Toisiolain tulkintoja selkeyttävän yhteishankkeen toiseksi viimeisen työpajan teemoina olivat EU:n yleisen tietosuoja-asetuksen (GDPR) käsitteet henkilötieto ja suostumus. Aiheesta alusti Sitran vanhempi neuvonantaja Reijo Aarnio, joka toimi aikaisemmin Suomen tietosuojavaltuutettuna.
Alustuksessa tuotiin esille, että GDPR:n henkilötiedon käsite on hyvin laaja. Mikä tahansa tieto, josta henkilö on mahdollista tunnistaa, on GDPR:n mukaan henkilötietoa.
Esimerkiksi auton matkamittarin lukema on henkilötietoa, jos se liittyy henkilöön. Samalla tavalla kuvantamisdata katsotaan henkilötiedoksi, vaikka sen yhteydessä ei henkilötunnuksen tai nimen kaltaisia suoria tunnisteita olisikaan. GDPR:n mukaan pseudonymisoitu henkilötieto on edelleen henkilötietoa.
EU:n yleisen tietosuoja-asetuksen mukaan myös pseudonymisoitu henkilötieto on edelleen henkilötietoa, eikä tästä voida kansallisesti poiketa.
GDPR:ää tulkitsee viime kädessä Euroopan tietosuojaneuvosto EDPB ja Euroopan unionin tuomioistuin. Kansallisesti ei ole mahdollista määritellä, mikä on henkilötietoa. Kansallisesti ei voida myöskään määritellä pätevän suostumuksen kriteerejä.
Aarnio mainitsi Euroopan komission raportista, jonka mukaan eri jäsenvaltioiden viranomaisissa on ollut poikkeavia tulkintoja muun muassa henkilötiedon määritelmän osalta. Komissio on kehottanut EDPB:tä antamaan lausuntoja ja harmonisoimaan GDPR:n soveltamista, mitä EDPB säännöllisesti tekeekin.
Selvennystä suostumuksen käsitteeseen
Työpajassa selvennettiin myös suostumuksen käsitettä. GDPR:ssä suostumuksella tarkoitetaan henkilötietojen käsittelyperustetta. GDPR:ssä on muitakin mahdollisia henkilötietojen käsittelyperusteita, esimerkiksi lakisääteisen velvoitteen tai yleistä etua koskevan tehtävän suorittaminen.
Mikäli käsittelyperusteena käytetään suostumusta, suostumuksen on oltava EU:n yleisen tietosuoja-asetuksen ja sitä tulkitsevan Euroopan tietosuojaneuvoston suuntaviivojen mukainen. Suostumuksen tulee olla muun muassa vapaaehtoinen, se tulee voida peruuttaa milloin tahansa eikä suostumuksen antamiseen saa liittyä vallan epätasapainoa.
Suostumuksella voidaan kuitenkin tarkoittaa myös suojatoimea. Esimerkiksi laki kliinisestä lääketutkimuksesta mainitsee potilaan tietoon perustuvan suostumuksen lisävaatimuksena sille, että potilastietoja voidaan käsitellä kliinisessä lääketutkimuksessa ilman toisiolain mukaista tietolupaa.
Kliininen lääketutkimuslaki edellyttää, että tutkittavia henkilöitä tulee informoida lain mukaisesti tutkimukseen rekrytoitaessa ja heiltä tulee saada suostumus osallistua tutkimukseen. Suostumus on tässä tapauksessa suojatoimi, ei GDPR:n mukainen henkilötietojen käsittelyperuste. Suostumuksen ollessa suojatoimi henkilötietojen käsittelyn tulee perustua johonkin muuhun GDPR:n mukaiseen käsittelyperusteeseen kuin suostumukseen.
Aarnio totesi alustuksessaan myös, että toisiolakia säädettäessä on huomioitu GDPR:n ja Suomen perustuslain asettamat vaatimukset, ja että toisiolaki on juuri sellaista lainsäädäntöä, jonka GDPR ja Suomen perustuslaki mahdollistavat.
Viime viikon tiistaina 24.5. pidetty viimeinen työpaja keskittyi yhteisesti tunnistettujen linjausten vahvistamiseen. Ne tullaan huomioimaan myös työpajasarjan pohjalta laadittavassa loppuraportissa.
Yhteistyössä mukana
- Helsingin ja Uudenmaan sairaanhoitopiiri
- Itä-Suomen yliopisto
- Keski-Uudenmaan sote Keusote
- Pirkanmaan sairaanhoitopiiri
- Pohjois-Pohjanmaan sairaanhoitopiiri
- Pohjois-Savon sairaanhoitopiiri
- Sitra
- Sosiaali- ja terveysministeriö
- Varsinais-Suomen sairaanhoitopiiri