Kysy lakimieheltä: Kuntoutusyrityksen tietosuoja kunnossa?

| Lakiasiat, tietosuoja-asetus 15.6.2018

Kysymys:
Mitkä asiat minun on kuntoutusalan yrittäjänä huomioitava voidakseni olla varma siitä, että yritykseni tietosuoja on kunnossa?

Vastaus:
EU:n uusi yleinen tietosuoja-asetus tuli voimaan 25.5.2018. Asetuksen tavoitteena on yhdenmukaistaa jäsenvaltioiden tietosuojalainsäädäntöä entisestään. Tietosuojalainsäädäntöä on jo aiemmin harmonisoitu vuoden 1995 henkilötietodirektiivillä.

Tietosuoja-asetus ei sellaisenaan ole kaiken mullistava uutuus. Pääosa asetuksen velvoitteista on löytynyt samassa tai samankaltaisessa muodossa jo nyt 23 vuotta täyttävästä henkilötietodirektiivistä. Henkilötietodirektiivi on Suomessa pantu aikanaan täytäntöön henkilötietolailla, joka puolestaan tuli voimaan 1999. Sitä ennen oli voimassa henkilörekisterilaki vuodelta 1987, joka sekin sisälsi esimerkiksi velvoitteen rekisteriselosteen laatimisesta.

Asetuksen merkittävimmät tiukennukset koskevat sellaisia henkilötietoja, joiden kerääminen ei perustu lakisääteiseen velvoitteeseen. Mikäli henkilötietorekisteri perustuu lakisääteiseen kirjaamisvelvoitteeseen, kuten potilastietojen laita on, jää osa uusista velvoitteista pois.

Oman yrityksen tietosuoja-asetuksenmukaisuuden tarkastelu on hyvä jakaa kolmeen osaan:

  1. Mitä täytyy tehdä joka tapauksessa?

– Varmista, että henkilötietojen käsittelyyn on peruste: esimerkiksi asiakkaan suostumus tai sopimukseen perustuva velvoite tai aiheesta säädetty laki. Hoitosuhteessa peruste ja velvoite löytyvät aina laista potilaan asemasta ja oikeuksista.

– Asiakasta on informoitava tietosuoja-asetuksen edellyttämällä tavalla. Aiemmin käytössä olleet rekisteriselosteet eivät sellaisenaan enää käy, mutta niihin kirjattuja tietoja voi edelleen käyttää uusissa tietosuoja-asetuksen mukaisissa informointiasiakirjoissa. Suomen Kuntoutusyrittäjät ry:n jäsensivuilta löytyy informointiasiakirjan malli. Taulukko rekisteröidylle annettavasta informaatiosta löytyy esimerkiksi tietosuojavaltuutetun kotisivuilta.

– Tietosuojavastaava on nimettävä ja tämän yhteystiedot tulee antaa asiakkaalle (esimerkiksi em. rekisteriselosteen/tietosuojakäytännön yhteydessä). Tietosuojavastaavan nimeäminen sisältyy jo nyt lakisääteisen tietoturvan omavalvontasuunnitelman laatimiseen.

– Laadi tietoturvaa koskeva omavalvontasuunnitelma. Kuntoutusyrittäjien jäsenenä saat hyvän pohjan Suomen Kuntoutusyrittäjien (aiemmin Fysi) ja Fysioterapeuttiliiton THL:n pohjalta rakentamasta omavalvontasuunnitelmasta.

– Mikäli ulkoistat henkilötietojen käsittelyä esimerkiksi tilitoimistolle tai tietojärjestelmän tuottajalle, varmista, että olet sopinut henkilötietojen suojauksesta ja siitä, että yhteistyökumppani on sitoutunut kunnioittamaan asiakkaan lakiin tai tietosuoja-asetukseen perustuvia oikeuksia ja auttamaan näiden täytäntöönpanossa. Jos sopimusta ei jostain syystä vielä ole esimerkiksi palkanlaskijan tai muun ulkoistetun käsittelijän kanssa, Suomen Kuntoutusyrittäjät ry:n jäsenyritykset voivat käyttää apuna Kuntoutusyrittäjien laatimaa sopimuspohjaa. Jos aiemmat sopimukset sisältävät samat asiat, ei uuden tietosuojasopimuksen teko ole välttämätöntä. Mallisopimus on kuitenkin laadittu sellaiseksi, että sillä voidaan täydentää myös olemassa olevia sopimuksia.

2. Mitä täytyy tehdä ylläpitämälleni lakisääteiselle potilasrekisterille?

– Hanki sähköinen potilastietojärjestelmä ja liitä se Kansalliseen potilastiedon arkisto Kantaan. Se on helpoin keino varmistaa tietojen pitkäaikainen ja tietoturvallinen säilytys.

– Vaikka et vielä liittyisikään Kantaan, laadi ainakin siihen liittyvä tietoturvan omavalvontasuunnitelma ja nimeä tietosuojavastaava. Suunnitelma on laadittava ja tietosuojavastaava nimettävä, vaikka et käyttäisikään sähköisiä järjestelmiä.

3. Entä mitä täytyy tehdä ylläpitämälleni ei-lakisääteiselle rekisterille, kuten kuntosalin asiakasrekisterille?

– Varmista, että tietojen käsittelylle on asiakkaan (kirjallinen) suostumus tai tietojen käsittelylle on muu asetuksen tarkoittama välttämätön peruste (kuten sopimus tietyn palvelun tuottamisesta, jonka perusteella henkilötietojen käsittely on välttämätöntä).
– Varmista, että asiakasta on informoitu siitä, mihin hänestä kerättyjä tietoja käytetään ja miten kauan tietoja säilytetään (informointiasiakirja).
– Varmista, että asiakkaan/rekisteröidyn tiedot saadaan helposti eriteltyä, tulostettua järjestelmästä ja luovutettua asiakkaalle ja että tiedät miten tämä tapahtuu.
– Varmista, että asiakkaan tiedot saadaan luotettavasti ja yksilöidysti poistettua järjestelmästä, mikäli asiakas sitä vaatii eikä tietojen käytölle ole enää perustetta.

Seuraamukset asetuksen laiminlyönnistä

Tietosuoja-asetus sallii paljon aiempaa laajemmat sanktiot asetuksen asettamien velvoitteiden tahallisesta tai huolimattomasta laiminlyönnistä. Kansallista lainsäädäntöä aiheesta ei kuitenkaan vielä ole säädetty, mutta sen pitäisi tulla kesäkuun 2018 aikana. Tietosuojalainsäädännön noudattamista valvoo nyt ja tulevaisuudessa tietosuojavaltuutettu.

Linkit

Tietosuojavaltuutetun kotisivuilta löydät lisätietoa tietosuojasta.

 

Suomen Kuntoutusyrittäjät ry:n jäsenet saavat neuvontaa ja webinaarikoulutusta myös tietosuoja-asetuksen soveltamisesta. Palvelu sisältyy jäsenmaksuun.

 

  Kuntoutusyrittäjä 2/2018

Potilasasiamiespalvelu

  • Potilasasiamiehen tehtävänä on ensisijaisesti neuvoa potilaita asioissa, jotka liittyvät potilaan asemasta ja oikeuksista annetun lain soveltamiseen tai potilasvahinkolakiin.
  • Potilasasiamiehellä on hyvä olla sekä lainsäädännön että käytännön tuntemus neuvonnan piiriin kuuluvista asioista. Tämä edellyttää säännöllistä työskentelyä näiden kysymysten parissa.
  • Potilasasiamiespalvelu on Suomen Kuntoutusyrittäjät ry:n merkittävä, jäsenmaksuun sisältyvä jäsenetu.
  • Jäsenyritys voi nimetä asianajaja Ismo Saarisen potilasasiamiehekseen. Yritys toimittaa Aluehallintovirastoon Ismo Saarisen allekirjoittaman potilasasiamieslomakkeen.
Image
Kuntoutusyritysten toimintaan perehtyneet asiantuntijajuristit Ismo ja Juhani Saarinen Asianajotoimisto Ismo Saarinen Ky:stä vastaavat tällä palstalla lukijoiden kuntoutustoimialaa sivuaviin kysymyksiin. Asiantuntijajuristien puhelinneuvonta on potilasasiamiespalvelun tavoin Suomen Kuntoutusyrittäjät ry:n jäsenmaksuun sisältyvä jäsenetu.