EU:n tietosuoja-asetus

Lisätietoja

Mervi Kattelus
Terveyspolitiikan asiantuntija
Puh. 09 3930826
zreiv.xnggryhf@ynnxnevyvvggb.sv

Toiminnot

EU:n tietosuoja-asetuksen edellyttämät toimenpiteet tulee olla tehtynä 25.5.2018 mennessä. Tietosuoja-asetus koskee jokaista potilasasiakirjojen rekisterinpitäjää. Ammatinharjoittajana toimiva lääkäri on rekisterinpitäjä. Silloin kun ammatinharjoittaja toimii oman yhtiönsä kautta, yhtiö on rekisterinpitäjä. Tutustu tietosuoja-asetuksen velvoitteisiin ja tee tietosuojaselvitys.


EU:n tietosuoja-asetuksen toimeenpano

EU:n tietosuoja-asetuksen edellyttämät toimenpiteet tulee olla tehtynä viimeistään 25.5.2018.  Tietosuoja-asetus vastaa monin paikoin nykyistä henkilötietolakiamme. Tietosuoja-asetukseen sisältyy tietosuojan kannalta kuitenkin myös uutta asiaa.

Tietosuoja-asetus on suoraan sovellettavaa oikeutta Suomessa. Sitä ei muunneta erikseen kansalliseksi laiksi. Tietosuoja-asetus jättää jonkin verran kansallista liikkumavaraa. Tätä liikkumavaraa varten säädetään uusi tietosuojalaki. Nyt voimassa oleva henkilötietolaki kumotaan tietosuoja-asetuksen tullessa sovellettavaksi.

Tietosuoja-asetus asettaa varsin ankarat sanktiot asetuksen rikkomisesta. Asetuksen säännösten rikkomisesta voidaan määrätä hallinnollinen sakko, jonka enimmäismäärä on 20 miljoonaa euroa tai 4 % yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta. Tietosuojavaltuutetun toimisto tulee muuttumaan tietosuoja-asetuksen noudattamista valvovaksi valvontaviranomaiseksi.

Lääkärin toimenpiteet tietosuoja-asetuksen toimeenpanemiseksi

Tietosuoja-asetus koskee jokaista potilasasiakirjojen rekisterinpitäjää. Ammatinharjoittajana toimiva lääkäri on rekisterinpitäjä. Silloin kun ammatinharjoittaja toimii oman yhtiönsä kautta, yhtiö on rekisterinpitäjä. Jos lääkäri on työsuhteessa, työnantaja on rekisterinpitäjä.

Yksin toimiva ammatinharjoittaja (esim. omissa tiloissaan)

Tässä muodossa toimiessasi riittää, että huomioit alla olevasta linkistä löytyvän yleisen ohjeen mukaiset asiat. Sinun tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään.

Informoi potilasta ja ilmoita tietosuojaloukkauksista yleisen ohjeen mukaisesti. EU:n tietosuojaryhmän linjauksen mukaisesti sinun ei tarvitse nimittää tietosuojavastaavaa tai tehdä vaikutustenarviointia.

Pieni lääkäriasema (muutama lääkäri)

Lääkäriasemalla itsenäisesti toimiva ammatinharjoittaja on rekisterinpitäjä. Jos sen sijaan olet työsuhteessa, työnantaja on rekisterinpitäjä.

Itsenäisenä ammatinharjoittajana rekisterinpitäjänä toimiessasi riittää, että huomioit alla olevasta linkistä löytyvän yleisen ohjeen mukaiset asiat. Sinun rekisterinpitäjänä tai työnantajasi tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään.

Informoi potilasta ja ilmoita tietosuojaloukkauksista yleisen ohjeen mukaisesti. Tietosuojavastaavan nimeäminen ja vaikutusarvioinnin tekeminen on välttämätöntä, kun on kysymys laajamittaisesta tietojen käsittelystä. Tarkkaa rajanvetoa tähän ei ole tällä hetkellä, mutta mitä suurempi vastaanotto on kyseessä, sitä laajamittaisempaa käsittely on ja sitä todennäköisemmin vaikutustenarviointi tulee tehtäväksi ja lääkäriaseman on nimettävä tietosuojavastaava. Epäselvissä tapauksissa suosittelemme arvioinnin ja nimeämisen tekemistä. Jos toimitte toisin, ratkaisu on perusteltava tietosuojaselvityksessä.

Lääkäriasemaketjussa vastaanottotoimintaa harjoittava lääkäri tai hänen yhtiönsä

Tietosuoja-asetuksen velvoitteet koskevat myös lääkäriasemalla itsenäisenä ammatinharjoittajana tai yhtiönsä kautta toimivaa lääkäriä, jotka ovat rekisterinpitäjinä. Rekisterinpitäjänä sinun tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään. Lääkäriaseman kanssa olet todennäköisesti tehnyt sopimuksen, jossa on henkilötietojen käsittelyä koskeva osuus. Selvitä lääkäriasemasi kanssa sopimuksen päivittäminen tietosuoja-asetusta vastaavaksi.

Täältä löydät Lääkäriliiton ja Hammaslääkäriliiton tekemän yleisen ohjeen tietosuoja-asetuksen velvoitteista.

Tietosuoja-asetuksen suomenkielinen teksti on täällä.

Tietosuojaselvityksen runko:

1. Mitä tietoja vastaanotolla käsitellään?

2. Mistä tiedot saadaan?

3. Mihin tietoa luovutetaan? Luovutetaanko tietoa EU:n ulkopuolelle?

4. Mitkä ovat eri tietojen käyttötarkoitukset?

5. Mikä on käsittelyn peruste eri tietojen osalta?

6. Missä tietoa säilytetään? Mikä on vanhentuneen tiedon hävittämismekanismi?

7. Kuinka kauan tietoa säilytetään?

8. Onko tietosuojavastaava nimitetty? Jos ei, miksi?

9. Onko laadittu vaikutustenarviointi? Jos ei, miksi?

10. Miten tieto on suojattu? Miten tiedonsiirto on suojattu?

11. Miten henkilöstö on perehdytetty ja koulutettu tietosuoja-asetuksen noudattamiseen?

12. Millaisia prosesseja vastaanotolla on rekisteröidyn oikeuksien toteuttamiseksi?