Laki sosiaali- ja terveystietojen toissijaisesta käytöstä

Eduskunnan päätöksen mukaisesti säädetään:

1 luku. Yleiset säännökset

1 § Lain tavoite

Lain tavoitteena on mahdollistaa sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen tehokas ja tietoturvallinen käsittely sekä niiden yhdistäminen Kansaneläkelaitoksen, Väestörekisterikeskuksen, Tilastokeskuksen ja Eläketurvakeskuksen henkilötietoihin.

Lain tavoitteena on lisäksi turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä.

2 § Soveltamisala

Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679, jäljempänä tietosuoja-asetus, täydentävät säännökset, kun 1 §:ssä tarkoitettuja henkilötietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun perin tallennettu mainitussa tarkoituksessa:

1) tilastointi;

2) tieteellinen tutkimus;

3) kehittämis- ja innovaatiotoiminta;

4) opetus;

5) tietojohtaminen;

6) sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta; sekä

7) viranomaisen suunnittelu- ja selvitystehtävä.

Organisaatioista, joiden tietoja saa tämän lain nojalla käsitellä 1 momentin mukaisesti, sekä tietojen käsittelyyn liittyvistä rajauksista säädetään 6 ja 7 §:ssä.

Luovutusperusteista sekä vastaanottajan oikeudesta käsitellä luovutettuja henkilötietoja 1 momentissa tarkoitettuihin käyttötarkoituksiin säädetään 4 ja 5 luvussa.

3 § Määritelmät

Tässä laissa tarkoitetaan:

1) asiakastiedolla lain mukaan salassa pidettävää, tietosuoja-asetuksen 4 artiklan 1 kohdan mukaista henkilötietoa, joka on tallennettu sosiaali- ja terveydenhuollon tai etuuskäsittelyn asiakassuhteessa asiakasrekisteriin tai asiakkuuteen liittyvään hallinnolliseen rekisteriin;

2) henkilötietojen ensisijaisella käyttötarkoituksella sellaista käyttötarkoitusta, jossa henkilötiedot on alun perin tallennettu;

3) henkilötietojen toissijaisella käyttötarkoituksella henkilötietojen käsittelyä muussa käyttötarkoituksessa kuin 2 kohdan tarkoittamassa ensisijaisessa käyttötarkoituksessa;

4) kehittämis- ja innovaatiotoiminnalla teknisen ja liiketoimintatiedon sekä olemassa olevan muun tiedon soveltamista ja käyttöä yhdessä tässä laissa tarkoitettujen henkilötietojen kanssa, kun tavoitteena on kehittää uusia tai merkittävästi parannettuja tuotteita, prosesseja tai palveluja;

5) tietojohtamisella tiedon käsittelemistä palvelunantajan asiakas-, palvelu- ja tuotantoprosesseissa toiminnan, tuotannon ja talouden ohjauksen, johtamisen ja päätöksenteon tukena;

6) sosiaali- ja terveydenhuollon viranomaisohjauksella kansallisten sosiaali- ja terveydenhuollon viranomaisten lainsäädäntöön perustuvaa alan toimijoiden ohjausta, joka pohjautuu tarkoitukseen koottuihin henkilö- ja tilastotietoihin taikka tietoihin, jotka on yksittäistapauksessa saatu ohjaus- tai valvontatehtävää varten;

7) sosiaali- ja terveydenhuollon viranomaisvalvonnalla kansallisten sosiaali- ja terveydenhuollon viranomaisten lainsäädäntöön perustuvaa sosiaali- ja terveydenhuollon ammattihenkilöiden ja toimintayksiköiden valvontaa;

8) tietoluvalla tämän lain mukaisesti myönnettyä lupaa käsitellä luvassa määriteltyjä salassa pidettäviä henkilötietoja luvassa mainittuun käyttötarkoitukseen;

9) tietopyynnöllä pyyntöä saada tämän lain mukaiseen käyttötarkoitukseen tässä laissa tarkoitetuista henkilötiedoista muodostettua aggregoitua tilastotietoa;

10) tietoturvallisella käyttöpalvelulla tietoturvallista ratkaisua, jonka kautta osapuolet voivat luovuttaa ja vastaanottaa käyttörajoituksen alaisia tietoja;

11) tietoturvallisella käyttöympäristöllä teknistä, organisatorista ja fyysistä tietojen käsittelyn toimintaympäristöä jossa tietoturvallisuus on varmistettu asianmukaisin hallinnollisin ja teknisin toimin;

12) tietopyyntöjen hallintajärjestelmällä järjestelmää, jonka välityksellä tietoluvan hakija tai tietoja tämän lain perusteella muutoin pyytävä toimittaa tietolupahakemuksen tai tämän lain mukaisen tietopyynnön ja sen liitteet viranomaiselle ja jossa tietolupaa tai tietopyyntöä koskeva päätös annetaan tiedoksi luvan hakijalle;

13) palvelunantajalla sosiaali- tai terveydenhuoltoa taikka sosiaali- tai terveyspalveluja järjestävää, tuottavaa tai toteuttavaa viranomaista taikka yksityistä palvelujen tuottajaa, jota tarkoitetaan yksityisistä sosiaalipalveluista annetussa laissa (922/2011) tai yksityisestä terveydenhuollosta annetussa laissa (152/1990);

14) palvelunjärjestäjällä sosiaali- tai terveydenhuollon palvelunantajaa, jolla on:

15) palveluntuottajalla palvelunantajaa, joka palvelunjärjestäjän kanssa tehdyn sopimuksen perusteella tai muutoin palvelunjärjestäjän lukuun tuottaa sosiaali- tai terveyspalvelua;

16) palveluntarjoajalla toimijaa, joka tarjoaa asiakkailleen tietoturvalliseen käyttöympäristöön liittyviä palveluita;

17) tiedonhyödyntämissuunnitelmalla tutkimussuunnitelmaa, hankesuunnitelmaa ja vastaavaa suunnitelmaa, josta ilmenevät lupahakemuksessa tarkoitettujen tietojen käyttötarkoitus, niiden rekisterinpitäjä ja käsittelijät, käsittelyn oikeudellinen peruste sekä tietojen käsittelyn tietosuojaan ja tietoturvaan liittyvät olennaiset seikat kattaen koko tietojen elinkaaren mukaan lukien tietojen säilytys sekä hävittäminen tai arkistointi;

18) aggregoidulla tilastotiedolla tilastomuotoista, luotettavasti anonymisoitua tietoa;

19) valmisaineistolla aineistokokonaisuutta, jotka 4 §:ssä tarkoitettu Sosiaali- ja terveysalan tietolupaviranomainen on koostanut yhden tai useamman kuin yhden organisaation tiedoista ja yhdistänyt yhdeksi aineistoksi taikka tallentanut siten, että aineistojen tunnistetiedot on koodattu yhdenmukaisella koodilla;

20) tietoturvallisuuden arviointilaitoksella sellaista yritystä, yhteisöä ja viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) perusteella arvioimaan sitä, täyttääkö tietojärjestelmä tietoturvallisuutta koskevat vaatimukset.

2 luku. Viranomaiset ja organisaatiot

4 § Sosiaali- ja terveysalan tietolupaviranomainen

Tässä laissa tarkoitettu Sosiaali- ja terveysalan tietolupaviranomainen (Tietolupaviranomainen) toimii Terveyden ja hyvinvoinnin laitoksen yhteydessä. Tietolupaviranomaiselle säädetyistä tehtävistä vastaa laitoksessa itsenäinen yksikkö, joka on eriytetty Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 2 §:ssä säädetyistä tehtävistä.

Tietolupaviranomainen toimii sosiaali- ja terveysministeriön tulosohjauksessa, ja sillä on erillinen sosiaali- ja terveysministeriön nimittämä johtaja sekä ministeriön asettama ohjausryhmä.

5 § Tietolupaviranomaisen tehtävät

Tietolupaviranomainen tekee muiden rekisterinpitäjien aineistoja koskevia tietolupapäätöksiä ja päättää, onko 45 §:ssä tarkoitettu tietopyyntö tämän lain mukainen, sekä vastaa päätöstensä mukaisten tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön tämän lain mukaisesti. Lisäksi Tietolupaviranomainen saa koota tässä laissa säädettyä käyttötarkoitusta varten tietopyynnön perusteella eri rekisterinpitäjien henkilötietoja ja niitä yhdistelemällä tuottaa anonyymejä tietoja pyytäjän käyttöön.

Tietolupaviranomainen ylläpitää tietopyyntöjen hallintajärjestelmää tietopyyntöjen ja lupahakemusten välittämiseksi ja käsittelemiseksi sekä tietoturvallista käyttöpalvelua henkilötietojen vastaanottamiseksi ja luovuttamiseksi. Lisäksi Tietolupaviranomainen ylläpitää tietoturvallista käyttöympäristöä, jossa luvansaajan on mahdollista käsitellä tietoluvan perusteella saamiaan henkilötietoja.

Tietolupaviranomainen valvoo myöntämänsä luvan ehtojen noudattamista. Se saa peruttaa tietoluvan, jos luvansaaja ei noudata lakia tai rikkoo luvan ehtoja.

Tietolupaviranomainen vastaa julkaistavien tulosten pohjana olleiden henkilötietojen anonymisoinnista siten kuin 52 §:ssä säädetään.

6 § Palveluista vastaavat viranomaiset ja organisaatiot sekä tietoaineistorajaukset

Palveluista, joita tarvitaan sosiaali- ja terveydenhuollon asiakastietojen sekä niihin yhdistettävien muiden tässä laissa tarkoitettujen henkilötietojen käsittelemiseksi 2 §:n mukaisiin käyttötarkoituksiin, säädetään 3 luvussa. Vastuu niiden tuottamisesta on Tietolupaviranomaisella sekä seuraavilla viranomaisilla ja organisaatioilla:

1) sosiaali- ja terveysministeriö;

2) Terveyden ja hyvinvoinnin laitos lukuun ottamatta sen tilastoviranomaisena tilastotarkoituksiin keräämiä tietoja;

3) Kansaneläkelaitos siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja sekä sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen ja 5 kohdassa tarkoitettuun reseptiarkistoon tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista;

4) Sosiaali- ja terveysalan lupa- ja valvontavirasto;

5) aluehallintovirastot siltä osin kuin ne käsittelevät sosiaali- ja terveydenhuoltoon liittyviä asioita;

6) Työterveyslaitos siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä;

7) Lääkealan turvallisuus- ja kehittämiskeskus;

8) sosiaali- ja terveydenhuollon julkiset palvelunjärjestäjät;

9) Tilastokeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan kuolemansyyn selvittämisestä annetussa laissa (459/1973) tarkoitettuja tietoja;

10) Eläketurvakeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan Eläketurvakeskuksen rekistereihin sisältyviä välttämättömiä henkilötietoja, jotka koskevat työeläketurvan toimeenpanossa tallennettuja vakuutettujen työ- ja ansiotietoja sekä myönnettyjä etuuksia ja niiden perusteita mukaan lukien työkyvyttömyyseläkkeiden diagnoosit; sekä

11) Väestörekisterikeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja väestötietojärjestelmästä.

7 § Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset

Tilastokeskus sekä Terveyden ja hyvinvoinnin laitos tilastoviranomaisena (tilastoviranomaiset) vastaavat tilastoviranomaisena tilastotarkoituksiin keräämiensä tietojen tietoluvista tieteellistä tutkimusta varten sekä samaan tutkimussuunnitelmaan liittyvien tietojen yhdistelystä omiin tietoihinsa ja niiden pseudonymisoinnista tai anonymisoinnista tilastolain (280/2004) mukaisesti. Lupahakemus, joka koskee muita tässä laissa tarkoitettuja tietoja sekä tilastoviranomaisten tilastotarkoituksissa keräämiä tietoja, toimitetaan Tilastokeskukselle sekä Terveyden ja hyvinvoinnin laitokselle 16 §:ssä tarkoitetun tietopyyntöjen hallintajärjestelmän välityksellä. Myös lupahakemuksen käsittelyyn liittyvä yhteydenpito luvanhakijaan ja päätöksen tiedoksianto toteutetaan sanotun hallintajärjestelmän välityksellä.

Tietojen luovuttamisesta tilastolain mukaisesti yhdisteltyihin, tässä laissa tarkoitettuihin tietoihin säädetään 51 §:n 4 momentissa.

8 § Tietolupaviranomaisen toiminnan ohjaus ja rekisterinpitäjien yhteistoiminnan kehittäminen

Tietolupaviranomaisen toiminnan ohjausta ja palveluista vastaavien organisaatioiden yhteisen toiminnan kehittämistä varten sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle ohjausryhmän kolmivuotiskaudeksi, sekä nimittää ohjausryhmän puheenjohtajan. Sosiaali- ja terveysministeriö nimeää ohjausryhmään jäseniksi:

1) 6 §:ssä mainittujen organisaatioiden ja viranomaisten esitysten pohjalta kuusi edustajaa;

2) yhden jäsenen edustamaan kuntia sosiaali- ja terveyspalvelujen järjestäjänä;

3) yhden jäsenen edustamaan kuntia ehkäisevän sosiaali- ja terveydenhuollon järjestäjänä Kuntaliiton esityksen pohjalta;

4) yhden jäsenen edustamaan yksityisten sosiaali- ja terveyspalvelujen järjestäjiä.

Ohjausryhmän tehtävänä on käsitellä ja tehdä esitys Terveyden ja hyvinvoinnin laitokselle ja sosiaali- ja terveysministeriölle:

1) Tietolupaviranomaisen vuosittaisesta toimintasuunnitelmasta ja siihen liittyvästä talousarviosta;

2) toimintakertomuksesta ja tilinpäätöksestä Tietolupaviranomaista koskevilta osin;

3) rekisterinpitäjien toiminnan yhteisestä kehittämisestä ja siihen suunnattavista voimavaroista;

4) kullekin toimijalle suunnattavista voimavaroista tietojärjestelmien ja yhteistoiminnan kehittämiseksi.

Ohjausryhmä seuraa Tietolupaviranomaisen toiminnan ja palvelujen toimivuutta sekä 47 §:ssä tarkoitettujen, lupakäsittelyyn liittyvien ja 48 §:ssä tarkoitettujen, tietojen luovutusta koskevien määräaikojen toteutumista. Lisäksi ohjausryhmä voi:

1) asettaa tavoitemittareita Tietolupaviranomaisen toimintaprosesseille ja käynnistää niihin kohdistuvia ulkoisia auditointeja;

2) tehdä tarvittaessa ehdotuksen Tietolupaviranomaisen toiminnan kehittämisestä Terveyden ja hyvinvoinnin laitokselle ja sosiaali- ja terveysministeriölle; ja

3) asettaa Tietolupaviranomaisen toimintaa tukevia asiantuntijaryhmiä.

Sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle korkean tason asiantuntijaryhmän, jonka tehtävänä on laatia anonymisointia, tietosuojaa ja tietoturvaa koskevat Tietolupaviranomaisen toiminnan periaatelinjaukset. Asiantuntijaryhmässä on oltava tekoälyn, data-analytiikan, tietoturvan, tietosuojan, alan tutkimuksen, tilastotieteen ja tilastotoimen asiantuntija sekä Tietolupaviranomaisen edustaja. Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin asiantuntijaryhmän tehtävistä sekä sen jäsenten määrästä ja kelpoisuusehdoista.

9 § Mahdollisuus perustaa osakeyhtiö

Sosiaali- ja terveysministeriö saa perustaa Tietolupaviranomaisen alaisuudessa toimivan osakeyhtiön yksin taikka yhden tai useamman 6 §:ssä tarkoitetun organisaation, opetus- ja kulttuuriministeriön, työ- ja elinkeinoministeriön tai valtiovarainministeriön kanssa. Yhtiö on valtion omistuksessa ja hallinnassa. Yhtiön omistajaohjauksesta ja sen osakkeiden hallinnoinnista vastaa sosiaali- ja terveysministeriö. Yhtiön tarkoituksena ei ole tuottaa voittoa.

Yhtiölle voidaan antaa 10 §:n 3–7 kohdassa tarkoitettuihin palveluihin liittyviä tehtäviä. Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä yhtiön tehtävistä.

Terveyden ja hyvinvoinnin laitos tai Tietolupaviranomainen voi tuottaa osakeyhtiölle hallinnollisia palveluja ja muita tukipalveluja markkinahintaista korvausta vastaan.

Yhtiön on annettava sosiaali- ja terveysministeriölle sen pyynnöstä tiedot, jotka ovat tarpeen yhtiön ohjaamiseksi ja valvomiseksi. Yhtiön asiakirjoihin sovelletaan, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, säädetään viranomaisen asiakirjasta. Päätöksen siitä, ettei yhtiön asiakirjaa luovuteta sitä pyytäneelle, tekee Tietolupaviranomainen julkisuuslain 4 luvun mukaisesti.

Yhtiön toimintaan voidaan myöntää valtionavustusta valtion talousarvioon otettavien määrärahojen rajoissa. Valtionavustuksesta säädetään valtionavustuslaissa (688/2001).

Yhtiön palveluksessa olevaan henkilöön ja yhtiön hallituksen jäseniin sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä.

3 luku. Toissijaisen käytön mahdollistavat palvelut

10 § Organisaatioiden toissijaista käyttöä varten tuottamat palvelut

Rekisteritietojen toissijaista käyttöä varten ylläpidetään seuraavia 6 §:ssä tarkoitettujen organisaatioiden palveluita:

1) tietoaineistojen kuvaukset;

2) neuvontapalvelu;

3) tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelu;

4) tunnisteiden hallinnointipalvelu;

5) tietopyyntöjen hallintajärjestelmä;

6) tietoturvallinen käyttöpalvelu;

7) tietoturvallinen käyttöympäristö.

11 § Organisaatioiden vastuut palveluista

Tietolupaviranomainen vastaa aina 10 §:n 3–7 kohdassa tarkoitetuista palveluista, kun kyse on 45 §:ssä tarkoitetusta tietopyynnöstä tai kun tietolupahakemus koskee:

1) usean 6 §:ssä tarkoitetun rekisterinpitäjän henkilörekistereitä;

2) sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007), jäljempänä asiakastietolaki, tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennettuja tietoja; tai

3) yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja.

Tietolupaviranomainen vastaa kuitenkin Eläketurvakeskuksen, Väestörekisterikeskuksen ja Tilastokeskuksen tietoihin kohdistuvista palveluista vain, jos kyseisiä tietoja yhdistetään 6 §:n 1–8 kohdassa tarkoitettujen organisaatioiden tietoihin tai Kanta-palveluihin tallennettuihin tietoihin taikka yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin.

Jos tietolupahakemus koskee vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation henkilörekistereissä olevia tietoja, sanottu organisaatio vastaa itse kaikista 10 §:n 1–4 kohdassa tarkoitetuista palveluista. Sanotut organisaatiot voivat kuitenkin ilmoittaa Tietolupaviranomaiselle, että ne luopuvat ylläpitämästä muita kuin 10 §:n 1 ja 2 kohdassa tarkoitettuja palveluita. Tietolupaviranomainen vastaa tällöin ilmoituksen tehneen organisaation henkilötietoja koskevista 10 §:n 3–7 §:ssä tarkoitetuista palveluista.

12 § Tietoaineistojen kuvaukset

Edellä 6 §:ssä tarkoitettujen organisaatioiden on rekisterinpitäjänä laadittava aineistokuvaukset tietovarantojensa tietosisällöistä siten, että niiden perusteella on mahdollista arvioida rekisteritietojen soveltuvuutta 2 §:ssä mainittuihin tarkoituksiin. Tietolupaviranomaisen on laadittava aineistokuvaukset 14 §:n 5 momentissa tarkoitetuista valmisaineistoistaan.