Tietosuoja

THL:n tehtävät on määritelty siitä annetussa laissa (668/2008). Lain 2 §:n mukaan THL:n lakisääteisiä tehtäviä ovat muun muassa

• väestön hyvinvoinnin ja terveyden sekä niihin vaikuttavien tekijöiden seuraaminen ja edistäminen
• sosiaali- ja terveydenhuollon toiminnan seuraaminen, kehittäminen ja ohjaaminen
• sosiaali- ja terveydenhuoltoon liittyvän tutkimustoiminnan harjoittaminen
• sosiaali- ja terveydenhuollon rekistereiden ylläpitäminen ja
• sosiaali- ja terveysalan tiedon hyödyntäminen sekä kansainväliseen toimintaan osallistuminen.

THL tarjoaa erilaisia lakisääteisiä tai lakisääteistä toimintaa tukevia palveluita muun muassa potilas- ja asiakastyöhön, päätöksentekoon ja tutkimuskäyttöön. Lisäksi THL:ssä toimii keskitetysti valtion sosiaali- ja terveydenhuollon erityispalvelujen kokonaisuus, joihin sisältyvät esimerkiksi vankiterveydenhuolto, valtion mielisairaalat, oikeuslääketieteen ja -psykiatrian palvelut, rikos- ja riita-asioiden sovittelupalveluiden järjestäminen ja koordinointi sekä valtion koulukodit. THL:ssä toimii myös oma biopankki.
Palvelumme

Palveluvalikoimaan kuuluu myös verkkopalveluita, uutiskirjeitä ja tapahtumia. 

• Tietoa thl.fi-sivustosta
• Uutiskirjeet
• Tapahtumat

THL ylläpitää useita sosiaali- ja terveyspalvelujärjestelmää kuvaavia valtakunnallisia tilastoja, rekistereitä ja muita aineistokokoelmia. Tietoa tuotetaan mm. perusterveydenhuollon ja erikoissairaanhoidon toiminnasta, lasten, työikäisten ja ikääntyneiden sosiaalipalveluista sekä tartuntataudeista.

THL on kerännyt tutkimustoimintaansa varten useita tutkimusaineistoja joko koko väestöstä (ns. väestötutkimukset) tai rajatusta osasta väestöä. THL:n keräämä tieto sisältää pääsääntöisesti kansalaisten sosiaali- ja terveystietoja, jonka vuoksi THL:n tietovarannot ovat arkaluonteisia ja salassa pidettäviä.

THL kerää laissa säädetyt rekisteri- ja tilastotiedot hyvinvointialueilta, kunnista, yksityisiltä sosiaali- ja terveydenhuollon toimijoilta, Tilastokeskuksesta, Kansaneläkelaitoksesta sekä Lupa- ja valvontavirastosta (LVV). THL:n palvelutoiminnassa tietoja voidaan kerätä myös muilta viranomaisilta tai kansalaisilta itseltään. THL:n tieteellisissä tutkimuksissa tietoa kerätään tutkittavilta, jotka ovat antaneet suostumuksensa tutkimukseen osallistumiseksi. Tutkimuksissa voidaan hyödyntää myös muualta saatua tietoa, sen mukaan mitä asioita tutkimuksessa tutkitaan.

THL:n käytössä on myös sidosryhmärekisteri, jonka tiedot kerätään muun muassa valikoiduista rekistereistä ja sidosryhmiltä. Jos tilaat THL:n uutiskirjeitä tai julkaisuja, asiakastietosi tallennetaan kyseisen palvelun asiakasrekisteriin.

Tarkempia tietoja henkilötietojen käsittelystä löydät tietosuojailmoituksista.
Tietosuojailmoitukset

THL käyttää keräämiään rekisteri-, tilasto- ja tutkimustietoja lakisääteisten tehtäviensä toteuttamiseen, joita ovat esimerkiksi väestön hyvinvoinnin ja terveyden sekä niihin vaikuttavien tekijöiden seuraaminen ja edistäminen, sosiaali- ja terveydenhuollon toiminnan seuraaminen, kehittäminen ja ohjaaminen sekä sosiaali- ja terveydenhuoltoon liittyvän tutkimustoiminnan harjoittaminen.

Mihin THL luovuttaa tietoja?

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (ns. toisiolaki) säätää niistä toissijaisista käyttötarkoituksista, joihin THL:een kerättyä tietoa voidaan käyttää. Lain 2 §:n mukaan tietoja voidaan luovuttaa ensisijaisen käyttötarkoituksen lisäksi tilastointiin, tieteelliseen tutkimukseen, kehittämis- ja innovaatiotoimintaan, opetukseen, tietojohtamiseen, sosiaali- ja terveydenhuollon viranomaisohjaukseen ja -valvontaan sekä viranomaisen suunnittelu- ja selvitystehtävään.

Sen lisäksi, että THL käyttää keräämiään tietoja sisäisesti, sosiaali- ja terveysalan tietolupaviranomainen Findata voi myöntää luvan THL:n aineistojen käyttöön myös ulkopuoliselle toimijalle. Lupaa ei kuitenkaan myönnetä mihin tahansa, vaan ainoastaan edellä mainitussa toisiolaissa säädettyihin tarkoituksiin. Lisätietoja Findatan toiminnasta löydätte Findatan verkkosivuilta.
Findata

Lisäksi THL:n kansallisten rekisterien tietoja voidaan luovuttaa kliinisiin tutkimuksiin THL:sta annetu lain nojalla. Kliinisten lääketutkimusten osalta Fimea tekee asiassa päätöksen.

Mihin THL ei luovuta tietoja?

THL ei luovuta yksittäisen henkilön tietoja esimerkiksi vakuutusyhtiöille yksittäisten vakuutuspäätösten tai Kelalle etuuspäätösten laatimista varten. Tietoja ei luovuteta myöskään markkinointiin tai yksilöllisten, kaupallisten palveluiden määrittelemiseen.

Rekisterinpitäjällä tarkoitetaan tahoa, joka päättää henkilötietojen käsittelyn tarkoituksista ja keinoista. THL toimii keräämiensä tietojen rekisterinpitäjänä ja vastaa henkilötietojen käsittelyn lainmukaisuudesta. Henkilötietojen käsittelyn edellytyksenä on, että rekisterinpitäjällä on henkilötietojen käsittelyyn laillinen peruste.

THL:n lailliset henkilötietojen käsittelyperusteet riippuvat siitä, minkä THL:n toiminnan yhteydessä henkilötietoja käsitellään. Esimerkiksi kerättäessä ja ylläpidettäessä lakisääteisiä rekistereitä tai käsiteltäessä henkilötietoja THL:n sosiaali- ja terveydenhuollon erityispalveluissa, käsittelyperusteena on:

• EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohta (rekisteröidyn suostumus henkilötietojen käsittelyyn) tai
• EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta (käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi).

Tilastoinnissa, arkistoinnissa ja tieteellisessä tutkimuksessa taas käsittelyperusteena on tavallisesti EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta (käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi).

Kun THL käsittelee erityisiä henkilötietoryhmiä koskevaa tietoa eli arkaluonteisia tietoja, joita voivat olla esimerkiksi henkilön terveystiedot, tapahtuu käsittely edellä mainittujen 6 artiklan perusteiden lisäksi jonkin seuraavista perusteella:

• 9 artiklan 2 kohdan a alakohta (nimenomainen suostumus),
• 9 artiklan 2 kohdan g alakohta (käsittely on tarpeen tärkeää yleistä etua koskevasta syystä),
• 9 artiklan 2 kohdan i alakohta (käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi) tai
• 9 artiklan 2 kohdan j alakohta (yleisen edun mukaiset arkistointitarkoitukset, tieteelliset ja historialliset tutkimustarkoitukset tai tilastollisia tarkoitukset).

Tarkemmat toimintokohtaisen henkilötietojen käsittelyperusteet löytyvät THL:n tietosuojailmoituksista.
Tietosuojailmoitukset

EU:n yleisen tietosuoja-asetuksen (2016/679) perusteella rekisteröidyllä on oikeus saada tietoa henkilötietojensa käsittelystä, saada pääsy tietoihin mukaan lukien saada kopio omista tiedoista, oikaista vääriä tietoja, poistaa tiedot ja tulla unohdetuksi, rajoittaa tietojen käsittelyä, siirtää tiedot järjestelmästä toiseen, vastustaa tietojen käsittelyä, olla joutumatta automaattisen päätöksenteon kohteeksi, oikeus saada vahingonkorvauksia tietosuojaloukkauksista ja saattaa asia tietosuojavaltuutetun käsiteltäväksi.

THL voi toteuttaa rekisteröityjen oikeuksia vain niiden henkilötietojen osalta, joissa THL toimii rekisterinpitäjänä. Jos haluat käyttää oikeuksiasi esimerkiksi sairaaloiden, terveyskeskuksen, sosiaaliviranomaisten, Kansaneläkelaitoksen tai Tilastokeskuksen rekistereihin, sinun tulee olla yhteydessä suoraan näihin tahoihin.

Sinun on hyvä tietää, että vaikka sosiaali- ja terveysalan tietolupaviranomainen Findata ja Vankiterveydenhuollon yksikkö ovat THL:n alaista toimintaa, ne toimivat itsenäisinä yksiköinä ja omien aineistojensa rekisterinpitäjinä. Jos haluat tarkastaa omat tietosi Findatasta tai Vankiterveydenhuollon yksiköstä, sinun tulee tehdä pyyntö suoraan Findataan tai Vankiterveydenhuollon yksikköön. 

• Findata
• Vankiterveydenhuollon yksikkö

Sinulla on seuraavat oikeudet THL:n tietoaineistojen osalta:

• Oikeus saada pääsy omiin tietoihin (15 artikla)
• Oikeus oikaista omia tietoja (16 artikla)
• Oikeus tietojen poistamiseen (17 artikla)
• Oikeus rajoittaa omien tietojen käsittelyä (18 artikla)
• Oikeus vastustaa omien tietojen käsittelyä (21 artikla)
• Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi (22 artikla).

Edellä mainittuja 15–21 artiklan mukaisia oikeuksia ei kuitenkaan ole niiltä osin, kun henkilöä ei voida aineistosta tunnistaa. THL:n keräämiä lakisääteisiä rekistereitä ei saa lain mukaan käyttää yksittäistä henkilöä koskevaan päätöksentekoon, mikä koskee myös 22 artiklan tarkoittamaa automaattista päätöksentekoa. Rekisteröidyn rekisterikohtaiset oikeudet riippuvat myös henkilötietojen käsittelyperusteesta. THL on laatinut lomakkeita, joiden avulla oikeuksien käyttäminen on tehty helpommaksi. THL kirjaa diaariin kaikki sille tulleet rekisteröidyn oikeuksien käyttöpyynnöt.

Jos haluat käyttää rekisteröidyn oikeuksiasi, löydät tarvittavat lomakkeet ja ohjeet tältä sivulta kohdasta "Miten voin käyttää oikeuksiani?"

Koska THL:llä on lakisääteinen velvoite kerätä ja ylläpitää alan tietovarantoja ja rekistereitä sekä hyödyntää niitä hyvinvoinnin ja terveyden edistämisessä, THL:llä on myös oikeus kerätä ja säilyttää saadut tiedot niin kauan kuin se on tehtävien toteuttamiseksi välttämätöntä. Tämän vuoksi rekisteröidyn tietoja ei voida esimerkiksi poistaa lakisääteisistä rekistereistä, vaikka rekisteröity sitä vaatisi (17 artikla) eikä käsittelyä voida vastustaa (21 artikla).

THL säilyttää saamansa tiedot niin kauan kuin se on välttämätöntä tehtävien toteuttamiseksi. Tämän jälkeen tiedot poistetaan asianmukaisesti. Jos henkilötiedot on kuitenkin kerätty rekisteröidyn suostumuksella, rekisteröidyllä on aina oikeus peruuttaa suostumuksensa henkilötietojen käyttöön. THL:ssä suostumuksella kerättyjä henkilötietoja voi olla esimerkiksi tutkimusaineistoissa, mutta esimerkiksi peruutettaessa suostumus tutkimuksen loppuvaiheessa, tietoja ei voida enää poistaa valmistuneista tuloksista.

Tietojen käsittelyn rajoittamista koskeva oikeus (18 artikla) tulee kyseeseen tietyissä tilanteissa ja se voi toteutua jo muiden pyyntöjen seurauksena suoraan. THL esimerkiksi rajoittaa käytännössä henkilötiedon käsittelyä aina siksi aikaa, kun kyseessä on henkilötietojen oikaisua koskeva pyyntö (16 artikla). Tietojen käsittelyn rajoittamisoikeus on voimassa myös tilanteessa, jossa rekisteröity tarvitsee omia henkilötietojaan jonkin oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi. 21 artiklan mukaista vastustamisoikeutta voidaan rajoittaa, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi, kuten tieteellinen tutkimus.

THL on tehnyt oikeuksien käyttöä helpottamaan lomakkeita, joiden avulla voit toimittaa pyynnön toteuttamiseksi tarvittavat tiedot. Täytä alla olevista lomakkeista se, jonka mukaista oikeutta haluat käyttää. Halutessasi voit toimittaa pyynnön myös vapaamuotoisena.

• Lomake: Omien tietojen tarkastaminen
• Lomake: Henkilötietojen oikaiseminen
• Lomake: Henkilötietojen poistaminen
• Lomake: Henkilötietojen käytön rajoittaminen
• Lomake: Henkilötietojen käsittelyn vastustaminen

Oikeuksien käyttämiseksi THL:n tulee varmistua rekisteröidyn henkilöllisyydestä. Tämä on tärkeää, jotta voimme varmuudella kohdistaa toimenpiteet oikealle henkilölle. Tämän vuoksi pyydämme sinua lähettämään pyynnön ensisijaisesti Suomi.fi-palvelun viestitoiminnon kautta.

Jos huoltaja haluaa käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksia alaikäisen lapsen puolesta, kymmenen vuotta täyttäneiden lasten tulee pääsääntöisesti ilmaista myös itse suostumuksensa esimerkiksi allekirjoittamalla pyyntölomake yhdessä huoltajan/huoltajien kanssa. On suositeltavaa, että huoltajat keskustelevat lapsen kanssa pyynnöstä ja kuulevat lapsen mielipidettä asiassa ennen pyynnön tekemistä, vaikka lapsi ei vielä kykenisi itse päättämään asiasta. Jos lapsi pystyy ikä ja kehitystaso huomioiden ymmärtämään asian ja sen merkityksen, hän voi päättää itse oikeuksiensa käytöstä.

Huoltaja voi toimittaa alaikäistä koskevan pyynnön Suomi.fi-palvelun kautta ottamalla käyttöön asioinnin alaikäisen lapsen puolesta. Ohjeet alaikäisen puolesta asiointiin löydät alla olevan "Ohjeet Suomi.fi-viestien käyttöönottoon" -linkin takaa. Alaikäinen lapsi voi myös itse ottaa Suomi.fi-viestit käyttöönsä, jos hänellä on käytössään henkilökohtaiset vahvan tunnistautumisen välineet.

• Suomi.fi-palvelun viestitoiminto
• Ohjeet Suomi.fi-viestien käyttöönottoon

Tee näin

1. Tunnistaudu Suomi.fi-palveluun henkilökohtaisilla pankkitunnuksilla, varmennekortilla tai mobiilivarmenteella.
2. Mene kohtaan "Kirjoita viesti".
3. Valitse viestin vastaanottajaksi "Terveyden ja hyvinvoinnin laitos".
4. Valitse vastaanottajan palveluksi tai asiaksi "Kirjaamo".
5. Kirjoita viestin aiheeksi "THL: rekisteröidyn oikeudet".
6. Listaa viestikenttään ne oikeudet, joita haluat käyttää.
7. Lisää mahdollinen lomake tai lomakkeet liitetiedostoina kohtaan "Lisää liitetiedostot tähän".
8. Paina lopuksi "Lähetä viesti" -painiketta.

Viesti ohjautuu THL:n kirjaamoon, josta se välitetään käsittelyyn. Pyrimme käsittelemään pyynnön yhden kuukauden kuluessa siitä, kun pyyntö on vastaanotettu. Jos pyynnön käsittely on monimutkainen, tai käsittää useita rekistereitä, voimme pidentää käsittelyaikaa kolmeen kuukauteen. Tässä tapauksessa kerromme syyn käsittelyajan pidennykselle.

Lähetämme vastauksen pyynnön toteuttamisesta/asian ratkaisemisesta rekisteröidylle Suomi.fi-viestinä.

Mikäli haluat peruuttaa tekemäsi pyynnön, lähetä sitä koskeva viesti Suomi.fi-palvelun kautta THL:ään.

Jos et jostain syystä pysty käyttämään Suomi.fi-palvelua, on oikeuksien käyttö siitä huolimatta mahdollista. Tällöin sinun tulee asioida henkilökohtaisesti Helsingissä tai Kuopiossa THL:n aulapalvelussa. Tällöin voimme tunnistamisen lisäksi sopia vastauksen toimittamisesta tarkemmin.

Mikäli sinulla on lisää kysymyksiä oikeuksiesi toteuttamisesta, voit kysyä neuvoa tietosuojavastaavaltamme.

THL:n henkilötietojen käsittelyn lainmukaisuutta valvovat muun muassa THL:n tietosuojavastaava ja tietosuojavaltuutettu. Lisäksi viranomaisen toiminnan lainmukaisuutta valvovat eduskunnan oikeusasiamies ja oikeuskansleri.

Lupa- ja valvontavirasto LVV valvoo THL:n tietoturvallisia käyttöympäristöjä. Traficomin Kyberturvallisuuskeskus valvoo THL:n kyberturvallisuuden riskienhallinnan velvoitteiden täyttymistä. LVV ja Traficom valvovat myös omien vastuualueidensa osalta tekoälylainsäädännön vaatimusten täyttymistä.

Lisätietoja löydät myös tietosuojavaltuutetun toimiston verkkosivuilta.
Tietosuojavaltuutetun toimisto