Henkilötietojen ja erityisten henkilötietoryhmien käsittely sosiaali- ja terveystoimialalla
Henkilötietojen ja erityisten henkilötietoryhmien käsittely sosiaali- ja terveystoimialalla
Päätös
Sosiaali- ja terveystoimialan toimialajohtaja päätti kansliapäällikön päätöksen 195§ 12.10.2022 ”Henkilötietojen ja salassa pidettävien tietojen maantieteellistä sijaintia ja siirtoa koskevat edellytykset” perusteella perusteet, millä periaatteilla ja käytännöillä henkilötietoja saa käsitellä ja siirtää EU/ETA-alueen ulkopuolelle niin sanottuihin kolmansiin maihin.
Kun henkilötietoja käsittelevää ratkaisua tai hankintaa, jonka puitteissa henkilötietoja siirretään kolmansiin maihin, otetaan käyttöön, on aina huomioitava seuraavat seikat:
- Hankinnan tai ratkaisun käyttöönotosta ja siihen liittyvistä tietosuoja-asetuksen V luvun mukaisista suojatoimista ja kansliapäällikön päätöksen 195 § / 12.10.2022 tarkoittamista lisäsuojatoimenpiteistä päättää toimialajohtaja.
- Hankinta tai ratkaisu perustuu aina kansliapäällikön päätökseen 195 § 12.10.2022 ja tehdään sen puitteissa. Jos asiaa ei voi päättää kansliapäällikön 195 § puitteissa, se on poikkeus, joka viedään kansliapäällikön päätettäväksi.
- Hankinta vaatii aina tietosuojan vaikutustenarvioinnin, joka tehdään aina kaupungin ja soten tietosuojan vaikutustenarviointimenettelyn mukaisesti.
- Hankinnassa tai ratkaisussa on noudatettava voimassa olevia lakeja ja viranomaismääräyksiä, kuten julkisen hallinnon tietoturvallisuuden arviointikriteeristö (Julkri) ja muut relevantit määräykset.
- Hankinnassa tai ratkaisussa on aina noudatettava sosiaali- ja terveystoimialan voimassa olevaa tietoturvasuunnitelmaa.
Päätöksen perustelut
Sosiaali- ja terveystoimialalla tarvitaan tulevaisuudessa mahdollisuus käsitellä ja säilyttää asiakas- ja potilastietoja pilvipalveluissa. Kansliapäällikön päätös 195 § 12.10.2022 mahdollistaa tämän, kun noudatetaan erityisiä suojaustoimenpiteitä. Pilvipalvelut mahdollistavat tiedolla johtamisen ja tietojen analysointiprosessin kehittämisen palvelujen tarpeita vastaavaksi.
Yleisen tietosuoja-asetuksen V luvussa säädetään henkilötietojen siirroista kolmansiin maihin tai kansainvälisille järjestöille sekä asetetaan yleinen tietojen siirtoa koskeva periaate.
Yleisen tietosuoja-asetuksen 35 artiklan mukaan tietosuojaa koskeva vaikutusten arviointi on toteutettava silloin, kun henkilötietojen käsittely saattaa aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – korkean riskin luonnollisen henkilön oikeuksille ja vapauksille. Euroopan unionin tuomioistuimen Schrems II tuomion (C-311/18) 142 kohdan mukaan rekisterinpitäjän on ennen henkilötietojen siirtoa kolmanteen maahan varmistuttava edellä mainitun kolmannen maan lainsäädännön tietosuojan tason vastaavan unionin oikeudessa edellytettyä tasoa. Sosiaali- ja terveystoimialalla tämä tietojen siirtoa koskeva arvio on osa tietosuojaa koskevan vaikutusten arvioinnin prosessia.
Asiakastietolain 27 §:n mukaan sosiaali- ja terveydenhuollon palvelunantajan on laadittava tietoturvasuunnitelma, josta käy ilmi, miten asiakas- ja potilastietojen ja tietojärjestelmien käsittelyyn liittyvät vaatimukset varmistetaan. Saman lainkohdan mukaan terveyden ja hyvinvoinnin laitos voi antaa tarkempia määräyksiä tietoturvasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista. THL:n määräyksessä 3/2021 on säädetty tarkemmin tietoturvasuunnitelman laatimisesta ja toteuttamisesta, mukaan lukien tietojen siirrosta EU/ETA-alueen ulkopuolelle.
Sosiaali- ja terveystoimialan toimialajohtajan oikeus tehdä rekisterinpitäjän toimivaltaan kuuluvia päätöksiä sosiaali- ja terveystoimialalla perustuu sosiaali- ja terveyslautakunnan päätökseen 26.02.2019 § 32.
Päätös tullut nähtäväksi 22.11.2022
MUUTOKSENHAKUKIELTO
Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.
Sovellettava lainkohta: Kuntalaki 136 §
Lisätietojen antaja
Markku Havukainen, ict-palvelupäällikkö, puhelin: 09 310 45436