Henkilötietojen ja erityisten henkilötietoryhmien käsittely sosiaali-, terveys- ja pelastustoimialalla

Sosiaali-, terveys- ja pelastustoimialan toimialajohtaja päätti, millä periaatteilla ja käytännöillä henkilötietoja saa sosiaali-, terveys- ja pelastustoimialalla käsitellä ja siirtää EU/ETA-alueen ulkopuolelle niin sanottuihin kolmansiin maihin.

Kun henkilötietoja käsittelevää ratkaisua tai hankintaa, jonka puitteissa henkilötietoja siirretään kolmansiin maihin, otetaan käyttöön, on aina huomioitava seuraavat periaatteet:

Sosiaali-, terveys- ja pelastustoimialalla tarvitaan tulevaisuudessa mahdollisuus käsitellä ja säilyttää asiakas- ja potilastietoja pilvipalveluissa. Pilvipalvelut mahdollistavat tiedolla johtamisen ja tietojen analysointiprosessin kehittämisen palvelujen tarpeita vastaavaksi.

Keskeisten pilvipalveluja tuottavien yritysten kotipaikka on EU/ETA alueen ulkopuolella, joten tietojen käsittelyyn pilvipalveluissa saattaa liittyä henkilötietojen siirtämistä kolmansiin maihin.

Yleisen tietosuoja-asetuksen V luvussa säädetään henkilötietojen siirroista kolmansiin maihin tai kansainvälisille järjestöille sekä asetetaan yleinen tietojen siirtoa koskeva periaate.

Kansliapäällikön päätöksen 12.10.2022 § 195 ”Henkilötietojen ja salassa pidettävien tietojen maantieteellistä sijaintia ja siirtoa koskevat edellytykset” mukaan päätöksen liitteen kohdassa 1 tarkoitettuja erityisiä henkilötietoryhmiä saa käsitellä EU/ETA-alueella tai Euroopan komission hyväksymässä maassa.

Päätöksen liitteen kohdassa 1 tarkoitettuja erityisiä henkilötietoryhmiä saa siirtää EU/ETA-alueen ja Euroopan komission hyväksymän maan ulkopuolelle, jos siirto täyttää tietosuoja-asetuksen V luvussa määrätyt edellytykset. Siirtoa koskevaan sopimukseen tulee liittää Euroopan komission hyväksymät vakiolausekkeet ja ottaa käyttöön Euroopan tietosuojaneuvoston suositusten mukaiset täydentävät suojatoimet.

Yleisen tietosuoja-asetuksen 35 artiklan mukaan tietosuojaa koskeva vaikutusten arviointi on toteutettava silloin, kun henkilötietojen käsittely saattaa aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – korkean riskin luonnollisen henkilön oikeuksille ja vapauksille. Euroopan unionin tuomioistuimen Schrems II tuomion (C-311/18) 142 kohdan mukaan rekisterinpitäjän on ennen henkilötietojen siirtoa kolmanteen maahan varmistuttava edellä mainitun kolmannen maan lainsäädännön tietosuojan tason vastaavan unionin oikeudessa edellytettyä tasoa. Sosiaali-, terveys- ja pelastustoimialalla tämä tietojen siirtoa koskeva arvio on osa tietosuojaa koskevan vaikutusten arvioinnin prosessia.

Asiakastietolain 77 §:n mukaan sosiaali- ja terveydenhuollon palvelunantajan on laadittava tietoturvasuunnitelma, josta käy ilmi, miten asiakas- ja potilastietojen käsittelyyn ja tietojärjestelmiin liittyvät vaatimukset varmistetaan. Saman lainkohdan mukaan terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista. THL:n määräyksessä 3/2024 on säädetty tarkemmin tietoturvasuunnitelman laatimisesta ja toteuttamisesta, mukaan lukien tietojen siirrosta EU/ETA-alueen ulkopuolelle.

Toimialajohtajan toimivalta päättää henkilötietojen ja erityisten henkilötietoryhmien käsittelystä sosiaali-, terveys- ja pelastustoimialalla perustuu sosiaali-, terveys- ja pelastuslautakunnan päätökseen 11.3.2025 § 44, jonka mukaan sosiaali- ja terveydenhuollon sekä pelastustoimen henkilötietojen rekisterinpitäjän tehtävistä huolehtii sosiaali-, terveys- ja pelastustoimialan toimialajohtaja.