Hallinto-oikeus: käyttöympäristövaatimus koskee myös vanhojen lupien jatkamista koskevia päätöksiä

Itä-Suomen hallinto-oikeus on tehnyt päätöksen asiassa, joka koskee vaatimusta tietoturvallisesta ympäristöstä tutkimusaineiston käsittelyssä. Findata hylkäsi oikaisuvaatimuksen, jossa vastustettiin tietoluvalla myönnetyn tutkimusaineiston siirtämistä tietoturvalliseen käyttöympäristöön.

Findatan tekemästä päätöksestä tehtiin valitus hallinto-oikeuteen. Hallinto-oikeus hylkäsi valituksen ja vahvisti päätöksessään (27.9.2023) Findatan näkemyksen siitä, että toisiolaki edellyttää sosiaali- ja terveystietojen käsittelyssä tietoturvakriteerit täyttävää ympäristöä.

Findatan juristi ja tietosuojavastaava Tanja Muotka on tyytyväinen hallinto-oikeuden ratkaisuun: ”On hyvä, että uudesta lainsäädännöstä saadaan lisää oikeuskäytäntöä.”

Valituksen tausta

Valitus koski tilannetta, jossa ennen toisiolain voimaantuloa myönnetyn tietoluvan voimassaoloa jatkettiin. Findata myönsi tietoluvan muutospäätöksellä voimassaolon jatkamisen, mutta edellytti, että tutkimusaineisto siirretään tietoturvalliseen käyttöympäristöön.

Myönteisen tietolupapäätöksen saatuaan valittaja kuitenkin vastusti aineiston siirtämistä muun muassa siksi, että siirto edellyttäisi taloudellisia resursseja. Valittaja myös piti käyttämäänsä käyttöympäristöään tietoturvallisempana kuin luvanmukaista ympäristöä. Findata hylkäsi oikaisuvaatimuksen.

”Toisiolain mukaan sosiaali- ja terveystietoja voidaan luovuttaa vain tietoturvallisiin ympäristöihin”, Muotka painottaa. ”Myönteinen päätös tietoluvan voimassaolon jatkamiselle oli siis voitu antaa vain, jos tutkimusaineisto siirretään lain vaatimukset täyttävään, auditoituun ympäristöön.”

Tietoturvavaatimukset koskevat myös ennen toisiolain voimaantuloa luovutettuja aineistoja

Oikaisuvaatimuksen hylkäämisestä valitettiin hallinto-oikeuteen, mutta hallinto-oikeus hylkäsi valituksen ja vahvisti Findatan päätöksen. Hallinto-oikeus totesi, ettei valittaja pystynyt osoittamaan, että hänen nykyinen käyttöympäristönsä täyttäisi tarvittavat tietoturvavaatimukset.

Tietoturva- ja käyttöympäristövaatimukset sosiaali- ja terveystietojen toissijaiselle käytölle perustuvat toisiolakiin. Hallinto-oikeus vahvisti Findatan tulkinnan siitä, että vaikka toisiolaissa puhutaan käyttöympäristövaatimuksen yhteydessä tietoaineiston luovuttamisesta, siirtymäsäädöksen perusteella se koskee myös aikaisemman tietoluvan nojalla luovutettua aineistoa.

Hallinto-oikeus totesi, että tietoturvallisen käyttöympäristön edellyttämiselle on ollut lakiin perustuva hyväksyttävä peruste, minkä lisäksi sillä turvataan perustuslain 10 §:ssä säädetyn yksityiselämän suojan toteutumista.

Sillä, miten tietoaineiston siirtäminen käytännössä toteutuu valittuun käyttöympäristöön, tai siirtämisen vaatimalla työmäärällä ja kustannuksilla, ei ollut merkitystä hallinto-oikeuden arvioidessa asiaa.

Yhteystiedot

Tietosuojavastaava

Lue lisää