Henkilötietojen käsittely
Suurin osa Keski-Suomen hyvinvointialueella järjestettävistä ja tuotettavista palveluista perustuu lakisääteisten velvoitteiden toteuttamiseen, yleiseen etuun tai julkisen vallan käyttämiseen. Tällöin henkilötietojen käsittelyyn ei tarvita erikseen henkilön suostumusta.
Henkilötietojen käsittelystä säädetään mm. EU:n yleisessä tietosuoja-asetuksessa, asetusta täsmentävässä tietosuojalaissa, julkisuuslaissa sekä useissa viranomaisen toimintaa säätelevissä erityislaeissa. Käsittelyn perusteena oleva lainsäädäntö määrittää myös sen, mitä oikeuksia rekisteröidyllä on suhteessa henkilötietojensa käsittelyyn.
Määritelmät
EU:n yleisen tietosuoja-asetuksen mukaan ’henkilötiedoilla’ tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
’Käsittelyllä’ tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
’Rekisterinpitäjällä’ tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Keski-Suomen hyvinvointialueella rekisterinpitäjänä toimii aluehallitus ja rekistereiden vastuuhenkilöinä ovat toimialajohtajat?
Henkilötietojen käsittelyn periaatteet
Keski-Suomen hyvinvointialueen tuottamissa palveluissa henkilötietoja käsitellään lainmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lainmukaisuus tarkoittaa sitä, että henkilötietoja kerätään vain tiettyä laillista käyttötarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen käsittelyä pyritään minimoimaan keräämällä kutakin palvelua varten vain olennainen tieto, jonka käsittely on välttämätöntä palvelun oikean kohdentamisen, mitoittamisen tai palvelutarpeen arvioinnin toteuttamiseksi.
Henkilötietojen täsmällisyydestä huolehditaan pitämällä tiedot päivitettyinä ja virheettöminä. Läpinäkyvyydellä tarkoitetaan sitä, että asiakkaalla on oikeus saada tietoa siitä, miten ja mitä tarkoitusta varten hänen henkilötietojaan käsitellään. Oikeutta tukee kunkin rekisterin tietosuojaselosteet (linkki tulossa), jossa kerrottu rekisterin yksityiskohtaisemmat tiedot.
Käsiteltävät henkilötiedot
Yksilöintitietoja (nimi ja henkilötunnus) tarvitaan palvelun, laskujen ja viestinnän kohdentamiseksi juuri oikealle henkilölle. Yhteystietoja (kotiosoite, puhelinnumero, sähköposti) tarvitaan asiakkaan tavoittamiseen kaikissa palveluissa. Asiakkaan taloudellisia tietoja tarvitaan mm. sosiaalipalveluissa erilaisten asiakasmaksujen ja etuuksien määrittämisen vuoksi.
Terveystietoja käsitellään sosiaali- ja terveyspalveluiden toimialalla. Terveystietojen käsittely on vahvasti erityislainsäädännöllä säädeltyä ja niitä suojataan erityisen tarkasti.
Eri palveluiden henkilötietoja voidaan käsitellä moniammatillisissa verkostoissa joko suostumuksen tai lainsäädännön ohjaamana. Esim. oppilashuollossa ja kuntouttavassa työtoiminnassa, eri asiantuntijat käsittelevät oman alansa mukaisia henkilötietoja asiakkaan kannalta parhaan palvelun toteuttamiseksi.
Henkilötietojen säilytys
Keski-Suomen hyvinvointialueen palveluissa henkilötietoja käsitellään niin pitkään, kuin lainsäädäntö edellyttää tai kun asiakkuus, palveluntarve tai laskutusperuste on olemassa. Sosiaali- ja terveydenhuollon lainsäädäntö edellyttää asiakas- ja potilastietojen säilytystä pitkäaikaisesti, pääosin 30 vuotta palveluista, 12 vuotta kuolemasta ja joissakin tilanteissa pysyvästi.
Julkisella viranomaisella on oikeus ja velvollisuus joidenkin asiakirjojen pysyvään tai pitkäaikaissäilytykseen yleiseen etuun perustuvan arkistointi- ja tilastointitarkoituksen nojalla (tietosuoja-asetus art.89 kohta1). Mikäli säilytettävän tiedon ei tarvitse palvelun päättymisen jälkeen olla tunnistettavaa henkilötietoa, voidaan asiakastiedoista joissain tapauksissa poistaa tunnistetiedot, jolloin tieto säilytetään anonyymissä muodossa.
Henkilötietojen suojaaminen
Henkilötietoja käsitellessä noudatetaan Keski-Suomen hyvinvointialueen aluehallituksen? hyväksymää Tietoturva- ja tietosuojapolitiikkaa ja siitä johdettuja periaatteita ja ohjeita. Asiakkaiden ja potilaiden yksityisyyden suoja ja perusoikeudet ovat ohjeistojen keskiössä.
Keski-Suomen hyvinvointialueen palveluissa henkilötietoja saavat käsitellä vain ne työntekijät tai viranhaltijat, joiden nimenomaisiin työtehtäviin tietojen käsittely kuuluu. Pääsy tietoihin on rajattu työroolin mukaisilla henkilökohtaisilla käyttöoikeuksilla, millä varmistetaan, että tiedot ovat suojassa luvattomalta ja yhteensopimattomalta käsittelyltä. Teknisillä suojatoimilla estetään tietojen häviäminen ja vahingoittuminen. Teknisiä suojatoimia ovat esimerkiksi pääsynhallinta, lokitiedot, varmuuskopiointi, palomuurit ja kulunvalvonta. Lisäksi kaikilta työntekijöiltä edellytetään vaitiolovelvollisuutta, perehtymistä tietosuoja- ja turvaohjeisiin. Henkilöstöä koulutetaan säännöllisesti ja ohjeiden noudattamista valvotaan osana sisäistä valvontaa.
Keski-Suomen hyvinvointialueella on useita sopimusperusteisia palveluntarjoajia, joilla on tekninen pääsy henkilötietoihin taikka jotka käsittelevät henkilötietoja hyvinvointialueen lukuun. Tällaisia sopimuskumppaneita ovat esimerkiksi IT-palvelujen tarjoajat, ohjelmistojen ylläpitäjät ja yksityiset sosiaali- ja terveydenhuollon palveluntuottajat. Palveluntuottajat ovat sopimuksessa sitoutuneet hyvinvointialueen edellyttämään tietosuojatasoon ja vaitioloon kaikessa henkilötietojen käsittelyssä.
Henkilötietoja käsitellään pääasiassa niiden käsittelyyn tarkoitetuilla sertifioiduilla tietojärjestelmillä ja arkistoidaan valtakunnallisiin sähköisiin arkistoihin (esim. Kanta-palvelut). Tietosuojavaatimusten vuoksi arkaluontoisia asiakas- ja potilastietoja ei käsitellä suojaamattomalla sähköpostilla.
Henkilötietojen luovutukset
Keski-Suomen hyvinvointialueen palveluyksiköistä tietoja voidaan luovuttaa toisille viranomaisille, mikäli näillä on lain mukaan oikeus käsitellä kyseisiä tietoja. Muussa tapauksessa henkilötietojen luovuttaminen edellyttää asiakkaan suostumuksen.
Hyvinvointialue ei luovuta henkilötietoja suoramarkkinointitarkoituksiin eikä lähtökohtaisesti kolmansiin maihin taikka EU:n ulkopuolelle.