Dataskydd

THL:s uppgifter har fastställts i lagen om Institutet för hälsa och välfärd (668/2008). Enligt 2 § i lagen är THL:s lagstadgade uppgifter bland annat

• uppföljning och främjande av befolkningens välfärd och hälsa samt faktorer som påverkar dessa
• uppföljning, utveckling och styrning av verksamheten inom social- och hälsovården
• bedrivande av forskningsverksamhet i anslutning till social- och hälsovården
• upprätthållande av social- och hälsovårdens register och
• utnyttjande av data inom social- och hälsovården samt deltagande i internationell verksamhet.

THL erbjuder olika lagstadgade tjänster eller tjänster som stöder den lagstadgade verksamheten för bland annat patient- och klientarbete, beslutsfattande och forskningsbruk. Dessutom fungerar inom THL en centraliserad helhet av statliga specialtjänster inom social- och hälsovården, som omfattar till exempel hälso- och sjukvård för fångar, statens sinnessjukhus, rättsmedicinska och rättspsykiatriska tjänster, ordnande och koordinering av medlingstjänster i brott- och tvistemål samt statens skolhem. Inom THL finns också en egen biobank.
Våra tjänster

I serviceutbudet ingår även webbtjänster, nyhetsbrev och evenemang.

• Om thl.fi-webbtjänstern
• Nyhetsbrev
• Evenemang

THL upprätthåller flera slags riksomfattande statistik, register och andra materialsamlingar som beskriver social- och hälsovårdssystemet. Information produceras bland annat om primärvårdens och den specialiserade sjukvårdens verksamhet, om socialservicen för barn, personer i arbetsför ålder och äldre samt om smittsamma sjukdomar.

THL har för sin forskningsverksamhet samlat in flera forskningsmaterial antingen från hela befolkningen (s.k. befolkningsundersökningar) eller från en begränsad del av befolkningen. Den information som THL samlar in innehåller i regel medborgarnas social- och hälsouppgifter och därför är THL:s datalager av känslig natur och sekretessbelagda.

THL samlar in lagstadgade register- och statistikuppgifter från välfärdsområder, kommuner, privata aktörer inom social- och hälsovården, Statistikcentralen, Folkpensionsanstalten samt Tillstånds- och tillsynsverket. I THL:s serviceverksamhet kan uppgifter också samlas in från andra myndigheter eller från medborgarna själva. I THL:s vetenskapliga undersökningar samlas information in från de deltagare som har gett sitt samtycke till att delta i undersökningen. I undersökningarna kan man också utnyttja data som man fått från annat håll, beroende på vad som undersöks i undersökningen.

THL har också tillgång till ett intressegruppsregister, vars uppgifter samlas in bland annat från utvalda register och intressentgrupper.

Om du beställer THL:s nyhetsbrev eller publikationer sparas dina kunduppgifter i tjänstens kundregister.

Närmare information om hur THL behandlar personuppgifter finns i dataskyddsmeddelandena.
Dataskyddsmeddelanden

THL använder de register-, statistik- och forskningsdata som man samlat in för att genomföra sina lagstadgade uppgifter, till exempel uppföljning och främjande av befolkningens välfärd och hälsa samt faktorer som påverkar dessa, uppföljning, utveckling och styrning av hälsovårdens verksamhet samt bedrivande av forskningsverksamhet i anslutning till social- och hälsovården.

Vart lämnar THL ut uppgifter?

Lagen om sekundär användning av social- och hälsovårdsuppgifter (den s.k. lagen om sekundär användning) innehåller bestämmelser om de sekundära användningsändamål för vilka den insamlade informationen kan användas. Enligt 2 § i lagen kan uppgifter utöver för det primära ändamålet lämnas ut för statistikföring, vetenskaplig forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, styrning och övervakning av myndigheter inom social- och hälsovården samt myndigheters planerings- och utredningsuppgifter.

Utöver att THL använder de insamlade uppgifterna internt kan tillståndsmyndigheten för social- och hälsovården Findata bevilja tillstånd att använda THL:s material även till en utomstående aktör. Tillstånd beviljas endast för de ändamål som anges i ovan nämnda lag om sekundär användning. Mer information om Findatas verksamhet finns på Findatas webbplats.
Findata

Dessutom kan uppgifter i THL:s nationella register lämnas ut för kliniska studier med stöd av lagen om THL. När det gäller kliniska läkemedelsprövningar fattar Fimea beslut i ärendet.

Vart lämnar THL inte ut uppgifter?

THL lämnar inte ut uppgifter om en enskild person till exempel till försäkringsbolag för enskilda försäkringsbeslut eller till FPA för upprättande av förmånsbeslut. Uppgifter lämnas inte heller ut för marknadsföring eller definition av individuella kommersiella tjänster.

Med personuppgiftsansvarig avses en aktör som bestämmer ändamålen och medlen för behandlingen av personuppgifter. THL är personuppgiftsansvarig för de uppgifter man samlar in och ansvarar för att behandlingen av personuppgifter är laglig. En förutsättning för behandling av personuppgifter är att den personuppgiftsansvarige har en laglig grund för behandling av personuppgifter.

THL:s lagliga grunder för behandling av personuppgifter beror på i vilken verksamhet THL behandlar personuppgifter. Till exempel vid insamling och upprätthållande av lagstadgade register eller behandling av personuppgifter i THL:s specialtjänster inom social- och hälsovården är behandlingsgrunden:

• Artikel 6.1 a i EU:s allmänna dataskyddsförordning (den registrerades samtycke till behandling av personuppgifter) eller
• Artikel 6.1 c i EU:s allmänna dataskyddsförordning (behandling är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sin lagstadgade skyldighet).

Vid statistikföring, arkivering och vetenskaplig forskning är behandlingsgrunden vanligtvis Artikel 6.1 e i EU:s allmänna dataskyddsförordning (behandling är nödvändig för att utföra en uppgift av allmänt intresse eller för att utöva offentlig makt).

När THL behandlar uppgifter om särskilda kategorier av personuppgifter dvs. känsliga uppgifter, till exempel uppgifter om en persons hälsa, sker behandlingen utöver de ovan nämnda grunderna i artikel 6 på basis av något av följande:

• Artikel 9.2 a (uttryckligt samtycke),
• Artikel 9.2 g (behandling är nödvändig på grund av allmänt intresse),
• Artikel 9.2 i (behandling behövs för att tillgodose ett allmänt intresse relaterat till folkhälsan) eller
• Artikel 9.2 j (arkivändamål av allmänt intresse, vetenskapliga och historiska forskningsändamål eller statistiska ändamål).

Närmare grunder för behandling av funktionsspecifika personuppgifter finns i THL:s dataskyddsmeddelanden.
Dataskyddsmeddelanden

Enligt EU:s allmänna dataskyddsförordningen (2016/679) har den registrerade rätt att få information om behandlingen av sina personuppgifter, få tillgång till uppgifterna inklusive att få en kopia av sina egna uppgifter, samt rätta felaktiga uppgifter, radera uppgifter och bli bortglömd, begränsa behandlingen av uppgifter, överföra uppgifter från ett system till ett annat, motsätta sig behandlingen av uppgifter och inte bli föremål för automatiskt beslutsfattande, rätt att få ersättning för skador som orsakats av dataskyddsbrott och att föra ärendet till dataombudsmannen för prövning.

THL kan dock tillgodose de registrerades rättigheter endast i fråga om de register där THL är personuppgiftsansvarig. Om du vill använda dina rättigheter till exempel i fråga om sjukhusens, hälsovårdscentralens, socialmyndigheternas, Folkpensionsanstaltens eller Statistikcentralens register, ska du kontakta dessa instanser direkt.

Du bör veta att även om tillståndsmyndigheten för användning av social- och hälsovårdsdata Findata och Enheten för hälso- och sjukvård för fångar är verksamhet som lyder under THL, fungerar de som självständiga enheter och är personuppgiftsansvariga för sitt eget material. Om du vill kontrollera dina uppgifter i Findata eller vid Enheten för hälso- och sjukvård för fångar ska du göra en begäran direkt till Findata eller Enheten för hälso- och sjukvård för fångar.

• Findata
• Vankiterveydenhuollon yksikkö

Du har följande rättigheter i fråga om THL:s datamaterial:

• Rätt till tillgång till egna uppgifter (artikel 15)
• Rätt att korrigera egna uppgifter (artikel 16)
• Rätt att radera uppgifter (artikel 17)
• Rätt att begränsa behandlingen av egna uppgifter (artikel 18)
• Rätt att motsätta sig behandling av egna uppgifter (artikel 21)
• Rätt att inte bli föremål för automatiserat beslutsfattande (artikel 22).

Ovan nämnda rättigheter enligt artiklarna 15–21 gäller dock inte till den del personen inte kan identifieras i materialet. THL:s lagstadgade register får enligt lag inte användas för beslutsfattande som gäller en enskild person, vilket även omfattar det automatiserade beslutsfattande som avses i artikel 22. Den registrerades registerspecifika rättigheter beror också på personuppgifternas behandlingsgrund. THL har utarbetat blanketter för att underlätta utövandet av rättigheter. THL registrerar alla begäranden om utövande av den registrerades rättigheter i diariet.

Om du vill utöva dina rättigheter som registrerad hittar du de blanketter och anvisningar som behövs på denna sida under rubriken "Hur kan jag utöva mina rättigheter?"

Eftersom THL har en lagstadgad skyldighet att samla in och upprätthålla datalager och register inom området samt att utnyttja dem för att främja välfärd och hälsa, har THL också rätt att samla in och lagra de uppgifter som erhållits så länge det är nödvändigt för att uppgifterna ska kunna genomföras. Därför kan den registrerades uppgifter till exempel inte raderas ur lagstadgade register, även om den registrerade kräver det (artikel 17), och behandlingen kan inte heller motsättas (artikel 21).

THL förvarar uppgifterna så länge som det är nödvändigt för att utföra sina uppgifter. Därefter förstörs uppgifterna på behörigt sätt. Om personuppgifterna har samlats in med den registrerades samtycke, har den registrerade alltid rätt att återkalla sitt samtycke till användningen av personuppgifter. Vid THL kan personuppgifter som samlats in med samtycke finnas i till exempel forskningsmaterialet, men om samtycket återkallas i slutskedet av forskningen kan uppgifterna inte längre tas bort från de färdiga resultaten.

Rätten att begränsa behandlingen av uppgifter (artikel 18) kommer i fråga i vissa situationer och kan förverkligas direkt som en följd av andra begäranden.  THL begränsar till exempel i praktiken behandlingen av personuppgifter alltid när det är fråga om en begäran om rättelse av personuppgifter (artikel 16). Rätten att begränsa behandlingen av uppgifter gäller också i situationer där den registrerade behöver sina egna personuppgifter för att upprätta, framställa eller försvara ett rättsligt anspråk. Rätten att invända enligt artikel 21 kan begränsas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, såsom vetenskaplig forskning.

För att göra det lättare att utöva rättigheterna har THL gjort upp blanketter med vars hjälp du kan lämna in de uppgifter som behövs för att genomföra begäran. Fyll i den blankett nedan, vars rätt du vill utöva. Om du vill kan du också lämna in en fritt formulerad begäran.

• Blankett: Kontroll av egna uppgifter
• Blankett: Rättelse av personuppgifter
• Blankett: Radering av personuppgifter
• Blankett: Begränsning av användning av personuppgifter
• Blankett: Motstånd mot behandling av personuppgifter

För att rättigheterna ska kunna utövas ska THL försäkra sig om den registrerades identitet. Det här är viktigt för att vi med säkerhet ska kunna rikta åtgärderna till rätt person. Därför ber vi dig i första hand skicka begäran via Suomi.fi-tjänstens meddelandefunktion.

Om vårdnadshavaren vill utöva rättigheterna enligt den allmänna dataskyddsförordningen för ett minderårigt barns räkning, ska barn som fyllt tio år i regel också själva uttrycka sitt samtycke till ansökan till exempel genom att underteckna blanketten tillsammans med vårdnadshavaren/vårdnadshavarna. Det rekommenderas att vårdnadshavarna diskuterar med barnet om begäran och hör barnets åsikt innan begäran framställs, även om barnet ännu inte själv kan fatta beslut i frågan. Om barnet med beaktande av ålder och utvecklingsnivå kan förstå saken och dess betydelse, kan barnet själv besluta om utövandet av sina rättigheter.

Vårdnadshavaren kan skicka en begäran för en minderårig via Suomi.fi-tjänsten genom att ta i bruk ärendehantering för ett minderårigt barns räkning. Anvisningar för hur man uträttar ärenden för en minderårig finns bakom länken "Anvisningar för ibruktagande av Suomi.fi-meddelanden". Ett minderårigt barn kan också själv ta i bruk Suomi.fi-meddelanden om barnet har tillgång till personliga verktyg för stark autentisering

• Suomi.fi-tjänstens meddelandefunktion
• Anvisningar för ibruktagande av Suomi.fi-meddelanden

Gör så här:

1. Identifiera dig i Suomi.fi-tjänsten med personliga bankkoder, certifikatkort eller mobilcertifikat.
2. Gå till "Skriv meddelande".
3. Välj "Institutet för hälsa och välfärd" som mottagare av meddelandet.
4. Välj "Registratorskontor" som mottagarens tjänst eller ärende.
5. Skriv "THL: Den registrerades rättigheter" som ämne för meddelandet.
6. Ange i meddelandefältet de rättigheter som du vill utöva.
7. Lägg till en eventuell blankett eller blanketter som bilagor i punkten "Lägg till bilagor här".
8. Klicka till sist på "Skicka meddelande”.

Meddelandet skickas till THL:s registratorskontor och vidarebefordras därifrån för fortsatt behandling. Vi strävar efter att behandla begäran inom en månad efter att den mottagits. Om behandlingen av begäran är komplicerad eller omfattar flera register kan vi förlänga handläggningstiden till tre månader. I detta fall informerar vi om den närmare orsaken till förlängningen av handläggningstiden.

Vi skickar ett svar på genomförandet av begäran/avgörandet av ärendet till den registrerade via Suomi.fi-meddelanden.

Om du vill återta din begäran ska du skicka ett meddelande till THL via Suomi.fi-tjänsten.

Om du av någon anledning inte kan använda Suomi.fi-tjänsten är det ändå möjligt att utöva rättigheterna. Då ska du uträtta ärendet personligen i entréservicen vid THL i Helsingfors eller Kuopio. Då kan vi, förutom att identifiera dig, också komma överens mer i detalj om hur svaret ska levereras.

Om du har fler frågor om tillgodoseendet av dina rättigheter kan du be vårt dataskyddsombud om råd. Du hittar kontaktuppgifterna nedan.

Lagligheten i THL:s behandling av personuppgifter övervakas bland annat av THL:s dataskyddsombud och dataombudsmannen. Dessutom övervakas lagenligheten i myndigheternas verksamhet av riksdagens justitieombudsman och justitiekanslern.

Tillstånds- och tillsynsverket LVV övervakar THL:s informationssäkra användningsmiljöer. Traficoms Cybersäkerhetscenter övervakar att THL uppfyller sina skyldigheter när det gäller hanteringen av cybersäkerhetsrisker. LVV och Traficom övervakar också att kraven i lagstiftningen om artificiell intelligens uppfylls inom sina respektive ansvarsområden.

Mer information finns också på webbplatsen för dataombudsmannens byrå.
Dataombudsmannens byrå