Vår dataskyddspraxis

I denna dataskyddsbeskrivning redogörs för hur Findata behandlar kund- och registeruppgifter inom social- och hälsovården vid beviljande av tillstånd för sekundär användning av social- och hälsodata. Med ”registrerad” avses i denna dataskyddsbeskrivning en person som de ursprungliga social- och hälsouppgifterna gäller.

Med ”personuppgifter” avses alla uppgifter om den registrerade som direkt eller indirekt kan identifiera honom eller henne, i enlighet med definitionen i EU:s allmänna dataskyddsförordning (2016/679) (”dataskyddsförordningen”).

Findata följer vid behandling av personuppgifter dataskyddsförordningen, lagen om sekundär användning av personuppgifter inom social- och hälsovården samt annan tillämplig dataskyddslagstiftning och god informationshanteringssed.

Personuppgiftsansvarig

Kontaktuppgifter:

Findata – Tillståndsmyndigheten för social- och hälsodata
PB 30, 00301 Helsingfors
info@findata.fi

Dataskyddsombud
tietosuojavastaava@findata.fi 

Ändamålen med behandlingen av personuppgifter och den rättsliga grunden för behandlingen

Dataanvändningstillstånd

Vi beviljar tillstånd för sekundär användning av social- och hälsovårdsuppgifter när ansökan gäller

• uppgifter från flera offentliga personuppgiftsansvariga inom social- och hälsovården
• uppgifter om en enskild offentlig personuppgiftsansvarig när den personuppgiftsansvarige i fråga har överfört sin tillståndsbehörighet till Findata
  • Se förteckningen över personuppgiftsansvariga som har överfört sin tillståndsbehörighet till Findata
• registeruppgifter om en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården.
• klientuppgifter som har registrerats i Kanta-tjänsterna.

Dataanvändningstillstånd kan beviljas för följande ändamål:

• vetenskaplig forskning
• statistikföring
• undervisning och
• myndigheternas planerings- och utredningsuppgifter.

När dataanvändningstillståndet har beviljats sammanställer och förbehandlar vi materialet och lämnar ut det förbehandlade materialet till mottagaren av beslutet för det användningsändamål som beskrivs i tillståndet.

Förbehandling innebär åtgärder som vi vidtar för uppgifter som olika personuppgiftsansvariga lämnar ut till Findata innan vi lämnar ut dem vidare till mottagaren av beslutet. I förbehandlingen samlar vi in, kombinerar, pseudonymiserar och anonymiserar information. Utgångspunkten är att vi pseudonymiserar uppgifterna innan vi lämnar dem vidare. Vi lämnar ut identifierbara uppgifter endast av särskilt motiverade och nödvändiga skäl. Vi behandlar uppgifter i myndighetens informationssäkra driftmiljö. Vid hantering av identifierare använder vi en applikation för identifierarhantering. Vid behandling av ostrukturerat textmaterial används en AI-modell som fungerar i myndighetens informationssäkra driftmiljö för att minska risken att direkta identifierare i textmaterialet hamnar hos en obehörig part. Behandling av personuppgifter kan också ske med ett verktyg för resultatgranskning.

Syftet med förbehandlingen av personuppgifter är att skapa material enligt det beviljade tillståndet utifrån social- och hälsovårdsuppgifterna som erhållits från de personuppgiftsansvariga som omfattas av lagen om sekundär användning.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Behandlingen av personuppgifter vid förbehandling av uppgifter enligt dataanvändningstillståndet grundar sig på följande lagar:

• 6 a §, 14 §, 51 § och 51 a § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artiklar 6.1 c och 6.1 e i den allmänna dataskyddsförordningen,
• 4 § 2 punkten i dataskyddslagen (1050/2018) och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 g i den allmänna dataskyddsförordningen.

Begäran om information

Via Findata är det möjligt att få statistikmaterial av personuppgiftsansvariga som omfattas av lagen om sekundär användning. Statistikmaterialet söks med en begäran om information. När vi har fattat ett positivt beslut om begäran om information sammanställer och förbehandlar vi de uppgifter som är nödvändiga för projektet och lämnar ut uppgifterna på statistiknivå till den som gjort begäran om information.

Material på statistiknivå kan fås via Findata på basis av en begäran om information när uppgifterna behövs för något av följande ändamål:

• utvecklings- och innovationsverksamhet
• undervisning
• vetenskaplig forskning
• informationsledning (jämförelsematerial)
• statistikföring
• myndighetsstyrning och myndighetstillsyn inom social- och hälsovården samt myndigheternas planerings- och utredningsuppgifter

Syftet med behandlingen av personuppgifter är att skapa statistikmaterial över social- och hälsouppgifter som erhållits från en eller flera personuppgiftsansvariga som omfattas av lagen om sekundär användning. På basis av begäran om information lämnar vi endast ut anonyma statistiska uppgifter. I statistiskt material har enskilda personuppgifter samkörts och summerats. Statistiken beskriver en grupp personer i stället för en enskild person. Uppgifterna om grupperna av personer har utformats så att enskilda individer inte kan identifieras.

Enskilda personer kan inte spåras eller identifieras i det färdiga statistikmaterialet.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Behandlingen av personuppgifter vid förbehandling av uppgifter enligt begäran om information grundar sig på följande lagar:

• 14 §, 45 §, 51 § och 51 a § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artiklar 6.1 c och 6.1 e i den allmänna dataskyddsförordningen,
• 4 § 2 punkten i dataskyddslagen (1050/2018) och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 g i den allmänna dataskyddsförordningen.

Personuppgifter som behandlas samt informationskällor

I varje dataanvändningstillstånd fastställs vilka uppgifter som kan behandlas utifrån tillståndet. Vi fastställer vilka uppgifter statistiken bildas av i varje beslut om begäran om information.

Vid förbehandlingen av uppgifter enligt dataanvändningstillståndet och begäran om information behandlar vi social- och hälsouppgifter som innehas av personuppgiftsansvariga som omfattas av lagen om sekundär användning i den utsträckning som de har bedömts vara nödvändiga för respektive projekt.

Vi beviljar inte tillstånd för allt material från alla personuppgiftsansvariga som omfattas av lagstiftningen. Mer information om materialbegränsningen finns i 6 § i lagen om sekundär användning (finlex.fi).

Personuppgiftsansvariga som omfattas av lagen om sekundär användning:

• Myndigheten för digitalisering och befolkningsdata (MDB)
• Pensionsskyddscentralen (PSC)
• Folkpensionsanstalten (FPA)
• Uppgifter som har registrerats i Kanta-tjänsterna
• Tillstånds- och tillsynsverket
• Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea
• Tjänsteleverantörer inom social- och hälsovården, både offentliga och privata
• Social- och hälsovårdsministeriet
• Institutet för hälsa och välfärd THL
• Statistikcentralen
• Arbetshälsoinstitutet

Uppgifterna skickas till Findata och, när det gäller dataanvändningstillstånd, vidare till mottagaren av beslutet via en informationssäker användartjänst.

Bekanta dig med beviljade dataanvändningstillstånd.

Regelmässigt utlämnande av personuppgifter och personuppgifternas mottagargrupper

Vi lämnar material som bildats utifrån dataanvändningstillståndet till mottagaren av beslutet. Mottagaren av beslutet blir då personuppgiftsansvarig för det utlämnade materialet. I största delen av de dataanvändningstillstånd som vi beviljar använder mottagarna uppgifterna för vetenskaplig forskning.

Uppgifter som baseras på dataanvändningstillståndet kan enligt 20 § i lagen om sekundär användning lämnas ut för behandling i en informationssäker driftmiljö eller, enligt 51 c § i lagen om sekundär användning av särskilda skäl i någon annan säker driftmiljö. Enligt 51 § d i lagen om sekundär användning kan Findata av särskilda skäl bevilja dataanvändningstillstånd för erhållande av uppgifter i anonymiserad form utanför en sådan informationssäker driftmiljö som avses i 20 §.

Läs mer om informationssäkra driftmiljöer.

På basis av begäran om information lämnar vi endast ut statistiska uppgifter. Vi lämnar inte ut personuppgifter.

Vi använder IT-centret för vetenskap (CSC) för att genomföra det tekniska underhålls- och utvecklingsarbetet för det informationssystem (Myndighetens informationssäkra driftmiljö) som vi använder vid förbehandlingen. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Förvaringstid för personuppgifter

Dataanvändningstillstånd

Vi förvarar uppgifterna som vi har erhållit från andra personuppgiftsansvariga samt det material som bildats vid förbehandlingen i fyra månader från det att vi har lämnat ut uppgifterna till mottagaren av beslutet. Under förvaringen använder vi uppgifterna för att korrigera eventuella fel som skett i bildandet av materialet.

Om det är fråga om ett rullande dataanvändningstillstånd, det vill säga att tillståndet ger rätt att få uppdateringar av uppgifterna, bevaras materialet från varje leverans i fyra månader från det att uppgifterna har överlämnats till mottagaren. Om skapandet av nytt material baseras på allt tidigare levererat material, bevarar vi allt material i fyra månader från det att den senaste leveransen till mottagaren har gjorts.

Man bör observera att mottagaren av beslutet förvarar materialet längre än Findata.

Vi förvarar identifierarna för pseudonymiserat material så länge de behövs för att genomföra studien och för att säkerställa att resultaten är korrekta, i regel i 12 år.

Begäran om information

Vi sparar uppgifterna som vi har erhållit från andra personuppgiftsansvariga i sex månader efter att vi har lämnat ut den statistik vi skapat till den som gjort begäran om information. Under förvaringen använder vi uppgifterna för att korrigera eventuella fel som skett i bildandet av statistiken.

Om det är fråga om en fortgående begäran om information, dvs. statistiken bildas och levereras med jämna mellanrum utifrån uppdaterade uppgifter, bevarar vi materialet i sex månader från det att varje statistiskt dataset har överlämnats till den som gjort begäran.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi lämnar i regel inte ut personuppgiftsmaterial utanför EU eller EES eller till internationella organisationer. Enligt lagen om sekundär användning ska uppgifterna lämnas ut till en informationssäker driftmiljö som på basis av de krav som den omfattas av inte kan vara belägen utanför EU och EES. Enligt 51 c § i lagen om sekundär användning, tillståndsmyndigheten kan av särskilda skäl bevilja ett dataanvändningstillstånd där datamaterialet får lämnas ut i någon annan säker driftmiljö. Om vi med stöd av någon annan lag i enskilda fall överför personuppgifter utanför EU och EES eller till en internationell organisation, använder vi en överföringsgrund enligt den allmänna dataskyddsförordningen som väljs enligt mållandet och -organisationen.

Om mottagaren av beslutet i egenskap av personuppgiftsansvarig vill möjliggöra behandling av sitt material utanför EU och EES, ska hen ansöka om tillstånd hos Findata för att möjliggöra behandlingen. Om vi beviljar tillstånd ska den personuppgiftsansvarige vid behov säkerställa att materialet överförs i enlighet med kapitel V i den allmänna dataskyddsförordningen.

Den statistik som skapas utifrån begäran om information innehåller inte personuppgifter, och därför kan den också lämnas ut utanför EU:s och EES:s medlemsländer.

 

Den registrerades rättigheter

Med registrerad avses en person som de ursprungliga social- och hälsouppgifterna gäller. Läs mer om den registrerades rättigheter längre upp på denna sida under rubriken ”Den registrerades rättigheter”.

Syftet med denna dataskyddsbeskrivning är att ge en heltäckande bild av vilka personuppgifter Findata samlar in i samband med beställning och användning av Findatas tjänster, för vilka ändamål uppgifterna används och till vilka aktörer uppgifterna kan lämnas ut.

Till Findatas tjänster hör:

• Findatas e-tjänst,
• ett ärendehanteringssystem,
• den informationssäkra driftmiljön Kapseli samt de
• informationssäkra överföringstjänsterna Tunneli och Supertunneli.

Denna dataskyddsbeskrivning omfattar även Findatas webbplats funktioner såsom:

• AI-assistenten Vinkkeli,
• responsformuläret,
• beställning av nyhetsbrev,
• bokning av personlig rådgivning,
• kontaktförfrågan och
• anmälan till utbildningar som ordnas av Findata.

Dataskyddsbeskrivningen ger information om de skyldigheter och den lagstiftning som Findata följer vid behandling av personuppgifter.

Den personuppgiftsansvarige för behandlingen av materialet i Kapseli har definierats i dataanvändningstillståndet. Findata fungerar då som personuppgiftsbiträde för den personuppgiftsansvariges räkning.

Med ”personuppgifter” avses alla uppgifter om den registrerade som direkt eller indirekt kan identifiera honom eller henne, i enlighet med definitionen i EU:s allmänna dataskyddsförordning (2016/679) (”dataskyddsförordningen”).

Findata följer vid behandling av personuppgifter dataskyddsförordningen, lagen om sekundär användning av personuppgifter inom social- och hälsovården samt annan tillämplig dataskyddslagstiftning och god informationshanteringssed.

Personuppgiftsansvarig

Kontaktuppgifter:

Findata – Tillståndsmyndigheten för social- och hälsodata
PB 30, 00301 Helsingfors
info@findata.fi

Dataskyddsombud
tietosuojavastaava@findata.fi 

Ändamålen med behandlingen av personuppgifter och den rättsliga grunden för behandlingen

Vi behandlar personuppgifter om användare av Findatas tjänster som personuppgiftsansvarig för följande ändamål:

• För att tillhandahålla den tjänst som erbjuds,
• för att säkerställa datasäkerheten och att behandlingen av personuppgifter sker på ett lagenligt sätt,
• för kommunikation som rör tjänsten och dess användning och
• för att genomföra eventuell fakturering.

Den AI-assistent som finns på Findatas webbplats, Vinkkeli, besvarar frågor som användare ställer till chatboten. När Vinkkeli används sker dialogen med en maskin, inte med en människa. Vid användning av Vinkkeli uppmanas användaren att inte mata in personuppgifter i konversationen. Vinkkeli använder OpenAI:s API-gränssnitt för att behandla användarnas inmatningar och generera svar. Användarnas inmatningar skickas till OpenAI:s servrar för behandling och för att skapa svar. Vi kan behandla uppgifter för följande ändamål:

• För att tillhandahålla och förbättra Vinkkelis funktionalitet,
• för att analysera interaktionen i syfte att utveckla våra tjänster och
• för att lösa tekniska problem och utreda missbruk.

Vi utnyttjar uppgifterna om antalet användare för att utveckla och administrera tjänsten.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Behandlingen av den registrerades personuppgifter grundar sig på följande lagar:

• 16 §, 17 §, 20 § och 46 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artiklar 6.1 c och 6.1 e i den allmänna dataskyddsförordningen och
• 4 § 2 punkten i dataskyddslagen (1050/2018).

Behandlingen av personuppgifter kan även ske för att fullgöra ett avtal där den registrerade, eller den aktör som den registrerade företräder, är part, eller för att vidta åtgärder före ingående av ett sådant avtal.

I Findatas e-tjänst kan man, utöver att ansöka om dataanvändningstillstånd eller lämna in begäran om information, även framföra begäranden som gäller den registrerades rättigheter enligt dataskyddsförordningen. Behandlingen av personuppgifter vid behandling av begäranden om den registrerades rättigheter grundar sig på följande lagar:

• Artiklar 6.1 c och 12–21 i den allmänna dataskyddsförordningen.

Personuppgifter som behandlas samt informationskällor

Vi samlar in följande uppgifter om tjänsteanvändaren:

• Namn,
• telefonnummer,
• e-postadress och
• organisationens uppgifter.

Uppgifterna erhålls antingen från den registrerade själv, från den aktör som gjort beställningen för den registrerades räkning, eller – för de tjänster som förutsätter ett avtal – från tjänsteanvändaren i samband med ingåendet av avtalet.

När man använder AI-assistenten Vinkkeli, som finns på Findatas webbplats, uppmanar chatboten användaren att undvika att mata in personuppgifter i konversationen. Findata behandlar inte personuppgifter i detta sammanhang, om inte användaren själv matar in personuppgifter i dialogen. Vid användning av Vinkkeli kan vi samla in följande uppgifter:

• Meddelanden och inmatningar: Text eller annan information som du lämnar i interaktionen med Vinkkeli.
• Teknisk information: Icke-personrelaterad information, såsom sessionsmetadata.

Vi samlar in följande uppgifter om personer som begärt rättigheter för registrerade i Findatas e-tjänst:

• Namn,
• personbeteckning och
• kontaktuppgifter.

Dessutom samlar vi in uppgifter enligt rättsliga grunder.

För en person som utövar sin rätt att begränsa behandlingen av sina uppgifter eller göra en invändning (artiklarna 18 och 21 i dataskyddsförordningen) samlar vi även in en grund för att begränsa behandlingen eller göra en invändning.

Vi tillgodoser rätten att begränsa behandlingen och att göra en invändning mot behandlingen på basis av den registrerades personbeteckning. Vi raderar uppgifter om personer som använt sig av rätten att göra en invändning eller rätten att begränsa behandlingen av uppgifter från materialet som kommit in till oss genom att jämföra uppgifterna med personbeteckningen och radera närmare uppgifter om personerna i fråga som ingår i det inlämnade materialet.

För en person som utnyttjar sin rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen) samlas utöver ovan nämnda uppgifter in följande uppgifter från den registrerade:

• Vilka uppgifter man vill rätta och
• i vilket format uppgifterna ska rättas.

Regelmässigt utlämnande av personuppgifter och personuppgifternas mottagargrupper

Vi lämnar inte regelmässigt ut personuppgifter om användare av eller kontaktpersoner för Findatas tjänster.

Vinkkelis inmatningsuppgifter kan delas med följande parter:

• OpenAI: De inmatningar som lämnas till Vinkkeli behandlas via OpenAI:s API och omfattas av OpenAI:s användar‑ och dataskyddspolicyer.
• Tjänsteleverantörer: Tredje parter som bistår oss med till exempel hosting eller andra tekniska tjänster.

Vi säljer inte inmatningsuppgifter till tredje parter.

Vi använder IT-centret för vetenskap (CSC) för att genomföra det tekniska underhålls- och utvecklingsarbetet för Kapseli. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Förvaringstid för personuppgifter

Findata lagrar personuppgifter så länge det är nödvändigt för att uppfylla de ändamål som anges i denna dataskyddsbeskrivning, om inte lagstiftningen förutsätter längre lagring eller om Findata behöver uppgifterna för att fastställa, utöva eller försvara ett rättsligt anspråk.

Chattloggar från AI-assistenten Vinkkeli raderas automatiskt från servern efter 30 dagar. OpenAI kan lagra uppgifter som behandlats via API-gränssnittet under en begränsad tid för att upptäcka och förebygga missbruk, i enlighet med sin egen dataskyddspraxis.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi överför inte personuppgiftsmaterial utanför EU eller EES eller till internationella organisationer.

De inmatningar som lämnas till Vinkkeli behandlas via OpenAI:s API och omfattas av OpenAI:s användnings‑ och integritetspolicyer. OpenAI använder inte uppgifter som skickas via API-gränssnittet för att träna eller utveckla sina modeller. Mer information finns på OpenAI:s webbplats (openai.com).

Den registrerades rättigheter

I denna dataskyddsbeskrivning avses med registrerad användare av Findatas tjänster. Registrerade är även de personer som, via Findatas e-tjänst, begärt rättigheter för registrerade enligt dataskyddsförordningen. Läs mer om den registrerades rättigheter längre upp på denna sida under rubriken ”Den registrerades rättigheter”.

I denna dataskyddsbeskrivning redogörs för hur Findata behandlar personuppgifter om sökande av dataanvändningstillstånd och personer som gör begäranden om information.

Med ”personuppgifter” avses alla uppgifter om den registrerade som direkt eller indirekt kan identifiera honom eller henne, i enlighet med definitionen i EU:s allmänna dataskyddsförordning (2016/679) (”dataskyddsförordningen”).

Findata följer vid behandling av personuppgifter dataskyddsförordningen, lagen om sekundär användning av personuppgifter inom social- och hälsovården samt annan tillämplig dataskyddslagstiftning och god informationshanteringssed.

Personuppgiftsansvarig

Kontaktuppgifter:

Findata – Tillståndsmyndigheten för social- och hälsodata
PB 30, 00301 Helsingfors
info@findata.fi

Dataskyddsombud
tietosuojavastaava@findata.fi 

Ändamålen med behandlingen av personuppgifter och den rättsliga grunden för behandlingen

Till Findatas lagstadgade uppgifter hör att behandla ansökningar om dataanvändningstillstånd och begäranden om information samt att fatta förvaltningsbeslut om dessa.

Vi behandlar sökandens personuppgifter eller personuppgifterna för representanterna som agerar som sökanden för samfund för att behandla ansökningarna, fatta beslut om ansökningarna och för att fakturera för ansökningarna. Dessutom behandlar vi de sökandes kontaktuppgifter eller kontaktuppgifterna för samfund som agerar som sökande för att skicka kundmeddelanden om tjänsterna och deras användning.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Behandlingen av personuppgifter vid behandling av ansökningar om dataanvändningstillstånd och begäranden om information grundar sig på följande lagar:

• 6 a §, 6 b § och 45 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artiklar 6.1 a och 6.1 e i den allmänna dataskyddsförordningen och
• 4 § 2 punkten i dataskyddslagen (1050/2018).

Personuppgifter som behandlas samt informationskällor

Vi samlar in de uppgifter om dem som gör ansökningar om dataanvändningstillstånd och begäranden om information som de lämnar ut i ansökan eller begäran. Dessa uppgifter är den sökandes eller dennes kontaktpersons namn, arbetsuppgift eller titel, kontaktuppgifter samt namn och affiliering för de personer som har rätt att behandla personuppgifter. Vi behandlar även uppgifterna för fakturering. Om sökanden är en privatperson innehåller också faktureringsuppgifterna personuppgifter. Dessutom kan ansökan innehålla namnet på och kontaktuppgifterna till den person som skickar målgruppen till Findata.

Vi upprätthåller därtill ett loggsystem med hjälp av vilket vi följer upp och sparar personuppgifter om de olika skedena i behandlingen av ansökningar om dataanvändningstillstånd och begäranden om information.

I samband med att ansökan om dataanvändningstillstånd och begäran om information skickas, sparar vi personuppgifter som kräver stark autentisering och som Suomi.fi-tjänsten förmedlar. 

Personuppgifter som sparats i Suomi.fi-tjänsten beskrivs i tjänstens dataskyddsbeskrivning (suomi.fi).

Regelmässigt utlämnande av personuppgifter och personuppgifternas mottagargrupper

Vi lämnar inte enligt reglerna ut personuppgifter som lämnats i ansökningar om dataanvändningstillstånd eller begäranden om information. Vi publicerar information om beviljade dataanvändningstillstånd och begäranden om information. Om mottagaren av beslutet är en privatperson, publicerar vi inte hens namn.

Vi lämnar ut uppgifter till den som begär om dem i enlighet med lagen om offentlighet i myndigheternas verksamhet (621/1999) och den allmänna dataskyddsförordningen. Uppgifterna i tillståndsansökan och begäran om information är i regel offentliga, eftersom de inte uttryckligen är sekretessbelagda.

Vi använder IT-centret för vetenskap (CSC) för att genomföra det tekniska underhålls- och utvecklingsarbetet för det informationssystem (Myndighetens informationssäkra driftmiljö) som vi använder vid hantering av informationsförfrågningar. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Förvaringstid för personuppgifter

Vi sparar ansökningarna om dataanvändningstillstånd permanent och begäranden om information i tio år efter att de anhängiggjorts. Vi sparar besluten om dataanvändningstillstånd permanent och besluten om begäranden om information i tio år efter att de har getts.

Vi sparar sådana utkast till ansökningar och begäran om information som inte har skickats till Findata för behandling i 180 dagar efter den senaste redigeringen. Ansökningar som inte har redigerats på 180 dagar raderas automatiskt från systemet.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi överför inte personuppgiftsmaterial utanför EU eller EES eller till internationella organisationer.

Den registrerades rättigheter

Med registrerad avses sökande av dataanvändningstillstånd och personer som gör begäranden om information. Läs mer om den registrerades rättigheter längre upp på denna sida under rubriken ”Den registrerades rättigheter”.

Syftet med denna dataskyddsbeskrivning är att ge en heltäckande bild av vilka personuppgifter Findata samlar in i samband med sammanställning och förbehandling av färdigt datamaterial, för vilka ändamål uppgifterna används och till vilka aktörer uppgifterna kan lämnas ut. Denna dataskyddsbeskrivning ger också information om de skyldigheter och den lagstiftning som Findata följer vid behandling av personuppgifter. Vi erbjuder temaspecifikt färdigt datamaterial som är färdigt sammanställda och förbehandlade materialhelheter. Det färdiga materialet är på basis av dataanvändningstillståndet snabbare tillgängligt via Findata, utan kostnadsberäkningar eller urval som begärs av de personuppgiftsansvariga.

Med ”personuppgifter” avses alla uppgifter om den registrerade som direkt eller indirekt kan identifiera honom eller henne, i enlighet med definitionen i EU:s allmänna dataskyddsförordning (2016/679) (”dataskyddsförordningen”).

Findata följer vid behandling av personuppgifter dataskyddsförordningen, lagen om sekundär användning av personuppgifter inom social- och hälsovården samt annan tillämplig dataskyddslagstiftning och god informationshanteringssed.

Personuppgiftsansvarig

Kontaktuppgifter:

Findata – Tillståndsmyndigheten för social- och hälsodata
PB 30, 00301 Helsingfors
info@findata.fi

Dataskyddsombud
tietosuojavastaava@findata.fi 

Ändamålen med behandlingen av personuppgifter och den rättsliga grunden för behandlingen

Förbehandling innebär åtgärder som vi vidtar för uppgifter som olika personuppgiftsansvariga lämnar ut till Findata innan vi lämnar ut dem till mottagaren av beslutet. I förbehandlingen samlar vi in, kombinerar, pseudonymiserar och anonymiserar information. Findata väljer från vilket tema och utifrån vilka uppgifter det färdiga datamaterialet bildas. Syftet med behandlingen av personuppgifter är att skapa material enligt det valda temat och i regel lämna ut pseudonymiserade personuppgifter eller statistik som bildats av färdigt datamaterial till mottagaren av beslutet. Färdigt datamaterial kan också användas vid utvecklingen av en AI-modell som fungerar i myndighetens informationssäkra driftmiljö för behandling av ostrukturerade textmaterial, i syfte att förbättra dataskyddet för textmaterialet.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Behandlingen av personuppgifter vid bildandet av färdigt datamaterial grundar sig på följande lagar:

• 14 § i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019),
• artikel 6.1 e i den allmänna dataskyddsförordningen,
• 4 § 2 punkten i dataskyddslagen (1050/2018) och
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 g i den allmänna dataskyddsförordningen.

Personuppgifter som behandlas samt informationskällor

Vid bildandet av färdigt datamaterial behandlar vi social- och hälsouppgifter som innehas av personuppgiftsansvariga som omfattas av lagen om sekundär användning i den utsträckning som de har bedömts vara nödvändiga för varje projekt.

Vi kan inte skapa färdigt datamaterial utifrån allt material från alla personuppgiftsansvariga som omfattas av lagen. Mer information om materialbegränsningen finns i 6 § i lagen om sekundär användning (finlex.fi).

Personuppgiftsansvariga som omfattas av lagen om sekundär användning:

• Myndigheten för digitalisering och befolkningsdata
• Pensionsskyddscentralen 
• Folkpensionsanstalten (FPA)
• Uppgifter som har registrerats i Kanta-tjänsterna
• Tillstånds- och tillsynsverket
• Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea
• Tjänsteleverantörer inom social- och hälsovården, både offentliga och privata
• Social- och hälsovårdsministeriet
• Institutet för hälsa och välfärd THL
• Statistikcentralen
• Arbetshälsoinstitutet

Uppgifterna skickas till Findata och, när det gäller dataanvändningstillstånd, vidare till mottagaren av beslutet via en informationssäker användartjänst.

Bekanta dig med beviljade dataanvändningstillstånd.

Regelmässigt utlämnande av personuppgifter och personuppgifternas mottagargrupper

Vi lämnar ut det material som tagits ur det färdiga datamaterialet till mottagaren av beslutet. Mottagaren av beslutet blir då personuppgiftsansvarig för det utlämnade materialet. I största delen av de dataanvändningstillstånd som vi beviljar använder mottagarna av beslutet uppgifterna för vetenskaplig forskning.

Uppgifter som baseras på dataanvändningstillståndet kan enligt 20 § i lagen om sekundär användning lämnas ut för behandling i en informationssäker driftmiljö eller, enligt 51 c § i lagen om sekundär användning av särskilda skäl i någon annan säker driftmiljö. Enligt 51 § d i lagen om sekundär användning kan Findata av särskilda skäl bevilja dataanvändningstillstånd för erhållande av uppgifter i anonymiserad form utanför en sådan informationssäker driftmiljö som avses i 20 §.

Läs mer om informationssäkra driftmiljöer.

Om man begär statistiska uppgifter om det färdiga datamaterialet innehåller det inte personuppgifter.

Vi använder IT-centret för vetenskap (CSC) som underleverantör för att genomföra det tekniska underhålls- och utvecklingsarbetet för informationssystemen. CSC fungerar som personuppgiftsbiträde för Findatas räkning.

Förvaringstid för personuppgifter

Vi lagrar färdigt datamaterial permanent.

Dessutom förvarar den som fått beslutet i sin besittning med stöd av dataanvändningstillståndet för färdigt datamaterial materialet under den tid som separat fastställts i tillståndet.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi lämnar inte ut eller överför inte färdigt datamaterial utanför EU eller EES eller till internationella organisationer. Enligt lagen om sekundär användning ska uppgifterna lämnas ut till en informationssäker driftmiljö som på basis av de krav som den omfattas av inte kan vara belägen utanför EU och EES. Enligt 51 c § i lagen om sekundär användning, kan tillståndsmyndigheten av särskilda skäl bevilja ett dataanvändningstillstånd där datamaterialet får lämnas ut i någon annan säker driftmiljö.

Om mottagaren av beslutet i egenskap av personuppgiftsansvarig vill möjliggöra behandling av sitt material utanför EU och EES, ska hen ansöka om tillstånd hos Findata för att möjliggöra behandlingen. Om vi beviljar tillstånd ska den personuppgiftsansvarige vid behov säkerställa att materialet överförs i enlighet med kapitel V i den allmänna dataskyddsförordningen.

Den registrerades rättigheter

Med registrerad avses en person som de ursprungliga social- och hälsouppgifterna gäller. Läs mer om den registrerades rättigheter längre upp på denna sida under rubriken ”Den registrerades rättigheter”.

Användningsändamål

Enligt 55 § i lagen om sekundär användning har den som får dataanvändningstillstånd rätt att underrätta den ansvarsperson som Findata utsett om ett kliniskt betydande fynd, på basis av vilket det är möjligt att förebygga en risk i anslutning till en viss patients hälsa eller avsevärt förbättra vårdens kvalitet. Ansvarspersonen kan då vid behov häva pseudonymiseringen av uppgifterna samt utreda vem eller vilka uppgifterna gäller.

När man har rett ut uppgifterna skickar ansvarspersonen utan obefogat dröjsmål uppgifterna till en expert som har utsetts av Institutet för hälsa och välfärd (THL). THL bedömer informationens betydelse och kontaktar vid behov det välfärdsområde som ansvarar för vården av personerna i fråga.

Uppgifter som behandlas samt informationskällor

En forskare som har gjort ett kliniskt betydande fynd lämnar ut uppgifter om fyndet till Findata.

Forskaren skickar en pseudonymiserad identifierare till Findata. Vi jämför identifieraren med de identifierare vi har så att vi kan koppla uppgifterna till en viss person.

Regelmässigt utlämnande av uppgifter samt mottagargrupper

Vi skickar personens identitet samt uppgifterna om det kliniskt betydande fyndet som vi har erhållit av forskaren till THL för bedömning.

Förvaringstid för uppgifter

Vi förvarar identifierarna för pseudonymiserat material så länge de behövs för att genomföra undersökningen och för att säkerställa att resultaten är korrekta.

Vi förvarar uppgifterna som vi erhållit av forskaren om det kliniskt betydande fyndet medan pseudonymiseringen hävs samt tills THL:s utsedda kontaktperson har meddelat att hen har tagit emot uppgifterna.

Överföring av uppgifter utanför EU eller EES samt till internationella organisationer

Vi överför inte uppgifter utanför EU eller EES eller till internationella organisationer.

Den registrerades rättigheter

Var och en kan förbjuda kontakter som baseras sig på ett kliniskt betydande fynd. Förbudet kan meddelas vid vilken verksamhetsenhet som helst som producerar offentlig hälso- och sjukvård eller elektroniskt via MittKanta. Förbudet kan inte meddelas via Findata.

Dessutom har den registrerade följande rättigheter, som kan utövas genom att kontakta Findata:

• Rätt att få information om behandlingen av personuppgifter (artikel 14 i dataskyddsförordningen)
• Rätt till tillgång till uppgifter (artikel 15 i dataskyddsförordningen)
• Rätt till rättelse av uppgifter (artikel 16 i dataskyddsförordningen)
• Rätt att begränsa behandlingen (artikel 18 i dataskyddsförordningen)
• Rätt att göra invändning (artikel 21 i dataskyddsförordningen)
• Rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77 i dataskyddsförordningen)

Den registrerade har rätt att invända mot att vi behandlar personuppgifter när som helst på grunder som hänför sig till den personliga särskilda situationen. Då får vi inte längre behandla uppgifter om denna person om det inte finns ett synnerligen viktigt och motiverat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastställa, framställa eller försvara rättsliga anspråk.

Läs mer om dina rättigheter som registrerad.

Behandlingsgrund

Behandlingen av personuppgifter grundar sig på följande lagar:

• 55 §, i lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019).
• Artikel 6.1 c i den allmänna dataskyddsförordningen,
• i fråga om särskilda kategorier av personuppgifter 6 § 1 mom. 2 punkten i dataskyddslagen samt artikel 9.2 h i den allmänna dataskyddsförordningen.

I denna dataskyddsbeskrivning förklaras hur Findata behandlar personuppgifter om leverantörers och underleverantörers anställda och representanter.

Med ”personuppgifter” avses alla uppgifter om den registrerade som direkt eller indirekt kan identifiera honom eller henne, i enlighet med definitionen i EU:s allmänna dataskyddsförordning (2016/679) (”dataskyddsförordningen”).

Findata följer vid behandling av personuppgifter dataskyddsförordningen, lagen om sekundär användning av personuppgifter inom social- och hälsovården samt annan tillämplig dataskyddslagstiftning och god informationshanteringssed.

Personuppgiftsansvarig

Kontaktuppgifter:

Findata – Tillståndsmyndigheten för social- och hälsodata
PB 30, 00301 Helsingfors
info@findata.fi

Dataskyddsombud
tietosuojavastaava@findata.fi 

Ändamålen med behandlingen av personuppgifter och den rättsliga grunden för behandlingen

Vi behandlar personuppgifter om leverantörers eller underleverantörers anställda/representanter som personuppgiftsansvarig för följande ändamål:

• För att leverera en tjänst eller produkt enligt avtal,
• för att säkerställa datasäkerheten och att behandlingen av personuppgifter sker på ett lagenligt sätt,
• för kommunikation som rör tjänsten och dess användning och
• för att genomföra eventuell fakturering.

Vi använder inte automatiskt beslutsfattande eller profilering vid behandlingen av uppgifter.

Behandlingen av personuppgifter i samband med leverantörs‑ eller underleverantörsrelationer grundar sig i regel på fullgörandet av avtalet mellan Findata och leverantören eller underleverantören (dataskyddsförordningen artikel 6.1 b).

Personuppgifter som behandlas samt informationskällor

Vi samlar in följande uppgifter om leverantörens eller underleverantörens anställda/representant:

• Namn,
• telefonnummer,
• e‑postadress,
• uppgifter om titel och arbetsgivare.

Uppgifterna erhålls antingen från den registrerade själv eller från den leverantörs‑ eller underleverantörsorganisation som den registrerade företräder.

Regelmässigt utlämnande av personuppgifter och personuppgifternas mottagargrupper

Vi lämnar inte regelmässigt ut personuppgifter om leverantörers eller underleverantörers representanter.

Förvaringstid för personuppgifter

Findata lagrar personuppgifter så länge det är nödvändigt för att uppfylla de ändamål som anges i denna dataskyddsbeskrivning, om inte lagstiftningen förutsätter längre lagring eller om Findata behöver uppgifterna för att fastställa, utöva eller försvara ett rättsligt anspråk.

Överföring av personuppgifter utanför EU eller EES samt till internationella organisationer

Vi överför inte personuppgiftsmaterial utanför EU eller EES eller till internationella organisationer.

Den registrerades rättigheter

I denna dataskyddsbeskrivning avses med registrerad leverantörers och underleverantörers anställda och representanter. Läs mer om den registrerades rättigheter längre upp på denna sida under rubriken ”Den registrerades rättigheter”.

Findata är administrativt en enhet inom Institutet för hälsa och välfärd (THL), och därför tillämpas THL:s dataskyddsbeskrivning för personalförvaltningen på arbetssökande och anställda.

Dataskyddsbeskrivningen finns här på finska: Tietosuojailmoitus henkilöstöhallinto (thl.fi)