Tietoturva
Tietojenkäsittely tukee Keski-Satakunnan terveydenhuollon kuntayhtymän palvelujen tuottamista. Palveluiden tehokkuus riippuu osaltaan tietojenkäsittelystä. Tietokannat sisältävät potilaisiin, työntekijöihin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Tietojenkäsittelyn on oltava tehokasta, virheetöntä ja varmaa.
Tietoturvapolitiikka on Keski-Satakunnan terveydenhuollon kuntayhtymän hallituksen kannanotto, joka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita kuntayhtymässä noudatetaan tietoturvan toteuttamisessa ja kehittämisessä. Tietoturvapolitiikkaa täydentävät muut tietoturvan kokonaisuuden muodostavat asiakirjat sekä yksityiskohtaiset määräykset ja ohjeet.
Lue lisää:
Tietosuoja
Keski-Satakunnan sosiaali- ja terveydenhuollon kuntayhtymän tietosuojaohje
1. Tarkoitus
Näiden ohjeiden tarkoituksena on selventää henkilötietojen käsittelyssä noudatettavia tietosuojaperiaatteita Keski-Satakunnan terveydenhuollon kuntayhtymässä sekä täsmentää tietosuoja-asetuksen edellyttämiä toimenpiteitä henkilörekisterien osalta. (Tietosuoja-asetus 2016/679).
2. Soveltamisala
Kuntayhtymän hallinnon ulkopuolelta hankittuihin tietoihin sovelletaan näitä periaatteita, mikäli asiasta ei ole erikseen toisin sovittu.
3. Rekisterinpitäjä
Rekisterinpitäjä on se toimielin, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä. Rekisterinpitäjänä voi myös toimia toimielimen alainen viranhaltija, jolle tehtävä on määrätty. Kuntayhtymä määrää rekisterinpitäjän niiden rekistereiden ja tietoaineistojen osalta, jotka eivät selkeästi kuulu jonkin määrätyn toimielimen tehtäväalueeseen.
4. Yleiset tietosuojaperiaatteet.
Henkilötietojen käsittely ei saa olla lain, säännösten eikä voimassa olevien määräysten vastainen Henkilötietojen käsittely ei saa loukata tiedon antajalle tai tiedon kohteena olevalle tietojen salassapidosta, käsittelyn luottamuksellisuudesta tai käyttötarkoituksesta annettuja sitoumuksia.
Henkilötietojen käsittely ei saa loukata tiedon antajan tai tiedon kohteena olevan etua.
Henkilötietojen säilyttämisen ja käytön aikarajat määritellään arkistonmuodostussuunnitelmassa.
5. Henkilörekistereitä koskevat periaatteet
Henkilötietoja käsiteltäessä tulee toteuttaa kansalaisten yksityiselämän suojaa ja muita perusoikeuksia sekä edistää hyvää tiedonhallintatapaa.
Henkilörekistereistä laaditaan rekisteriseloste. Rekisteriselostetta käytetään kansalaisten perusoikeuksien, yleisen tiedonsaantioikeuden toteuttamiseksi ja rekisteröidyn informoimiseksi. Rekisteriseloste laaditaan sekä jo käytössä olevista henkilörekistereistä että perustettavista rekistereistä. Seloste liitetään arkistonmuodostussuunnitelmaan.
Henkilörekisterin rekisterinpitäjän tulee noudattaa rekisterin pidossa seuraavia periaatteita:
5.1 Rekisteriseloste
Rekisterinpitäjän on laadittava kaikista henkilörekistereistä henkilörekisteriseloste (tietosuojaseloste), joka on pidettävä jokaisen nähtävänä rekisterinpitäjän toimipaikassa. Rekisteriseloste on pidettävä jatkuvasti ajan tasalla.
Rekisteriselosteen jäljennös toimitetaan kuntayhtymän tietosuojavastaavalle, joka ylläpitää luetteloa kuntayhtymän henkilötietoja sisältävistä rekistereistä. Edellä mainitun luettelon pohjalta kuntayhtymä toteaa rekisterinpitäjät.
Rekisteriselosteen jäljennös on toimitettava myös arkistosihteerille.
Tuhotuista rekistereistä on ilmoitettava sekä tietosuojavastaavalle että arkistosihteerille.
5.2 Henkilörekisterin elinkaari
Kun uutta henkilörekisteriä suunnitellaan, tulee sen perustiedot määritellä rekisteriselosteessa. Selosteessa mainitaan rekisterinpitäjä, rekisteriasioita hoitava henkilö tai yhteyshenkilö, rekisterin nimi, henkilötietojen käsittelyn tarkoitus, rekisterin tietosisältö, säännönmukaiset tietolähteet, säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n ulkopuolelle sekä rekisterin suojauksen periaatteet.
Henkilörekisteriin tallennetaan vain rekisterin käyttötarkoituksen ja muun hallintotoiminnan kannalta tarpeellisia tietoja.
Henkilörekisteri on hävitettävä, jos se ei ole rekisterinpitäjän toiminnan kannalta tarpeellinen. Poikkeuksen muodostavat lakisääteiset rekisterit.
5.3 Tietojen oikeellisuuden varmistus
Rekisterinpitäjän on käytettävä luotettavia tietolähteitä sekä muutoinkin huolehdittava siitä, ettei henkilörekisteriin tallenneta tarpeettomia, puutteellisia tai vanhentuneita henkilötietoja. Tällaiset tiedot on poistettava rekisteristä.
5.4 Tietojen käyttö ja mahdollinen luovutus edelleen
Luovutettaessa tietoja viranomaisten henkilörekistereistä on huomioon otettava julkisuusperiaate ja salassapitosäännökset. Henkilötietojen luovuttamisesta viranomaisten rekistereistä säädetään lailla viranomaisten toiminnan julkisuudesta (621/1999).
Henkilötietojen ja käyttöoikeuden luovuttamisesta päättää rekisterinpitäjä.
Kuntayhtymän viranomaisten keskinäisissä toiminnoissa ei sovelleta tietosuoja-asetuksen säännöksiä tietojen luovutuksesta vaan niitä säännöksiä, jotka sisältyvät lakiin viranomaisten toiminnan julkisuudesta ja muuhun erityislainsäädäntöön.
Henkilötietojen luovutus tutkimus- ja suunnittelutarkoituksiin ja aina muulloinkin, kun se on mahdollista, tapahtuu kootussa muodossa niin, ettei tietoja voida yhdistää kehenkään tiettyyn henkilöön.
Kun sivullinen pyytää viranomaiselta henkilörekisteritietoja, on selvitettävä tietojen luovutuksen edellytykset mm. seuraavien seikkojen osalta:
- ovatko pyydetyt henkilötiedot julkisia, ei vielä julkisia vai salassa pidettäviä,
- onko kysymys massaluovutuksesta vai arkaluonteisesta otannasta vai muusta luovutuksesta,
- ovatko henkilötiedot manuaalisessa vai teknisessä tallenteessa,
- onko pyydettyjä henkilötietoja tarkoitus käyttää suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin, markkina- ja mielipidetutkimuksiin, henkilömatrikkeliin tai sukututkimukseen,
- ovatko rekisteröidyt mahdollisesti kieltäneet rekisterinpitäjää käyttämästä tai luovuttamasta henkilötietoja suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin, markkina- ja mielipidetutkimuksiin, henkilömatrikkeliin tai sukututkimukseen.
Rekisterinpitäjä voi luovuttaa hankkimistaan tai muuten hallussaan olevista tiedoista kuntayhtymän hallinnon ulkopuolelle yksilöitynä vain lakisääteisesti luovutettavat, rekisteröidyn kirjalliseen suostumukseen perustuvat sekä julkiset tiedot, joiden osalta tulee lisäksi ottaa huomioon lainsäädännön luovutukselle asettamat rajoitukset.
Keskeneräisten ja ei vielä julkisten tietojen luovutus on päättävän viranomaisen harkinnassa.
Salassa pidettäviä tietoja voidaan antaa vain asianosaisille ja niille, jotka osoittavat tietojen saantiin valtuuttavan säännöksen tai rekisteröidyn kirjallisella suostumuksella.
Massaluovutuksen yhteydessä tietojen luovutusehdoista laaditaan erillinen sopimus.
Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteisesti antamalla kirjallisella suostumuksella tai jos käsittelystä säädetään lailla.
5.5 Toimeksiantosuhteet
Toimeksiantosuhteissa, annettaessa palveluita ulkopuolisen hoidettaviksi, laaditaan toimeksiannosta kirjallinen sopimus, josta käyvät ilmi toimeksisaajan oikeudet ja velvoitteet.
Toimeksiantotehtävää suorittavaa koskevat huolellisuusvelvoite, kielto käyttää saatuja tietoja ulkopuolisiin tarkoituksiin ja velvollisuus suojata saadut tiedot.
5.6 Rekisteröidyn henkilön oikeudet itseään koskeviin tietoihin
Henkilörekisteriin merkityllä on salassapitosäännösten estämättä tietosuoja-asetuksessa säädetty tarkastusoikeus. Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto.
Rekisterinpitäjän on toimitiloissaan järjestettävä rekisteröidylle tarkastusmahdollisuus sekä selvitettävä tarkastusoikeuden rajoitukset. Tarkastusoikeuden epäämisestä on annettava kirjallinen todistus, jossa on mainittu epäämisen syy.
Henkilöllä on tietosuoja-asetuksen perusteella oikeus vaatia rekisterissä olevan virheen oikaisemista, poistamista tai tiedon täydentämistä.
5.7 Tietojen väärinkäytön estäminen
Rekisterinpitäjä vastaa henkilörekisterin tietojen suojaamisesta ja väärinkäytön estämisestä sekä rekisterin että sen käyttöympäristön osalta. Luvan rekisterin käyttöön antaa rekisterinpitäjä.
Henkilötietoja sisältävät asiakirjat tulee hävittää tavalla, joka estää niiden asiattoman käytön ja henkilörekisterien käyttämisen hävittämisen yhteydessä tai sen jälkeen.
Henkilötietoja käsittelevät vain ne henkilöt, joilla on siihen tehtäviensä vuoksi oikeus. Erityisten syiden niin vaatiessa on edellä mainitut henkilöt nimettävä erikseen.
Rekisteriä käsittelevälle henkilökunnalle on annettava järjestelmän ja sen käytön edellyttämä koulutus.
6. Salassapito ja vaitiolovelvollisuus
Henkilötietoja käsittelevät kuntayhtymän palveluksessa olevat henkilöt tai ulkopuoliset työn suorittajat eivät saa ilmaista sivullisille tietoja toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, joita he ovat saaneet tietoonsa henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan tai muutoin. Heidät on velvoitettava vaitiolovelvollisuuteen työ- tai muilla sopimuksilla, ja velvoituksen on oltava voimassa työ-, sopimus- tai toimeksiantosuhteen päätyttyäkin.
Rekisterinpitäjän velvollisuutena on tiedottaa henkilörekisteriä käyttävälle ja käsittelevälle henkilölle voimassa olevista salassapitosäännöksistä rangaistuksineen ja pyydettäessä selvittää rekisteröidylle hänen oikeutensa.
Keskeinen lainsäädäntö:
EU:n tietosuoja-asetus (EU) 2016/679
Suomen perustuslain yksityiselämän suojaa koskeva säännös (731/1999)
Henkilötietolaki 11§ (523/1999)
(Henkilötietolaki on voimassa, kunnes se kumotaan ehdotetulla tietosuojalailla. EU-oikeuden etusijaperiaatteen vuoksi tietosuoja-asetuksen kanssa ristiriidassa olevaa kansallista lainsäädäntöä ei kuitenkaan sovelleta. Lisätietoa tietosuojavaltuutetun sivuilla.)
Laki viranomaisten toiminnan julkisuudesta 24§ (621/1999)
Terveydenhuollon lainsäädäntö henkilötietojen käsittelyssä:
Erikoissairaanhoitolaki (1062/1989),
Laki potilaan asemasta ja oikeuksista (potilaslaki) 13§ (785/1992)
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)
Kansanterveyslaki (66/1972)
Työterveyshuoltolaki (743/1978)
Laki terveydenhuollon ammattihenkilöistä (559/1994)
Muu lainsäädäntö:
Sosiaali- ja terveysministeriön asetus potilasasiakirjojen laatimisesta ja säilyttämisestä (99/ 2001)
Lisäksi lukuisiin erityislakeihin liittyy potilastietojen luovuttamiseen liittyviä säädöksiä.