EU:n tietosuoja-asetuksen toimeenpano
EU:n tietosuoja-asetus tuli voimaan 25.5.2018 ja asetuksen edellyttämät toimenpiteet tulee olla tehtynä. Tietosuoja-asetus vastaa monin paikoin aiempaa henkilötietolakiamme. Tietosuoja-asetukseen sisältyy tietosuojan kannalta kuitenkin myös uutta asiaa.
Tietosuoja-asetus on suoraan sovellettavaa oikeutta Suomessa. Sitä ei muunneta erikseen kansalliseksi laiksi. Tietosuoja-asetus jättää jonkin verran kansallista liikkumavaraa. Tätä liikkumavaraa varten säädetään uusi tietosuojalaki. Tietosuoja-asetuksen voimaantulon myötä myös Henkilötietolaki kumottiin.
Tietosuoja-asetus asettaa varsin ankarat sanktiot asetuksen rikkomisesta. Asetuksen säännösten rikkomisesta voidaan määrätä hallinnollinen sakko, jonka enimmäismäärä on 20 miljoonaa euroa tai 4 % yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta. Tietosuojavaltuutetun toimisto tulee muuttumaan tietosuoja-asetuksen noudattamista valvovaksi valvontaviranomaiseksi.
Tämä ohje on laadittu yrittäjätoimintaa harjoittavia lääkäreitä varten harjoittavat he sitten vastaanottotoimintaansa yksityisenä elinkeinonharjoittajana tai yhtiön kautta omissa tiloissaan tai lääkäriasemilla.
Tämä ohje ei koske työ- tai virkasuhteessa toimivia lääkäreitä, koska työnantajan on rekisterinpitäjänä huolehdittava Tietosuoja-asetuksen velvoitteista.
Lääkärin toimenpiteet tietosuoja-asetuksen toimeenpanemiseksi
Perinteisesti terveyspalvelualan yrityksissä (myöh. lääkäriasema) toimii lääkäreitä yksityisinä elinkeinonharjoittajina ja yrityksiä, jotka hyödyntävät toistensa henkilörekistereitä. Tämän vuoksi ne toimivat kyseisten rekisterien käyttäjinä eri rooleissa. Kulloisenkin rekisterinkäyttäjäroolin määrittelee asiakkuus.
Lääkäri voi harjoittaa vastaanottoaan joko yksiyisenä elinkeinonharjoittajana tai yrityksensä kautta. Riippumatta vastaanottotoiminnan muodosta lääkäriyrittäjä on lähtökohtaisesti omien potilaidensa osalta potilasrekisterinpitäjä. Hän voi kuitenkin osallistua lääkäriaseman rekisterissä olevien potilaiden hoitoon (esim. työterveyshuolto), jolloin hän toimii ko. rekisterin osalta tietojen käsittelijänä. Vastavuoroisesti lääkäriasema voi olla vain tietojen käsittelijänä lääkärin potilasrekisterin osalta.
Esimerkiksi:
- Lääkäriaseman kautta Kanta-palveluihin liittyneet elinkeinonharjoittajat ja yritykset ovat rekisterinpitäjiä omien asiakkaidensa osalta ja lääkärikeskus on näiden rekistereiden osalta käsittelijä. Rekisterinpitäjät ovat näissä tapauksissa delegoineet rekisterin teknisen ylläpidon lääkärikeskukselle, jonka tietojärjestelmiä ne hyödyntävät.
- Työterveysasiakkaiden osalta lääkärikeskus on rekisterinpitäjä ja sen kautta Kanta-palveluihin liittyneet ammatinharjoittajat ja yritykset ovat käsittelijöitä.
- Hyvinvointialueiden asiakkuuksien (ostopalvelut, ulkoistukset ja palveluseteliasiakkaat) osalta sekä lääkärikeskus että sen kautta Kanta-palveluihin liittyneet ammatinharjoittajat ja yritykset ovat käsittelijöitä. Rekisterinpitäjänä toimii tällöin palveluita hankkinut kunta tai kuntayhtymä.
Tietosuoja-asetus edellyttää muutoksia ja täydennyksiä lääkärikeskuksessa toimivien ammatinharjoittajien ja yritysten kanssa tehtyihin sopimuksiin. Kaikkien eri rooleissa toimivien vastuut ja velvollisuudet tulee olla määritelty, jotta yhteisliittyminen Kanta-palveluihin on mahdollista.
Eri tomintamallit
1. Lääkäri rekisterinpitäjänä
Yksin toimiva elinkeinonharjoittaja (esim. omissa tiloissaan)
Tässä muodossa toimiessasi riittää, että huomioit alla olevasta linkistä löytyvän yleisen ohjeen mukaiset asiat. Sinun tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään.
Informoi potilasta ja ilmoita tietosuojaloukkauksista yleisen ohjeen mukaisesti. EU:n tietosuojaryhmän linjauksen mukaisesti sinun ei tarvitse nimittää tietosuojavastaavaa tai tehdä vaikutustenarviointia.
Pieni lääkäriasema (muutama lääkäri)
Lääkäriasemalla itsenäisesti toimiva elinkeinonharjoittaja on rekisterinpitäjä.
Itsenäisenä elinkeinonharjoittaja rekisterinpitäjänä toimiessasi riittää, että huomioit alla olevasta linkistä löytyvän yleisen ohjeen mukaiset asiat. Sinun rekisterinpitäjänä tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään.
Informoi potilasta ja ilmoita tietosuojaloukkauksista yleisen ohjeen mukaisesti. Tietosuojavastaavan nimeäminen ja vaikutusarvioinnin tekeminen on välttämätöntä, kun on kysymys laajamittaisesta tietojen käsittelystä. Tarkkaa rajanvetoa tähän ei ole tällä hetkellä määritelty, mutta mitä suurempi vastaanotto on kyseessä, sitä laajamittaisempaa käsittely on ja sitä todennäköisemmin vaikutustenarviointi tulee tehtäväksi ja lääkäriaseman on nimettävä tietosuojavastaava. Epäselvissä tapauksissa suositellaan arvioinnin ja nimeämisen tekemistä. Jos toimii toisin, ratkaisu on perusteltava tietosuojaselvityksessä.
Lääkäriasemaketjussa vastaanottotoimintaa harjoittava lääkäri tai hänen yhtiönsä
Tietosuoja-asetuksen velvoitteet koskevat myös lääkäriasemalla yksityisenä elinkeinonharjoittajana tai yhtiönsä kautta toimivaa lääkäriä, jotka ovat rekisterinpitäjiä. Rekisterinpitäjänä sinun tulee tehdä tietosuojaselvitys. Selvitystä tehdessäsi vastaa ainakin sivun lopussa oleviin kysymyksiin. Tietosuojaselvitys on säilytettävä mahdollista viranomaistarkastusta varten ja myös potilaalla on oikeus tietää, miten tietoja käsitellään.
Jos olet kuitenkin tehnyt lääkäriaseman kanssa sopimuksen, jossa on henkilötietojen käsittelyä koskeva liitesopimus, niin tarkista lääkäriasemaltasi onko sopimuksesi ja muut tarvittavat asiakirjat päivitetty ajan tasalle. (ks. liitesopimus)
2. Lääkäri henkilötietojen käsittelijänä
Kun asema on rekisterinpitäjä (esim. työterveyshuollon rekisteri), lääkäri on tällöin henkilötietojen käsittelijä. Tietosuoja-asetus edellyttää erillisen henkilötietojen käsittelyä koskevan sopimuksen tekemistä. Lääkäriasemilla pitäisi olla tämä sopimus jo valmiina sen mukaisesti kuin Lääkäriliitto, Hammaslääkäriliito ja LPY ovat sen laatineet. Sopimus liitetään automaattisesti vastaanottotoiminnan sopimukseen liitteeksi. Tarkasta asia lääkäriasemaltasi.
Ohjeistus
Lääkäriliitto, Hammaslääkäriliito ja LPY ovat yhdessä valmistelleet jäsenilleen:
- Yleisen ohjeen tietosuoja-asetuksen velvoitteista,
- Henkilötietojen käsittelyä koskevan sopimusmallin ja
- Lääkärin vastaanottotoiminnan mallisopimukseen tarvittavat tietosuoja-asetuksen edellyttämät muutokset.
Tämä lisäksi monet asemat ovat laatineet Tietosuojaselvityksen ammatinharjoittajia varten. Tarkista tämä asia vielä lääkäriasemaltasi.
Lääkäriliitto, Hammaslääkäriliito ja LPY ovat yhdessä Kelan ja THL:n kanssa päivittäneet em. Lääkärinvastaanottotoiminnan sopimukseen liittyvän Kanta-palveluihin liittymistä koskevan sopimuksen muutokset.
Kaikki edellä mainitut asiakirjat:
Lääkäriammatinharjoittajan vastaanottotoiminnan sopimusmalli (pdf)
Potilaille tuotettavia yksityisiä terveyspalveluita koskevat ehdot (pdf)
Henkilötietojen käsittelyä koskeva sopimus (pdf)
Kelan ohjeistuksen löydät täältä (15.10. alkaen)
Tietosuoja-asetuksen suomenkielinen teksti on täällä.
Lääkäriliiton yleisohjeistus tietosuoja-asetuksesta löytyy täältä.
Tietosuojaselvityksen runko:
1. Mitä tietoja vastaanotolla käsitellään?
2. Mistä tiedot saadaan?
3. Mihin tietoa luovutetaan? Luovutetaanko tietoa EU:n ulkopuolelle?
4. Mitkä ovat eri tietojen käyttötarkoitukset?
5. Mikä on käsittelyn peruste eri tietojen osalta?
6. Missä tietoa säilytetään? Mikä on vanhentuneen tiedon hävittämismekanismi?
7. Kuinka kauan tietoa säilytetään?
8. Onko tietosuojavastaava nimitetty? Jos ei, miksi?
9. Onko laadittu vaikutustenarviointi? Jos ei, miksi?
10. Miten tieto on suojattu? Miten tiedonsiirto on suojattu?
11. Miten henkilöstö on perehdytetty ja koulutettu tietosuoja-asetuksen noudattamiseen?
12. Millaisia prosesseja vastaanotolla on rekisteröidyn oikeuksien toteuttamiseksi?