Ads 468x60px

torstai 28. heinäkuuta 2016

Vieraskynä: sote-uudistuksen yhteydessä tehdään päätöksiä sote-henkilötietojen tietosuojasta


Sosiaali- ja terveyspalveluiden henkilötietojen käsittelyä koskevat linjaukset julkistettiin 29. kesäkuuta osana hallituksen sosiaali- ja terveydenhuollon uudistuksen ja maakuntien perustamisen alustavia lakiluonnoksia. Sote-uudistuksen tavoitteena on nykyaikaistaa palveluja ja parantaa julkisen talouden kestävyyttä sekä luoda edellytykset sosiaali- ja terveydenhuollon tulevaisuuden mallille. Uudistuksen myötä Suomeen perustetaan 18 itsehallinnollista maakuntaa, joiden vastuulle 1.1.2019 alkaen siirtyvät muun muassa julkiset sosiaali- ja terveyspalvelut.

Henkilötietojen käsittelystä on säädetty järjestämislain luonnoksessa. Sen mukaan maakunta olisi henkilötietolain mukainen rekisterinpitäjä maakunnan järjestämisvastuulle kuuluvassa toiminnassa syntyvien henkilötietojen osalta. Palveluiden tuottamisesta vastaavien yhtiöiden, yhteisöjen ja ammatinharjoittajien olisi tallennettava asiakas- ja potilastiedot maakunnan asiakas- ja potilasrekisteriin valtakunnallisia tietojärjestelmäpalveluja käyttäen. Tiedot olisivat siten kootusti Kantapalveluissa ja kaikkien maakunnan palveluntuottajien saatavilla, millä varmistettaisiin tiedonkulku asiakkaiden ja potilaiden käyttäessä lakiluonnosten mukaista palveluiden valinnanvapautta.

Rekisterinpidon keskittäminen maakunnille antaa erinomaisen mahdollisuuden kehittää korkealaatuisia tietosuoja- ja tietoturvakäytäntöjä, joihin voidaan sitouttaa kaikki maakunnalle palveluita tuottavat toimijat. Lakiluonnosten mukainen yhteistyöalueiden muodostaminen sekä palveluiden kokoaminen suurempiin kokonaisuuksiin edelleen laajentavat hyviksi todettujen toimintamallien soveltamismahdollisuuksia. Keskitetyn järjestelmän sujuva toiminta edellyttää kuitenkin maakunnilta henkilötietojen käsittelyä ja tietosuojaa koskevaa ammattitaitoa ja resursseja.

Uudistuksen myötä henkilötietojen käsittelyä koskevat sopimukset saattavat saada hyvinkin keskeisen aseman. Jos nimittäin maakunnista säädetään sote-järjestelmän ainoat rekisterinpitäjät, silloin muun muassa palveluntuottajat olisivat henkilötietojen käsittelijöiden asemassa käsitellessään tietoja maakuntien lukuun. Maakunnilla olisi velvollisuus ohjeistaa yksityiskohtaisesti henkilötietojen käsittelijöiden toimintaa, mikä edellyttäisi käytännössä tietosuojakysymysten arviointia kunkin palveluntuottajan osalta erikseen. Lisäksi rekisterinpitäjän ja henkilötietojen käsittelijän tulisi myös tehdä henkilötietojen käsittelystä sopimus, jonka yleiset sisältövaatimukset on määritelty 25.5.2018 alkaen sovellettavassa EU:n yleisessä tietosuoja-asetuksessa.

Sopimukset antaisivat myös mahdollisuuden turvata yksittäisen asiakkaan tai potilaan henkilötietojen käsittelyä koskevien palveluodotusten toteutuminen. Koska asiakas tai potilas on sote-mallissa käytännössä tekemisissä oman palveluntuottajansa eikä maakunnan kanssa, hän saattaa odottaa myös rekisteröidyn oikeuksiin liittyvää palvelua palveluntuottajaltaan. Sopimuksissa voitaisiin määritellä palveluntuottajalle rekisteröidyn oikeuksien toteuttamista tukevia tehtäviä, jotka palveluntuottaja suorittaisi maakunnan puolesta. Maakunta olisi kuitenkin rekisterinpitäjänä henkilötietojen käsittelystä kokonaisvastuussa EU:n yleisen tietosuoja-asetuksen osoitusvelvollisuuden periaatteen mukaisesti.

Alustavat lakiluonnokset ovat luettavissa osoitteessa www.alueuudistus.fi. Lakiluonnokset on tarkoitus koota hallituksen esitykseksi ja lähettää lausunnolle elokuussa 2016.

Kirjoittaja:
Charlotta Henriksson
Legal Counsel, VT, Senior Manager, KPMG:n lakipalveluiden tietosuojajuridiikkaryhmän vetäjä

keskiviikko 13. heinäkuuta 2016

Privacy Shield -järjestelylle Euroopan komission hyväksyntä


Euroopan unionin ja Yhdysvaltojen välillä tapahtuvaa henkilötietojen siirtoa ravisteleva muutosprosessi on edennyt jälleen uuteen vaiheeseen, kun Euroopan komissio hyväksyi eilen Privacy Shield -järjestelyn, johon yritykset voivat sitoutua 1. elokuuta alkaen. Privacy Shieldin tarkoituksena on toimia korvaajana Euroopan unionin tuomioistuimen lokakuussa 2015 Schrems-ratkaisussaan kumoamalle Safe Harbor -järjestelylle (lue kirjoituksemme Safe Harborin kumoutumisesta täältä).
Privacy Shield -järjestelyn tavoite on alusta alkaen ollut selvä: Euroopan komission ja Yhdysvaltain välisissä neuvotteluissa pyrittiin saamaan aikaan lopputulos, joka takaisi molemmille mantereille elintärkeän tietojensiirron jatkuvuuden, ja samaan aikaan antaisi Safe Harboria paremmat takeet eurooppalaisten henkilötietojen suojaamiseksi. Neuvotteluprosessi ei ole ollut helppo kummallekaan osapuolelle. Ei ole liioittelua todeta, että eurooppalaisten luottamus henkilötietojen suojaan Yhdysvalloissa on ollut alamäessä aina Edward Snowdenin vuonna 2013 tekemistä paljastuksista lähtien. Tällöin kävi ilmi, että myös Safe Harbor -järjestelmän noudattamiseen sitoutuneet yhtiöt ovat olleet osallisina Yhdysvaltain viranomaisten harjoittamassa laajamittaisessa tiedustelutoiminnassa.
Logiikaltaan Privacy Shield muistuttaa edeltäjäänsä: Safe Harborin tapaan se perustuu periaatteille, joita siihen osallistuvat yritykset sitoutuvat noudattamaan saavuttaakseen eurooppalaisittain riittävän tietosuojan tason. Privacy Shieldin periaatteet koskevat sekä rekisterinpitäjää että henkilötietojen käsittelijää, ja pääpiirteissään ne tiivistävät eurooppalaiselle tietosuojasääntelylle olennaisimpia vaatimuksia. Privacy Shield -järjestelyyn sitoutunut yritys on velvoitettu valvomaan järjestelyn noudattamista joko organisaation sisäisesti tai ulkoista vaatimustenmukaisuuden arvioijaa käyttäen.
Euroopan komission lehdistötiedotteen mukaan Privacy Shieldin myötä vaatimukset riittävän tietosuojan takaamiseksi järjestelyyn sitoutuville yhtiöille tiukentuvat merkittävästi Safe Harboriin verrattuna. Privacy Shield kiristää esimerkiksi tietojen edelleen siirtämistä kolmansille osapuolille koskevia edellytyksiä sekä asettaa entistä selkeämmät rajat tietojen säilytysajoille.
Privacy Shield pyrkii edeltäjäänsä tehokkaammin paitsi rajaamaan henkilötietojen käsittelyä, myös parantamaan järjestelyn noudattamiseen liittyvää valvontaa. Ensinnäkin Privacy Shield rajoittaa yhdysvaltalaisten viranomaisten pääsyä eurooppalaisiin henkilötietoihin, jotta vuonna 2013 paljastunut kohdentamaton ja laajamittainen eurooppalaisten henkilötietojen valvonta ei toistuisi ainakaan Privacy Shield -järjestelyn puitteissa. Privacy Shield ei kuitenkaan poista eurooppalaisten henkilötietojen valvontaa kokonaisuudessaan: komission mukaan tietoja voidaan kerätä valikoimattomasti tietyin ennakkoehdoin, ja tietojen keruun on oltava mahdollisimman kohdennettua ja keskitettyä.  Lisäksi Yhdysvaltojen kauppaministeriö saa yleisemmän toimivallan suorittaa järjestelyyn osallistuvia yrityksiä koskevia säännöllisiä tarkasteluja varmistaakseen, että yritykset noudattavat Privacy Shieldin vaatimuksia.
Tehokkaamman valvonnan lisäksi Privacy Shieldin myötä voimaan astuu uusia oikeussuojakeinoja. Yhdysvaltojen ulkoasiainministeriöön perustettavan oikeusasiamiesmekanismin avulla toteutetaan oikeussuojaa silloin kun oikeussuojan tarve liittyy kansalliseen tiedusteluun. Lisäksi EU:n kansalaiset voivat tukeutua erilaisiin uusiin riitojenratkaisumekanismeihin epäillessään henkilötietojensa väärinkäytöksiä Privacy Shield -järjestelyn puitteissa. EU:n kansalainen voi esimerkiksi ottaa yhteyttä kansalliseen tietosuojaviranomaiseen, joka varmistaa yhdessä Yhdysvaltojen liittovaltion kauppakomission kanssa henkilön valituksen tutkinnan ja edistää ratkaisun löytymistä. Viimesijaisesti henkilötietojen väärinkäytöksiin liittyvät erimielisyydet voidaan ratkaista myös välimiesmenettelyssä.
Mitä Privacy Shield sitten tarkoittaa käytännössä niille yrityksille, jotka siirtävät tai aikovat siirtää henkilötietoja Yhdysvaltoihin? Lukuisat yritykset ovat painineet saman aiheen kanssa jo lokakuusta 2015 asti, kun Safe Harboriin perustuville henkilötietojen siirroille oli kertaheitolla etsittävä korvaava laillinen peruste. Vaikka yritykset voivat jatkossa tukeutua halutessaan täysin Privacy Shield -järjestelyyn, myös muut mekanismit henkilötietojen siirrolle EU:n ja Yhdysvaltojen välillä on suositeltavaa pitää pöydällä vaihtoehtoja kartoitettaessa. Vaihtoehtoisia mekanismeja Safe Harborille on pohdittu tarkemmin muun muassa tässä blogissa julkaistussa kirjoituksessa, ja se soveltuu hyvin myös Privacy Shield -järjestelyn vaihtoehtojen kartoittamiseen. Euroopan komission hyväksymät mallisopimuslausekkeet lienevät tällä hetkellä yleisin ja suositelluin henkilötietojen siirtoperuste EU:n ja Yhdysvaltojen välillä, joskaan eivät täysin vailla riskejä. 
Privacy Shieldin etuja ja haittoja punnitessa on syytä huomioida, että järjestely on ollut kovan kritiikin kohteena sen ensimmäisistä luonnosversioista lähtien. Vaikka Privacy Shield ottaa käyttöön edeltäjäänsä tiukemmat otteet eurooppalaisten tietosuojan parantamiseksi, yleinen huoli on, ettei järjestely kykene tosiasiassa takaamaan riittävää tietosuojan tasoa. Privacy Shield -järjestelyn tehokkuus lieneekin tulevina vuosina Euroopan komission erityisen tarkan seurannan alla.
Privacy Shieldin lopullinen teksti on luettavissa täällä.