Tietosuoja ja henkilötietojen käsittely


Tältä sivulta löydät tietoa:


Miten Findata huolehtii tietosuojasta?

Yksi Sosiaali- ja terveysalan tietolupaviranomaisen eli Findatan tärkeimmistä tavoitteista on parantaa yksilöiden tietosuojaa ja sosiaali- ja terveystietojen tietoturvaa. Luovutamme tiedot aina siten, että henkilöiden tietosuoja maksimoidaan ja luovutamme vain sen verran tietoja kuin välttämättä tarvitaan.

Kun olemme myöntäneet tietoluvan, kokoamme lupakohtaisesti eri rekisterinpitäjien tallentamat tiedot, yhdistelemme ne tietoturvallisessa käyttöympäristössä ja luovutamme ne luvansaajalle tietoturvalliseen käyttöympäristöön. Tiedot poistetaan käsittelyn valmistuttua, eli Findata ei säilytä tai kopioi tietoja varmuuden vuoksi kuin sen aikaa, mitä sen myöntämä lupa edellyttää.

Tiedot säilyvät erillisessä ja suljetussa järjestelmässä, jonne myönnetään määräaikaisia käyttölupia. Kun etäkäyttöympäristöstä halutaan ulos esimerkiksi tutkimustuloksia, varmistamme, ettei tuloksista tai ulos otettavasta aineistosta voida tunnistaa ketään yksittäistä henkilöä.

Tietoturvallisessa käyttöympäristössä

 • tietojen käyttöoikeudet määritellään myönnettyjen lupien mukaisesti
 • valvotaan pääsyä laitteisiin, järjestelmiin ja sisään toimitiloihin
 • estetään toimitilojen, tietojen ja järjestelmien luvaton käyttö
 • käsittelytapahtumat kirjataan lokitietoihin
 • rajoitetaan ja valvotaan tietoliikennettä
 • järjestelmät suojataan huolellisesti ulkopuolisilta uhilta kuten tietoturvaa vaarantavilta teoilta tai tapahtumilta, esimerkiksi viruksilta tai muilta hyökkäyksiltä.

Sosiaali- ja terveystietoja ei saa käyttää markkinointiin tai esimerkiksi yksilöllisten kaupallisten palvelujen määrittelemiseen.

Takaisin ylös

Miten toisiolaki parantaa tietosuojaa?

Niitä rekisteriaineistoja, joihin Findata myöntää nykyään lupia, on hyödynnetty Suomessa toissijaisiin käyttötarkoituksiin jo vuosikymmenten ajan. Aiemmin lupa tietojen käyttöön on pitänyt hakea erikseen kultakin rekisterinpitäjältä, eikä aineistojen toimittamiseen ole ollut yhdenmukaista käytäntöä.

Keskitetty lupamenettely parantaa aineistojen tietoturvaa ja kansalaisten tietosuojaa. Findatan toimintaa varten on rakennettu tietoturvalliset, suljetut käyttöympäristöt. Kun tiedot yhdistellään keskitetysti, niiden käyttö on suojatumpaa ja sitä pystytään valvomaan helpommin.

Toisiolaki on säädetty EU:n yleisen tietosuoja-asetuksen (GDPR) mahdollistaman kansallisen liikkumavaran perusteella. Perustuslakivaliokunta ja sosiaali- ja terveysvaliokunta ovat huolehtineet, ettei se ole ristiriidassa EU:n tietosuoja-asetuksen kanssa. Lain valmistelutyöryhmään on osallistunut tietosuojavaltuutetun toimiston edustajia ja tietosuojavaltuutettua on kuultu myös eduskunnassa.

Toisiolaki määrittelee edellytykset tietoturvalliselle ympäristölle, jossa luvansaajat voivat käsitellä tietoja.

 • Ensisijaisesti tiedot luovutetaan luvansaajalle käsiteltäväksi etäkäyttöyhteyden välityksellä siten, että tiedot säilyvät Findatan tietoturvallisessa käyttöympäristössä.
 • Joissakin tapauksissa tiedot on tarpeen luovuttaa luvansaajalle. Silloin saajan täytyy osoittaa, että se käsittelee niitä kontrolloidusti laissa määritellyssä, tietoturvavaatimukset täyttävässä ympäristössä.

Laki edellyttää, että tietojärjestelmät tallentavat tietojen käsittely- ja tapahtumahistoriaa eli keräävät lokia erilaisista tapahtumista. Niistä ilmenee esimerkiksi se, kuka tietoja on käsitellyt, miten tietoja on käsitelty ja milloin tietoja on käsitelty.

Takaisin ylös

Miten tietosuojan toteutumista valvotaan?

Findatan ja tietolupia myöntävien rekisterinpitäjien toimintaa valvovat muun muassa oikeusasiamies ja tietosuojavaltuutettu.

Tietolupien myöntäjien täytyy antaa tietosuojavaltuutetulle kerran vuodessa selvitys sosiaali- ja terveystietojen sekä niiden lokitietojen käsittelystä.

Sosiaali- ja terveysalan valvontavirasto Valvira valvoo tietoturvallisia käyttöympäristöjä.

Takaisin ylös

Mihin henkilötietoja voidaan käyttää?

Suomessa on kerätty pitkään ainutlaatuisia rekisteri- ja tutkimusaineistoja, joiden avulla on mahdollista edistää kansalaisten terveyttä ja hyvinvointia.

Sosiaali- ja terveystietojen toissijainen käyttö tarkoittaa sitä, että sosiaali- ja terveydenhuollon asiakas- ja rekisteritietoja käytetään muussa kuin siinä ensisijaisessa tarkoituksessa, jonka vuoksi ne on alun perin tallennettu. Ensisijaista käyttöä ovat esimerkiksi potilaan hoitaminen tai etuuskäsittely.

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (ns. toisiolaki) säätää niistä käyttötarkoituksista, joihin lupa voidaan myöntää. Lain 2 §:n mukaan tietoja voidaan luovuttaa tilastointiin, tieteelliseen tutkimukseen, kehittämis- ja innovaatiotoimintaan, opetukseen, tietojohtamiseen, sosiaali- ja terveydenhuollon viranomaisohjaukseen ja -valvontaan sekä viranomaisen suunnittelu- ja selvitystehtävään.

Lupaa ei siis voida myöntää mihin tahansa tarkoitukseen. Lupa perustuu Findatan tekemään viranomaispäätökseen. Päätös on oikeudellisesti sitova ja sisältää selkeät lupaehdot. Findatalla on myös oikeus pyytää lausunto Suomen tietosuojavaltuutetulta ennen luvan myöntämistä.

On hyvä huomioida, että sosiaali- ja terveystietojen hyödyntäminen toissijaisiin tarkoituksiin ei ole uutta. Ennen Findataa vastaavia tietoja on luovutettu tieteelliseen tutkimukseen, tilastointiin ja opetuskäyttöön.

Yksittäiset julkiset rekisterinpitäjät ovat myös edelleen toimivaltaisia myöntämään lupia ja toimittamaan aineistoja tietyissä tapauksissa. Katso lisää lupatoimivalloista Palvelut-sivulta: Kuka vastaa hakemuksen käsittelystä ja päätöksestä milloinkin.

Henkilötietojen käsittelyselosteista löydät lisää tietoa siitä, mihin Findata käyttää tietoja.

Takaisin ylös

Mistä henkilötiedot ovat peräisin?

Findatalla ei itsellään ole tietoja, vaan se kerää tietoja niiltä sosiaali- ja terveysalan toimijoilta ja viranomaisilta, joista säädetään toisiolaissa. Lisäksi toisiolaissa säädetään niistä tiedoista, joita se voi näiltä toimijoilta saada.

Löydät yleisen kuvauksen Findatan kautta saatavista sosiaali- ja terveysalan aineistoista Aineistot-sivulta.

Findata ei myöskään kerää tietoja henkilöiltä itseltään, vaan kaikki sen keräämä tieto on jo olemassa jollakin toisiolaissa säädetyistä em. toimijoista.

Takaisin ylös

Findata rekisterinpitäjänä

Findatasta tulee henkilötietojen rekisterinpitäjä, kun se vastaanottaa tietoja em. toimijoilta. Henkilötietojen käsittelyn edellytyksenä on, että rekisterinpitäjällä on käsittelyyn laillinen peruste.

Findatan laillinen käsittelyperuste on EU:n yleisen tietosuoja-asetuksen 6 artikla 1 kohta e alakohta (käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi). Kun käsittelemme erityisiä henkilötietoryhmiä koskevaa tietoa (aiemmin käytettiin nimitystä arkaluonteiset tiedot), joita ovat henkilön terveystiedot, tapahtuu käsittely edellä mainitun 6 artiklan perusteen lisäksi 9 artiklan 2 kohdan g alakohdan perusteella (käsittely on tarpeen tärkeää yleistä etua koskevasta syystä).

Findata ei luovuta tietoja päätöksentekoon koskien yksittäisen henkilön oikeuksia, etuja tai velvoitteita. Tietoja ei siis luovuteta esimerkiksi vakuutusyhtiöille yksittäisten vakuutuspäätösten tai Kelalle etuuspäätösten laatimista varten. Tietoja ei luovuteta myöskään markkinointiin tai yksilöllisten, kaupallisten palveluiden määrittelemiseen.

Takaisin ylös

Mitkä ovat henkilötietojen käsittelyyn liittyvät oikeutesi?

Jokaisella on oikeus omiin henkilötietoihin. Rekisteröidyllä on oikeus saada informaatiota hänen henkilötietojensa käytöstä. Tätä informaatiota löytyy Findatan verkkosivuilta sekä tämän sivun lopusta löytyvistä Findatan henkilötietojen käsittelyselosteista. Informaation saamisen lisäksi rekisteröidyllä on seuraavat oikeudet omiin tietoihinsa Findatan hallussa olevan tietoaineiston osalta:

 • Oikeus saada pääsy omiin tietoihin
 • Oikeus oikaista omia tietoja
 • Oikeus rajoittaa omien tietojen käsittelyä
 • Oikeus vastustaa omien tietojen käsittelyä

Jos haluat käyttää näitä oikeuksia, löydät tarvittavat ohjeet tältä sivulta kohdasta Miten voin käyttää oikeuksiani?

Huomioithan, että Findata voi pääsääntöisesti toteuttaa rekisteröidyn pyynnöt vain hallussaan olevien tietojen osalta. Oikeus saada pääsy omiin tietoihin, oikeus oikaista omia tietoja sekä oikeus rajoittaa omien tietojen käsittelyä koskevat pyynnön esittämishetkellä Findatan hallussa olevaa tietoa. Sen sijaan vastustamisoikeutta koskevan pyynnön voi tehdä toistaiseksi voimassa olevana. Findata kirjaa diaariin kaikki sille tulleet rekisteröidyn pyynnöt. Lisäksi se ylläpitää erillistä listausta niiden rekisteröityjen osalta, jotka ovat esittäneet sille vastustamispyynnön.

Findata on laatinut erilliset lomakkeet oikeuksien toteuttamiseksi. Tietojen käsittelyn rajoittamista koskeva oikeus (18 artikla) tulee kyseeseen kuitenkin vain tietyissä tilanteissa ja se voi toteutua jo muiden pyyntöjen seurauksena suoraan.  Findata esimerkiksi rajoittaa käytännössä henkilötiedon käsittelyä aina siksi aikaa, kun kyseessä on henkilötietojen oikaisua koskeva pyyntö (16 artikla). Tietojen käsittelyn rajoittamisoikeus on voimassa myös tilanteessa, jossa rekisteröity tarvitsee omia henkilötietojaan jonkin oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi, ja jossa Findata ei enää tarvitse kyseisiä tietoja.

Findata säilyttää henkilötietoja vain sen ajan, kuin Findatan myöntämän luvan käyttötarkoitus (esimerkiksi tieteellinen tutkimus tai viranomaisen suunnittelu- ja selvitystehtävä) niin edellyttää. Mikäli rekisteröity tarvitsee omia henkilötietojaan oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi, on varminta esittää tätä koskeva pyyntö suoraan sille rekisterinpitäjälle, jolla kyseiset henkilötiedot ovat ensisijaisen käyttötarkoituksen perusteella hallussa.

Esimerkiksi Digi- ja Väestötietovirastolla on tiedot henkilön sukulaisuussuhteista, siviilisäädystä ja osoitteesta, sairaalalla on tiedot henkilön hoidosta ja Kelassa on tiedot henkilölle annetuista lääkeresepteistä. Löydät tietoa rekisterinpitäjistä ja rekisterien tietosisällöistä Aineistot-sivulta.

Takaisin ylös

Alaikäiset ja rekisteröidyn oikeudet

Toisiolaissa ei säädetä siitä, miten alaikäiset voivat käyttää rekisteröityjen oikeuksia. Alaikäisillä on kuitenkin samat oikeudet kuin aikuisillakin. EU:n yleinen tietosuoja-asetus korostaa lasten henkilötietojen suojan tarvetta.

Lähtökohtana on, että alaikäisellä, joka kykenee muodostamaan omat näkemyksensä, on oikeus vapaasti ilmaista näkemyksensä omien henkilötietojen käytön ja käsittelyn osalta.

Voiko lapsi päättää itse pyyntöjen esittämisestä?

Alaikäisten osalta ei ole mahdollista antaa tarkkoja ikärajasuosituksia siitä, minkä ikäisenä alaikäinen voi itsenäisesti päättää tietojensa käytöstä ja käsittelystä.

Merkittävää on arvioida lapsen ikää ja kehitystasoa kyseessä olevan asian näkökulmasta. Jos lapsi pystyy ikä ja kehitystaso huomioiden ymmärtämään asian ja sen merkityksen, hän voi päättää itse oikeuksiensa käytöstä. Aivan pienten lasten kohdalla tämä ei luonnollisestikaan ole mahdollista, mutta mitä vanhemmasta lapsesta ja nuoresta on kyse, sitä enemmän päätösvaltaa lapsella ja nuorella on. Tämä koskee erityisesti 12–17-vuotiaita lapsia.

Huoltaja voi tehdä pyynnön lapsen puolesta – liitä mukaan todistus huoltajuudesta tai lapsen muusta laillisesta edustamisesta

Huoltaja voi tehdä alaikäisen lapsensa puolesta rekisteröidyn oikeuksia koskevan pyynnön. Jos kyseessä on yhteishuoltajuus, tulisi pyynnön olla kummankin huoltajan tekemä ja allekirjoittama. Pyyntöön tulee liittää väestötietojärjestelmästä saatava todistus lapsen huoltajuudesta. Pyynnön tulisi olla lapsen oletetun tahdon mukainen, edustaen lapsen etua.

On suositeltavaa, että huoltajat keskustelevat lapsen kanssa pyynnöstä ja kuulevat lapsen mielipidettä asiassa ennen pyynnön tekemistä, vaikka lapsi ei vielä kykenisi itse päättämään asiasta. Alaikäisiä lapsia koskevat pyynnöt tulee tehdä henkilöittäin omina viesteinään Suomi.fi-palvelun kautta, jotta ne voidaan merkitä diaariin omiksi asioikseen. Löydät tarvittavat ohjeet tältä sivulta kohdasta Miten voin käyttää oikeuksiani?

Informoi lasta

Huoltajien tulisi kertoa alaikäiselle lapselle hänen puolestaan tehdystä pyynnöstä viimeistään sitten, kun lapsi voi ikänsä ja kehitystasonsa perusteella ymmärtää asian. Informoiminen on tärkeää erityisesti niissä tilanteissa, joissa huoltajat ovat vastustaneet henkilötietojen käsittelyä alaikäisen puolesta. Vastustamispyynnöt ovat voimassa toistaiseksi ja jatkavat siten voimassaoloa senkin jälkeen, kun alaikäinen tulee täysi-ikäiseksi.

Takaisin ylös

Miten pyynnön voi peruuttaa?

Tietojen vastustamista koskevan pyynnön voi halutessaan peruuttaa. Tämä koskee jokaista vastustamispyynnön esittänyttä. Siten alaikäinen, jonka puolesta vanhemmat ovat tehneet vastustamispyynnön, voi myös itse peruuttaa tehdyn vastustamispyynnön, jos hänen arvioidaan ikänsä ja kehitystasonsa puolesta ymmärtävän asian merkityksen.

Takaisin ylös

Milloin oikeuksien käyttö ei ole mahdollista?

Oikeuksien käyttö ei ole aina ja kaikissa tilanteissa täysin mahdollista. Tieteellisen tutkimuksen ja tilastoinnin käyttötarkoituksen osalta on mahdollista tutkimus- tai tilastointikohtaisesti rajoittaa rekisteröidyn oikeuksia.

Findata ei rajoita rekisteröidyn oikeuksia oma-aloitteisesti. Rajoittaminen voi tulla kyseeseen ainoastaan siinä tapauksessa, jos Findatalta tietolupaa hakenut tutkimushanke on päättänyt rajoittaa hankkeessa rekisteröidyn oikeuksia. Tällöin tutkimushankkeen on tullut laatia erillinen vaikutustenarviointi ja toimittaa se ennen hankkeen aloittamista Suomen tietosuojavaltuutetun toimistoon. Tällainen oikeuksien rajoittaminen voi kohdistua kaikkiin edellä mainittuihin oikeuksiin. Lisäksi toisiolaki antaa luvanhakijoille mahdollisuuden rajoittaa rekisteröityjen vastustamisoikeutta opetuskäytön osalta, jos henkilötietojen käsittely on välttämätöntä tapauksen harvinaislaatuisuuden vuoksi.

Findata poistaa omista aineistoista rekisteröityä koskevat tiedot tilanteessa, jossa rekisteröity vastustaa henkilötietojensa käsittelyä Findatassa. Joskus eteen saattaa tulla kuitenkin tilanne, jossa esimerkiksi tutkimushankkeessa on rajoitettu rekisteröidyn oikeuksia kuten vastustamisoikeutta. Tällöin Findatan on harkittava, miten tämä tutkimushankekohtainen rajoitus suhtautuu siihen, että jotkut rekisteröidyt ovat ilmoittaneet vastustavansa henkilötietojensa käyttöä. Yleensä vastustamisoikeudet voidaan toteuttaa ilman, että tutkimus siitä kärsii. Findata rajoittaa henkilötiedon käsittelyn siksi ajaksi, kun tätä harkintaa tehdään.

Takaisin ylös

Miten voin käyttää oikeuksiani?

Oikeuksien käyttämiseksi täytä ensin alla oleva lomake. Lomakkeet on laadittu siten, että jokaiselle rekisteröidyn oikeudelle on oma lomakkeensa. Täytä se lomake, jota koskevaa oikeutta haluat käyttää.

Lomake: Oikeus saada pääsy tietoihin [PDF, 125 kt], aukeaa uuteen ikkunaan.
Lomake: Oikeus tietojen oikaisemiseen [PDF, 190 kt], aukeaa uuteen ikkunaan.
Lomake: Vastustamisoikeus [PDF, 135 kt], aukeaa uuteen ikkunaan.

Oikeuksien käyttämiseksi Findatan tulee varmistua rekisteröidyn henkilöllisyydestä. Tämä on tärkeää, jotta voimme varmuudella kohdistaa toimenpiteet oikealle henkilölle.

Pyydämme teitä lähettämään täytetyn lomakkeen tai lomakkeet ensisijaisesti Suomi.fi-palvelun viestitoiminnon kautta (www.suomi.fi/viestit). Löydät ohjeet Suomi.fi-viestien käyttöönottoon osoitteesta: https://www.suomi.fi/ohjeet-ja-tuki/tietoa-viesteista/ota-viestit-kayttoon.

Tee näin:

 1. Tunnistaudu Suomi.fi-palveluun henkilökohtaisilla pankkitunnuksilla, varmennekortilla tai mobiilivarmenteella
 2. Mene kohtaan ”Kirjoita viesti”
 3. Valitse viestin vastaanottajaksi ”Terveyden ja hyvinvoinnin laitos”
 4. Valitse vastaanottajan palveluksi tai asiaksi ”Kirjaamo”
 5. Kirjoita viestin aiheeksi ”Findata: rekisteröidyn oikeudet”
 6. Listaa viestikenttään ne oikeudet, joita haluat käyttää (voit käyttää lomakkeiden nimiä)
 7. Lisää täyttämäsi lomake tai lomakkeet liitetiedostoina kohtaan ”Lisää liitetiedostot tähän”
 8. Paina lopuksi ”Lähetä viesti” painiketta

Viesti ohjautuu Terveyden ja hyvinvoinnin laitoksen (THL) kirjaamoon, josta se välitetään Findatalle käsittelyyn. Käsittelemme pyynnön pääsääntöisesti yhden kuukauden kuluessa siitä, kun pyyntö on vastaanotettu. Jos pyynnön käsittely on jostain syystä erityisen monimutkainen, voimme pidentää käsittelyaikaa enintään kolmeen kuukauteen.

Lähetämme vastauksen pyynnön toteuttamisesta/asian ratkaisemisesta rekisteröidylle Suomi.fi-viestinä.

Mikäli haluat peruuttaa tekemäsi pyynnön, lähetä sitä koskeva viesti Suomi.fi-palvelun kautta Findatalle.

Jos et jostain syystä pysty käyttämään Suomi.fi-palvelua, on oikeuksien käyttö siitä huolimatta mahdollista. Tällöin sinun tulee asioida henkilökohtaisesti Helsingissä tai Kuopiossa Terveyden ja hyvinvoinnin laitoksen (THL) aulapalvelussa.

On hyvä huomioida, että Findata ei ole sosiaali- ja terveystietojen alkuperäinen rekisterinpitäjä. Täten esimerkiksi Findatalle lähetetty pyyntö vastustaa henkilötietojen käyttöä ei estä sitä, etteikö kyseisiä tietoja voitaisi silti luovuttaa toissijaiseen käyttöön jonkin toisiolain 6 §:ssä mainitun rekisterinpitäjän toimesta.

Kannattaa myös muistaa, että tietojen toissijainen käyttö hyödyttää koko yhteiskuntaa. Niiden avulla ihmisille voidaan tuottaa parempia hoitoja ja palveluja sekä tehokkaampia lääkkeitä ja terveysteknologiaa.

Mikäli sinulla on lisää kysymyksiä oikeuksien toteuttamisesta, voit kysyä neuvoa sähköpostitse osoitteesta info@findata.fi tai puhelinneuvonnasta 029 524 6500.

Takaisin ylös

Henkilötietojen käsittelyselosteet

Yhteystiedot

Findatan tietosuojavastaava Päivi Lindström (paivi.lindstrom@thl.fi)

Takaisin ylös