och begäranden om information via Findatas databashanterare för begäran om information.

Vi behandlar sökandens personuppgifter eller personuppgifterna för representanterna som agerar som sökanden för samfund för att behandla ansökningarna, fatta beslut om ansökningarna och för att fakturera ansökningarna. Dessutom behandlar vi de sökandes kontaktuppgifter eller kontaktuppgifterna för samfund som agerar som sökande för att skicka kundmeddelanden om tjänsterna och deras användning.

Den som ansöker om dataanvändningstillstånd eller begär information ska i regel identifiera sig via Suomi.fi-tjänsten.

Ansökningar om dataanvändningstillstånd, begäranden om information och Findatas avgöranden sparas i ärendehanteringssystemet i enlighet med bestämmelserna om myndighetens informationshantering. Institutet för hälsa och välfärd (THL) upprätthåller det ärendehanteringssystem som Findata använder.

I hanteringssystemet för begäran om information förvaras ansökningsutkasten så att den sökande vid behov kan avbryta upprättandet av en ansökan och återkomma till ansökan senare.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Uppgifter och informationskällor som behandlas

Vi samlar in de uppgifter om dem som gör ansökningar om dataanvändningstillstånd och begäranden om information som de lämnar ut i ansökan eller begäran. Dessa uppgifter är den sökandes eller dennes kontaktpersons namn, arbetsuppgift eller titel, kontaktuppgifter samt namn och affiliering för de personer som har rätt att behandla personuppgifter. Vi behandlar även uppgifterna för fakturering. Om sökanden är en privatperson innehåller också faktureringsuppgifterna personuppgifter. Dessutom kan ansökan innehålla namnet på och kontaktuppgifterna till den person som skickar målgruppen till Findata.

Vi upprätthåller därtill ett loggsystem med hjälp av vilket vi följer upp och sparar personuppgifter om de olika skedena i behandlingen av ansökningar om dataanvändningstillstånd och begäranden om information.

I samband med att ansökan om dataanvändningstillstånd och begäran om information skickas, sparar vi personuppgifter som kräver stark autentisering och som Suomi.fi-tjänsten förmedlar. 

Personuppgifter som sparats i Suomi.fi-tjänsten beskrivs i tjänstens dataskyddsbeskrivning (suomi.fi).

Vi registrerar ansökningar om dataanvändningstillstånd och begäran om information i ärendehanteringssystemet Helmi som upprätthålls av THL. 

Mer information finns på THL:s webbplats (thl.fi).

Regelmässigt utlämnande av uppgifter samt mottagargrupper

Vi lämnar inte enligt reglerna ut personuppgifter som lämnats i ansökningar om dataanvändningstillstånd eller begäranden om information. Vi publicerar information om beviljade dataanvändningstillstånd och begäranden om information. Om mottagaren av beslutet är en privatperson, publicerar vi inte hens namn.

Vi lämnar ut uppgifter till den som begär om dem i enlighet med lagen om offentlighet i myndigheternas verksamhet. Uppgifterna i tillståndsansökan och begäran om information är i regel offentliga, eftersom de inte uttryckligen är sekretessbelagda.

Vi använder IT-centret för vetenskap (CSC) för att genomföra det tekniska underhålls- och utvecklingsarbetet för det informationssystem (Myndighetens informationssäkra driftmiljö) som vi använder vid hantering av informationsförfrågningar. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Vi registrerar ansökningar om dataanvändningstillstånd och begäranden om information i ärendehanteringssystemet som upprätthålls av THL. Personer som arbetar vid THL och vars arbetsuppgifter omfattar att behandla Findatas handlingar har nyttjanderätt till uppgifterna. Findata är en självständig enhet som verkar i anslutning till THL.

Förvaringstid för uppgifter

Vi sparar ansökningarna om dataanvändningstillstånd permanent och begäranden om information i tio år efter att de anhängiggjorts. Vi sparar besluten om dataanvändningstillstånd permanent och besluten om begäranden om information i tio år efter att de har getts.

Vi sparar sådana utkast till ansökningar och begäran om information som inte har skickats till Findata för behandling i 180 dagar efter den senaste redigeringen. Ansökningar som inte har redigerats på 180 dagar raderas automatiskt från systemet.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi överför inte uppgifter utanför EU eller EES.

Den registrerades rättigheter

Med registrerad avses den person som de ursprungliga social- och hälsouppgifterna gäller. När vi behandlar personuppgifter som personuppgiftsansvarig har den registrerade följande rättigheter:

• Rätt att få information om behandlingen av personuppgifter (artikel 14 i dataskyddsförordningen)
• Rätt till tillgång till uppgifter (artikel 15 i dataskyddsförordningen)
• Rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen)
• Rätt att begränsa behandlingen (artikel 18 i dataskyddsförordningen)
• Rätt att göra invändning (artikel 21 i dataskyddsförordningen)
• Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77 i dataskyddsförordningen)

Den registrerade har rätt att invända mot att vi behandlar personuppgifter när som helst på grunder som hänför sig till den personliga särskilda situationen. Då får vi inte längre behandla uppgifter om denna person om det inte finns ett synnerligen viktigt och motiverat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastställa, framställa eller försvara rättsliga anspråk.

Läs mer om dina rättigheter som registrerad.

Behandlingsgrund

Behandlingen av personuppgifter vid behandling av ansökningar om dataanvändningstillstånd och begäranden om information grundar sig på följande lagar:

• 44 § och 45 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artikel 6.1 e i den allmänna dataskyddsförordningen och
• 4 §, punkt 2 i dataskyddslagen.

Användningsändamål

Vi erbjuder temaspecifikt färdigt datamaterial som är färdigt sammanställda och förbehandlade materialhelheter. Det färdiga materialet är på basis av dataanvändningstillståndet snabbare tillgängligt via Findata, utan kostnadsberäkningar eller urval som begärs av de personuppgiftsansvariga.

Förbehandling innebär åtgärder som vi vidtar för uppgifter som olika personuppgiftsansvariga lämnar ut till Findata innan vi lämnar ut dem till mottagaren av beslutet. I förbehandlingen samlar vi in, kombinerar, pseudonymiserar och anonymiserar information.

Pseudonymisering innebär att personuppgifter ändras till exempel till en kodad form. Då raderas namnen och personbeteckningarna och ersätts med en annan identifierare, det vill säga en kod. Ofta förvaras en kodnyckel med vilken direkta personuppgifter kan återställas till uppgifterna. Pseudonymiserade uppgifter är fortfarande personuppgifter.

Utgångspunkten är att vi pseudonymiserar uppgifterna innan vi lämnar ut dem. Vi lämnar ut identifierbara uppgifter endast av särskilt motiverade och nödvändiga skäl.

Anonymisering innebär att personuppgifterna ändras till en sådan form att identifiering av en enskild person förhindras oåterkalleligt. Detta kan till exempel innebära att direkta identifierare raderas och att materialet dessutom förgrovas på en allmän nivå så att personuppgifterna inte längre kan ändras så att de kan identifieras på något sätt.

Findata väljer från vilket tema och utifrån vilka uppgifter det färdiga datamaterialet bildas. Syftet med behandlingen av personuppgifter är att skapa material enligt det valda temat och i regel lämna ut pseudonymiserade personuppgifter eller statistik som bildats av färdigt datamaterial till mottagaren av beslutet.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Uppgifter som behandlas samt informationskällor

Vid bildandet av färdigt datamaterial behandlar vi social- och hälsouppgifter som innehas av personuppgiftsansvariga som omfattas av lagen om sekundär användning i den utsträckning som de har bedömts vara nödvändiga för varje projekt.

Vi kan inte skapa färdigt datamaterial utifrån allt material från alla personuppgiftsansvariga som omfattas av lagen. Mer information om materialbegränsningen finns i lagen om sekundär användning (finlex.fi).

Personuppgiftsansvariga som omfattas av lagen om sekundär användning:

• Regionförvaltningsverken (RFV)
• Myndigheten för digitalisering och befolkningsdata (MDB)
• Pensionsskyddscentralen (PSC)
• Folkpensionsanstalten (FPA)
• Uppgifter som har registrerats i Kanta-tjänsterna
• Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea
• Tillstånds- och tillsynsverket för social- och hälsovården Valvira
• Tjänsteleverantörer inom social- och hälsovården, både offentliga och privata
• Social- och hälsovårdsministeriet
• Institutet för hälsa och välfärd THL
• Statistikcentralen
• Arbetshälsoinstitutet

Uppgifterna skickas till Findata och vidare till mottagaren av beslutet via en informationssäker användartjänst.

Läs närmare beskrivningar av de uppgifter som använts i det färdiga materialet.

Regelmässigt utlämnande av uppgifter

Vi lämnar ut det material som plockats ur det färdiga datamaterialet till mottagaren av beslutet. Mottagaren av beslutet blir då personuppgiftsansvarig för det utlämnade materialet.

Enligt lagen om sekundär användning kan uppgifter endast lämnas ut för behandling i en informationssäker driftmiljö. 

Läs mer om informationssäkra driftmiljöer.

Om man begär statistiska uppgifter om det färdiga datamaterialet innehåller det inte personuppgifter.

Personuppgifternas mottagargrupper

Vi lämnar ut uppgifterna till mottagaren av beslutet. I största delen av de dataanvändningstillstånd som vi beviljar använder mottagarna av beslutet uppgifterna för vetenskaplig forskning.

Vi använder IT-centret för vetenskap (CSC) som underleverantör för att genomföra det tekniska underhålls- och utvecklingsarbetet för informationssystemen. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Förvaringstid för uppgifter

Vi fastställer förvaringstiden separat för varje färdigt datamaterial.

Dessutom förvarar den som fått beslutet i sin besittning med stöd av dataanvändningstillståndet för färdigt datamaterial materialet under den tid som separat fastställts i tillståndet. Mottagaren av beslutet är personuppgiftsansvarig för denna behandling.

Överföring av uppgifter utanför EU eller EES eller till internationella organisationer

Vi lämnar inte ut eller överför inte färdigt datamaterial utanför EU eller EES eller till internationella organisationer. Enligt lagen om sekundär användning ska uppgifterna lämnas ut till en informationssäker driftmiljö som på basis av de krav som den omfattas av inte kan vara belägen utanför EU och EES.

Om mottagaren av beslutet i egenskap av personuppgiftsansvarig vill möjliggöra behandling av sitt material utanför EU och EES, ska hen ansöka om tillstånd hos Findata för att möjliggöra behandlingen. Om vi beviljar tillstånd ska den personuppgiftsansvarige vid behov säkerställa att materialet överförs i enlighet med kapitel V i den allmänna dataskyddsförordningen.

Den registrerades rättigheter

Med registrerad avses den person som de ursprungliga social- och hälsouppgifterna gäller. När vi behandlar personuppgifter som personuppgiftsansvarig har den registrerade följande rättigheter:

• Rätt att få information om behandlingen av personuppgifter (artikel 14 i dataskyddsförordningen)
• Rätt till tillgång till uppgifter (artikel 15 i dataskyddsförordningen)
• Rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen)
• Rätt att begränsa behandlingen (artikel 18 i dataskyddsförordningen)
• Rätt att göra invändning (artikel 21 i dataskyddsförordningen)
• Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77 i dataskyddsförordningen)

Den registrerade har rätt att invända mot att vi behandlar personuppgifter när som helst på grunder som hänför sig till den personliga särskilda situationen. Då får vi inte längre behandla uppgifter om denna person om det inte finns ett synnerligen viktigt och motiverat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastställa, framställa eller försvara rättsliga anspråk.

Läs mer om dina rättigheter som registrerad.

Behandlingsgrund

Behandlingen av personuppgifter vid bildandet av färdigt datamaterial grundar sig på följande lagar:

• 14 § och 51 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artikel 6.1 e i den allmänna dataskyddsförordningen,
• 4 §, punkt 2 i dataskyddslagen och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 g i den allmänna dataskyddsförordningen.

Användningsändamål

Kapseli är en informationssäker driftsmiljö som tillhandahålls av Findata och där man kan behandla material på individnivå som fås av Findata eller på basis av något annat dataanvändningstillstånd som beviljats av en myndighet. Kapseli används med fjärråtkomst och man loggar in i Kapseli via webbläsaren. Den personuppgiftsansvarige för behandlingen av materialet i Kapseli har definierats i dataanvändningstillståndet. Findata fungerar då som personuppgiftsbiträde för den personuppgiftsansvariges räkning.

Vi behandlar Kapseli-användarnas personuppgifter som personuppgiftsansvariga

• för att tillhandahålla tjänsterna som finns i Kapseli,
• för att säkerställa datasäkerheten och att behandlingen av personuppgifter sker på ett lagenligt sätt samt
• för fakturering.

Därtill behandlar vi Kapseli-användarnas kontaktuppgifter för att skicka kundmeddelanden om tjänsten och dess användning.

Vi utnyttjar uppgifterna om antalet Kapseli-användare för att utveckla och administrera tjänsten.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Uppgifter som behandlas samt informationskällor

Vid beställningsskedet av Kapselis driftmiljö samlar vi in följande uppgifter om den sökande:

• namn,
• telefonnummer,
• e-postadress och
• organisationens uppgifter.

Beställaren matar också in i ansökan uppgifter om eventuella andra personer som behöver användarrättigheter till driftsmiljön. Vi samlar in dessa personers namnuppgifter och e-postadress.

Uppgifterna fås antingen av den registrerade själv eller av den instans som gjort beställningen för dennes räkning.

Inloggningen i Kapseli sker i regel via tvåfaktorsautentisering via Suomi.fi-tjänsten. Personuppgifter som sparats i Suomi.fi-tjänsten beskrivs i tjänstens dataskyddsbeskrivning.

Regelmässigt utlämnande av uppgifter samt mottagargrupper

Vi lämnar enligt reglerna inte ut uppgifter om Kapselis användare.

Vi använder IT-centret för vetenskap (CSC) för att genomföra det tekniska underhålls- och utvecklingsarbetet för Kapseli. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Förvaringstid för uppgifter

Uppgifterna förvaras under Kapseli-beställningens giltighetstid och så länge som det är nödvändigt av faktureringsskäl.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi överför inte uppgifter utanför EU eller EES eller till internationella organisationer.

Den registrerades rättigheter

Med registrerad avses den person som de ursprungliga social- och hälsouppgifterna gäller. När vi behandlar personuppgifter som personuppgiftsansvarig har den registrerade följande rättigheter:

• Rätt att få information om behandlingen av personuppgifter (artikel 14 i dataskyddsförordningen)
• Rätt till tillgång till uppgifter (artikel 15 i dataskyddsförordningen)
• Rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen)
• Rätt att begränsa behandlingen (artikel 18 i dataskyddsförordningen)
• Rätt att göra invändning (artikel 21 i dataskyddsförordningen)
• Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77 i dataskyddsförordningen)

Den registrerade har rätt att invända mot att vi behandlar personuppgifter när som helst på grunder som hänför sig till den personliga särskilda situationen. Då får vi inte längre behandla uppgifter om denna person om det inte finns ett synnerligen viktigt och motiverat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastställa, framställa eller försvara rättsliga anspråk.

Läs mer om dina rättigheter som registrerad.

Behandlingsgrund

Behandlingen av Kapseli-användarnas personuppgifter grundar sig på följande lagar:

• artikel 6.1 e i den allmänna dataskyddsförordningen och
• 4 §, punkt 2 i dataskyddslagen.

Användningsändamål

Var och en har möjlighet att utöva den registrerades rättigheter i Findatas verksamhet. Med registrerad avses den person som de ursprungliga social- och hälsouppgifterna gäller.

När vi behandlar personuppgifter som personuppgiftsansvarig har den registrerade följande rättigheter:

• Rätt att få information om behandlingen av personuppgifter (artikel 14 i dataskyddsförordningen)
• Rätt till tillgång till uppgifter (artikel 15 i dataskyddsförordningen)
• Rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen)
• Rätt att begränsa behandlingen (artikel 18 i dataskyddsförordningen)
• Rätt att göra invändning (artikel 21 i dataskyddsförordningen)
• Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77 i dataskyddsförordningen)

Den registrerade har rätt att invända mot att vi behandlar personuppgifter när som helst på grunder som hänför sig till den personliga särskilda situationen. Då får vi inte längre behandla uppgifter om denna person om det inte finns ett synnerligen viktigt och motiverat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastställa, framställa eller försvara rättsliga anspråk.

För att vi ska kunna genomföra en begäran om den registrerades rättigheter måste vi behandla de personuppgifter som lämnats in i samband med begäran.

Läs mer om dina rättigheter som registrerad.

Uppgifter som behandlas samt informationskällor

Vi samlar in följande uppgifter om personer som begärt rättigheter för registrerade:

• namn
• personbeteckning
• kontaktuppgifter

Dessutom samlar vi in uppgifter enligt rättsliga grunder.

För en person som utövar sin rätt att begränsa behandlingen av sina uppgifter eller göra en invändning (artiklarna 18 och 21 i dataskyddsförordningen) samlar man även in en grund för att begränsa behandlingen eller göra en invändning.

Vi tillgodoser rätten att begränsa behandlingen och att göra en invändning mot behandlingen på basis av den registrerades personbeteckning. Vi raderar uppgifter om personer som använt sig av rätten att göra en invändning eller rätten att begränsa behandlingen av uppgifter från materialet som kommit in till oss genom att jämföra uppgifterna med personbeteckningen och radera närmare uppgifter om personerna i fråga som ingår i det inlämnade materialet.

För en person som utnyttjar sin rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen) samlas utöver ovan nämnda uppgifter in följande uppgifter från den registrerade:

• vilka uppgifter man vill rätta
• i vilket format uppgifterna ska rättas

Regelmässigt utlämnande av uppgifter samt mottagargrupper

Vi registrerar begäran om den registrerades rättigheter i ärendehanteringssystemet som upprätthålls av Institutet för hälsa och välfärd (THL). Personer som arbetar vid THL:s registratorskontor och vars arbetsuppgifter omfattar att registrera och behandla ärenden som anhängiggjorts i Findata har nyttjanderätt till uppgifterna som finns i handlingarna som anhänggjorts. Findata är en självständig enhet som verkar i anslutning till THL.

Vi lämnar ut uppgifter till den som begär om dem i enlighet med lagen om offentlighet i myndigheternas verksamhet. (finlex.fi). Innehållet i en begäran som gäller den registrerades rättigheter kan innehålla sekretessbelagda uppgifter som inte lämnas ut utan separat föreskriven rätt till information eller den registrerades samtycke.

Innehållet i en begäran som gäller den registrerades rättigheter lämnas enligt reglerna inte ut.

När man av Findata begär om anonyma statistikuppgifter som bildas utifrån de uppgifter som THL innehar, skapar THL den statistik som begärs. Då ber vi THL att begränsa uppgifter om personbeteckningar för personer som använt rätten att göra invändning och rätten att begränsa behandlingen av uppgifter från statistiken. För detta ändamål skickar vi uppgifter till THL om personbeteckningar som omfattas av rätten att göra invändning och rätten att begränsa behandlingen av uppgifter via en datasäker överföringstjänst.

Syftet med verksamhetssättet är att minimera antalet utlämningar och överföringar av personbeteckningar mellan Findata och THL samt att säkerställa att uppgifter om personer som utnyttjat rätten att göra invändning och rätten att begränsa behandlingen av uppgifter lämnas utanför bildandet av materialet i ett så tidigt skede som möjligt.

Behandlingsgrund

Behandlingen av personuppgifter vid behandling av begäranden om den registrerades rättigheter grundar sig på följande lagar:

• artikel 6.1 e och artiklarna 12–21 i den allmänna dataskyddsförordningen,
• 4 §, punkt 2 i dataskyddslagen och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen.

Användningsändamål

Enligt 55 § i lagen om sekundär användning har den som får dataanvändningstillstånd rätt att underrätta den ansvarsperson som Findata utsett om ett kliniskt betydande fynd, på basis av vilket det är möjligt att förebygga en risk i anslutning till en viss patients hälsa eller avsevärt förbättra vårdens kvalitet. Ansvarspersonen kan då vid behov häva pseudonymiseringen av uppgifterna samt utreda vem eller vilka uppgifterna gäller.

När man har rett ut uppgifterna skickar ansvarspersonen utan obefogat dröjsmål uppgifterna till en expert som har utsetts av Institutet för hälsa och välfärd (THL). THL bedömer informationens betydelse och kontaktar vid behov det välfärdsområde som ansvarar för vården av personerna i fråga.

Uppgifter som behandlas samt informationskällor

En forskare som har gjort ett kliniskt betydande fynd lämnar ut uppgifter om fyndet till Findata.

Forskaren skickar en pseudonymiserad identifierare till Findata. Vi jämför identifieraren med de identifierare vi har så att vi kan koppla uppgifterna till en viss person.

Regelmässigt utlämnande av uppgifter samt mottagargrupper

Vi skickar personens identitet samt uppgifterna om det kliniskt betydande fyndet som vi har erhållit av forskaren till THL för bedömning.

Förvaringstid för uppgifter

Vi förvarar identifierarna för pseudonymiserat material så länge de behövs för att genomföra undersökningen och för att säkerställa att resultaten är korrekta.

Vi förvarar uppgifterna som vi erhållit av forskaren om det kliniskt betydande fyndet medan pseudonymiseringen hävs samt tills THL:s utsedda kontaktperson har meddelat att hen har tagit emot uppgifterna.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi överför inte uppgifter utanför EU eller EES eller till internationella organisationer.

Den registrerades rättigheter

Var och en kan förbjuda kontakter som baseras sig på ett kliniskt betydande fynd. Förbudet kan meddelas vid vilken verksamhetsenhet som helst som producerar offentlig hälso- och sjukvård eller elektroniskt via MittKanta. Förbudet kan inte meddelas via Findata.

Dessutom har den registrerade följande rättigheter, som kan utövas genom att kontakta Findata:

• Rätt att få information om behandlingen av personuppgifter (artikel 14 i dataskyddsförordningen)
• Rätt till tillgång till uppgifter (artikel 15 i dataskyddsförordningen)
• Rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen)
• Rätt att begränsa behandlingen (artikel 18 i dataskyddsförordningen)
• Rätt att göra invändning (artikel 21 i dataskyddsförordningen)
• Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77 i dataskyddsförordningen)

Den registrerade har rätt att invända mot att vi behandlar personuppgifter när som helst på grunder som hänför sig till den personliga särskilda situationen. Då får vi inte längre behandla uppgifter om denna person om det inte finns ett synnerligen viktigt och motiverat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastställa, framställa eller försvara rättsliga anspråk.

Läs mer om dina rättigheter som registrerad.

Behandlingsgrund

Behandlingen av personuppgifter grundar sig på följande lagar:

• 55 §, i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019).
• Artikel 6.1 c i den allmänna dataskyddsförordningen,
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 h i den allmänna dataskyddsförordningen.