Tietosuojakäytäntömme

Tässä tietosuojaselosteessa kerrotaan, kuinka Findata käsittelee sosiaali- ja terveydenhuollon asiakas- ja rekisteritietoaineistoja myöntäessään lupia sosiaali- ja terveystietojen toissijaiseen käyttöön. Rekisteröidyllä tarkoitetaan tässä tietosuojaselosteessa henkilöä, jota alkuperäiset sosiaali- ja terveystiedot koskevat.

”Henkilötiedoilla” tarkoitetaan kaikkia rekisteröityä koskevia tietoja, joista hänet voi suoraan tai epäsuorasti tunnistaa, siten kuin EU:n yleisessä tietosuoja-asetuksessa (2016/679), (”tietosuoja-asetus”) on määritelty.

Findata noudattaa henkilötietojen käsittelyssä tietosuoja-asetusta, toisiolakia sekä muuta soveltuvaa tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa. 

Rekisterinpitäjä

Findata – sosiaali- ja terveysalan tietolupaviranomainen
PL 30, 00301 Helsinki
info@findata.fi

Tietosuojavastaava
tietosuojavastaava@findata.fi

Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste

Tietoluvat

Myönnämme luvat sosiaali- ja terveystietojen toissijaiseen käyttöön silloin, kun hakemus koskee

• usean julkisen sosiaali- ja terveysalan rekisterinpitäjän tietoja
• yksittäisen julkisen rekisterinpitäjän tietoja, kun kyseinen rekisterinpitäjä on siirtänyt lupatoimivaltansa Findatalle
  • Katso lista rekisterinpitäjistä, jotka ovat siirtäneet lupatoimivaltansa Findatalle
• yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja
• Kanta-palveluihin tallennettuja asiakastietoja.

Tietoluvan voi saada seuraaviin tarkoituksiin:

• tieteelliseen tutkimukseen
• tilastointiin
• opetukseen ja
• viranomaisen suunnittelu- ja selvitystehtäviin.

Kun tietolupa on myönnetty, koostamme ja esikäsittelemme aineistot sekä luovutamme esikäsitellyt aineistot edelleen päätöksen saajalle luvassa kuvattua käyttötarkoitusta varten.

Esikäsittely tarkoittaa toimenpiteitä, jotka teemme eri rekisterinpitäjien Findatalle luovuttamille tiedoille ennen kuin luovutamme ne edelleen päätöksen saajalle.Esikäsittelyssä kokoamme, yhdistämme, pseudonymisoimme ja anonymisoimme tietoja. Lähtökohtaisesti pseudonymisoimme tiedot ennen kuin luovutamme ne eteenpäin. Luovutamme tietoja tunnisteellisena vain erityisen perustellusta ja välttämättömästä syystä.

Käsittelemme aineistot virkamiehen käyttöympäristössä. Tunnisteiden hallinnassa käytämme tunnisteiden hallintasovellusta. Rakenteettoman tekstiaineiston käsittelyssä apuna käytetään virkamiehen käyttöympäristössä toimivaa tekoälymallia vähentämään riskiä tekstiaineistossa olevien suorien tunnisteiden päätymisestä oikeudettomalle taholle. Henkilötietojen käsittelyä voi tapahtua myös tulostarkastustyökalussa.

Henkilötietojen esikäsittelyn tarkoitus on muodostaa myönnetyn luvan mukaiset aineistot toisiolaissa tarkoitetuilta rekisterinpitäjiltä saaduista sosiaali- ja terveystiedoista.

Emme käytä tietojen käsittelyssä automaattista päätöksentekoa tai profilointia.

Henkilötietojen käsittely tietoluvan mukaisten tietojen esikäsittelyssä perustuu seuraaviin lakeihin:

• laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, toisiolaki) 6 a §, 14 §, 51 § ja 51 a §
• yleinen tietosuoja-asetus 6 artikla 1 kohta c alakohta ja e alakohta,
• tietosuojalaki (1050/2018) 4 § 2 kohta ja
• erityisten henkilötietoryhmien osalta tietosuojalaki 6 § 1 momentti 2 kohta sekä yleinen tietosuoja-asetus 9 artiklan 2 kohta g alakohta.

Tietopyynnöt

Findatan kautta on mahdollista saada tilastoaineistoa toisiolain piirissä olevilta rekisterinpitäjiltä. Tilastoaineistoa haetaan tietopyynnöllä. Kun olemme tehneet myönteisen tietopyyntöpäätöksen, kokoamme ja esikäsittelemme hankkeeseen tarvittavat tiedot ja luovutamme tilastotasoiset tiedot tietopyynnön tekijälle.

Tilastotasoista aineistoa voi saada Findatan kautta tietopyynnön perusteella, kun tietoja tarvitaan johonkin seuraavista tarkoituksista:

• kehittämis- ja innovaatiotoiminta
• opetus
• tieteellinen tutkimus
• tietojohtaminen (vertailuaineisto)
• tilastointi
• sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta sekä viranomaisen suunnittelu- ja selvitystehtävä

Henkilötietojen käsittelyn tarkoituksena on muodostaa tilastoaineistoa yhdeltä tai useammalta toisiolaissa tarkoitetulta rekisterinpitäjältä saaduista sosiaali- ja terveystiedoista. Luovutamme tietopyynnön perusteella vain anonyymia tilastotason tietoa. Tilastotasoisessa aineistossa yksittäisiä henkilötietoja on yhdistelty ja summattu. Tilastot kuvaavat henkilöryhmiä yksittäisen henkilön sijaan. Henkilöryhmien tiedot on muodostettu siten, että yksilöitä ei voi tunnistaa.

Valmiista tilastoaineistosta ei voi jäljittää tai tunnistaa yksittäisiä henkilöitä.

Emme käytä tietojen käsittelyssä automaattista päätöksentekoa tai profilointia.

Henkilötietojen käsittely tietopyynnön mukaisten tietojen esikäsittelyssä perustuu seuraaviin lakeihin:

• Laki sosiaali- ja terveystietojen toissijaisesta käytöstä 14 §, 45 §, 51 § ja 51 a §
• yleinen tietosuoja-asetus 6 artikla 1 kohta c alakohta ja e alakohta,
• tietosuojalaki 4 § 2 kohta ja
• erityisten henkilötietoryhmien osalta tietosuojalaki 6 § 1 momentti 2 kohta sekä yleinen tietosuoja-asetus 9 artikla 2 kohta g alakohta.

Käsiteltävät henkilötiedot ja tietolähteet

Jokaisessa tietoluvassa määritellään, mitä tietoja sen perusteella on mahdollista käsitellä. Jokaisessa tietopyyntöä koskevassa päätöksessä määritellään, minkä tietojen perusteella tilastot muodostetaan.

Käsittelemme tietolupien ja tietopyyntöjen mukaisten tietojen esikäsittelyssä toisiolain piiriin kuuluvilta rekisterinpitäjiltä saatavia sosiaali- ja terveystietoja siinä määrin, kuin niiden on arvioitu olevan kutakin hanketta varten tarpeellisia.

Emme myönnä lupia tai laadi tilastoja kaikkien lain piirissä olevien rekisterinpitäjien kaikkiin aineistoihin. Tarkemmat aineistorajaukset löydät toisiolain 6 §:stä (finlex.fi).

Toisiolain piiriin kuuluvat rekisterinpitäjät:

• Digi- ja väestötietovirasto (DVV)
• Eläketurvakeskus (ETK)
• Kansaneläkelaitos Kela
• Kanta-palveluihin tallennetut tiedot
• Lupa- ja valvontavirasto (LVV)
• Lääkealan turvallisuus- ja kehittämiskeskus Fimea
• Sosiaali- ja terveydenhuollon palveluntarjoajat, sekä julkiset että yksityiset
• Sosiaali- ja terveysministeriö
• Terveyden ja hyvinvoinnin laitos THL
• Tilastokeskus
• Työterveyslaitos (TTL)

Tiedot toimitetaan Findatalle ja tietolupien osalta edelleen päätöksen saajalle tietoturvallisen siirtopalvelun välityksellä.

Tutustu myönnettyihin tietolupiin.

Henkilötietojen säännönmukaiset luovutukset ja tietojen vastaanottajaryhmät

Luovutamme tietoluvan perusteella muodostetun aineiston päätöksen saajalle. Päätöksen saajasta tulee tällöin luovutetun aineiston rekisterinpitäjä. Suurimmassa osassa myöntämiämme tietolupia tietojen vastaanottajat käyttävät tietoja tieteelliseen tutkimukseen.

Tietolupaan perustuvat tiedot voidaan toisiolain mukaan luovuttaa käsiteltäväksi toisiolain 20 §:n mukaiseen tietoturvalliseen käyttöympäristöön tai toisiolain 51 c §:n mukaisesti muusta erityisestä syystä muuhun turvalliseen käyttöympäristöön. Toisiolain 51 d §:n mukaan Findata voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle.

Lue lisää tietoturvallisista käyttöympäristöistä.

Luovutamme tietopyyntöjen perusteella vain tilastotason tietoa. Emme luovuta henkilötietoja.

Käytämme Tieteen Tietotekniikan keskus Oy:tä (CSC) aineiston esikäsittelyssä sekä tietojen siirron ja tilastojen muodostamisessa käyttämämme tietojärjestelmän teknisen ylläpito- ja kehittämistyön toteuttamiseen. CSC toimii henkilötietojen käsittelijänä Findatan lukuun.

Henkilötietojen säilytysaika

Tietoluvat

Säilytämme muilta rekisterinpitäjiltä saadut tiedot sekä esikäsittelyssä muodostetun aineiston neljän kuukauden ajan siitä, kun olemme luovuttaneet tiedot päätöksen saajalle. Säilytyksen aikana käytämme tietoja aineiston muodostamisessa tapahtuneiden mahdollisten virheiden korjaamiseen.

Jos kysymyksessä on rullaava tietolupa, eli tietoluvan perusteella on oikeus saada tietoihin päivityksiä, säilytetään kunkin toimituksen aineistoja neljän kuukauden ajan siitä, kun olemme luovuttaneet tiedot päätöksen saajalle. Jos uuden aineiston muodostaminen perustuu kaikkiin sitä aiemmin toimitettuihin aineistoihin, säilytämme kaikki aineistot neljän kuukauden ajan siitä, kun viimeinen luovutus päätöksen saajalle on tehty.

On huomattava, että päätöksen saaja säilyttää aineistoa pidempään kuin Findata.

Säilytämme pseudonymisoitujen aineistojen tunnisteet niin kauan kuin ne ovat tarpeen tutkimuksen tekemiseksi ja sen tulosten asianmukaisuuden varmistamiseksi, lähtökohtaisesti 12 vuoden ajan.

Tietopyynnöt

Säilytämme muilta rekisterinpitäjiltä saadut tiedot kuuden kuukauden ajan siitä, kun olemme luovuttaneet muodostamamme tilastot tietopyynnön tekijälle. Säilytyksen aikana käytämme tietoja tilastojen muodostamisessa mahdollisesti tapahtuneiden virheiden korjaamiseen.

Jos kysymyksessä on rullaava tietopyyntö, eli tilastoja muodostetaan ja toimitetaan tietyin väliajoin päivitettyjen tietojen perusteella, säilytämme aineistot kuuden kuukauden ajan kunkin tilastoaineiston luovutuksesta tietopyynnön tekijälle.

Tietojen siirto EU- tai ETA-alueen ulkopuolelle tai kansainvälisille järjestöille

Tietolupien osalta emme pääsääntöisesti luovuta henkilötietoaineistoa EU- tai ETA-alueen ulkopuolelle tai kansainvälisille järjestöille. Toisiolain mukaan tiedot on luovutettava tietoturvalliseen käyttöympäristöön, joka ei sitä koskevien vaatimusten perusteella voi sijaita EU- tai ETA-alueen ulkopuolella. Toisiolain 51 c §:n mukaan tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan, jossa tietoaineisto voidaan luovuttaa muuhun turvalliseen käyttöympäristöön. Jos siirrämme henkilötietoja jonkin muun lain perusteella yksittäistapauksessa EU- tai ETA-alueen ulkopuolelle tai kansainväliselle järjestölle, käytämme kohdemaan ja -organisaation mukaan valittavaa yleisen tietosuoja-asetuksen mukaista siirtoperustetta.

Jos päätöksen saaja haluaa rekisterinpitäjänä mahdollistaa aineistonsa käsittelyn EU- tai ETA-alueen ulkopuolelta, tulee tämän hakea Findatalta lupaa käsittelyn mahdollistamiseen. Jos myönnämme luvan, rekisterinpitäjän tulee tarvittaessa varmistaa, että aineisto siirretään yleisen tietosuoja-asetuksen V luvun mukaisesti.

Tietopyynnön perusteella muodostettavat tilastot eivät sisällä henkilötietoa, joten ne voidaan luovuttaa myös EU- tai ETA-alueen ulkopuolelle.

Rekisteröidyn oikeudet

Rekisteröidyllä tarkoitetaan henkilöä, jota alkuperäiset sosiaali- ja terveystiedot koskevat. Lue lisää rekisteröidyn oikeuksista ylempää tältä sivulta kohdasta ”Rekisteröidyn oikeudet”.

Tässä tietosuojaselosteessa kerrotaan, kuinka Findata käsittelee tietoluvan hakijoiden ja tietopyynnön tekijöiden henkilötietoja.

”Henkilötiedoilla” tarkoitetaan kaikkia rekisteröityä koskevia tietoja, joista hänet voi suoraan tai epäsuorasti tunnistaa, siten kuin EU:n yleisessä tietosuoja-asetuksessa (2016/679), (”tietosuoja-asetus”) on määritelty.

Findata noudattaa henkilötietojen käsittelyssä tietosuoja-asetusta, toisiolakia sekä muuta soveltuvaa tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa. 

Rekisterinpitäjä

Findata – sosiaali- ja terveysalan tietolupaviranomainen
PL 30, 00301 Helsinki
info@findata.fi

Tietosuojavastaava
tietosuojavastaava@findata.fi

Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste

Tietolupahakemusten ja tietopyyntöjen käsittely sekä niitä koskevien hallintopäätösten antaminen ovat Findatan lakisääteisiä tehtäviä.

Käsittelemme hakijoiden tai hakijoina olevien yhteisöjen edustajia koskevia henkilötietoja hakemusten käsittelyn, päätöksenteon ja laskutuksen tarkoituksiin. Lisäksi käsittelemme hakijoiden tai hakijoina olevien yhteisöjen yhteystietoja palveluiden ja niiden käyttöön liittyvien asiakasviestien lähettämiseen.

Emme käytä tietojen käsittelyssä automaattista päätöksentekoa tai profilointia.

Henkilötietojen käsittely tietolupahakemusten ja tietopyyntöjen käsittelyssä perustuu seuraaviin lakeihin:

• Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) 6 a §, 6 b § ja 45 §,
• yleinen tietosuoja-asetus 6 artikla 1 kohta a alakohta ja e alakohta sekä
• tietosuojalaki (1050/2018) 4 § 2 kohta.

Käsiteltävät henkilötiedot ja tietolähteet

Keräämme tietolupahakemusten ja tietopyyntöjen tekijöistä ne tiedot, jotka he antavat tietolupahakemuksessa tai tietopyynnössä. Näitä tietoja ovat hakijan tai tämän yhteyshenkilön nimi, työtehtävä tai titteli, yhteystiedot sekä henkilötietojen käsittelyyn oikeutettujen henkilöiden nimi ja affiliaatio. Käsittelemme tietoja myös laskutusta varten. Jos hakija on yksityishenkilö, myös laskutustiedot sisältävät henkilötietoja. Lisäksi hakemus voi sisältää Findatalle kohdejoukon toimittavan henkilön nimen ja yhteystiedot.

Lisäksi ylläpidämme lokijärjestelmää, jonka avulla seuraamme ja tallennamme henkilötietoja tietolupahakemusten ja tietopyyntöjen käsittelyn eri vaiheista.

Tallennamme tietolupahakemuksen ja tietopyynnön lähettämisen yhteydessä hakemuksen laatijaa koskevat vahvan tunnistamisen edellyttävät henkilötiedot, jotka Suomi.fi-palvelu välittää. Suomi.fi-palvelun tallettamat henkilötiedot kuvataan palvelun tietosuojaselosteessa (suomi.fi).

Henkilötietojen säännönmukaiset luovutukset ja tietojen vastaanottajaryhmät

Emme luovuta tietolupahakemuksissa tai tietopyynnöissä annettuja henkilötietoja säännönmukaisesti. Julkaisemme tietoja myönnetyistä tietoluvista ja tietopyynnöistä. Jos päätöksen saaja on yksityishenkilö, emme julkaise hänen nimeään.

Luovutamme tietoja niitä pyytävälle viranomaisten toiminnan julkisuudesta annetun lain (621/1999) ja yleisen tietosuoja-asetuksen mukaisesti. Tietolupahakemuksen ja tietopyynnön tekijän tiedot ovat lähtökohtaisesti julkisia, koska niitä ei ole nimenomaisesti säädetty salassa pidettäväksi.

Käytämme Tieteen Tietotekniikan keskus Oy:tä (CSC) tietopyyntöjen hallintajärjestelmän teknisen ylläpito- ja kehittämistyön toteuttamiseen. CSC toimii henkilötietojen käsittelijänä Findatan lukuun.

Henkilötietojen säilytysaika

Säilytämme tietolupahakemukset pysyvästi, ja tietopyynnöt kymmenen vuoden ajan niiden vireilletulosta. Säilytämme tietolupaa koskevat päätökset pysyvästi ja tietopyyntöä koskevat päätökset kymmenen vuoden ajan niiden antamisesta.

Säilytämme sellaiset hakemus- ja tietopyyntöluonnokset, joita ei ole toimitettu Findatalle hakemuksen tai tietopyynnön käsittelemistä varten 180 päivän ajan viimeisimmästä muokkauksesta. Hakemukset, joita ei ole muokattu 180 päivään, poistetaan automaattisesti järjestelmästä.

Henkilötietojen siirto EU- tai ETA-alueen ulkopuolelle tai kansainvälisille järjestöille

Emme siirrä henkilötietoja EU- tai ETA-alueen ulkopuolelle tai kansainvälisille järjestöille.

Rekisteröidyn oikeudet

Tässä tietosuojaselosteessa rekisteröidyllä tarkoitetaan tietolupahakemusten ja tietopyyntöjen tekijöitä. Lue lisää rekisteröidyn oikeuksista ylempää tältä sivulta kohdasta ”Rekisteröidyn oikeudet”.

Tämän tietosuojaselosteen tarkoituksena on antaa Findatan palveluiden osalta kattava kuva siitä, mitä henkilötietoja Findata kerää palveluiden tilaamisen ja käytön yhteydessä, mihin tarkoituksiin tietoja käytetään, ja mille tahoille tietoja voidaan luovuttaa.

Findatan palveluihin kuuluvat:

• asiointipalvelu
• asianhallintajärjestelmä
• tietoturvallinen käyttöympäristö Kapseli
• tietoturvalliset siirtopalvelut Tunneli ja Supertunneli

Tämä tietosuojaseloste kattaa myös seuraavat palvelut tai toiminnot:

• Findatan verkkosivujen tekoälyapuri Vinkkeli
• palautelomake
• uutiskirjeen tilaus
• henkilökohtaisen neuvonnan ajanvaraus
• yhteydenottopyyntö
• ilmoittautuminen Findatan järjestämiin koulutuksiin

Tietosuojaseloste antaa tietoa niistä velvoitteista ja lainsäädännöstä, jota Findata noudattaa henkilötietojen käsittelyssä. 

Kapselissa tapahtuvan aineiston käsittelyn rekisterinpitäjä on määritelty tietoluvassa. Findata toimii tällöin henkilötietojen käsittelijänä tämän rekisterinpitäjän lukuun.

”Henkilötiedoilla” tarkoitetaan kaikkia rekisteröityä koskevia tietoja, joista hänet voi suoraan tai epäsuorasti tunnistaa, siten kuin EU:n yleisessä tietosuoja-asetuksessa (2016/679), (”tietosuoja-asetus”) on määritelty.

Findata noudattaa henkilötietojen käsittelyssä tietosuoja-asetusta, toisiolakia sekä muuta soveltuvaa tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa. 

Rekisterinpitäjä

Findata – sosiaali- ja terveysalan tietolupaviranomainen
PL 30, 00301 Helsinki
info@findata.fi

Tietosuojavastaava
tietosuojavastaava@findata.fi

Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste

Käsittelemme Findatan palveluiden käyttäjien henkilötietoja rekisterinpitäjänä seuraavia tarkoituksia varten:

• annettavan palvelun tarjoamiseksi,
• tietoturvallisuuden ja henkilötietojen käsittelyn lainmukaisuuden varmistamiseksi,
• palvelun ja sen käyttöön liittyvään viestintään sekä
• mahdollisen laskutuksen toteuttamiseksi.

Findatan verkkosivuilta löytyvä tekoälyapuri Vinkkeli vastaa käyttäjien chatbotille esittämiin kysymyksiin. Vinkkeliä käytettäessä keskustelu käydään koneen, ei ihmisen, kanssa. Vinkkeliä käytettäessä käyttäjää pyydetään olemaan syöttämättä keskusteluun henkilötietoja. Vinkkeli käyttää OpenAI:n API-rajapintaa käsitelläkseen käyttäjien syötteitä ja tuottaakseen vastauksia. Käyttäjien syötteet lähetetään OpenAI:n palvelimille käsittelyä ja vastausten muodostamista varten. Saatamme käsitellä tietoja seuraavia tarkoituksia varten:

• Vinkkelin toiminnallisuuden tarjoamiseksi ja parantamiseksi
• vuorovaikutuksen analysointiin palveluidemme kehittämiseksi sekä
• teknisten ongelmien ratkaisemiseksi ja väärinkäytösten selvittämiseksi.

Hyödynnämme käyttäjien lukumäärätietoja palvelujen kehittämiseen ja hallinnointiin.

Emme käytä tietojen käsittelyssä automaattista päätöksentekoa tai profilointia.

Rekisteröidyn henkilötietojen käsittelyn oikeusperusteena on:

• Yleinen tietosuoja-asetus 6 artikla 1 kohta c alakohta ja e alakohta,
• tietosuojalaki (1050/2018) 4 § 2 kohta ja
• laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) 16 §, 17 §, 20 § ja 46 §.

Henkilötietojen käsittely voi tapahtua myös sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity tai rekisteröidyn edustama taho on osapuolena tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi.

Findatan asiointipalvelussa voi tietoluvan hakemisen ja tietopyynnön tekemisen lisäksi muun muassa tehdä tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia koskevia pyyntöjä. Rekisteröidyn oikeuksia käyttävien henkilöiden pyyntöjen käsittelyn oikeusperusteena on:

• Yleinen tietosuoja-asetus 6 artikla 1 kohta c alakohta ja 12–21 artiklat.

Käsiteltävät henkilötiedot ja tietolähteet

Keräämme palvelunkäyttäjästä seuraavat tiedot:

• nimi,
• puhelinnumero,
• sähköpostiosoite ja
• organisaation tiedot.

Tiedot saadaan joko rekisteröidyltä itseltään tai tämän puolesta tilauksen tehneeltä taholta tai sopimusta edellyttävien Palveluiden osalta Palvelunkäyttäjältä sopimuksen teon yhteydessä.

Käytettäessä Findatan verkkosivuilta löytyvää tekoälyapuri Vinkkeliä chatbot pyytää käyttäjää välttämään henkilötietojen syöttämistä keskusteluun. Findata ei käsittele henkilötietoja tässä yhteydessä, ellei käyttäjä itse syötä keskusteluun henkilötietoja. Vinkkeliä käytettäessä voimme kerätä seuraavia tietoja:

• Viestit ja syötteet: teksti tai muu tieto, jonka annat vuorovaikutuksessa Vinkkelin kanssa.
• Tekniset tiedot: ei-henkilöön yhdistettävä tieto, kuten istunnon metadata.

Keräämme rekisteröityjen oikeuksia koskevia pyyntöjä esittäneistä henkilöistä Findatan asiointipalvelussa seuraavat tiedot:

• nimi,
• henkilötunnus ja
• yhteystiedot.

Lisäksi keräämme tietoja oikeuskohtaisesti.

Henkilöstä, joka käyttää oikeuttaan rajoittaa tai vastustaa tietojensa käsittelyä (tietosuoja-asetuksen artiklat 18 ja 21), kerätään yllä olevien tietojen lisäksi peruste tietojen käytön rajoittamiselle tai vastustamiselle.

Toteutamme rajoittamis- ja vastustamisoikeutta rekisteröidyn henkilötunnuksen perusteella. Poistamme meille saapuneista aineistoista vastustamis- tai rajoittamisoikeutta käyttäneiden henkilöiden tiedot vertaamalla tietoja henkilötunnukseen ja poistamalla kyseisiä henkilöitä kuvaavat tarkemmat toimitettuun aineistoon sisältyvät tiedot.

Henkilöstä, joka käyttää oikeuttaan tietojen oikaisemiseen (tietosuoja-asetuksen 16 artikla) kerätään yllä olevien tietojen lisäksi seuraavat rekisteröidyltä saatavat tiedot:

• mitä tietoja halutaan oikaista ja
• mihin muotoon tietoja halutaan oikaista.

Henkilötietojen säännönmukaiset luovutukset ja tietojen vastaanottajaryhmät

Emme luovuta Findatan palveluiden käyttäjien tai yhteyshenkilöiden henkilötietoja säännönmukaisesti.

Vinkkelin syötetietoja voidaan jakaa seuraaville tahoille:

• OpenAI: Vinkkelille annetut syötteet käsitellään OpenAI:n API:n kautta, ja niihin sovelletaan OpenAI:n käyttö- ja tietosuojakäytäntöjä.
• Palveluntarjoajat: Kolmannet osapuolet, jotka avustavat Findataa esimerkiksi hostingissa tai muissa teknisissä tarpeissa.

Emme myy syötetietoja kolmansille osapuolille.

Käytämme Tieteen Tietotekniikan keskus Oy:tä (CSC) alihankkijana Findatan Palveluiden teknisen ylläpito- ja kehittämistyön toteuttamiseen. CSC toimii henkilötietojen käsittelijänä Findatan lukuun. CSC:n kanssa on voimassa oleva henkilötietojen käsittelysopimus (DPA). 

Henkilötietojen säilytysaika

Findata säilyttää henkilötietoja niin pitkään, kuin on tarpeellista tässä tietosuojaselosteessa määriteltyjen tarkoitusten toteuttamiseksi, ellei lainsäädäntö velvoita säilyttämään henkilötietoja pidempään tai ellei Findata tarvitse tietoja oikeusvaateen laatimiseksi, esittämiseksi tai oikeusvaateelta puolustautumiseksi.

Tekoälyapuri Vinkkelin keskustelulokit poistetaan automaattisesti laajennuksesta/palvelimelta 30 päivän kuluttua. OpenAI voi säilyttää API:n kautta käsiteltyjä tietoja rajoitetun ajan väärinkäytösten seuraamista varten omien tietosuojakäytäntöjensä mukaisesti.

Henkilötietojen siirto EU- tai ETA-alueen ulkopuolelle tai kansainvälisille järjestöille

Emme siirrä tietoja EU- tai ETA-alueen ulkopuolelle taikka kansainvälisille järjestöille.

Vinkkelille annetut syötteet käsitellään OpenAI:n API:n kautta, ja niihin sovelletaan OpenAI:n käyttö- ja tietosuojakäytäntöjä. OpenAI ei käytä API-rajapinnan kautta lähetettyjä tietoja mallien kehittämiseen.

• OpenAI:n käyttökäytännöt (openai.com)
• OpenAI:n tietosuojakäytännöt (openai.com)
• OpenAI:n verkkosivusto (openai.com)

Rekisteröidyn oikeudet

Tässä tietosuojaselosteessa rekisteröidyllä tarkoitetaan Findatan Palveluiden käyttäjiä. Rekisteröityjä ovat myös henkilöt, jotka tekevät tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia koskevia pyyntöjä Findatan asiointipalvelussa. Lue lisää rekisteröidyn oikeuksista ylempää tältä sivulta kohdasta ”Rekisteröidyn oikeudet”.

Tämän tietosuojaselosteen tarkoituksena on antaa Findatan valmisaineistojen osalta kattava kuva siitä, mitä henkilötietoja Findata kerää valmisaineistojen kokoamisen ja esikäsittelyn yhteydessä, mihin tarkoituksiin tietoja käytetään, ja mille tahoille tietoja voidaan luovuttaa. Tämä tietosuojaseloste antaa tietoa myös niistä velvoitteista ja lainsäädännöstä, jota Findata noudattaa henkilötietojen käsittelyssä. Findata tarjoaa teemakohtaisia valmisaineistoja, jotka ovat valmiiksi koottuja ja esikäsiteltyjä aineistokokonaisuuksia. Valmisaineistot ovat saatavilla Findatan kautta tietoluvan perusteella nopeammin, ilman rekisterinpitäjiltä pyydettäviä kustannusarvioita tai poimintoja.

”Henkilötiedoilla” tarkoitetaan kaikkia rekisteröityä koskevia tietoja, joista hänet voi suoraan tai epäsuorasti tunnistaa, siten kuin EU:n yleisessä tietosuoja-asetuksessa (2016/679), (”tietosuoja-asetus”) on määritelty.

Findata noudattaa henkilötietojen käsittelyssä tietosuoja-asetusta, toisiolakia sekä muuta soveltuvaa tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa. 

Rekisterinpitäjä

Findata – sosiaali- ja terveysalan tietolupaviranomainen
PL 30, 00301 Helsinki
info@findata.fi

Tietosuojavastaava
tietosuojavastaava@findata.fi

Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste

Esikäsittely tarkoittaa toimenpiteitä, jota eri rekisterinpitäjien Findatalle luovuttamille tiedoille tehdään ennen kuin luovutamme ne edelleen päätöksen saajalle. Esikäsittelyssä kokoamme, yhdistämme, pseudonymisoimme ja anonymisoimme tietoja. Findata valitsee, mistä teemasta ja minkä tietojen perusteella valmisaineistot muodostetaan. Henkilötietojen käsittelyn tarkoituksena on muodostaa näin valitun teeman mukaiset aineistot ja luovuttaa lähtökohtaisesti pseudonymisoituja henkilötietoja tai valmisaineistosta muodostettuja tilastoja päätöksen saajalle. Valmisaineistoja voidaan käyttää myös virkamiehen käyttöympäristössä toimivan tekoälymallin kehittämisessä rakenteettomien tekstiaineistojen käsittelyssä parantaaksemme tekstiaineiston tietosuojaa.

Emme käytä tietojen käsittelyssä automaattista päätöksentekoa tai profilointia.

Henkilötietojen käsittely valmisaineistojen muodostamisessa perustuu seuraaviin lakeihin:

• Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) 14 §,
• yleinen tietosuoja-asetus 6 artikla 1 kohta e alakohta,
• tietosuojalaki (1050/2018) 4 § 2 kohta ja
• erityisten henkilötietoryhmien osalta tietosuojalaki 6 § 1 momentti 2 kohta sekä yleinen tietosuoja-asetus 9 artikla 2 kohta g alakohta.

Käsiteltävät henkilötiedot ja tietolähteet

Käsittelemme valmisaineistojen muodostamisessa toisiolain piiriin kuuluvien rekisterinpitäjien hallussa olevia sosiaali- ja terveystietoja siinä määrin, kuin niiden on arvioitu olevan kutakin hanketta varten tarpeellisia.

Emme voi muodostaa valmisaineistoa kaikkien lain piirissä olevien rekisterinpitäjien kaikkien aineistojen perusteella. Tarkemmat aineistorajaukset löydät toisiolain 6 §:stä (finlex.fi).

Toisiolain piiriin kuuluvat rekisterinpitäjät:

• Digi- ja väestötietovirasto (DVV)
• Eläketurvakeskus (ETK)
• Kansaneläkelaitos Kela
• Kanta-palveluihin tallennetut tiedot
• Lupa- ja valvontavirasto (LVV)
• Lääkealan turvallisuus- ja kehittämiskeskus Fimea
• Sosiaali- ja terveydenhuollon palveluntarjoajat, sekä julkiset että yksityiset
• Sosiaali- ja terveysministeriö
• Terveyden ja hyvinvoinnin laitos THL
• Tilastokeskus
• Työterveyslaitos (TTL)

Tiedot toimitetaan Findatalle ja tietolupien osalta edelleen päätöksen saajalle tietoturvallisen siirtopalvelun välityksellä.

Lue tarkemmat kuvaukset valmisaineistoissa käytetyistä tiedoista.

Henkilötietojen säännönmukaiset luovutukset ja tietojen vastaanottajaryhmät

Luovutamme valmisaineistosta poimitun aineiston päätöksen saajalle. Päätöksen saajasta tulee tällöin luovutetun aineiston rekisterinpitäjä. Suurimmassa osassa myöntämiämme tietolupia päätöksen saajat käyttävät tietoja tieteelliseen tutkimukseen.

Tietolupaan perustuvat tiedot voidaan toisiolain mukaan luovuttaa käsiteltäväksi toisiolain 20 §:n mukaiseen tietoturvalliseen käyttöympäristöön tai toisiolain 51 c §:n mukaisesti muusta erityisestä syystä muuhun turvalliseen käyttöympäristöön. Toisiolain 51 d §:n mukaan Findata voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle.

Lue lisää tietoturvallisista käyttöympäristöistä.

Jos valmisaineistosta pyydetään tilastotietoa, ei luovutettava aineisto sisällä henkilötietoja.

Käytämme Tieteen Tietotekniikan keskus Oy:tä (CSC) alihankkijana tietojärjestelmien teknisen ylläpito- ja kehittämistyön toteuttamiseen. CSC toimii henkilötietojen käsittelijänä Findatan lukuun.

Henkilötietojen säilytysaika

Säilytämme valmisaineistot pysyvästi.

Lisäksi valmisaineiston tietoluvan perusteella haltuunsa saanut päätöksen saaja säilyttää aineistoa luvassa erikseen määritellyn ajan.

Henkilötietojen siirto EU- tai ETA-alueen ulkopuolelle tai kansainvälisille järjestöille

Emme luovuta tai siirrä valmisaineistoa EU- tai ETA-alueen ulkopuolelle taikka kansainvälisille järjestöille. Toisiolain mukaan tiedot on luovutettava tietoturvalliseen käyttöympäristöön, joka ei sitä koskevien vaatimusten perusteella voi sijaita EU- tai ETA-alueen ulkopuolella. Toisiolain 51 c §:n mukaan tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan, jossa tietoaineisto voidaan luovuttaa muuhun turvalliseen käyttöympäristöön.

Jos päätöksen saaja haluaa rekisterinpitäjänä mahdollistaa aineistonsa käsittelyn EU- tai ETA-alueen ulkopuolelta, tulee tämän hakea Findatalta lupaa käsittelyn mahdollistamiseen. Jos myönnämme luvan, rekisterinpitäjän tulee tarvittaessa varmistaa, että aineisto siirretään yleisen tietosuoja-asetuksen V luvun mukaisesti.

Rekisteröidyn oikeudet

Rekisteröidyllä tarkoitetaan henkilöä, jota alkuperäiset sosiaali- ja terveystiedot koskevat. Lue lisää rekisteröidyn oikeuksista ylempää tältä sivulta kohdasta ”Rekisteröidyn oikeudet”.

Käyttötarkoitus

Toisiolain 55 §:n mukaan tietoluvan saajalla on oikeus ilmoittaa Findatan nimeämälle vastuuhenkilölle kliinisesti merkittävästä löydöksestä, jonka perusteella olisi mahdollista ehkäistä tietyn potilaan terveyteen liittyvää riskiä tai parantaa merkittävästi hoidon laatua. Vastuuhenkilö voi tällöin purkaa tarvittaessa tietojen pseudonymisoinnin sekä selvittää, ketä tai keitä tieto koskee.

Kun tieto on selvillä, vastuuhenkilö toimittaa tiedot ilman aiheetonta viivytystä Terveyden ja hyvinvoinnin laitoksen (THL) nimeämälle asiantuntijalle. THL:ssä arvioidaan tiedon merkittävyys ja ollaan tarvittaessa yhteydessä kyseisten henkilöiden hoidosta vastaavaan hyvinvointialueeseen.

Käsiteltävät tiedot sekä tietolähteet

Tutkija, joka on tehnyt kliinisesti merkittävän löydöksen, luovuttaa Findatalle tiedot löydöksestään.

Tutkija toimittaa Findatalle pseudonymisoidun tunnisteen. Vertaamme tunnistetta hallussamme oleviin tunnisteisiin, jotta voimme yhdistää tiedot tiettyyn henkilöön.

Tietojen säännönmukaiset luovutukset sekä vastaanottajaryhmät

Säilyttämämme henkilön henkilöllisyys sekä tutkijalta saadut tiedot kliinisesti merkittävästä löydöksestä toimitetaan arvioitavaksi THL:lle.

Tietojen säilytysaika

Säilytämme pseudonymisoitujen aineistojen tunnisteet niin kauan kuin ne ovat tarpeen tutkimuksen tekemiseksi ja sen tulosten asianmukaisuuden varmistamiseksi.

Säilytämme tutkijalta saadut tiedot kliinisesti merkittävästä löydöksestä pseudonymisoinnin purkamisen ajan sekä siihen saakka, että THL:n nimetty yhteyshenkilö on ilmoittanut vastaanottaneensa tiedot.

Tietojen siirto EU:n tai ETA-alueen ulkopuolelle sekä kansainvälisille järjestöille

Emme siirrä tietoja EU:n tai ETA-alueen ulkopuolelle taikka kansainvälisille järjestöille.

Rekisteröidyn oikeudet

Jokainen voi kieltää kliinisesti merkittävän löydöksen perusteella tehtävät yhteydenotot. Kiellon voi tehdä missä tahansa julkista terveydenhuoltoa tuottavassa toimintayksikössä tai Omakannan uudessa versiossa. Kieltoa ei voi tehdä Findatan kautta.

Lisäksi rekisteröidyillä on käytettävissään seuraavat oikeudet, joiden käyttämisestä voi olla yhteydessä Findataan:

• Oikeus saada tietoa henkilötietojen käsittelystä (tietosuoja-asetuksen 14 artikla)
• Oikeus tutustua tietoihin (tietosuoja-asetuksen 15 artikla)
• Oikeus tietojen oikaisemiseen (tietosuoja-asetuksen 16 artikla)
• Oikeus käsittelyn rajoittamiseen (tietosuoja-asetuksen 18 artikla)
• Oikeus vastustaa henkilötietojen käsittelyä (tietosuoja-asetuksen 21 artikla)
• Oikeus tehdä valitus valvontaviranomaiselle (tietosuoja-asetuksen 77 artikla)

Rekisteröidyllä on oikeus vastustaa toteuttamaamme henkilötietojen käsittelyä milloin tahansa henkilökohtaiseen erityiseen tilanteeseen liittyvällä perusteella. Tällöin emme enää saa käsitellä tähän henkilöön liittyviä tietoja, paitsi jos käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai jos tietojen käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Lue lisää oikeuksistasi rekisteröitynä.

Käsittelyperuste

Henkilötietojen käsittely perustuu seuraaviin lakeihin:

• Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) 55 §,
• yleinen tietosuoja-asetus 6 artikla 1 kohta c alakohta,
• erityisten henkilötietoryhmien osalta tietosuojalaki 6 § 1 momentti 2 kohta sekä yleinen tietosuoja-asetus 9 artiklan 2 kohta h alakohta.

Toimittajat ja alihankkijat

Tässä tietosuojaselosteessa kerrotaan, kuinka Findata käsittelee toimittajien ja alihankkijoiden työntekijöiden ja edustajien henkilötietoja.

”Henkilötiedoilla” tarkoitetaan kaikkia rekisteröityä koskevia tietoja, joista hänet voi suoraan tai epäsuorasti tunnistaa, siten kuin EU:n yleisessä tietosuoja-asetuksessa (2016/679), (”tietosuoja-asetus”) on määritelty.

Findata noudattaa henkilötietojen käsittelyssä tietosuoja-asetusta, toisiolakia sekä muuta soveltuvaa tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa. 

Rekisterinpitäjä

Findata – sosiaali- ja terveysalan tietolupaviranomainen
PL 30, 00301 Helsinki
info@findata.fi

Tietosuojavastaava
tietosuojavastaava@findata.fi

Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste

Käsittelemme toimittajan tai alihankkijan työntekijän/edustajan henkilötietoja rekisterinpitäjänä seuraavia tarkoituksia varten:

• Sopimuksen mukaisen palvelun tai tuotteen toimittamiseksi,
• tietoturvallisuuden ja henkilötietojen käsittelyn lainmukaisuuden varmistamiseksi,
• palvelun ja sen käyttöön liittyvään viestintään sekä
• mahdollisen laskutuksen toteuttamiseksi.

Emme käytä tietojen käsittelyssä automaattista päätöksentekoa tai profilointia.

Henkilötietojen käsittely toimittaja- tai alihankkijasuhteisiin liittyen perustuu tyypillisesti Findatan ja toimittaja- tai alihankkijatahon välisen sopimuksen täytäntöönpanoon (tietosuoja-asetus 6 artikla 1 kohta b alakohta).

Käsiteltävät henkilötiedot ja tietolähteet

Keräämme toimittajan tai alihankkijan työntekijästä/edustajasta seuraavat tiedot:

• Nimi,
• puhelinnumero,
• sähköpostiosoite,
• titteli- ja työnantajatiedot.

Tiedot saadaan joko rekisteröidyltä itseltään tai rekisteröidyn edustamalta toimittaja- tai alihankkijataholta.

Henkilötietojen säännönmukaiset luovutukset ja tietojen vastaanottajaryhmät

Emme luovuta toimittajien tai alihankkijoiden edustajien henkilötietoja säännönmukaisesti.

Henkilötietojen säilytysaika

Findata säilyttää henkilötietoja niin pitkään, kuin on tarpeellista tässä tietosuojaselosteessa määriteltyjen tarkoitusten toteuttamiseksi, ellei lainsäädäntö velvoita säilyttämään henkilötietoja pidempään tai ellei Findata tarvitse tietoja oikeusvaateen laatimiseksi, esittämiseksi tai oikeusvaateelta puolustautumiseksi.

Henkilötietojen siirto EU- tai ETA-alueen ulkopuolelle tai kansainvälisille järjestöille

Emme siirrä tietoja EU- tai ETA-alueen ulkopuolelle taikka kansainvälisille järjestöille.

Rekisteröidyn oikeudet

Tässä tietosuojaselosteessa rekisteröidyllä tarkoitetaan toimittajien ja alihankkijoiden työntekijöitä ja edustajia. Lue lisää rekisteröidyn oikeuksista ylempää tältä sivulta kohdasta ”Rekisteröidyn oikeudet”.

Findata on hallinnollisesti THL:n yksikkö, joten työnhakijoiden ja työntekijöiden osalta noudatetaan THL:n henkilöstöhallinnon tietosuojaselostetta.

Tietosuojaseloste löytyy THL:n verkkosivuilta: Tietosuojailmoitus henkilöstöhallinto (thl.fi)