Tietosuojavaltuutetun sosiaali- ja terveysalan toimijoihin kohdistama ohjaus ja valvonta
Pennala, Eila (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2025062372723
https://urn.fi/URN:NBN:fi-fe2025062372723
Tiivistelmä
Tutkielma tarkastelee sosiaali- ja terveydenhuollon tietosuojaa Suomessa hyvän tietojenkäsittelytavan ja tietosuojavaltuutetun roolin kautta. Tutkielmassa selvitetään alalla tapahtuneita tietosuojaloukkauksia, tietosuojavaltuutetun antamaa ohjausta sekä käytettyjä korjaavia toimivaltuuksia, jotta hyvinvointialueet voivat hyödyntää kertyneen opin. Metodina käytettiin empiiristä oikeustutkimusta analysoimalla 56 tietosuojavaltuutetun Finlexissä julkaistua henkilötietolain ja tietosuoja-asetuksen mukaista kannanottoa.
Tulokset osoittavat, että tietosuojarikkomuksia tapahtui kaikissa käsittelyn vaiheissa. Syinä oli usein teknisiä tai inhimillisiä virheitä tai vanhentuneiden ohjeiden soveltamista. Yleisiä puutteita havaittiin erityisesti tietojen minimoinnissa, turvallisessa käsittelyssä, rekisteröidyn tarkastusoikeuden toteuttamisessa, automatisoidussa päätöksenteossa ja ilmoitusvelvollisuuden toteuttamisessa.
Tietosuojavaltuutetun ohjaus oli henkilötietolain aikana usein kannanottoja organisaatioiden kysymyksiin, kun tietosuoja-asetuksen mukaiset tapaukset keskittyivät korjaaviin toimiin, jotka sisälsivät teknistä ohjausta, viittauksia ohjeisiin tai vaihtoehtoisia toimintatapoja lainmukaiseen henkilötietojen käsittelyyn. Käytetyt korjaavat toimivaltuudet olivat useimmin huomautus ja määräys saattaa käsittely lainmukaiseksi. Vakavimmissa tapauksissa käytettiin hallinnollista seuraamusmaksua.
Räikeää huolimattomuutta tai välinpitämättömyyttä esiintyi vähän. Jatkossa hyvinvointialueiden on tärkeää huomioida aiemmista tapauksista erityisesti ilmoitusvelvollisuus, automaattinen päätöksenteko ja tietojen minimointivaatimus.
Tulokset osoittavat, että tietosuojarikkomuksia tapahtui kaikissa käsittelyn vaiheissa. Syinä oli usein teknisiä tai inhimillisiä virheitä tai vanhentuneiden ohjeiden soveltamista. Yleisiä puutteita havaittiin erityisesti tietojen minimoinnissa, turvallisessa käsittelyssä, rekisteröidyn tarkastusoikeuden toteuttamisessa, automatisoidussa päätöksenteossa ja ilmoitusvelvollisuuden toteuttamisessa.
Tietosuojavaltuutetun ohjaus oli henkilötietolain aikana usein kannanottoja organisaatioiden kysymyksiin, kun tietosuoja-asetuksen mukaiset tapaukset keskittyivät korjaaviin toimiin, jotka sisälsivät teknistä ohjausta, viittauksia ohjeisiin tai vaihtoehtoisia toimintatapoja lainmukaiseen henkilötietojen käsittelyyn. Käytetyt korjaavat toimivaltuudet olivat useimmin huomautus ja määräys saattaa käsittely lainmukaiseksi. Vakavimmissa tapauksissa käytettiin hallinnollista seuraamusmaksua.
Räikeää huolimattomuutta tai välinpitämättömyyttä esiintyi vähän. Jatkossa hyvinvointialueiden on tärkeää huomioida aiemmista tapauksista erityisesti ilmoitusvelvollisuus, automaattinen päätöksenteko ja tietojen minimointivaatimus.
Kokoelmat
- Pro gradu -tutkielmat [4772]