Veikko Leskelä
29.09.07, 18:06
Aloitan uuden ketjun teemalla toimialan juridiset haasteet.
Nämä tulevaisuuden keskeiset muutokset, joihin toimialan osaltaan pitää varautua tai ottaa toimintaympäristössä tapahtuvina dynaamisina muutoksina huomioon, syrjäyttävät niitä vuodesta 1999 alkaen toimialalla olleita henkilötietolain tulkintoja, jotka olematta mitään käytännesääntöjä, ovat voineet vaikuttaa auktoritatiivisesti henkilötietojen käsittelyyn ja hyvän tietojenkäsittelytavan noudattamiseen koko toimialalla ja johtaa vääristävään käytäntöön.
Mutta nyt joudumme ottamaan tulevaisuudessa mittavia muutoksia huomioon ja alla niistä keskeisiä (luettelo ei ole kattava):
Kooste eräistä keskeisistä henkilötietojen käsittelyyn ja tietosuojaan vaikuttavista muutoksista/PM 27.9.2007
1. Täsmennystä henkilötiedon määritelmään (WP29 dokumentti), linkki http://www.tietosuoja.fi/40004.htm
Tietosuojadirektiivin (95/46/EC) artiklan 29 nojalla perustettu työryhmä on 20.6.2007 antanut ohjausta (http://www.ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm) (Opinion Nº 4/2007 on the concept of personal data, WP 136) henkilötiedon käsitteen määrittelemisestä.
Ohjaus katsottiin tarpeelliseksi, koska eri jäsenmaissa on ollut epävarmuutta ja kirjavuutta henkilötiedon käsitteen tulkinnassa. Henkilötiedon määritelmä on avainasemassa silloin, kun pohditaan, kuuluuko tiedonkäsittely tietosuojasäännösten soveltamisalaan. Henkilötieto määritellään tietosuojadirektiivin 2 artiklassa.
Työryhmä on analysoinut käsitettä direktiivissä määritellyn neljän elementin perusteella: 1) mikä tahansa tieto, 2) joka viittaa, 3) tunnistettuun tai tunnistamattomaan, 4) luonnolliseen henkilöön. Jokaista edellä mainittua elementtiä on arvioitu erikseen. Arvioinnissa on käytetty hyväksi lukuisia käytännön esimerkkejä.
Yleisenä johtopäätöksenä työryhmä toteaa, että lainsäätäjän tarkoituksena on ollut henkilötiedon käsitteen mahdollisimman laaja soveltaminen, soveltamisala ei kuitenkaan ole rajoittamaton. Työryhmän mielestä henkilötiedon käsitettä ei saa kuitenkaan tulkita laajemmin kuin direktiiviä säädettäessä on ollut tarkoituksena, mutta toisaalta käsitteen määrittelemistä ei tulisi kohtuuttomasti rajoittaakaan. Tietosuojadirektiivin tarkoituksena on yksityisyyden suojan turvaaminen, direktiiviä on siten tarkoitus soveltaa tilanteisiin, joissa yksityisyyden suoja voisi olla uhattuna tai suojan tarpeessa.
Työryhmän tarkoituksena on edelleen arvioida kysymystä ja päivittää lausuntoaan tarpeen mukaan. Työryhmä toivoo myös palautetta tietosuojaviranomaisilta ja kaikilta muilta asiasta kiinnostuneilta tahoilta.
2. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159, voimaantulo 1.7.2007, siirtymäaika vaiheittain
linkki: http://www.finlex.fi/fi/laki/ajantasa/2007/20070159
1 luku Yleiset säännökset
1 § (http://www.finlex.fi/fi/laki/ajantasa/2007/20070159#a159-2007) Lain tarkoitus
Tämän lain tarkoituksena on edistää sosiaali- ja terveydenhuollon asiakastietojen tietoturvallista sähköistä käsittelyä. Lailla toteutetaan yhtenäinen sähköinen potilastietojen käsittely- ja arkistointijärjestelmä terveydenhuollon palvelujen tuottamiseksi potilasturvallisesti ja tehokkaasti sekä potilaan tiedonsaantimahdollisuuksien edistämiseksi.
-----------------------------------
18 § (http://www.finlex.fi/fi/laki/ajantasa/2007/20070159#a159-2007) Asiakkaan tiedonsaantioikeus
Asiakkaan oikeudesta tarkastaa asiakasrekisterin tietoja ja oikeuden toteuttamisesta säädetään henkilötietolain 26–28 §:ssä.
Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja henkilötietolain 27 §:n 1 momentin 1–4 kohdassa tarkoitetuissa tapauksissa.
Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen.
Jos asiakas pyytää toistamiseen saman ajanjakson lokitietoja, palvelujen antaja voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 19 §:ssä tarkoitetun katseluyhteyden avulla ei kuitenkaan saa periä erillistä maksua.
Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelujen antajan tulee antaa asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista.
3. Henkilötietolain 32 §:n muutos tietojen suojaamisesta (528/11.5.2007), voimaantulo 1.11.2007
32 §
Tietojen suojaaminen
-----------------------------------
Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä luovuttaa tietoja teknisen käyttöyhteyden avulla, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla.
4. Väestötietojärjestelmän kokonaisuudistus
Väestötietojärjestelmän kokonaisuudistusta suunnitellaan vuodelle 2009.
Tässä linkki siihen: http://www.intermin.fi/intermin/home...4?Opendocument (http://www.intermin.fi/intermin/home.nsf/pages/47C4CE5A06D13544C2257142002A0AD4?Opendocument)
**********************
Osaa haasteista on käsitelty eri ketjuissa, mutta selkeyden vuoksi niitä on nyt koottu aloitusviestina omaan ketjuunsa.
Haasteita ei tarvitse pelätä, vaan niihin tulee reagoida oikealla tavalla ja varautuen.
Haasteet eivät ole ylitsepääsemättömiä eikä niitä kannata vastustaa vastustamisen vuoksi vaan asiargumentoinneilla ja perustelemalla.
Nämä tulevaisuuden keskeiset muutokset, joihin toimialan osaltaan pitää varautua tai ottaa toimintaympäristössä tapahtuvina dynaamisina muutoksina huomioon, syrjäyttävät niitä vuodesta 1999 alkaen toimialalla olleita henkilötietolain tulkintoja, jotka olematta mitään käytännesääntöjä, ovat voineet vaikuttaa auktoritatiivisesti henkilötietojen käsittelyyn ja hyvän tietojenkäsittelytavan noudattamiseen koko toimialalla ja johtaa vääristävään käytäntöön.
Mutta nyt joudumme ottamaan tulevaisuudessa mittavia muutoksia huomioon ja alla niistä keskeisiä (luettelo ei ole kattava):
Kooste eräistä keskeisistä henkilötietojen käsittelyyn ja tietosuojaan vaikuttavista muutoksista/PM 27.9.2007
1. Täsmennystä henkilötiedon määritelmään (WP29 dokumentti), linkki http://www.tietosuoja.fi/40004.htm
Tietosuojadirektiivin (95/46/EC) artiklan 29 nojalla perustettu työryhmä on 20.6.2007 antanut ohjausta (http://www.ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm) (Opinion Nº 4/2007 on the concept of personal data, WP 136) henkilötiedon käsitteen määrittelemisestä.
Ohjaus katsottiin tarpeelliseksi, koska eri jäsenmaissa on ollut epävarmuutta ja kirjavuutta henkilötiedon käsitteen tulkinnassa. Henkilötiedon määritelmä on avainasemassa silloin, kun pohditaan, kuuluuko tiedonkäsittely tietosuojasäännösten soveltamisalaan. Henkilötieto määritellään tietosuojadirektiivin 2 artiklassa.
Työryhmä on analysoinut käsitettä direktiivissä määritellyn neljän elementin perusteella: 1) mikä tahansa tieto, 2) joka viittaa, 3) tunnistettuun tai tunnistamattomaan, 4) luonnolliseen henkilöön. Jokaista edellä mainittua elementtiä on arvioitu erikseen. Arvioinnissa on käytetty hyväksi lukuisia käytännön esimerkkejä.
Yleisenä johtopäätöksenä työryhmä toteaa, että lainsäätäjän tarkoituksena on ollut henkilötiedon käsitteen mahdollisimman laaja soveltaminen, soveltamisala ei kuitenkaan ole rajoittamaton. Työryhmän mielestä henkilötiedon käsitettä ei saa kuitenkaan tulkita laajemmin kuin direktiiviä säädettäessä on ollut tarkoituksena, mutta toisaalta käsitteen määrittelemistä ei tulisi kohtuuttomasti rajoittaakaan. Tietosuojadirektiivin tarkoituksena on yksityisyyden suojan turvaaminen, direktiiviä on siten tarkoitus soveltaa tilanteisiin, joissa yksityisyyden suoja voisi olla uhattuna tai suojan tarpeessa.
Työryhmän tarkoituksena on edelleen arvioida kysymystä ja päivittää lausuntoaan tarpeen mukaan. Työryhmä toivoo myös palautetta tietosuojaviranomaisilta ja kaikilta muilta asiasta kiinnostuneilta tahoilta.
2. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159, voimaantulo 1.7.2007, siirtymäaika vaiheittain
linkki: http://www.finlex.fi/fi/laki/ajantasa/2007/20070159
1 luku Yleiset säännökset
1 § (http://www.finlex.fi/fi/laki/ajantasa/2007/20070159#a159-2007) Lain tarkoitus
Tämän lain tarkoituksena on edistää sosiaali- ja terveydenhuollon asiakastietojen tietoturvallista sähköistä käsittelyä. Lailla toteutetaan yhtenäinen sähköinen potilastietojen käsittely- ja arkistointijärjestelmä terveydenhuollon palvelujen tuottamiseksi potilasturvallisesti ja tehokkaasti sekä potilaan tiedonsaantimahdollisuuksien edistämiseksi.
-----------------------------------
18 § (http://www.finlex.fi/fi/laki/ajantasa/2007/20070159#a159-2007) Asiakkaan tiedonsaantioikeus
Asiakkaan oikeudesta tarkastaa asiakasrekisterin tietoja ja oikeuden toteuttamisesta säädetään henkilötietolain 26–28 §:ssä.
Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja henkilötietolain 27 §:n 1 momentin 1–4 kohdassa tarkoitetuissa tapauksissa.
Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen.
Jos asiakas pyytää toistamiseen saman ajanjakson lokitietoja, palvelujen antaja voi periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 19 §:ssä tarkoitetun katseluyhteyden avulla ei kuitenkaan saa periä erillistä maksua.
Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelujen antajan tulee antaa asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista.
3. Henkilötietolain 32 §:n muutos tietojen suojaamisesta (528/11.5.2007), voimaantulo 1.11.2007
32 §
Tietojen suojaaminen
-----------------------------------
Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä luovuttaa tietoja teknisen käyttöyhteyden avulla, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla.
4. Väestötietojärjestelmän kokonaisuudistus
Väestötietojärjestelmän kokonaisuudistusta suunnitellaan vuodelle 2009.
Tässä linkki siihen: http://www.intermin.fi/intermin/home...4?Opendocument (http://www.intermin.fi/intermin/home.nsf/pages/47C4CE5A06D13544C2257142002A0AD4?Opendocument)
**********************
Osaa haasteista on käsitelty eri ketjuissa, mutta selkeyden vuoksi niitä on nyt koottu aloitusviestina omaan ketjuunsa.
Haasteita ei tarvitse pelätä, vaan niihin tulee reagoida oikealla tavalla ja varautuen.
Haasteet eivät ole ylitsepääsemättömiä eikä niitä kannata vastustaa vastustamisen vuoksi vaan asiargumentoinneilla ja perustelemalla.