Sosiaalitoimen tietosuojakäsikirja

Muonion kunta
Sosiaalitoimi
Tietosuojakäsikirja
Sosiaalitoimen
tietosuojakäsikirja
Sosiaalilautakunta 16.9.2015 § 67
Muonion sosiaalilautakunta pp.kk.vvvv §
Muonion kunta
Sosiaalitoimi
Tietosuojakäsikirja
SISÄLTÖ
Johdanto .................................................................................................................................................. 2
1
Lainsäädäntö ja ohjeet ........................................................................................... 3
1.1
1.2
1.3
2
Viranomaisen asiakirjan julkisuus ja tietosuoja ................................................ 10
2.1
2.2
2.2.1
2.3
2.4
3
Salassapitovelvollisuus ja vaitiolovelvollisuus .......................................................................... 32
Tietojen arkistointi ja hävittäminen ............................................................................................ 34
Käytön valvonta ja rekisterinpidon lainmukaisuus .................................................................... 37
Tietojen luovuttaminen......................................................................................... 41
7.1
7.2
7.3
7.4
8
Tietojen tarkastamisoikeus ......................................................................................................... 28
Oikeus tietojen korjaamiseen ..................................................................................................... 30
Tietojen erityiset luovutusrajoitukset - turvakielto .................................................................... 31
Asiakkaan informointi tietojen käsittelyssä ............................................................................... 31
Rekisteri- ja henkilötietojen turvaaminen ja valvonta ....................................... 32
6.1
6.2
6.3
7
Sosiaalihuollon rekisterit ja niiden käyttötarkoitus .................................................................... 23
Asiakkaan oikeudet rekisteritietoihin ................................................................. 28
5.1
5.2
5.3
5.4
6
Henkilörekisterin perustaminen ja rekisteriseloste..................................................................... 17
Henkilörekisterin käyttö ............................................................................................................. 18
Henkilöstöhallinnon rekisterit .................................................................................................... 21
Sosiaalihuollon rekisterit ..................................................................................... 23
4.1
5
Viranomaisen asiakirjan määritelmä .......................................................................................... 10
Asiakirjan julkiseksi tuleminen .................................................................................................. 11
Viranomaisen laatiman asiakirjan julkiseksi tuleminen ........................................................ 11
Salassa pidettävät asiakirjat ........................................................................................................ 12
Ilmoitusoikeus tai -velvollisuus.................................................................................................. 14
Rekisteritietojen käsittely..................................................................................... 17
3.1
3.2
3.3
4
Tietojenkäsittelyä ohjaavat yleislait ............................................................................................. 3
Tietoturvatehtävät ja -vastuut ....................................................................................................... 4
Tietojärjestelmät ja niiden tietosuojaan liittyvä ohjeistaminen .................................................... 5
Julkisuuslain yleiset perusteet salassa pidettävän tiedon antamiseen ........................................ 41
Tietojen antaminen viranomaisen asiakirjoista .......................................................................... 42
Muutoksenhaku julkisuuslaissa tarkoitettuihin päätöksiin ......................................................... 43
Tietojen luovuttaminen sosiaalihuollossa .................................................................................. 44
Muuta tietosuojaan liittyvää ................................................................................. 53
8.1
8.2
8.3
8.4
8.5
Ostopalvelusopimukset ja tietosuoja ......................................................................................... 53
Asiakirjoista perittävät maksut ................................................................................................... 55
Luottamushenkilöiden tietosuojaohjeet ...................................................................................... 55
Tietosuoja ja salassapitovelvollisuus eri tilanteissa ................................................................... 56
Hyödyllisiä tiedonlähteitä........................................................................................................... 57
Keskeiset käsitteet ...................................................................................................... 58
Asiahakemisto ............................................................................................................. 62
Liitteet ........................................................................................................................... 65
Asiakastietojen käsittelyä koskevat keskeiset säännökset ja määräykset ............................................. 65
Esimerkkilomakkeita ............................................................................................................................ 66
1
Muonion kunta
Sosiaalitoimi
Tietosuojakäsikirja
Johdanto
Sosiaalihuollossa on ensiarvoisen tärkeää käsitellä asiakassuhteessa syntyvät ja
muut suojattavat tiedot asianmukaisesti. Luottamus asiakkaan ja organisaation välillä on ehdoton edellytys toiminnalle. Tietoturvallisuus ei saa estää tai haitata asiakassuhdetta, mutta samalla on otettava huomioon lukuisat tietoturvallisuutta koskevat säädökset, vaatimukset ja suositukset. Lisäksi on kunnioitettava asiakkaan tahtoa omien tietojen käsittelystä.
Turvattavia tietoja on sekä manuaalisessa että sähköisessä muodossa. Siirtyminen
yhä etenevästi sähköiseen tiedonhallintaan, on tuonut tietoturvallisuustyöhön koko
ajan uusia vaatimuksia ja haasteita. Usein ajatellaan, että tietoturvariskit syntyvät
ensisijaisesti puutteellisista tai väärin toimivista tietojärjestelmistä, mutta keskeisimmät turvallisuustekijät liittyvät kuitenkin ihmisten toimintaan.
On tärkeää, ettei arkaluonteisia tietoja saa tietoonsa tai käsittelyynsä kukaan sivullinen. Sosiaalihuollon asiakaslain säännösten perusteella salassa pidettävästä asiakirjasta saa antaa tietoja asiakkaan nimenomaisella suostumuksella tai niin kuin
laissa erikseen säädetään. Jos asiakkaan suostumusta ei voida saada, sosiaalihuollon järjestäjä tai toteuttaja saa antaa asiakirjasta salassapitovelvollisuuden estämättä tietoja, jotka ovat välttämättömiä asiakkaan hoidon, huollon tai koulutuksen tarpeen selvittämiseksi, hoidon, huollon tai koulutuksen järjestämiseksi tai toteuttamiseksi taikka toimeentulon edellytysten turvaamiseksi. Tällöinkin tietoja saa antaa
vain laissa erikseen määritellyissä tilanteissa.
Tietoturvatyö ja siihen kuuluva tietojen suojaaminen ovat rekisterinpitäjänä toimivan
organisaation vastuulla. Johdon tulee laatia kattava tietoturvapolitiikka, jonka tulee
olla tiedossa työntekijöillä ja muilla tietojärjestelmien ja tietojen käyttäjillä. Johdon
tehtävänä on varmistaa tavoitteet, määritellä vastuut, huolehtia resurssoinnista, ohjeista ja koulutuksesta. Johdon vastuulla on myös tietoturvallisuuden ja tietoturvan
valvonta ja johdon tulee ryhtyä toimenpiteisiin väärinkäyttö tapauksissa.
Sosiaalihuollon toimintayksikön vastaavan johtajan tulee rekisterinpitäjän edustajana
antaa kirjalliset ohjeet asiakasasiakirjoihin liittyvistä seikoista ja menettelytavoista.
Jokainen työntekijä vastaa omalta osaltaan tietoturvallisuuden toteuttamisesta voimassa olevan lainsäädännön ja tietojenkäsittelystä annettujen ohjeiden mukaisesti.
Tietosuojakäsikirja sisältää säädöksiä, ohjeita ja periaatteita Muonion sosiaalitoimessa syntyvien asiakasasiakirjojen ja muun suojattavan tiedon asianmukaista ja
luottamuksellista käsittelyä varten. Se osittain tarkentaa kunnan tietoturvapolitiikkaa,
osittain toimii sen rinnalla. Tietosuojakäsikirjassa ei paneuduta tietoturvan tekniseen
toteuttamiseen tai turvallisuuteen, vaan se on tarkoitettu henkilöstölle ja luottamushenkilöille arjen apuvälineeksi helpottamaan kaikkien osapuolten asianmukaista
toimintaa.
Sosiaalitoimen tietosuojakäsikirja käsitellään Muonion sosiaalilautakunnassa ja se
on osa Muonion kunnan tietoturvaa.
2
LUKU 1
LAINSÄÄDÄNTÖ JA OHJEET
1 Lainsäädäntö ja ohjeet
Henkilötietojen käsittelystä säädetään useissa eri laeissa, kuten esimerkiksi perustuslaissa, henkilötietolaissa, julkisuuslaissa, hallintolaissa, kuntalaissa ja arkistolaissa. Näitä yleislakeja on noudatettava, jollei muualla lainsäädännössä ole toisin säädetty. Sosiaalihuollon toiminnasta ja asiakastietojen käsittelystä ja tietojen luovutuksesta säädetään tarkemmin erityislaeissa ja asetuksissa.
Työntekijän tulee työssään huolehtia, että hän toimii tietoturva- ja tietosuojakäytäntöjen mukaisesti ja että hänen työtehtävissään käsittelemät, organisaatiolle kuuluvat
tiedot jäävät organisaation haltuun, ellei sitä muilla määräyksillä ole määrätty hävitettäväksi. Esimiesten tehtävänä on huolehtia, että voimassa olevat tietosuojaohjeet
ovat henkilöstön tiedossa ja käytettävissä.
Julkisuuslain 18 §:n mukaan viranomaisen velvollisuutena on edistää ja toteuttaa
hyvää tiedonhallintatapaa. Tietoaineistoihin liittyviä intressejä ovat asiakirjojen julkisuus ja salassapito, arkistointi, henkilötietojen suoja ja tietojen käyttörajoitukset sekä
tietoturvallisuus.
Viranomaisen tulee hyvän tiedonhallintatavan toteuttamiseksi turvata tietoturvan
kolme ulottuvuutta: luottamuksellisuus, eheys ja käytettävyys. Luottamuksellisuudella tarkoitetaan, että salassa pidettävät tiedot ovat vain ja ainoastaan niihin oikeutettujen käytettävissä. Eheydellä tarkoitetaan, että tiedot eivät muutu hallitsemattomasti
ja että ne pysyvät suunnitellussa muodossaan virheettöminä. Käytettävyys tarkoittaa, että tietoihin pääsee käsiksi oikeaan aikaan ja häiriöttä.
1.1 Tietojenkäsittelyä ohjaavat yleislait
Perustuslain 731/1999 mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi
välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä.
Henkilötietolaki 523/1999 on tietosuojan ja henkilötietojen käsittelyn yleislaki. Mahdollisia muissa laeissa olevia henkilötietojen käsittelyä koskevia erityissäännöksiä
sovelletaan ensisijaisena henkilötietolain kyseisiin säännöksiin nähden. Henkilötietolaki (523/1999) on säädetty toteuttamaan yksityiselämän suojaa sekä muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistämään hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.
Julkisuuslaissa (Laki viranomaisten toiminnan julkisuudesta 621/1999) säädetään asiakirjojen julkisuudesta ja salassapidosta. Julkisuuslaki erottelee henkilörekisteristä tapahtuvan julkisten henkilötietojen nähtäväksi antamisen ja henkilötietojen
luovuttamisen. Henkilötietojen käsittelyssä merkityksellisiä ovat myös julkisuuslaissa
olevat tietojen salassapitoa koskevat säännökset. Salassapitoperusteet on koottu
pääasiassa lain 24 §:ään. Hyvästä tiedonhallintatavasta on myös asetuksessa viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta
1030/1999.
Hallintolaki (434/2003) sisältää hallintoasian vireilletuloa ja asian käsittelyä viranomaisessa sekä hallintopäätöksen tekoa ja tiedoksiantoa koskevat säännökset.
Kunnan toimintaa ohjaa myös kuntalaki 410/2015.
Asiakirjojen arkistoinnista julkista tehtävää hoitavassa organisaatiossa säädetään
arkistolaissa 831/1994. Lain 6 §:n nojalla arkistoon kuuluvat asiakirjat, jotka ovat
saapuneet arkiston muodostajalle sen tehtävien johdosta tai syntyneet arkistonmuo-
3
LUKU 1
LAINSÄÄDÄNTÖ JA OHJEET
dostajan toimesta. Sosiaalihuollon asiakasasiakirjojen säilyttämisessä tulee soveltuvin osin noudattaa arkistolakia ja arkistolaitoksen ohjeita.
Henkilötietojen käsittelyssä on yleisesti noudatettava edellä mainittuja yleislakeja,
jollei muualla lainsäädännössä ole toisin säädetty. Sosiaalihuollon toiminnasta ja
asiakastietojen käsittelystä ja tietojen luovutuksesta säädetään tarkemmin erityislaeissa ja asetuksissa.
1.2 Tietoturvatehtävät ja -vastuut
1.2.1
Rekisterinpitäjätason toimijat
Henkilöstön vastuulla on huolehtia, että heidän työtehtävissään käsittelemät, organisaatiolle kuuluvat tiedot jäävät organisaation haltuun, ellei sitä muilla määräyksillä ole määrätty hävitettäväksi.
•
•
•
•
•
tietoturva- ja tietosuojakäytäntöjen tunteminen ja toteuttaminen
tietojärjestelmien käyttö lakien ja ohjeiden mukaisesti
tietoturva- ja tietosuojahäiriöistä raportoiminen
osallistuminen tietoturvakoulutuksiin
tietoturvaohjeiden noudattaminen
Esimiesten tehtävänä on huolehtia, että voimassa olevat tietosuojaohjeet ovat
henkilöstön tiedossa ja käytettävissä. Työntekijöillä tulee olla oikeudet tehtävän
edellyttämässä laajuudessa tarvittaviin tietojärjestelmiin ja tietoihin. Esimiesten tulee
huolehtia, että alaiset saavat riittävän perehdytyksen ja koulutuksen tietoturvaan sekä ymmärtävät tietoturvan merkityksen. Esimiehiltä odotetaan esimerkillistä ja vastuullista tietoturvakäyttäytymistä. Esimiesten vastuulla on huolehtia, että työtehtävien
muutokset huomioidaan järjestelmien käyttöoikeuksissa. Työsuhteen päättyessä
esimiesten on huolehdittava, että työntekijät palauttavat kaiken työnantajalle kuuluvan omaisuuden ja käyttöoikeudet järjestelmiin poistetaan.
•
•
•
•
•
yksikön tietoturvatoimenpiteiden toimeenpano ja organisointi
osastonsa/tulosyksikkönsä tietoturva- ja tietosuojaohjeiden noudattamisen
valvonta
yksikön omistamien tietojärjestelmien vastuuhenkilöiden nimeäminen
tietoturvakoulutusten järjestäminen
rekisteritoimintojen ylläpito ja kehittäminen sekä lainmukaisen toiminnan
varmistaminen
Sosiaalitoimen toimintayksiköissä vastaavan johtajan tulee antaa kirjalliset ohjeet
asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelys1
sä .
Tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja mahdollisten erityislakien edellyttämä korkea tietosuojan taso. Tällöin voidaan rakentaa ja säilyttää
luottamus rekisteröidyn ja rekisterinpitäjän välille. Tietosuojavastaavan tehtävänä on
antaa asiantuntija-apua sekä organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä.
1
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007, 20 §
4
LUKU 1
LAINSÄÄDÄNTÖ JA OHJEET
•
•
•
•
•
•
•
osallistuminen rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita
koskevaan valmisteluun ja ylläpitoon
henkilötietojen käsittelyä (lokiseuranta) ja niiden suojausmenetelmiä seuraaminen ja valvominen
rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen osallistuminen
henkilökunnan ja rekisteröityjen tukeminen tietosuoja-asioissa
toimiminen yhdyssiteenä valvontaviranomaisiin
raportoiminen organisaation johdolle tietosuojan (ja tietoturvallisuuden) tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta),
organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä
vastaaminen
Kunnanhallitus ja –valtuusto vastaavat kunnan yleisestä tietoturvasta.
1.3 Tietojärjestelmät ja niiden tietosuojaan liittyvä ohjeistaminen
1.3.1
Tietoturvaperiaatteet
Henkilötietolain 32.1 §:n mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä tai muulta laittomalta käsittelyltä.
Julkisuuslain 18 §:n mukaan viranomaisen velvollisuutena on edistää ja toteuttaa
hyvää tiedonhallintatapaa. Tietoaineistoihin liittyviä intressejä ovat asiakirjojen julkisuus ja salassapito, arkistointi, henkilötietojen suoja ja tietojen käyttörajoitukset sekä
tietoturvallisuus. Viranomaisen tulee hyvän tiedonhallintatavan toteuttamiseksi turvata tietoturvan kolme ulottuvuutta: luottamuksellisuus, eheys ja käytettävyys. Luottamuksellisuudella tarkoitetaan, että salassa pidettävät tiedot ovat vain ja ainoastaan
niihin oikeutettujen käytettävissä. Eheydellä tarkoitetaan, että tiedot eivät muutu hallitsemattomasti ja että ne pysyvät suunnitellussa muodossaan virheettöminä. Käytettävyys tarkoittaa, että tietoihin pääsee käsiksi oikeaan aikaan ja häiriöttä.
Tietoturvallisuudessa on huomioitava, että rekisteröidyn oikeudet ja rekisterinpitäjän
velvollisuudet voivat toteutua. Erityistä huomiota on kiinnitettävä arkaluonteisia tietoja sisältävän henkilörekisterin suojaamiseen. Salassa pidettävien tietojen suojaaminen ja asianmukainen hävittäminen on rekisterinpitäjän vastuulla. Tietoturvallisuustoimenpiteitä suunniteltaessa rekisterinpitäjän on selvitettävä muun muassa tietoaineistoihinsa sisältyvien tietojen saatavuuden, käytettävyyden ja laadun merkitys sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvallisuustoimenpiteistä aiheutuvat kustannukset.
Hyvän tiedonhallintatavan mukaan asiakasasiakirjat muodostetaan rakenteellisesti
sellaisiksi kokonaisuuksiksi, ettei tietoja joudu luvatta ulkopuolisille ja että myös henkilötietolain käyttötarkoitussidonnaisuus voidaan ottaa huomioon. Käyttötarkoitussidonnaisuus tarkoittaa, että henkilötietojen käsittelyn tulee olla asiallisesti perusteltua
2
rekisterinpitäjän toiminnan kannalta. Tällöin varmistutaan, että vain ne henkilöt, jotka osallistuvat asiakkaan palveluun tai siihen liittyvien tehtävien suorittamiseen,
saavat tehtäviensä hoidon kannalta tarpeelliset asiakastiedot.
Työntekijöitä tulisi kouluttaa säännöllisesti henkilötietojen käsittelyyn liittyvissä asioissa.
2
Henkilötietolaki 523/1999, 7 §
5
LUKU 1
LAINSÄÄDÄNTÖ JA OHJEET
Rekisterinpitäjän on huolehdittava, että henkilötietojen käsittely tapahtuu asianmukaisesti. Sähköisen ja automaattisen tietojen käsittelyn osalta on otettava huomioon
tietoturvaan liittyvät vaatimukset.
1.3.2
Laitteistot
Perinteisessä työympäristössä kiinteiden työasemien ja laitteiden suojaaminen perustuu työtilojen tai työaseman lukitsemiseen. Liikuttaessa oman työympäristön ulkopuolella ja käytettäessä etätyölaitteita (kannettavat tietokoneet, puhelimet, muistitikut) tietosuojasta on erityisesti huolehdittava. Kannettavilla päätelaitteilla voi olla
suora yhteys sähköpostiin tai muuhun tietojärjestelmään. Kannettavista laitteista on
huolehdittava, etteivät ne joudu vääriin käsiin. Käyttäjien on etukäteen mietittävä,
millaista salassa pidettävää tietoa laitteet sisältävät ja miten salassa pidettävien tietojen pääsyn riskiä ulkopuolisille vähennetään, jos laite varastetaan.
Laiteturvallisuuden tavoitteena on varmistaa laitteiden ja tieto-omaisuuden vahingoittumattomuus sekä estää niiden katoaminen. Laiteturvallisuus käsittää tietojenkäsittely- ja tietoliikennelaitteiden käytettävyyden, toiminnan, kokoonpanon, kunnossapidon, kierrätyksen, poiston ja laadunvarmistuksen.
Hankintoja suunniteltaessa ja toteutettaessa tulee varmistua laitteistojen yhteensopivuudesta sekä soveltuvuudesta. On määriteltävä vaatimukset, jotka tietojärjestelmälaitteiston tulee täyttää. Järjestelmäkuvaukseen sisällytetään palvelimet ja keskuslaitteet, sisäverkon reitittimet, työasemat, kannettavat tietokoneet, langattomat
verkot sekä muut tietojärjestelmälaitteet.
Elinkaaritarkastelussa tulee laitteiston käyttöikä määritellä etukäteen. Lisäksi tulee
varmistaa, että laitteistoa voidaan uusia tai laajentaa ja että laitteiston ylläpidolle ja
huollolle löytyy tuki. Laitteet tulee rekisteröidä ja turvamerkitä. Laitteilla tulee olla nimetyt vastuuhenkilöt. Laitteistojen omille ohjelmille tulee saada versio- ja korjauspäivitykset.
Laitteistoturvallisuuteen kuuluu myös suunnitella laitteiden kierrätys ja käytöstä poistaminen. Toimintayksikön tulee varmistua, että sähköiseen muotoon arkistoitu tiedot
saadaan myöhemminkin tarvittaessa käyttöön. Siksi tulee säilyttää myös vanhoja,
poistettuja tietojärjestelmälaitteita sekä niiden sovellusohjelmistoja.
Organisaation käytössä olevat palvelimet ja tietojärjestelmäpalvelut on keskitetty
suojattuun ja lukittuun tilaan. ATK-laitteiden hankinta ja huolto on keskitetty hallintoosastoon atk-tuelle, joka huolehtii laitteistojen sopivuudesta ja huollosta. Tietoliikenneverkkojen suojaus tapahtuu palomuurein ja virustorjunta tapahtuu keskitetysti. Virustorjuntaohjelmat päivittyvät työasemille automaattisesti.
Työntekijän tulee noudattaa organisaation ja hallinto-osaston atk-tuen työyksikön
käytöstä antamia ohjeita. Työasemassa saa käyttää vain kunnan hyväksymiä ja
hallinto-osaston atk-tuen asentamia ohjelmia. Omia laitteita tai ohjelmia ei saa asentaa työasemaan ilman atk-tuen suostumusta. Kunnan ulkopuolelta tuodut tiedostot,
muistitikut ja cd-levyt on virustarkistettava. Mikäli työntekijä havaitsee tai epäilee
työasemassa olevan tietokoneviruksen, on asiasta ilmoitettava välittömästi atk-tuelle
ja työaseman käyttö on lopetettava.
1.3.3
Tietojärjestelmät
Sähköisessä käsittelyssä korostuvat hyvän tietojenkäsittelytavan ja hyvän tiedonhallinnan varmistavat keinot, joiden avulla voidaan myös ehkäistä tietosuoja- ja tietoturvariskien syntyminen.
6
LUKU 1
LAINSÄÄDÄNTÖ JA OHJEET
Sähköisten järjestelmien lainmukaisen käytön varmistamiseksi on tärkeää, että järjestelmää käyttävä henkilöstö tietää, mitä vaatimuksia lainsäädäntö ja työnantajan
antamat määräykset ja ohjeet järjestelmän käytölle ja tietosuojan sekä tietoturvan toteuttamiselle asettavat. Henkilöstön on hyvä tietää mitkä on tietojärjestelmän keskeiset salassapitoa ja suojaamista varmistavat ominaisuudet. Henkilöstön tulisi osata käyttää järjestelmää lainmukaisesti sekä myös käytännössä toimia määräysten
mukaisesti. Tämä edellyttää koulutuksen ja ohjauksen sekä myös valvonnan järjestämistä.
Sähköiseen asiakasasiakirjojen käsittelyyn siirryttäessä tarvitaan käyttö- ja vaitiolositoumuksen antaminen.
Organisaatiossamme on käytössä lukuisia sähköisiä tietojärjestelmiä. Keskeisimmät
tietojärjestelmät liittyvät asiakastietojärjestelmiin sekä taloushallinnon että henkilöstöhallinnon tietojärjestelmiin. Hallinto-osasto tuottaa tietohallintopalvelut ja vastaa
käytössä olevista tietojärjestelmistä. Jaetuissa kansioissa kohdassa
\\Muonioknt2\Omat\A Jaetut tiedostot ovat ajan tasalla olevat ohjeet koskien käyttäjätunnuksia ja salasanoja, työaseman käyttöä sekä sähköpostin ja internetin käyttöä.
Sosiaalitoimen järjestelmien toimittajan CGI:n internet-sivuilla ovat ajan tasalla olevat ohjeet koskien sosiaalitoimen Pro Consona tietojärjestelmän toimintaa.
Organisaatiolla ei ole oikeutta hankkia omatoimisesti suppeatakaan omaan toimintaan liittyvää tietojärjestelmää, vaan tietojärjestelmien hankinta tulee tehdä yhteistyössä hallinto-osaston atk-tuen kanssa.
1.3.4
Kertomustietojen jatkuvuus ja toipuvuussuunnitelma ATK:n käyttökatkon varalle
Kunnassa laaditaan koko kuntaa kattava suunnitelma.
1.3.5
Tietoturvalliset käytännöt
Rekistereiden ylläpito on suunnitelmallista toimintaa ja niillä on aina olemassa erikseen määritelty käyttötarkoitus. Yleensä käyttötarkoitus kuvataan rekisteriselosteessa. Käyttötarkoitus rajoittaa, miten ja mihin tarkoitukseen tietoja käsitellään. Sosiaalihuollon asiakirjojen ja rekistereiden käyttötarkoitus määrittää myös, mitä tietoja
saadaan käsitellä. Sosiaalihuollossa sallittua on asiakkaan sosiaalihuollon järjestämiseksi tarpeellisten tietojen käsittely.
Käyttötarkoitus määrittää, mitä tietoja yksittäinen henkilö saa käsitellä. Lisäksi yksittäisen työntekijän oikeus käsitellä asiakasta koskevia tietoja on sidoksissa omiin työtehtäviin. Jokainen saa käsitellä vain tehtävien hoitamiseksi tarpeellisia tietoja.
Sosiaalihuollossa niin sanottujen arkaluonteisten tietojen käsittelyn edellytykset ovat
tiukemmat. Arkaluonteisia tietoja ovat muun muassa henkilön rotua ja etnistä alkuperää, terveydentilaa ja sairautta sekä sosiaalihuollon tarvetta tai hänen saamiaan
sosiaalihuollon etuisuuksia kuvaavat tiedot. Jotta tietoja saadaan käsitellä, on niiden
oltava käyttötarkoituksen kannalta välttämättömiä. Samoin toista henkilöä kuin asiakasta itseään koskevia tietoja saa käsitellä vain jos ne ovat asiakkaan asian kannalta välttämättömiä.
Tietojen käsittelyn yleisiin periaatteisiin kuuluu myös se, että sallittua ei ole virheellisten, epätäydellisten tai vanhentuneiden tietojen käsittely. Virheelliset ja vanhentuneet tiedot on korjattava. Tieto on korjattava niin, että korjattu tieto on nähtävissä.
7
LUKU 1
LAINSÄÄDÄNTÖ JA OHJEET
Opiskelijoita tietojen käsittelijänä tarkastellaan luvussa 3, kappaleessa 3.2 Henkilörekisterin käyttö.
Tietoturvallisiin käytäntöihin kuuluu myös tärkeiden tietojen varmuuskopiointi riittävän usein, jolloin ongelmatilanteissa ainakin tietojen käytettävyys on turvattu.
Sähköpostiliikenne kulkee Internetissä täysin salaamattomana, jolloin kuka tahansa
kyseisen liikenteen haltuunsa saava voi lukea viestien koko sisällön. Liikenteen haltuunsaaminen ei ole kovin vaikeaa osaavalle vihamieliselle taholle. Tästä syystä
sähköpostia tuleekin välttää salassa pidettävien tietojen välittämisessä.
Sosiaalinen krakkerointi on toimintaa, jossa hyökkääjä yrittää sosiaalisia taitojaan
hyväksikäyttäen saada organisaation tietoja haltuunsa. Tähän liittyy vahvasti työntekijän luottamuksen hyödyntäminen: hyökkääjän pitää saada uhri luottamaan häneen sen verran, että huijaus onnistuu ja uhri paljastaa halutut tiedot. Yleensä sosiaalisella krakkeroinnilla yritetään hankkia käyttäjätunnuksia ja salasanoja organisaation tietojärjestelmiin. Kun joltain hyväuskoiselta työntekijältä on saatu huijattua hänen tunnuksensa esim. organisaation sisäverkkoon, voi hyökkääjä näitä tunnuksia
hyväksikäyttäen kopioida tärkeitä tietoja itselleen tai aiheuttaa muuta tuhoa. Lisäksi
kaikki hyökkääjän tekemät toimet näyttävät olevan tunnukset luovuttaneen työntekijän tekemiä.
Sosiaalista krakkerointia vastaan on vaikeaa suojautua ennalta, koska kaikkia yhteydenottoja ei voida täysin valvoa. Yleensä hyökkääjä havittelee käyttäjätunnusta ja
salasanaa, koska niiden avulla voi tehdä monia toimia ja päästä käsiksi tärkeisiin tietoihin.
Mitään henkilökohtaista salasanaa ei saa kertoa koskaan kenellekään, ei edes
oman organisaation tekniselle ylläpidolle. Käyttäjätunnusta ylläpito saattaa joissain
tapauksissa tarvita, mutta salasanoja he eivät tarvitse.
Sosiaali- ja terveydenhuollossa sosiaalinen krakkerointi näkyy lähinnä potilastietojen
epämääräisinä kyselyinä. Työntekijälle saattaa soittaa esim. jonkin asiakkaan puolisona esiintyvä henkilö, joka haluaa tietää tarkemmin puolisonsa terveydentilasta.
Tällaisissa tapauksissa voi kohteliaasti ilmoittaa kysyjälle, että työntekijöillä ei ole
oikeutta tai velvollisuutta luovuttaa asiakkaita koskevia tietoja ellei kysyjää voida
luotettavasti tunnistaa.
Organisaation omat käytännöt ja ohjeet:
Käyttöoikeuksia annetaan tehtävä- tai roolikohtaisesti. Ennen käyttöoikeuksien luovuttamista työntekijälle annetaan tiedoksi ATK-työskentelyn tietosuojaohjeet ja työntekijä allekirjoittaa käyttäjäsitoumuksen. Työntekijän allekirjoittama sitoumus sekä
lista työntekijän käyttöoikeuksista säilytetään erillisessä rekisterissä.
Mikäli opiskelijoille katsotaan tarpeelliseksi antaa omat käyttäjätunnukset, tulee heidän osaltaan tehdä yksilökohtainen arvio käyttöoikeuksien laajuudesta. Opiskelija
tekee merkinnät sähköiseen järjestelmään omilla tunnuksillaan, eikä opiskelijan ohjaaja saa luovuttaa omia tunnuksiaan tätä tarkoitusta varten opiskelijalle. Opiskelijan
tekemät merkinnät hyväksyy hänen esimiehensä, ohjaajansa tai tämän valtuuttama
henkilö. Merkinnät hyväksyvän henkilön tulee tehdä merkintöjen hyväksyminen
myös omilla käyttäjätunnuksillaan, ei opiskelijan tunnuksilla.
8
LUKU 1
LAINSÄÄDÄNTÖ JA OHJEET
Lähiesimies tilaa järjestelmän pääkäyttäjiltä työntekijän tarvitsemat uudet käyttöoikeudet kirjallisesti sekä liittää mukaan allekirjoitetun käyttäjäsitoumuksen. Käyttöoikeustilauksessa tulee ilmetä työntekijän tunnistetiedot, tehtävänimike ja rooli, missä
hän tulee työskentelemään ja tunnusten voimassaoloaika. Käyttöoikeuksien aktivointi ja niiden poistot tehdään sähköpostilla pääkäyttäjälle. Sosiaalijohtaja hyväksyy
lähiesimiehen esityksen jonka jälkeen pääkäyttäjä tekee tunnukset. Pääkäyttäjä
kiinnittää työntekijän tunnuksen roolin mukaiseen käyttäjäryhmään ja määrittelee
muut käytön kannalta tarpeelliset tiedot. Käyttäjätunnus ja kirjautumisen salasana
toimitetaan kirjallisesti suljetussa kirjekuoressa työntekijälle. Käyttäjätunnus on henkilökohtainen ja jokainen itse suojaa sen käyttöä salasanalla.
1.3.6
Organisaation fyysiset järjestelyt
Työpaikalla tietoturvasta huolehditaan pitämällä ovia lukossa, jotta ulkopuolisilla ole
mahdollisuutta saada tietoonsa salassa pidettävää tietoa. Työpisteen järjestelyissä
tulisi huomioida, ettei tietokoneen näyttö tai salassapidettäviä asiakirjoja ole asiakkaiden tai muiden ulkopuolisten nähtävillä. Työpisteeltä poistuttaessa tietokone tulee
myös lukita tai sulkea, jotta ulkopuolisilla ei ole mahdollisuutta päästä tarkastelemaan koneella olevia tietoja.
Organisaation omat käytännöt ja ohjeet:
Asiakastietojärjestelmiä saa käyttää vain omalla tunnuksella ja salasanalla. Käyttäjätunnukset ovat aina henkilökohtaisia ja jokainen vastaa itse omalla tunnuksellaan
tehdyistä merkinnöistä. Työntekijän tulee vaihtaa saamansa salasana heti ensimmäisen kirjautumisen yhteydessä. Myöhemmin salasana tulee vaihtaa tarvittaessa
tai rekisterinpitäjän antaman ohjeen mukaisesti säännöllisin väliajoin. Salasanan on
oltava riittävän pitkä eikä se saa olla helposti arvattavissa. Käyttäjätunnus ja salasana on pidettävä muistissa eikä niitä saa antaa muiden käyttöön.
9
VIRANOMAISEN ASIAKIRJAN JULKISUUS JA TIETOSUOJA
LUKU 2
2 Viranomaisen asiakirjan julkisuus ja tietosuoja
3
Julkisuuslaissa on määritelty asiakirjojen julkisuus ja salassa pidettävät asiakirjat.
Lähtökohtana on, että viranomaisen asiakirjat ovat julkisia, ellei julkisuuslaissa tai
muussa lainsäädännössä muuta säädetä. Julkisuusperiaate ei siis koske salassa pidettäviä asiakirjoja.
Julkisuusperiaatteen tarkoituksena on toteuttaa avoimuutta ja hyvää tiedonhallintatapaa viranomaisten toiminnassa sekä antaa yksilöille ja yhteisöille mahdollisuus
valvoa julkisen vallan ja varojen käyttöä, muodostaa vapaasti mielipiteensä sekä
vaikuttaa julkisen vallan käyttöön ja valvoa oikeuksiaan ja etujaan. Lisäksi perustuslaissa on säädetty, että jokaisella on oikeus saada tieto viranomaisen asiakirjasta.
Viranomaisen asiakirjalla tarkoitetaan viranomaisen hallussa olevaa asiakirjaa, jonka
viranomainen tai sen palveluksessa oleva on laatinut tai joka on toimitettu viranomaiselle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa
asiassa.
Henkilötietolain lähtökohtana on, että arkaluonteisten henkilötietojen käsittely on
pääsääntöisesti kielletty. Oikeus arkaluonteisten henkilötietojen käsittelyyn on henkilötietolailla rajattu tilanteisiin, joissa lainsäätäjä on katsonut tietojen käsittelyn rekisterinpitäjän toiminnan ja tehtävien kannalta välttämättömäksi. Salassapitovelvollisuudesta huolimatta tietyissä erityistapauksissa salassa pidettävistä tiedoista on oikeus tai velvollisuus ilmoittaa viranomaiselle.
2.1 Viranomaisen asiakirjan määritelmä
Viranomaisen asiakirja
4
Asiakirjalla tarkoitetaan tässä laissa kirjallisen ja kuvallisen esityksen lisäksi sellaista
käyttönsä vuoksi yhteen kuuluviksi tarkoitetuista merkeistä muodostuvaa tiettyä
kohdetta tai asiaa koskevaa viestiä, joka on saatavissa selville vain automaattisen
tietojenkäsittelyn tai äänen- ja kuvantoistolaitteiden taikka muiden apuvälineiden
avulla.
Viranomaisen asiakirjalla tarkoitetaan viranomaisen hallussa olevaa asiakirjaa, jonka
viranomainen tai sen palveluksessa oleva on laatinut taikka joka on toimitettu viranomaiselle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa
asiassa. Viranomaisen laatimana pidetään myös asiakirjaa, joka on laadittu viranomaisen antaman toimeksiannon johdosta, ja viranomaiselle toimitettuna asiakirjana
asiakirjaa, joka on annettu viranomaisen toimeksiannosta tai muuten sen lukuun
toimivalle toimeksiantotehtävän suorittamista varten.
Viranomaisen asiakirjana ei pidetä 5 momentissa säädetyin poikkeuksin:
1) viranomaisen palveluksessa olevalle tai luottamushenkilölle hänen muun tehtävänsä tai asemansa vuoksi lähetettyä kirjettä tai muuta asiakirjaa;
3
4
Laki viranomaisten toiminnan julkisuudesta 621/1999
Laki viranomaisten toiminnan julkisuudesta 621/1999, 5 §
10
VIRANOMAISEN ASIAKIRJAN JULKISUUS JA TIETOSUOJA
LUKU 2
2) viranomaisen palveluksessa olevan tai viranomaisen toimeksiannosta toimivan
laatimia muistiinpanoja taikka sellaisia luonnoksia, joita laatija ei ole vielä antanut esittelyä tai muuta asian käsittelyä varten;
3) viranomaisen sisäistä koulutusta, tiedonhakua tai muuta niihin verrattavaa sisäistä käyttöä varten hankittuja asiakirjoja;
4) asiakirjaa, joka on annettu viranomaiselle yksityisen lukuun suoritettavaa tehtävää varten tai laadittu sen suorittamiseksi;
5) viranomaiselle löytötavarana jäänyttä tai toimitettua asiakirjaa.
Lakia sovelletaan viranomaisissa työskentelevien sekä viranomaisten ja niiden lukuun toimivien yksityisten ja yhteisöjen välisiä neuvotteluja, yhteydenpitoa ja muuta
niihin verrattavaa viranomaisten sisäistä työskentelyä varten laadittuihin asiakirjoihin
vain, jos asiakirjat sisältävät sellaisia tietoja, että ne arkistolainsäädännön mukaan
on liitettävä arkistoon. Jos asiakirjat kuitenkin liitetään arkistoon, viranomainen voi
määrätä, että tietoja niistä saa antaa vain viranomaisen luvalla.
2.2 Asiakirjan julkiseksi tuleminen
2.2.1
Viranomaisen laatiman asiakirjan julkiseksi tuleminen
5
Asiakirja tulee julkiseksi, jollei asiakirjan julkisuudesta taikka salassapidosta tai
muusta tietojen saantia koskevasta rajoituksesta julkisuuslaissa tai muussa laissa
säädetä seuraavasti:
1) tarjous-, selvitys- ja lausuntopyyntö sekä esitys, ehdotus, aloite, ilmoitus tai
hakemus liiteasiakirjoineen muissa kuin 2 kohdassa tarkoitetuissa tapauksissa, kun se on allekirjoitettu tai sitä vastaavalla tavalla varmennettu;
2) hankintaa ja urakkaa samoin kuin muuta tarjousten perusteella ratkaistavaa
oikeustointa koskeva tarjouksen täydennyspyyntö ja tarjousasian käsittelyä
varten laaditut selvitykset ja muut asiakirjat, kun sopimus asiassa on tehty;
3) tutkimus ja tilasto sekä niihin verrattavissa oleva yleisesti merkittävän ratkaisun tai suunnitelman esillä olevia vaihtoehtoja, niiden perusteita ja vaikutuksia kuvaava itsenäisen kokonaisuuden muodostava selvitys, silloinkin kun
se liittyy muuten keskeneräiseen asiaan, kun se on valmis käyttötarkoitukseensa;
4) pöytäkirja, kun se tarkastuksen jälkeen on allekirjoitettu tai sitä vastaavalla
tavalla varmennettu, jollei sitä ole laadittu asian valmistelemiseksi tai viranomaisen sisäistä työskentelyä varten;
5) päätös, lausunto, toimituskirja ja viranomaisen sopimusosapuolena tekemä
ratkaisu sekä niiden käsittelyä varten viranomaisessa laaditut muistiot, pöytäkirjat ja muut kuin 1–2 tai 3–4 kohdassa tarkoitetut asiakirjat, kun päätös,
lausunto, toimituskirja tai sopimus on allekirjoitettu tai sitä vastaavalla tavalla
varmennettu;
6) muu kuin 1–2 sekä 3–4 kohdassa tarkoitettu asiakirja, kun asia, jota se koskee, on siinä viranomaisessa käsitelty loppuun.
Jos asiassa annetaan toimituskirja tai muu asiakirja, viranomaisen on huolehdittava
mahdollisuuksiensa mukaan tarvittaessa siitä, että asianosainen voi saada asiakirjan sisällöstä tiedon ennen sen julkiseksi tulemista.
5
Laki viranomaisten toiminnan julkisuudesta 621/1999, 6 §
11
VIRANOMAISEN ASIAKIRJAN JULKISUUS JA TIETOSUOJA
2.2.2
Viranomaiselle toimitetun asiakirjan julkiseksi tuleminen
LUKU 2
6
Viranomaiselle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa asiassa toimitettu asiakirja tulee julkiseksi, kun viranomainen on sen saanut,
jollei asiakirjan julkisuudesta taikka salassapidosta tai muusta tietojen saantia koskevasta rajoituksesta tässä tai muussa laissa säädetä.
Asiantuntijalausunnot ja muut sellaiset asiakirjat, jotka on päätetty avata tiettynä
ajankohtana tai tietyn määräajan jälkeen, tulevat 1 momentissa tarkoitetuin rajoituksin julkisiksi, kun ne avataan. Viranomaiselle toimitetut hankinta-, urakka- ja muut
tarjouskilpailun perusteella ratkaistavaa oikeustointa koskevat tarjoukset tulevat 1
momentissa mainituin rajoituksin julkisiksi vasta, kun sopimus on tehty.
Asiakirja, jonka sisältö on saatavissa selville vain apuvälinein, tulee julkiseksi, jollei
salassapitosäännöksistä tai muista tietojen saantia koskevista rajoituksista muuta
johdu, aikaisintaan silloin, kun se on viranomaisen tai tämän lukuun toimivan käytettävissä.
2.3
Salassa pidettävät asiakirjat
Henkilötietolaissa
Henkilötietolain lähtökohtana on, että arkaluonteisten henkilötietojen käsittely on
pääsääntöisesti kielletty. Oikeus arkaluonteisten henkilötietojen käsittelyyn on henkilötietolailla rajattu tilanteisiin, joissa lainsäätäjä on katsonut tietojen käsittelyn rekisterinpitäjän toiminnan ja tehtävien kannalta välttämättömäksi.
Arkaluonteisia tietoja ovat tiedot, jotka kuvaavat tai on tarkoitettu kuvaamaan
• rotua tai etnistä alkuperää
• henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista
• rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta
• henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia
• henkilön seksuaalista suuntautumista tai käyttäytymistä; taikka
• henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
Sosiaalihuollon asiakaslakiin sisältyvät sekä julkisiin että yksityisiin sosiaalipalveluihin sovellettavat erityissäännökset salassapitovelvoitteista ja poikkeuksista niihin.
Sosiaalihuoltoon sovelletaan myös julkisuuslain ja henkilötietolain säännöksiä siltä
osin kuin ne ovat asiakaslakia täydentäviä.
Asiakaslaissa
Asiakaslain mukaan sosiaalihuollon asiakirjat, jotka sisältävät tietoja sosiaalihuollon
asiakkaasta tai muusta yksityisestä henkilöstä, ovat salassa pidettäviä. Salassa pidettävää asiakirjaa tai sen kopiota tai tulostetta ei saa näyttää eikä luovuttaa sivulliselle, eikä antaa teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtä7
väksi tai käytettäväksi.
Julkisuuslaissa
Asiakirja on julkinen, ellei se ole lainsäädännössä säädetty salaiseksi. Julkisuuslaissa säädetään salassa pidettävistä viranomaisen asiakirjoista 32-kohtaisella luettelol8
la. Seuraavassa on sosiaali- ja terveydenhuollon näkökulmasta julkisuuslaista
poimitut keskeiset salassa pidettävät asiakirjat.
Salassa pidettäviä asiakirjoja ovat:
6
Laki viranomaisten toiminnan julkisuudesta 621/1999, 7 §
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 22.9.2000/812, 14 §
8
Laki viranomaisten toiminnan julkisuudesta 621/1999, 24 §
7
12
VIRANOMAISEN ASIAKIRJAN JULKISUUS JA TIETOSUOJA
LUKU 2
•
kanteluasiakirjat ennen asian ratkaisua, jos tiedon antaminen niistä vaikeuttaisi
asian selvittämistä tai ilman painavaa syytä olisi omiaan aiheuttamaan vahinkoa tai kärsimystä asiaan osalliselle;
•
henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat,
jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen
tarkoituksen toteutumista;
•
tilastoviranomaiselle tilastojen laatimista varten annetut asiakirjat samoin kuin
asiakirjat, jotka on vapaaehtoisesti annettu viranomaiselle tutkimusta tai tilastointia varten;
•
asiakirjat, jotka sisältävät tietoja valtion, kunnan tai muun julkisyhteisön tai 4
§:n 2 momentissa tarkoitetun yhteisön, laitoksen tai säätiön liike- tai ammattisalaisuudesta, samoin kuin sellaiset asiakirjat, jotka sisältävät tietoja muusta
vastaavasta liiketoimintaa koskevasta seikasta, jos tiedon antaminen niistä aiheuttaisi mainituille yhteisöille, laitoksille tai säätiöille taloudellista vahinkoa tai
saattaisi toisen samanlaista tai muutoin kilpailevaa toimintaa harjoittavan julkisyhteisön tai yksityisen parempaan kilpailuasemaan tai heikentäisi julkisyhteisön tai 4 §:n 2 momentissa tarkoitetun yhteisön, laitoksen tai säätiön mahdollisuuksia edullisiin hankintoihin tai sijoitus-, rahoitus- ja velanhoitojärjestelyihin;
•
viranomaisen oikeudenkäynnin osapuolena oikeudenkäyntiin valmistautumista
varten laatimat ja hankkimat asiakirjat, jos tiedon antaminen asiakirjasta olisi
vastoin julkisyhteisön tai 4 §:n 2 momentissa tarkoitetun yhteisön, laitoksen,
säätiön tai henkilön etua oikeudenkäynnissä;
•
asiakirjat, jotka sisältävät tietoja yksityisestä liike- tai ammattisalaisuudesta,
samoin kuin sellaiset asiakirjat, jotka sisältävät tietoja muusta vastaavasta yksityisen elinkeinotoimintaa koskevasta seikasta, jos tiedon antaminen niistä aiheuttaisi elinkeinonharjoittajalle taloudellista vahinkoa, ja kysymys ei ole kuluttajien terveyden tai ympäristön terveellisyyden suojaamiseksi tai toiminnasta
haittaa kärsivien oikeuksien valvomiseksi merkityksellisistä tiedoista tai elinkeinonharjoittajan velvollisuuksia ja niiden hoitamista koskevista tiedoista;
•
asiakirjat, jotka koskevat opinnäytetyön tai tieteellisen tutkimuksen suunnitelmaa tai perusaineistoa taikka teknologista tai muuta kehittämistyötä tai niiden
arviointia, jollei ole ilmeistä, että tiedon antaminen niistä ei aiheuta opinnäytetyön, tutkimuksen tai kehittämistyön suorittamiselle taikka niiden hyödyntämiselle tai sen asianmukaiselle arvioinnille tai tutkijalle taikka tutkimuksen tai kehittämistyön toimeksiantajalle haittaa;
•
asiakirjat, jotka sisältävät tietoja henkilön vuosituloista tai kokonaisvarallisuudesta taikka tuen tai etuuden perusteena olevista tuloista ja varallisuudesta
taikka jotka muutoin kuvaavat hänen taloudellista asemaansa, sekä ulosottoviranomaisen asiakirjat siltä osin kuin ne sisältävät sellaisia tietoja, jotka ulosottorekisteriin merkittyinä olisivat ulosottokaaren mukaan salaisia, sekä tiedot luonnollisesta henkilöstä ulosottovelallisena ja ulosottoselvitys;
•
asiakirjat, jotka sisältävät tietoja sosiaalihuollon asiakkaasta tai työhallinnon
henkilöasiakkaasta sekä tämän saamasta etuudesta tai tukitoimesta taikka sosiaalihuollon palvelusta tai työhallinnon henkilöasiakkaan palvelusta taikka tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan
terveydenhuollon ja kuntoutuksen palvelusta taikka tietoja henkilön seksuaalisesta käyttäytymisestä ja suuntautumisesta;
•
asiakirjat, jotka sisältävät tietoja rikoksesta syytetylle tehdystä oikeuspsykiatrisesta mielentilatutkimuksesta, nuoresta rikoksentekijästä laaditusta henkilötutkinnasta, nuorisorangaistuksen toimeenpanosuunnitelmasta, vankeusrangais-
13
VIRANOMAISEN ASIAKIRJAN JULKISUUS JA TIETOSUOJA
LUKU 2
tuksen sijasta suoritettavan yhdyskuntapalvelun soveltuvuusselvityksestä, rangaistusajan suunnitelmasta, vapauttamissuunnitelmasta, valvontasuunnitelmasta sekä pitkäaikaisvangin vapauttamismenettelyä varten annetusta lausunnosta;
2.4
•
asiakirjat, jotka sisältävät tietoja henkilölle suoritetusta psykologisesta testistä
tai soveltuvuuskokeesta tai sen tuloksesta taikka asevelvollisen sijoittamista tai
työntekijän valintaa tai palkkauksen perustetta varten tehdyistä arvioinneista;
•
asiakirjat, jotka sisältävät tiedon henkilön ilmoittamasta salaisesta puhelinnumerosta tai tiedon matkaviestimen sijaintipaikasta, samoin kuin asiakirjat, jotka
sisältävät tiedon henkilön kotikunnasta ja hänen siellä olevasta asuinpaikastaan tai tilapäisestä asuinpaikastaan samoin kuin puhelinnumerosta ja muista
yhteystiedoista, jos henkilö on pyytänyt tiedon salassapitoa ja hänellä on perusteltu syy epäillä itsensä tai perheensä terveyden tai turvallisuuden tulevan
uhatuksi;
•
asiakirjat, jotka sisältävät tietoja henkilön poliittisesta vakaumuksesta tai tietoja
henkilön yksityiselämän piirissä esittämistä mielipiteistä taikka tietoja henkilön
elintavoista, osallistumisesta yhdistystoimintaan tai vapaa-ajan harrastuksista,
perhe-elämästä tai muista niihin verrattavista henkilökohtaisista oloista; asiakirjat, jotka sisältävät tietoja henkilön toimimisesta poliittisessa tai muussa luottamustehtävässä tai henkilön pyrkimisestä sellaiseen tehtävään samoin kuin
henkilön osallistumisesta poliittisen puolueen perustamiseen ja rekisteröintiin
tai valitsijayhdistyksen perustamiseen vaaleja varten, ovat kuitenkin julkisia;
•
asiakirjat, jotka koskevat pakolaista tai turvapaikan, oleskeluluvan tai viisumin
hakijaa, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna pakolaisen
tai hakijan tai näiden läheisten turvallisuutta.
Ilmoitusoikeus tai -velvollisuus
Salassapitovelvollisuudesta huolimatta tietyissä erityistapauksissa salassa pidettä9
vistä tiedoista on oikeus tai velvollisuus ilmoittaa viranomaiselle.
2.4.1
Lastensuojeluilmoitus
Lastensuojelulain mukaan;
1) sosiaali- ja terveydenhuollon ja lasten päivähoidon;
2) opetustoimen;
3) nuorisotoimen;
4) poliisitoimen;
5) Rikosseuraamuslaitoksen;
6) palo- ja pelastustoimen;
7) sosiaalipalvelujen, lasten päivähoidon tai terveydenhuollon palvelujen tuottajan;
8) opetuksen tai koulutuksen järjestäjän;
9) seurakunnan tai muun uskonnollisen yhdyskunnan;
10) kansainvälistä suojelua hakevan vastaanotosta annetun lain (746/2011) 3 §:ssä
tarkoitetun vastaanottokeskuksen ja järjestelykeskuksen;
11) hätäkeskustoimintaa harjoittavan yksikön;
12) koululaisten aamu- ja iltapäivätoimintaa harjoittavan yksikön;
13) Tullin;
14) rajavartiolaitoksen; taikka
15) ulosottoviranomaisen
9
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 812/2000
14
VIRANOMAISEN ASIAKIRJAN JULKISUUS JA TIETOSUOJA
LUKU 2
palveluksessa tai luottamustoimessa olevat henkilöt tai vastaavissa tehtävissä toimeksiantosuhteessa tai itsenäisinä ammatinharjoittajina toimivat henkilöt sekä kaikki
terveydenhuollon ammattihenkilöt ovat velvollisia salassapitosäännösten estämättä
viipymättä ilmoittamaan kunnan sosiaalihuollosta vastaavalle toimielimelle, jos he
ovat tehtävässään saaneet tietää lapsesta, jonka hoidon ja huolenpidon tarve, kehitystä vaarantavat olosuhteet tai oma käyttäytyminen edellyttää lastensuojelun tarpeen selvittämistä.
Myös muu kuin edellä tarkoitettu henkilö voi tehdä tällaisen ilmoituksen häntä mahdollisesti koskevien salassapitosäännösten estämättä.
Edellä tarkoitetuilla henkilöillä on velvollisuus tehdä salassapitosäännösten estämättä ilmoitus poliisille, kun heillä on tehtävässään tietoon tulleiden seikkojen perusteella syytä epäillä, että lapseen on kohdistettu:
1) rikoslain (39/1889) 20 luvussa seksuaalirikoksena rangaistavaksi säädetty teko;
tai
2) sellainen rikoslain 21 luvussa henkeen ja terveyteen kohdistuvana rikoksena rangaistavaksi säädetty teko, josta säädetty enimmäisrangaistus on vähintään kaksi
10
vuotta vankeutta.
Sen estämättä, mitä lastensuojelulain 1 ja 3 momentissa säädetään, on voimassa,
mitä rippiin tai muuhun sielunhoitoon liittyvästä salassapitovelvollisuudesta erikseen
11
säädetään tai määrätään.
Lastensuojelulain 25 §:ssä tarkoitettu ilmoitusvelvollisuus voidaan toteuttaa salassapitosäännösten estämättä myös yhden lapsen tai hänen vanhempansa kanssa tehtynä sosiaalihuoltolain 35 §:n mukaisena yhteydenottona tuen tarpeen arvioimiseksi
edellyttäen, että:
1) yhteydenotto tehdään viipymättä
2) yhteydenoton yhteydessä lastensuojelulain 25 § 1 mom tarkoitettu henkilö il12
moittaa yhteydenottoon johtaneet syyt.
2.4.2
Ilmoitus edunvalvojan määräämiseksi
13
Holhoustoimilain mukaan jokaisella on oikeus ilmoittaa salassapidon estämättä
maistraatille edunvalvonnan tarpeessa olevasta henkilöstä holhousviranomaisille
(maistraatti). Ilmoitus on tehtävä ilmoitusta koskevan henkilön kotikunnan toimialueella olevalle viranomaiselle. Jos henkilöllä ei ole kotikuntaa Suomessa, ilmoitus
tehdään sille holhousviranomaiselle, jonka toimialueella hän pääasiallisesti oleskelee. Ilmoituksen saatuaan holhousviranomaisen tulee ryhtyä toimenpiteisiin edunvalvonnan tarpeen selvittämiseksi ja tehdä tarvittaessa käräjäoikeudelle hakemus
edunvalvonnan määräämiseksi.
Edunvalvoja voidaan nimetä henkilölle, joka ei pysty itse hoitamaan omia taloudellisia asioitaan. Kyvyttömyys omien asioiden hoitamisessa voi johtua alaikäisyydestä,
sairaudesta, pitkäaikaisesta poissaolosta tai joistain muusta vastaavasta syystä.
Maistraatti voi määrätä edunvalvojan, mikäli henkilö itse on hakenut edunvalvojan
määräämistä ja pyytänyt, että tietty henkilö määrättäisiin hänen edunvalvojakseen.
Mikäli hakija ei kykene ymmärtämään, mitä edunvalvojan määrääminen hänen kannaltaan merkitsee, maistraatti ei voi edunvalvojaa määrätä. Käräjäoikeuden asiana
on tällöin määrätä edunvalvoja, samoin kuin niissä tapauksissa, joissa hakemus
edunvalvojan määräämiseksi on tullut muulta kuin henkilöltä itseltään.
10
Laki Lastensuojelulain muuttamisesta 1302/2014
Laki lastensuojelulain muuttamisesta 88/2010
12
Laki lastensuojelulain muuttamisesta 1302/2014 25a§
11
13
Laki holhoustoimesta 442/1999, 91 §
15
VIRANOMAISEN ASIAKIRJAN JULKISUUS JA TIETOSUOJA
LUKU 2
Jos tuomioistuin on niin määrännyt, edunvalvojalla on oikeus edustaa päämiestään
myös sellaisessa tämän henkilöä koskevassa asiassa, jonka merkitystä päämies ei
kykene ymmärtämään. Edunvalvojalla ei tämän määräyksen nojalla ole kuitenkaan
14
edustusvaltaa asiassa, josta on toisin säädetty.
2.4.3
Törkeän rikoksen estäminen
15
Rikoslaissa säädetään yleisesti törkeän rikoksen ilmoittamatta jättämistä koskevasta rikoksesta. Sosiaali- ja terveydenhuollossa säädetty salassapitovelvollisuus
väistyy tässä pykälässä mainittujen törkeiden rikosten estämiseksi.
Salassapidon estämättä voidaan antaa esimerkiksi poliisille tieto asiakkaasta, mikäli
käsillä on välitöntä vaaraa aiheuttava tilanne jonka torjumiseksi tiedon antaminen on
välttämätöntä. Tällaisia tilanteita ovat ammattihenkilöä, toista henkilöä tai näiden
omaisuutta uhkaavat vaaratilanteet. Salassapidon estämättä tieto asiakkaasta voidaan perustellusti antaa, mikäli pelastettava etu on selvästi uhrattua etua (salassapito) suurempi.
Käytännössä esimerkiksi juopuneena autoa ajamaan lähteneestä asiakkaasta voi16
daan antaa poliisille tieto vakavan liikenneonnettomuuden estämiseksi . Asiakkaasta voidaan antaa myös tieto poliisille, mikäli välittömästi uhkaavan tai jo aloitetun oikeudettoman hyökkäyksen torjumiseksi ja hengen, terveyden ja omaisuuden
turvaamiseksi tarvitaan virka-apua poliisilta. Tällaisia tilanteita voivat olla asiakkaan
väkivaltainen käyttäytyminen tavalla, joka vaatii poliisin virka-apua.
Jokaisella on velvollisuus salassapidon estämättä ilmoittaa hankkeilla olevasta törkeästä rikoksesta, joka voidaan vielä estää viranomaiselle tai sille, jota vaara uhkaa
17
. Ilmoitusvelvollisuus koskee sellaisia tiedossa olevia rikoshankkeita, joista tiedetään millainen rikos on kyseessä ja mihin tai keneen se on kohdistumassa. Ilmoitusvelvollisuus ei koske epämääräistä, yksilöimätöntä rikoksen uhkaa tai jo tehtyjä rikoksia.
18
Rikoksen tunnusmerkistössä on mainittu rikoksina joukkotuhonta, joukkotuhonnan
valmistelu, kemiallisen aseen kiellon rikkominen, biologisen aseen kiellon rikkominen, Suomen itsemääräämisoikeuden vaarantaminen, maanpetos, törkeä maanpetos, vakoilu, törkeä vakoilu, valtiopetos, törkeä valtiopetos, raiskaus, törkeä raiskaus,
törkeä lapsen seksuaalinen hyväksikäyttö, murha, tappo, surma, törkeä pahoinpitely,
ryöstö, törkeä ryöstö, ihmisryöstö, panttivangin ottaminen, törkeä tuhotyö, törkeä
terveyden vaarantaminen, ydinräjähderikos, kaappaus, 34 a luvun 1 §:n 1 momentin
3 kohdassa tarkoitettu terroristisessa tarkoituksessa tehty rikos, törkeä ympäristön
turmeleminen tai törkeä huumausainerikos.
14
Laki holhoustoimesta 1.4.1999/442, 29 §
Rikoslaki 15 luku 10 §
16
Rikoslaki 39/1889, 4 luvun 5 §
17
Rikoslaki 39/1889, 15 luvun 10 §
18
Laki rikoslain muuttamisesta 17/2003, 10 §
15
16
REKISTERITIETOJEN KÄSITTELY
LUKU 3
3 Rekisteritietojen käsittely
3.1 Henkilörekisterin perustaminen ja rekisteriseloste
Henkilörekisteri tulee laatia, kun sen pitäminen on tarpeellista rekisterinpitäjän toiminnassa. Tarpeettomia henkilörekistereitä ei saa perustaa. Jokaisesta henkilörekisteristä tulee laatia rekisteriseloste. Henkilörekisterin lainmukaisuus ja käyttö on kokonaisuudessaan suunniteltava ennalta rekisterin arkistoinnista tietojen hävittämiseen asti. Rekistereiden käyttötarkoituksesta ja tietosisällöstä on pyydettäessä annettava tieto rekisteröidylle.
Henkilörekisterin suunnitelmassa tulee määritellä seuraavat seikat: rekisterin nimi,
rekisterin pitämisen peruste, rekisterin käyttötarkoitus, rekisterin tietosisältö, rekisterin säännönmukaiset tietolähteet, rekisteritietojen salassa pidettävyys, tietojen säännönmukainen luovutus, rekisterin sisäinen käyttö ja tietojen suojaaminen, tarkastusoikeuden, virheen oikaisun ja informointivelvollisuuden toteutus, rekisterin säilyttäminen, hävittäminen ja arkistointi. Henkilörekisterille on ennen sen käyttöönottoa nimitettävä rekisteriasioita hoitava henkilö.
Muonion sosiaalitoimen omat rekisteritiedot ja ohjeet:
Organisaatiossamme on käytössä seuraavat rekisterit:
1. Julkisuuslain mukainen sosiaalitoimen tietojärjestelmäluettelo
2. Julkisuuslain mukainen tietojärjestelmäseloste
- Pro Consonan sosiaalitoimen järjestelmä
- MD-titania työvuorojen suunnittelu
3. Henkilötietolain 10 § mukaiset rekisteriselosteet
- Pro Consona sosiaalityö
- Pro Consona vanhustyö
- Pro Consona päivähoito sisältyy sosiaalitoimen tietojärjestelmään. Lasten
päivähoito on siirtynyt sivistystoimen alaisuuteen 1.1.2010. Päivähoidon rekisteriselosteet sijaitsevat varhaiskasvatuksen ohjaajan toimistossa.
- MD-Titania työvuorojen suunnittelu- ja laskentajärjestelmä
- Mawell S7 sosiaalikollega verkkoneuvonta –ohjaus- ja neuvontapalvelu
- lastenvalvojan asiakirjat word-muotoisena palvelimella: A jaetut tiedostot/Sosiaali/2.SOSIAALITYÖ/Lastenvalvoja
Rekisteriseloste
Rekisterinpitäjän on huolehdittava siitä, että henkilörekistereistä on laadittu rekiste19
riselosteet. Rekisteriselosteesta tulee ilmetä:
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
19
rekisterinpitäjä
rekisteriasioita hoitavat henkilöt
rekisterin nimi
henkilötietojen käsittelyn tarkoitus
pitämisen peruste
kuvaus rekisteröityjen ryhmästä tai ryhmistä näihin liittyvistä tiedoista ja tietoryhmistä (tietosisältö)
rekisterin säännönmukaisista tietolähteistä
mihin tietoja säännönmukaisesti luovutetaan
rekisterin käytöstä
rekisterin yhdistäminen muihin henkilörekistereihin
kuvaus rekisterinsuojauksen periaatteista
rekisteritietojen säilytys, arkistointi ja hävittäminen
rekisteröidyn informointi
Henkilötietolaki 523/1999, 10 §
17
LUKU 3
REKISTERITIETOJEN KÄSITTELY
14)
15)
16)
17)
rekisteröidyn tarkastusoikeus
rekisteritiedon korjaaminen
kielto-oikeus
rekisterihallinto
Yksiköissä tulee olla jokaisen saatavilla rekisteriselosteet yksikössä käytettävistä
henkilörekistereistä.
Tietojärjestelmäseloste
Tietojärjestelmäselosteen tarkoituksena on yksityiskohtaisella tasolla kuvata tietojärjestelmän julkiset/salaiset tiedot.
1) tietojärjestelmän nimi
2) tietojärjestelmän toimittaja
3) tietojärjestelmän vastuutaho
4) tietojärjestelmän vastuuyksikkö ja -henkilö
5) tietojärjestelmän käyttötarkoitus
6) tietolähteet
7) tiedot ovat alkaen vuodesta
8) tietojen päivitystiheys
9) tietojen julkisuus/salassa pidettävyys
10) tietojärjestelmän julkinen osoite
11) julkiset tiedot tietoryhmittäin
12) salassa pidettävät tiedot
Tietojärjestelmäluettelo
tietojärjestelmäluetteloon on kuvattu sosiaalitoimen tietojärjestelmät.
Sosiaalitoimistossa toimistosihteerin huoneessa on nähtävillä kaikki Muonion kunnan sosiaalitoimen rekisteriselosteet, tietojärjestelmäselosteet ja tietojärjestelmäluettelot. Vanhustyön ja kotipalvelun rekisteriselosteet ovat nähtävillä Palvelukeskus
Marjapaikassa sekä Ojusniityssä.
Rekisteriselosteista toimitetaan yksi kappale arkistoon arkistovastaavalle, missä
keskitetysti säilytetään rekisteriselosteet kaikista käytössä olevista henkilörekistereistä.
3.2 Henkilörekisterin käyttö
3.2.1
Yleistä asiakkaan tietoja sisältävien henkilörekisterien käytöstä
Henkilötietojen käsittely tarkoittaa kaikenlaista henkilötietoihin kohdistuvaa toimenpidettä; henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä,
luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista ja poistamista.
Siten esimerkiksi tietojen selaaminen rekistereistä on lailla rajoitettua henkilötietojen
käyttöä.
Henkilötietolain tarkoituksena on muun ohella varmistaa, että henkilöä koskevassa
päätöksenteossa käytetään vain sellaisia tietoja, jotka kussakin tehtävässä ovat tarpeellisia ja virheettömiä. Kerättävien ja talletettavien tietojen lainmukaisuus arvioidaan käsiteltävien henkilötietojen tarkoituksen (rekisterin käyttötarkoituksen) perusteella. Henkilötietolain velvoitteet voidaan tästä johtuen toteuttaa vain, jos kerättävien ja talletettavien henkilötietojen käsittelyn tarkoitus (henkilörekisterinkäyttötarkoitus) on asianmukaisesti määritelty.
Samaan henkilörekisteriin voi myös kuulua erillisiä tiedostoja (osarekistereitä). Esimerkiksi sosiaalihuollossa voi syntyä myös potilastietoja, jos siellä työskentelee ter-
18
LUKU 3
REKISTERITIETOJEN KÄSITTELY
veydenhuollon ammattihenkilöitä, jotka antavat tutkimusta ja hoitoa. Tällöin, esim.
kasvatus- ja perheneuvolassa, potilastiedoista muodostuu oma osarekisterinsä.
Sosiaalihuollossa tiettyyn henkilörekisteriin merkityt tiedot ovat se asiakirjakokonaisuus, joka koostuu palvelukohtaisesta asiakaskertomuksesta ja siihen liittyvistä
muista asiakirjoista, kuten mm. etuutta tai palvelua koskevasta hakemuksesta, asiakasta koskevista päätösasiakirjoista ja niiden liitteistä, päivittäisistä merkinnöistä,
asiakkaan antamista tai sosiaalihuollon viranomaisen oma-aloitteisesti hankkimista
selvityksistä ja lausunnoista.
Kaikki sosiaalihuollon rekisterit voivat olla samassa tietojärjestelmässä, mutta eri
tiedostoissa siten, että kukin rekisteri muodostaa oman erillisen ja erikseen käytettävän kokonaisuutensa. Kullakin eri rekisterillä on eri käyttötarkoitus. Vaikka rekisterien rekisterinpitäjä on sama, tietoja ei saa kuitenkaan siirrellä vapaasti eri rekisterien
välillä. Kutakin tarkoitusta varten kerättyjä tietoja saa käyttää vain siihen tarkoitukseen, johon ne on kerätty. Niiden käyttö muuhun tarkoitukseen edellyttää lainsäädännöstä löytyvää oikeutusta tai henkilön suostumusta. Toiseen käyttötarkoitukseen
perustetun asiakasrekisterin tietoja saa käyttää (esim. katsella) vain sosiaalihuollon
erityislainsäädännössä olevien säännösten mukaisesti (tiedonsaantisaannokset) ja
jos se on tarpeellista tehtävien hoitamiseksi. Lisäksi kullakin työntekijällä saa olla oikeus päästä vain sellaisiin tietoihin, joita hän työtehtävissään tarvitsee.
Vaikka eri toiminnat, esim. kotipalvelutoiminta ja kotisairaanhoito, toiminnallisesti
yhdistettäisiin, se ei oikeuta saamaan rekisteritietoja toisesta rekisteristä ilman asianomaisen suostumusta tai lainsäädännöstä löytyvää perustetta. Vanhusten yhdistettyä kotihoitoa koskevan kokeilun piiriin kuuluvissa kunnissa voidaan kokeilua koskevan lainsäädännön nojalla ja mukaisesti saada tietoja ilman asiakkaan suostumusta. Muutoinkin asiakkaan suostumuksella voidaan muodostaa yhteinen kotipalvelun ja kotisairaanhoidon rekisteri siltä osin, kun se on toiminnallisesti perusteltua
ja tarpeellista. Yhteisesti käytettävien tietojen osalta on oltava merkintä siitä, kuuluvatko ne sosiaalihuoltolain tarkoittamaan kotipalveluun vai kansanterveyslain mukaiseen terveydenhuollon rekisteriin vai molempiin. Esimerkiksi asiakastietoja luovutettaessa asialla on merkitystä, koska sosiaalihuollon asiakaslaissa ja potilaan asemaa
ja oikeuksia koskevassa laissa (785/1992) on mm. erilaiset tietojen luovutussäännökset.
Asiakasrekisteritietojen arkaluonteisuuden ja käyttötarkoituksen vuoksi asiakasrekisterinpitoon kohdistuu korostettu luottamuksellisuus sekä huolellisuusvelvoite ja virheettömyysvaatimus.
Sosiaalihuollon asiakirjoilla tarkoitetaan sosiaalihuollon asiakaslain mukaan viranomaisen ja yksityisen järjestämään sosiaalihuoltoon liittyvää viranomaisen laatimaa
tai sille toimitettua asiakirjaa, joka sisältää asiakasta tai muuta yksityistä henkilöä
koskevia tietoja.
Laki sosiaalihuollon asiakasasiakirjoista 254/2015 on tullut voimaan 1.4.2015. Laki
on tarkoitettu yhtenäistämään sosiaalihuollon asiakasasiakirjojen tietosisältöjä sekä
niiden laatimista, tallettamista, säilyttämistä ja muuta käsittelyä koskevia säännöksiä.
3.2.2
Opiskelijoiden oikeudet rekisteritietojen käsittelyssä
Sosiaalihuollon toimintayksikössä kullakin työntekijällä on oikeus nähdä vain sellaisia asiakkaita koskevia tietoja, joita hän työtehtävissään tarvitsee. Myös yksikössä
työskentelevällä harjoittelijalla tai opiskelijalla on oikeus nähdä sellaisia asiakastietoja, joita hän työtehtävissään tarvitsee. Jos sen sijaan opiskelija haluaa käyttää
19
LUKU 3
REKISTERITIETOJEN KÄSITTELY
asiakastietoja opinnäytetyönsä tekemiseen, merkitsee se tietojen luovuttamista ul20
kopuoliselle.
3.2.3
Rekisteritietojen korjausvaatimus
Jos rekisteröity haluaa tietojaan korjattavan, hänen tulee esittää sitä koskeva vaatimus kyseiselle rekisterinpitäjälle, kuten esimerkiksi sosiaalihuollon viranomaiselle tai
muulle viranomaiselle tai yksityiselle palveluntarjoajalle. Korjausvaatimus on suositeltavaa esittää kirjallisesti. Käytännössä rekisteröity voi esittää vaatimuksensa myös
suullisesti, jos kyseessä on selvä ja yksinkertainen virhe, jonka hän arvelee tällä tavoin korjaantuvan. Tietojen korjaamisvaatimuksen käsittely ja tietojen korjaaminen
on rekisteröidylle maksutonta.
Rekisterinpitäjälle toimitettavassa korjausvaatimuksessa tulee kertoa esimerkiksi:
• missä rekisterissä olevia tietoja tai minkä asian käsittelyyn liittyviä tietoja
vaatimus koskee
• mihin tietoon vaaditaan korjausta
• vaaditaanko tietoa tarpeettomana kokonaan poistettavaksi, tiedon oikaisemista muutoin virheellisenä tai talletetun tiedon täydentämistä rekisteröidyn
omalla näkemyksellä
• jos vaaditaan tiedon oikaisemista virheellisenä, tulee esittää sanatarkasti
korvaava teksti
• vaatimuksessa tulee perustella, miksi tieto on virheellinen
• jos jollain asiakirjalla voidaan osoittaa korjausvaatimuksessa esitetyt tiedot
oikeiksi, tulee tällainen asiakirja liittää vaatimukseen
• kun on kyse sosiaalihuollon asioista, tulee ilmoittaa, minä päivänä tehtyyn ja
kenen tekemään merkintään vaaditaan korjauksia, jos ne ovat rekisteröidyn
tiedossa
• on hyvä ottaa itselle jäljennös rekisterinpitäjälle esitetyistä vaatimuksista
asian mahdollista jatkokäsittelyä varten
Mitä yksilöidympi, perustellumpi ja selkeämpi korjausvaatimus on, sitä paremmin rekisterinpitäjä pystyy sitä käsittelemään. Laajaankin vaatimuskirjeeseen on vaikea ottaa kantaa, jos sen perusteella jää epäselväksi, mitä vaaditaan korjattavaksi ja mi21
ten.
Esimerkkilomake tietojen korjausvaatimuksesta löytyy tietosuojavaltuutetun sivuilta
(osoitteesta www.tietosuoja.fi) ohjeesta: Henkilörekisteriin tallennetun tiedon korjaaminen (27.7.2010).
3.2.4
Rekisteritietojen korjaaminen
Rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksen saatuaan ilman
aiheetonta viivytystä oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut
henkilötieto. Tietojen oikeellisuutta ja tarpeellisuutta arvioidaan tietojen tallettamishetken mukaan. Tämä on kuitenkin eri asia kuin tietojen vanhentuminen. Rekisterinpitäjä ei saa periä maksua vaatimuksen käsittelystä.
Rekisterinpitäjän on estettävä tiedon leviäminen ja ilmoitettava tiedon korjaamisesta
sille, jolle rekisterinpitäjä on luovuttanut tai jolta rekisterinpitäjä on saanut virheellisen henkilötiedon. Ilmoitusvelvollisuutta ei kuitenkaan ole, jos ilmoittaminen on
mahdotonta tai vaatii kohtuutonta vaivaa.
20
Tietosuojavaltuutetun toimiston ohjeet, Henkilötietolaki ja asiakastietojen käsittely yksityisessä sosiaalihuollossa
(www.tietosuoja.fi)
21
Tietosuojavaltuutetun toimiston ohje: Henkilörekisteriin tallennetun tiedon korjaaminen (27.7.2010)
20
LUKU 3
REKISTERITIETOJEN KÄSITTELY
Tietojen täydentäminen on eräs tietojenkorjaamistapa. Näin menetellen rekisteristä
ilmenee rekisterinpitäjän kannan lisäksi rekisteröidyn käsitys. Kun rekisterinpitäjä ja
rekisteröity ovat eri mieltä tietojen oikeellisuudesta, eikä rekisterinpitäjä katso voivansa oikaista tai poistaa tietoja, on sosiaali- ja terveydenhuollossa mahdollista liit22
tää rekisteritietoihin rekisteröidyn näkemys.
3.2.5
Rekisteritietojen korjaamisesta kieltäytyminen
Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, hänen
on annettava asiasta kirjallinen kieltäytymistodistus. Todistuksessa on mainittava ne
syyt, joiden vuoksi vaatimusta ei ole hyväksytty ja siten perustella kieltäytyminen.
Kieltäytymistodistuksesta tulee ilmetä kunkin vaatimuksen osalta, miksei tietoja ole
korjattu.
Jotta rekisteröity voisi myöhemmin käyttää hyväkseen todistusta saattaessaan mahdollisesti asian tietosuojavaltuutetun ratkaistavaksi, tulee todistuksesta käytännössä
ilmetä myös rekisterinpitäjän nimi ja osoite, henkilötietojen käsittelyn tarkoitus, rekisteröidyn nimi ja yhteystiedot sekä rekisteröidyn vaatima muutos rekisterissä oleviin
tietoihin sekä vaatimuksen perusteet.
Esimerkkilomake tietojen korjausvaatimuksesta kieltäytymiseen löytyy tietosuojavaltuutetun sivuilta osoitteesta www.tietosuoja.fi.
3.3 Henkilöstöhallinnon rekisterit
Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien
hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin, tai jotka johtuvat työ23
tehtävien erityisluonteesta.
Henkilöstöhallinnon rekisteriin kerätään työntekijöistä henkilötietoja palvelussuhteen
hoitamiseksi. Työnantaja kerää työntekijää koskevat tiedot ensisijaisesti työntekijältä
itseltään. Työnantajan oikeutta käsitellä työntekijöiden henkilötietoja rajaa tarpeellisuusvaatimus. Käsiteltävien henkilötietojen on liityttävä virka- tai työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan tarjoamiin etuuksiin. Henkilöstöhallinnossa tapahtuvaan henkilötietojen käsittelyyn sovelletaan henkilötietolakia sekä julkisuuslakia.
Henkilöstöhallinnon rekisteriin kerättäviä tietoja ovat mm. henkilön nimitys-, palkka-,
vuosiloma- ja poissaolotiedot sekä palkkausperusteiden arviointiin liittyvät tiedot.
Henkilöstöhallinnon rekisteriin sisällytetään myös sivutoimi-ilmoitukset ja luvat sekä
kurinpidollisiin toimenpiteisiin liittyvät tiedot sekä palkan pidättämiseen liittyvät tiedot.
Työntekijä voi tarkastaa itseään koskevat henkilörekisteritiedot joko osoittamalla kirjallisen tietojen tarkastuspyynnön henkilöstötoimistoon tai käymällä henkilökohtaisesti henkilöstötoimistossa.
Palkkatietojen julkisuus määräytyy julkisuuslain mukaan. Julkisia palkkatietoja ovat
tiedot työntekijän kokonaispalkasta, tehtäväkohtaisesta palkanosasta, henkilökohtaisesta palkanosasta, tehtävän vaativuustasosta sekä vaativuusarvioinnista pisteytyksineen. Salassa pidettäviä tietoja ovat asiakirjat, jotka sisältävät tietoja palkkauksen
perustetta varten tehdyistä arvioinneista, kuten esimiehen suorittama henkilökohtainen työsuorituksen arviointi. Yksittäisiä palkkatietoja voidaan luovuttaa julkisuuslain
nojalla. Mikäli samalla kertaa pyydetään useiden henkilöiden palkkatietoja, ei tietoja
anneta henkilöstötoimistosta. Palkka- ja henkilötietoja luovutettaessa henkilörekisterin muodossa on tietojen luovuttajalla varmistuttava siitä että luovutetun henkilöre22
23
Tietosuojavaltuutetun toimiston ohje: Henkilörekisteriin tallennetun tiedon korjaaminen (27.7.2010)
Laki yksityisyyden suojasta työelämässä 759/2004, 3 §
21
LUKU 3
REKISTERITIETOJEN KÄSITTELY
kisterin käyttö täyttää henkilötietolain vaatimukset. Tästä syystä voidaan pääsääntöisesti luovuttaa vain yksittäisiä palkkatietoja eikä palkkatietoja luovuteta isompina
kokonaisuuksina.
22
LUKU 4
SOSIAALIHUOLLON REKISTERIT
4 Sosiaalihuollon rekisterit
4.1 Sosiaalihuollon rekisterit ja niiden käyttötarkoitus
Asiakastyössä on käytössä Pro Consona tietojärjestelmä, joka sisältää sosiaalityön ja
vanhustyön –ohjelmistot. Word-muotoisena ylläpidetään lastenvalvojan henkilörekisteriä.
Pro Consona sosiaali- ja vanhustyöjärjestelmät toimivat apuvälineenä sosiaalihuollon
lakisääteisten palveluiden tuottamisessa.
Sosiaalityöjärjestelmä sisältää nykyisellään toimeentuloturvan, lastensuojelun, vammaispalvelun sekä muut sosiaalihuoltolain mukaiset palvelut. Järjestelmää käytetään
asiakas- ja päätöstietojen, asiakaskertomusten sekä hoito- ja palvelusuunnitelmien
ylläpitoon, palveluiden seurantaan, tukien ja avustusten maksatukseen sekä perinnän
seurantaan, kirjeenvaihtoon ja tilastointiin.
Pro Consona vanhustyöjärjestelmää käytetään säännöllisen tai tilapäisen avohoidon
palveluita (kotipalvelut, tukipalvelut, omaishoidontuki) tai asumispalveluita ja laitospalveluita tarvitsevien asiakkaiden hoidontarpeen määrittelyyn, palvelupäätösten tekemiseen, palveluiden käytön seurantaan, laskutukseen ja tilastointiin.
4.1.1
Rekisterinpitäjä, rekistereistä vastaavat henkilöt ja vastuuhenkilön tehtävät
Rekisterinpitäjällä tarkoitetaan henkilötietolain mukaan yhteisöä, laitosta tai säätiötä,
jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä rekisterin
käytöstä. Kunnan toiminnassa rekisterinpidon vastuut voidaan jakaa hallinnolliseen
vastuuseen ja toiminnalliseen vastuuseen. Kuntalain saannoksista johtuen kunnanhallituksella on tietty yleis- ja ohjausvastuu siitä, että eri hallintokunnat toimivat lainmukaisesti. Toiminnallinen rekisterinpidon vastuu on useimmiten eri lautakunnilla.
Käytännössä lautakunta delegoi vastuut tehtävien organisointitavat huomioon ottaen. Henkilötietojen käsittelyn vastuu on osa toiminnallista vastuuta ja kuuluu tehtäviin määrätylle johdolle ja tehtäviä hoitaville henkilöille vahvistetun toimisäännön,
työjärjestyksen tai vastaavan asiakirjan mukaisesti.
Rekisterinpitäjänä sosiaalihuollosta vastaava sosiaalilautakunta on vastuussa siitä,
että henkilötietojen käsittely tapahtuu lainmukaisesti.
Rekisterinpitäjän on tässä tarkoituksessa mm.
•
•
•
•
Määriteltävä henkilötietojen käsittelyn liittyvät tehtävät ja vastuut, esim.
suunnittelun, päätöksenteon ja toteutuksen vastuut. Voidaan puhua rekisterihallinnon järjestämisestä.
Huolehdittava siitä, että lainmukaiselle käsittelylle on olemassa asianmukaiset toimintaedellytykset (mm hyväksyttävät välineet, laitteistot, tietojärjestelmät)
Annettava henkilötietojen käsittelyn vastuita ja käsittelyä koskevat yleiset
ohjeet
Varmistuttava siitä, että henkilöstölle annetaan tarvittava koulutus, ohjeet ja
tiedot henkilötietojen käytön ja käsittelyn edellytyksistä sekä tietojärjestelmien toimintaperiaatteista (tietosuojaohjeet). Asiaan liittyvät vastuut on määriteltävä. Ohjeistusta ja koulutusta on ylläpidettävä jatkuvasti.
23
LUKU 4
SOSIAALIHUOLLON REKISTERIT
•
•
Varmistuttava siitä, että henkilötietojen käytön ja käsittelyn lainmukaisuutta
voidaan valvoa ja että sitä myös valvotaan (mm. lokitietojen kerääminen ja
seuraaminen).
Määriteltävä sanktiot määräysten ja säännösten vastaisesta henkilötietojen
käytöstä.
Silloin kun asiakastietoja käsitellään sähköisesti, vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista. Lisäksi palvelun antajalla tulee olla tällöin nimettynä tietosuojavastaava seuranta- ja
valvontatehtävää varten. Näistä velvollisuuksista säädetään sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevassa laissa (159/2007). Tietosuojavastaavan tehtävänä on hallituksen esityksen perustelujen mukaan mm. lisätä yksikön henkilökunnan tietämystä asiakastietojen sähköiseen käsittelyyn liittyvistä
tietosuojanäkökohdista ja tuoda esille mahdollisia puutteita yksikön käytänteissä.
Tietosuojavastaava toimii henkilökunnan tukena asiakastietojen käsittelyn tietosuojaan liittyvissä asioissa.
Osana toimintaa ja tehtävien hoitoa tulee seurata myös henkilötietojen käsittelyyn
liittyvien asioiden toimivuutta. Tarvittaessa tulee ryhtyä toimenpiteisiin havaittujen
epäkohtien korjaamiseksi. Myös sosiaaliasiamiehen tehtäviin kuuluu toimia asiakkaan oikeuksien edistämiseksi ja toteuttamiseksi mm. neuvomalla asiakkaita. Asiakkaiden oikeuksiin kuuluvat myös henkilötietolain mukainen oikeus omien tietojen tarkastamiseen ja oikeus vaatia tiedon korjaamista.
4.1.2
Asiointiin liittyvät viranomaisen asiakirjarekisterit
Asiakasrekisteri
Asiakasrekisteriin saa kerätä ja tallettaa vain sellaisia tietoja, jotka ovat tarpeellisia
kyseessä olevaan käyttötarkoitukseen (tarpeellisuusvaatimus). Tiedot eivät saa
myöskään olla virheellisiä, epätäydellisiä tai vanhentuneita henkilötietojen käsittelyn
tarkoitus huomioon ottaen (virheettömyysvaatimus). Tietoja tulee toisaalta kirjata
riittävästi, jotta asiakasrekisteristä ilmenevät kaikki olennaiset palvelun tarpeeseen
ja palvelun antamiseen liittyvät tiedot. Toisaalta sellaisia tietoja ei saa kerätä, joita ei
tarvita kyseessä olevan palvelun tarpeen arvioinnissa tai palvelun antamisessa.
Asiakastietoja kerättäessä ja muutoin käsiteltäessä sosiaalihuollon palvelun antajan
tulee oma-aloitteisesti huolehtia siitä, että tiedot ovat virheettömiä. Tarvittaessa tieto
tulee myös oma-aloitteisesti korjata ja estää tällaisen tiedon leviäminen. Myös asiakkaalla on oikeus vaatia itseään koskevien asiakastietojen korjaamista, jos ne
hänen mielestään ovat sosiaalipalvelun antamisen kannalta virheellisiä, tarpeettomia, puutteellisia tai vanhentuneita. Virheellinen tieto tulee oikaista, poistaa tai täydentää. Tiedon korjaamisesta tulee yleensä myös ilmoittaa sille, jolta tieto on saatu
tai jolle se on luovutettu.
Lastensuojelun asiakasrekisteri
Lastensuojelun asiakassuhteessa kertyy runsaasti materiaalia asiakassuhteen alun
jälkeen. Tämä materiaali muodostaa henkilötietolain mukaisen rekisterin.
Materiaalia on esimerkiksi:
• omat kirjaukset
• muilta tahoilta pyydetyt tiedot
• toimeksiantotehtävän perusteella syntynyt materiaali
• asiakkaan toimittama materiaali jne.
24
LUKU 4
SOSIAALIHUOLLON REKISTERIT
Lastensuojelun työntekijän tulee merkitä lasta tai nuorta koskeviin asiakirjoihin lastensuojeluasian vireille tulosta lähtien kaikki lapsen tarvitsemien lastensuojelutoimenpiteiden järjestämiseen vaikuttavat tiedot. Asiakirjoihin tulee merkitä myös toimenpiteiden suunnittelun, toteuttamisen ja seurannan kannalta tarpeelliset tiedot.
Kirjaamisvelvollisuus jatkuu koko lastensuojelun asiakkuuden ajan.
Asiakkaan tietojen tulee olla ajantasaiset, oikeat ja virheettömät sekä niiden tulee olla tarpeellisia ja välttämättömiä toiminnan kannalta. Kirjaukset on tehtävä erittäin
huolellisesti, jotta niistä saadaan myöhemmässä vaiheessa riittävästi tietoja ja käytettävän kielen tulee olla asiallista ja ymmärrettävää. Asiakaskertomusten kirjaukset
ovat usein iso osa lastensuojelun päätöksentekoon vaikuttavasta näyttömateriaalista.
Lapsen tietojen lisäksi tietoa kertyy myös hänen elämäänsä liittyvistä henkilöistä ja
näiden tietojen erottaminen on usein vaikeaa. Ongelmallinen tilanne syntyy esimerkiksi silloin, kun lapsi pyytää itseään koskevia tietoja ja asiakirjoissa on myös vanhempia koskevia merkintöjä, joilla ei ole merkitystä lapsen huoltoa ja hoitoa ajatel24
len.
Lastensuojeluilmoitusten rekisteri
Rekisteriin kirjataan:
•
•
•
•
kaikki lastensuojeluilmoitukset sisältöineen
toimenpiteet, joihin on ryhdytty ilmoituksen perusteella
tietoja selvityksistä, yhteydenotoista ja toimenpiteistä, jotka ovat tapahtuneet
ennen lastensuojeluasiakkuuden alkamista
jos lastensuojelun asiakkuus alkaa, talletetaan lastensuojeluilmoitusten tiedot lastensuojelun asiakasrekisteriin
Lastensuojeluilmoitusten rekisteriin kirjataan kunnan kaikki lastensuojeluilmoitukset
sekä muutoin saatu tieto lastensuojelun mahdollisesta tarpeesta (esim. lapsi tai
huoltaja/vanhempi pyytää apua, sosiaalitoimen toimeentulotukiasioita hoitava virkailija epäilee lapsen olevan lastensuojelun tarpeessa jne).
Lastensuojeluilmoitusten rekisteri on ns. passiivirekisteri, jota nimenomaisesti pidetään erillään lastensuojelun asiakasrekisteristä. Rekisteriin jätetään nekin tiedot, joiden perusteella ei lopulta päädytä lastensuojelutarpeen selvitykseen tai muihin lastensuojelutoimenpiteisiin. Näin tiedot ovat myöhemmin löydettävissä, jos samasta
lapsesta tulee myöhemmin uusia ilmoituksia.
Lastensuojeluilmoitusten rekisteristä siirretään lasta ja ilmoitusta koskevat olennai25
set tiedot tilanteen vaatiessa myös lastensuojelun asiakasrekisteriin.
Kunnan alueelle sijoitettujen lasten valvontarekisteri
Lastensuojelulain valvontaluvun 78 §:n mukaan lapsen sijoittajakunnan on ilmoitettava muun kunnan alueelle sijoittamastaan lapsesta kyseiselle kunnalle. Sijoituskunnan sosiaalihuollosta vastaavan toimielimen on pidettävä rekisteriä kunnan alueelle sijoitetuista lapsista. Rekisteröinnin tarkoituksena on lapsen palvelujen ja tuki26
toimien järjestäminen sekä sijaishoitopaikan valvonnan toteuttaminen.
Lisäksi sosiaalihuollosta vastaavalla toimielimellä on velvollisuus saman lain 81 §:n
mukaan pitää rekisteriä kuntaan yksityisesti sijoitetuista lapsista. Sijoituspaikan hy24
Lakimies Kati Saastamoisen luento 19.3.2010
Verkkopalvelu sosiaalialan ammattilaisille www.sosiaaliportti.fi
26
Asiaa tietosuojasta 2/2008, Henkilötietolaki ja asiakastietojen käsittely kunnallisessa sosiaalihuollossa,
Tietosuojavaltuutetun toimisto
25
25
LUKU 4
SOSIAALIHUOLLON REKISTERIT
väksymisestä tehdään päätös ja sijoituspaikan sopivuutta ja tukitoimien tarvetta on
27
tarpeen mukaan seurattava.
Tietosuojavaltuutetun käsityksen mukaan kuntaan sijoitettujen lasten valvontarekisterin käyttötarkoitus voidaan määritellä siten, että siihen kuuluu kaksi osarekisteriä.
Niistä toisen muodostaa kunnan alueelle toisten kuntien toimesta sijoitettujen lasten
tiedot ja toisen osan kuntaan yksityisesti sijoitettujen lasten tiedot. Näiden käyttötarkoitus on osittain sama (valvonta ja riittävien palvelujen tarjoaminen) ja osittain erilainen. Siten myös niiden tietosisältö on jonkin verran erilainen. Asiallisesti niiden
yhdeksi rekisteriksi katsominen merkitsee sitä, että tarvitsee laatia vain yksi rekisteriseloste, jossa eritellään mm. käyttötarkoitus ja talletettavat tiedot osarekistereittäin.
28
Tietojärjestelmässä tai tietoja manuaalisesti käsiteltäessä kutakin lasta tai nuorta
koskevien tietojen yhteydessä on kuitenkin oltava tieto siitä, onko kyse kuntaa toisen
kunnan toimesta sijoitetusta lapsesta vai yksityisesti sijoitetusta lapsesta. Rekisteri
voidaan nimetä esim. kunnan alueelle sijoitettujen lasten valvontarekisteriksi. Kunnan alueelle sijoitettujen lasten valvontarekisteriä koskeva mallirekisteriseloste- ja
asiakkaiden informointiasiakirja (tietosuojaseloste) löytyy lastensuojelun käsikirjasta
29
(www.sosiaaliportti.fi). Mahdollista on myös määritellä ne eri rekistereiksi.
Lastenvalvojan asiakasrekisteri
Lastenvalvojan asiakastietoja käytetään julkisen sosiaalihuollon lastenvalvojan tehtävissä ja lastenvalvojan palveluiden tuottamisessa. Asiakastietoja käytetään lisäksi
aina kun sosiaalihuollon tehtävät liittyvät isyyden selvittämiseen ja lapsen elatukseen sekä lapsen huolto-, asumis- ja tapaamisoikeusasioihin.
Sosiaaliturvan asiakasrekisteri
Sosiaaliturvan asiakastietoja käytetään mm. päihde- ja mielenterveysasiakkaiden
palveluiden tuottamiseen. Näitä palveluita voivat olla mm. asumispalvelu ja kuntoutus.
Toimeentulotukirekisteri
Toimeentulotukirekisteriin kerätään tiedot niistä sosiaalitoimen asiakkaista, jotka
ovat tulojen tai sosiaaliturvaetuuden puuttumisen tai riittämättömyyden vuoksi joutuneet turvautumaan toimeentulotukeen. Rekisteriin kerätään tiedot sekä varsinaisen
että ehkäisevän toimeentulotuen saajista ja kuntouttavan työtoiminnan tukea saaneista.
Vammaispalvelurekisteri
Vammaispalvelun asiakastietoja käytetään vammaispalvelun ja kehitysvammahuollon palveluiden tuottamisessa.
Vanhuspalveluiden asiakasrekisteri
Vanhuspalveluiden asiakastietoja käytetään kotihoidon, asumispalveluiden, laitoshoidon ja omaishoidontuen palveluiden tuottamiseen. Rekisteriin kuuluvat mm. ha27
Asiaa tietosuojasta 2/2008, Henkilötietolaki ja asiakastietojen käsittely kunnallisessa sosiaalihuollossa,
Tietosuojavaltuutetun toimisto
28
Asiaa tietosuojasta 2/2008, Henkilötietolaki ja asiakastietojen käsittely kunnallisessa sosiaalihuollossa,
Tietosuojavaltuutetun toimisto
29
Asiaa tietosuojasta 2/2008, Henkilötietolaki ja asiakastietojen käsittely kunnallisessa sosiaalihuollossa,
Tietosuojavaltuutetun toimisto
26
LUKU 4
SOSIAALIHUOLLON REKISTERIT
kemukset kotihoitoon, asumispalveluihin, laitoshoitoon tai omaishoidontukeen, laskutus- ja hoitopaikkatiedot. Mainitut tiedot voivat fyysisesti olla eri paikoissa ja eri
työntekijöiden hallussa kuten esim. vanhuspalveluiden myöntämistä koskevan päätöksen tekijällä, laskutusta hoitavalla henkilöllä ja asianomaisessa asumis- tai laitospaikassa.
27
ASIAKKAAN OIKEUDET REKISTERITIETOIHIN
5
LUKU 5
Asiakkaan oikeudet rekisteritietoihin
Henkilötietolaissa rekisteröidylle säädettyjä nimenomaisia oikeuksia ovat:
-
tiedonsaantioikeus
tarkastusoikeus
oikeus saada tietonsa korjatuiksi
kielto-oikeus
Kun asiakas haluaa rekisteröitynä käyttää näitä oikeuksia tai hänellä on kysyttävää
henkilötietojensa käsittelystä, hänen tulee ottaa ensisijaisesti yhteyttä häntä palvelleeseen palveluyksikköön.
Henkilön, joka haluaa tarkastaa itseään koskevat tiedot, on esitettävä pyyntö henki30
lökohtaisesti rekisterinpitäjän luona tai omakätisesti allekirjoitetulla kirjeellä. Tarkastusoikeutta voidaan evätä, jos tiedon antamisesta saattaisi aiheutua vakavaa
vaaraa rekisteröidyn terveydelle tai jos tiedon antaminen saattaisi olla vastoin muuta
erittäin tärkeää yksityistä etua, kuten kolmatta osapuolta koskevia tietoja.
Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita asiatietoja käsitellä. Jokaisella on rekisteröitynä oikeus vaatia itseään koskevan, henkilörekisteriin talletetun tiedon korjaamista.
Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa
selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen
antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto
siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on
ollut käytön tai luovutuksen peruste. Jos asiakas katsoo, että hänen asiakastietojaan
on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelujen antajan tulee antaa asiakkaalle pyynnöstä selvitys tietojen käytön
tai luovuttamisen perusteista.
Henkilö voi julkisuuslain mukaan pyytää henkilörekisterin rekisterinpitäjää pitämään
salassa pyytäjän tietoja. Tällaisia luovutusrajoituksen alaisia väestötietojärjestelmästä saatuja tietoja saa käyttää ja luovuttaa ainoastaan viranomaisen laissa säädetty31
jen tehtävien hoitamista varten. Kun henkilöllä on turvakielto, hänen osoitettaan ei
luovuteta useissa tapauksissa viranomaisillekaan. Ne viranomaiset, jotka saavat
henkilön yhteystietoja järjestelmiinsä, saavat myös tiedon turvakiellosta.
5.1 Tietojen tarkastamisoikeus
Asiakkaan oikeudesta tarkastaa asiakasrekisterin tietoja ja oikeuden toteuttamisesta
säädetään henkilötietolain 26-28 § :ssä. Rekisteriin merkityllä tai henkilöllä, joka
epäilee rekisteriin sisältyvän häntä koskevia tietoja, on oikeus saada tietää, mitä
häntä koskevia tietoja henkilörekisteriin on talletettu tai ettei rekisterissä ole häntä
koskevia tietoja. Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua tietoihin.
30
31
Henkilötietolaki 523/1999, 28 §
Laki väestötietojärjestelmästä ja väestörekisterikeskuksen varmennepalvelusta 661/2009, § 28
28
ASIAKKAAN OIKEUDET REKISTERITIETOIHIN
LUKU 5
Rekisterinpitäjä saa periä tietojen antamisesta korvauksen vain, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Perittävän kustannuksen tulee olla kohtuullinen eikä se saa
32
ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia.
5.1.1
Tarkastuspyyntö
Rekisteröidyn on käytettävä tarkastusoikeuttaan lain mukaan itse. Henkilön, joka
haluaa tarkastaa itseään koskevat tiedot, on esitettävä pyyntö henkilökohtaisesti
33
rekisterinpitäjän luona tai omakätisesti allekirjoitetulla kirjeellä.
Alaikäisen tarkastus- ja tiedonsaantioikeus tulee arvioida tapauskohtaisesti. Hänellä
on mm. oikeus tarkastaa itseään koskevat henkilörekisteritiedot, mikäli hän ikäänsä,
kehitystasoonsa ja asian laatuun nähden ymmärtää asian merkityksen. Alaikäisen
itsemääräämisoikeuden arviointi ja edellä mainittujen kriteerien täyttyminen on ensikädessä rekisterinpitäjän arvioon perustuva asia. Viime kädessä asian ratkaisee
tuomioistuin.
Tarkastuspyyntöön tulee vastata kohtuullisessa ajassa. Tarkastusoikeus on henkilökohtainen, mutta tarkastustilaisuuteen voi tuoda avustajan tarvittaessa. Ensisijaisesti
tiedot annetaan henkilökohtaisesti asiakkaalle, jolloin henkilöllisyys voidaan varmistaa. Kirjeitse lähetettävät tiedot lähetetään pyynnön allekirjoittajan nimellä ja osoitteella.
Malli rekisteritietojen tarkastuspyyntölomakkeesta löytyy tietosuojavaltuutetun sivuilta osoitteesta http://www.tietosuoja.fi/3186.htm.
5.1.2
Tarkastuspyynnön epääminen
Tarkastusoikeutta voidaan evätä, jos tiedon antamisesta saattaisi aiheutua vakavaa
vaaraa rekisteröidyn terveydelle, esim. itsemurhavaara, tai hoidolle taikka jos tiedon
antaminen saattaisi olla vastoin muuta erittäin tärkeää yksityistä etua, esim. kolmatta
osapuolta koskevia tietoja. Tarkastusoikeutta ei myöskään ole, jos rekisterissä olevia henkilötietoja käytetään yksinomaan tieteellistä tutkimusta taikka tilastointia var34
ten.
Henkilötietolain 26 §:n mukaan jokaisella on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset tiedot ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu. Henkilötietolain 27 §:ssä säädetään siitä,
millä perusteilla tätä oikeutta voidaan rajoittaa.
Rekisterinpitäjän tulee antaa kirjallinen päätös, jossa on mainittava ne syyt, joiden
35
vuoksi tarkastusoikeus on evätty. Todistuksesta tulee käydä ilmi tietoja pyytäneen
nimi, rekisterinpitäjän nimi ja osoite sekä rekisterin nimi ja käyttötarkoitus. Lisäksi
asianomaiselle tulee kertoa, että hän voi halutessaan saattaa asian tietosuojavaltuutetun käsittelyyn. Tarkastusoikeuden epäämisen veroisena pidetään sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle.
32
Henkilötietolaki 523/1999, 26 §
33
Henkilötietolaki 523/1999, 28 §
34
35
Henkilötietolaki 523/1999, 27 §
Henkilötietolaki 523/1999, 28 §
29
ASIAKKAAN OIKEUDET REKISTERITIETOIHIN
LUKU 5
Seuraamukset lainvastaisesta menettelystä löytyvät luvusta 6 Rekisteri- ja henkilötietojen turvaaminen ja valvonta.
Malli rekisteritietojen tarkastuspyyntölomakkeesta löytyy tietosuojavaltuutetun sivuilta osoitteesta http://www.tietosuoja.fi/3186.htm.
5.2 Oikeus tietojen korjaamiseen
Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita asiatietoja käsitellä (virheettömyysvaatimus). Yleisiin tietosuojaperiaatteisiin
kuuluu, että henkilörekisteriin henkilötietoja talletettaessa huolehditaan rekisteröityjen tietojen virheettömyydestä. Rekisterissä oleva virhe on Henkilötietolain
29 §:n mukaan oikaistava.
5.2.1
Asiakastietojen virheettömyys
Sosiaalihuollossa asian laadusta riippuen voidaan olla yhteydessä useisiin eri henkilöihin ja kuulla heitä. Palvelukohtaiseen asiakaskertomukseen myös kirjataan nämä
yhteydenotot ja niiden sisältö silta osin kuin se on tarpeen vireillä olevan asian käsittelemiseksi. Tämän vuoksi tehdystä merkinnästä pitäisi ilmetä, onko kyse sosiaalityöntekijän itse tekemästä arviosta vai esim. lapsen äidin tai isän käsityksestä tapahtumien kulusta. Tieto on oikea, jos siitä ilmenee, mitä esim. lapsi on kertonut siitä
riippumatta vaikka lapsen isällä ja äidillä olisi asiasta aivan erilainen käsitys.
Henkilön arvostelmatyyppisiä luonnehdintoja on syytä välttää. Sen sijaan, että sanotaan jonkun henkilön olevan esim. yhteistyökyvytön, olisi parempi kertoa konkreettisesti, miten mahdollinen yhteistyökyvyttömyys on ilmennyt.
Tiedot kerätään ja kysytään ensisijaisesti asiakkaalta itseltään. Jos häntä koskevia
tietoja voidaan hankkia ja tarkistaa sosiaalihuollon lainsäädännön mukaisesti myös
muualta, asiakkaalla on oikeus saada tietää, mitä nämä tiedot ovat. Tiedot asiakkaan kanssa läpi käymällä varmistutaan parhaiten niiden virheettömyydestä. Virheellisiä ovat myös tarpeettomat tiedot.
Etukäteen on siten hyvä selvittää ja suunnitella menettelyt ja lomakkeet virheettömyyden varmistamiseksi. Toisaalta tiedot eivät saa olla myöskään puutteellisia. Siten kaikki asiakassuhteen ja asiakkaalle annettavan palvelun kannalta tarpeelliset
tiedot tulee myös merkitä asiakastietoihin. Tärkeää on voida jälkeenpäin asiakastietojen perusteella arvioida esimerkiksi mitä asiakastapaamisia on järjestetty ja mikä
on ollut niiden oleellinen sisältö tai mihin muihin toimenpiteisiin asiassa on ryhdytty.
Jos rekisteröity on esim. tietojaan tarkastaessaan tai muutoin havainnut niissä virheitä, hän voi vaatia rekisterinpitäjää korjaamaan tiedot. Jokaisella on rekisteröitynä
oikeus vaatia itseään koskevan, henkilörekisteriin talletetun tiedon korjaamista.
Huoltaja voi esittää korjausvaatimuksen lapsen puolesta. Rekisteröidyn tulee esittää
yksilöity pyyntö rekisterinpitäjälle. Rekisterinpitäjän tulee korjata tiedot vaaditulla tavalla tai antaa kirjallinen kieltäytymistodistus.
Rekisteritietojen korjaamista käsitellään tarkemmin luvussa 3 Rekisteritietojen käsittely.
30
ASIAKKAAN OIKEUDET REKISTERITIETOIHIN
LUKU 5
5.3 Tietojen erityiset luovutusrajoitukset - turvakielto
Henkilö voi julkisuuslain mukaan pyytää henkilörekisterin rekisterinpitäjää pitämään
salassa pyytäjän puhelinnumeron, ilmoitetun salaisen puhelinnumeron, kotikunnan,
osoitteen, tilapäisen asuinpaikan ja muut yhteystiedot, mikäli hänellä on perusteltu
36
syy epäillä itsensä tai perheensä terveyden tai turvallisuuden tulevan uhatuksi.
Perusteltu syy on esimerkiksi voimassa oleva lähestymiskielto.
Jos henkilöllä on perusteltu ja ilmeinen syy epäillä itsensä tai perheensä terveyden
tai turvallisuuden tulevan uhatuksi, voidaan väestötietojärjestelmään hakemuksesta
tallettaa turvakielto. Kun turvakielto on talletettu järjestelmään, tämän henkilön, hänen kanssaan samassa taloudessa asuvan puolison tai lapsen kotikunta, asuinpaikka, osoite ja muu yhteystieto voidaan luovuttaa vain sellaiselle viranomaiselle, jonka
oikeus näiden tietojen käsittelyyn perustuu lain tai sen nojalla säädetyn tai määrätyn
tämän henkilön oikeutta tai velvollisuutta koskevan tehtävän, toimenpiteen tai toimeksiannon hoitamiseen. Turvakielto koskee myös edellä mainittujen henkilöiden
omistuksessa tai hallinnassa olevan kiinteistön, rakennuksen ja huoneiston yksilöinti- ja sijaintitietoja, jos niitä ei voida käsitellä erillään turvakiellon kohteena olevista
37
tiedoista.
Sen henkilön, jota asia koskee, tai hänen laillisen edustajansa tulee hakea turvakieltoa maistraatilta kirjallisesti tai muulla todistettavalla tavalla. Kun henkilö hakee turvakieltoa, maistraatin on varattava hänelle mahdollisuus ilmoittaa väestötietojärjestelmään talletettavaksi sellainen yhteysosoite, joka voidaan luovuttaa myös muille
38
kuin 1 momentissa tarkoitetuille viranomaisille.
Viranomainen, jolle väestötietojärjestelmästä on luovutettu turvakiellon kohteena
olevia tietoja, ei saa luovuttaa tietoja edelleen eikä antaa niitä sivullisen nähtäväksi
tai käsiteltäväksi, jollei laissa toisin säädetä. Viranomaisen on myös huolehdittava
siitä, että tietoja saavat käsitellä vain sellaiset henkilöt, joiden tehtäviin kyseisten tie39
tojen käsittely välittömästi kuuluu.
Kun henkilöllä on turvakielto, hänen osoitettaan ei luovuteta useissa tapauksissa viranomaisillekaan. Ne viranomaiset, jotka saavat henkilön yhteystietoja järjestelmiinsä, saavat myös tiedon turvakiellosta. Samantapaisesta luovutusrajoituksesta on
säädetty myös viranomaisten toiminnan julkisuudesta annetussa laissa. Salassapitovelvollisuus koskee tällöin kuitenkin vain sitä viranomaista, jolle henkilö on esittänyt pyynnön tietojensa luovutuskiellosta.
5.4 Asiakkaan informointi tietojen käsittelyssä
Rekisterinpitäjän on henkilötietoja kerätessään huolehdittava, että asiakas voi saada
tiedon rekisterinpitäjästä, henkilötietojen käsittelyn tarkoituksesta, mihin tietoja
säännönmukaisesti luovutetaan ja ne tiedot, jotka ovat tarpeen oikeuksien käyttämi40
seksi asianomaisessa henkilötietojen käsittelyssä.
36
Laki viranomaisen toiminnan julkisuudesta 621/1999, 28 §
Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista 21.8.2009/661, 36 §
38
Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista 21.8.2009/661, 36 §
39
Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista 21.8.2009/661, 37 §
37
40
Henkilötietolaki 523/1999, 24 §
31
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
LUKU 6
6 Rekisteri- ja henkilötietojen turvaaminen ja valvonta
6.1 Salassapitovelvollisuus ja vaitiolovelvollisuus
Sosiaalihuollon henkilökunnalla on salassapitovelvollisuus ja vaitiolovelvollisuus
työssään käsittelemiensä tietojen suhteen. Nämä velvollisuudet koskevat paitsi sosiaalihuollon ammattihenkilöitä, myös muuta henkilöstöä sekä lisäksi opiskelijoita,
tutkijoita, harjoittelijoita ja sosiaalihuollon luottamushenkilöitä.
Salassapitorikkomuksista, salassapitorikoksesta ja henkilötietolain vastaisesta toiminnasta voidaan tuomita rikoslain mukaisesti sakkorangaistukseen tai enintään
vuosi vankeutta.
Vaitiolovelvollisuus on salassapitoa laajempi käsite, sillä se koskee myös asiakastietoja, joita ei ole talletettu asiakirjoihin. Salassapito ja vaitiolovelvollisuus sitovat kaikkia viranomaisen palveluksessa olevia, myös yksityisiä palvelun tuottajia ja luottamushenkilöitä sekä velvoittaa myös asiakasta sekä hänen edustajaansa olemaan
ilmaisematta muita kuin häntä itseään koskevia salassa pidettäviä tietoja.
41
Julkisuuslain mukaiset salassa pidettävät asiakirjat on lueteltu luvussa 2 kappaleessa 4 Salassa pidettävät asiakirjat.
42
43
Salassapitosäännöksiä on paitsi julkisuuslaissa ja henkilötietolaissa , laissa so44
siaalihuollon asiakkaan asemasta ja oikeuksista Sosiaalihuollon ammattihenkilö ei
saa ilman asiakkaan suostumusta antaa sivulliselle asiakasasiakirjoihin sisältyviä
tietoja tai luvatta ilmaista yksityisen tai perheen salaisuutta, josta hän asemansa tai
tehtävänsä perusteella on saanut tiedon.
Salassapitovelvollisuuden rikkominen on kyseessä, mikäli salaisuus ilmaistaan luvattomasti. Salassapitovelvollisuuden voi poistaa asiakkaan tai tämän laillisen edustajan antama lupa tai tietojen antamiseen oikeuttava säännös. Rikoslaissa säädetyt
hätävarjelu- ja pakkotilasäädökset toimivat vastuuvapausperusteena ja saattavat yksittäistapauksissa poistaa rangaistavuuden, vaikka salaisuuden ilmaiseminen tapahtuu sekä ilman suostumusta että lainvastaisesti.
Tietyin laissa mainituin edellytyksin asiakasta koskevaa tietoa voidaan luovuttaa ilman asiakkaan nimenomaista suostumusta toiselle viranomaiselle tai palvelun tuottajalle. Pääsääntö on kuitenkin, että asiakirjoihin sisältyvien tietojen luovuttaminen
edellyttää asiakkaan nimenomaista suostumusta, jonka tulee pääsääntöisesti olla
kirjallinen. Vastuu tiedon antamisen tarpeellisuudesta ja asianmukaisuudesta jää
suostumuksesta huolimatta tiedonantajalle. Tarpeetonta tietoa ei saa luovuttaa asiakkaan suostumuksellakaan.
6.1.1
Henkilötietojen käsittelyn periaatteet
Huolellisuus
Huolellisuusvaatimus tarkoittaa, että henkilötietoja tulee käsitellä huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen sekä toimia muutoinkin niin, ettei rekisteröidyn
41
Laki viranomaisten toiminnan julkisuudesta 21.5.1999/621, 24 §
Laki viranomaisten toiminnan julkisuudesta 21.5.1999/621, 6. ja 7. luku
43
Henkilötietolaki 22.4.1999/523
44
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 22.9.2000/812, 3. luku
42
32
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
LUKU 6
yksityiselämän suojaa ja muita yksityisyyden turvaavia perusoikeuksia rajoiteta il45
man laissa säädettyä perustetta.
Tarpeellisuus
Tarpeellisuusvaatimus tarkoittaa, että käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia.
Virheettömyys
Virheettömyysvaatimus taas viittaa siihen, että rekisterinpitäjän on huolehdittava
siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä. Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsitte46
lyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.
Merkintöjen tulee olla selkeitä ja ymmärrettäviä ja merkintöjä tehtäessä tulee käyttää
yleisesti tunnettuja ja hyväksyttäviä käsitteitä. Tietojen lähde tulee kirjata, jos
asiakasasiakirjoihin merkittävä tieto ei perustu ammattihenkilön omiin tutkimushavaintoihin.
Arkaluonteiset tiedot
Henkilötietolain tarkoittamia arkaluonteisia henkilötietoja ei pääsääntöisesti saa
merkitä asiakkaan tietoihin. Arkaluonteisia tietoja ovat terveydentilaa koskevat tiedot
sekä tiedot, jotka koskevat henkilön rotua tai etnistä alkuperää, henkilön yhteiskunnallista tai poliittista vakaumusta tai ammattiliittoon kuulumista, rikollista tekoa, rangaistusta tai muuta rikosten seuraamusta ja henkilön seksuaalista suuntautumista
tai seksuaalista käyttäytymistä sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
Sosiaalihuollossa on sallittua merkitä asiakastietoihin edellä mainittuja yksikön toiminnassa saatuja tietoja asiakkaan saamista sosiaalihuollon palveluista, jos se on
tarpeellista tehtävien hoidossa. Muita arkaluonteisiakin tietoja voidaan tallettaa ja
käsitellä, jos se on välttämätöntä tehtävien hoidossa. Tällaisten tietojen tallettamiselle tulee olla aina esitettävissä tehtävien hoidon kannalta asianmukainen ja hyväksyttävä syy.
Asiakastietojen sähköisessä käsittelyssä tulee turvata tietojen käytettävyys ja saatavuus. Asiakastietojen tulee säilyä eheinä ja muuttumattomina koko niiden säilytysajan. Sähköisestä asiakasasiakirjasta tulee olla vain yksi alkuperäisellä tunnisteella
47
yksilöity kappale.
Laki sosiaalihuollon asiakasasiakirjoista on tullut voimaan 1.4.2015. Lain tarkoituksena on edistää asiakastietojen tarkoituksenmukaista käsittelyä ja hyödyntämistä,
yhtenäistää sosiaalihuollon asiakasasiakirjojen tietosisältöjä, laatimista, säilyttämistä
ja muuta käsittelyä sosiaalipalvelujen tuottamiseksi.
6.1.2
Oman henkilöstön tietojen käsittely
Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien
hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin, tai jotka johtuvat työ48
tehtävien erityisluonteesta.
Henkilöstöhallinnon rekisteriin kerätään työntekijöistä henkilötietoja palvelussuhteen
hoitamiseksi. Työnantaja kerää työntekijää koskevat tiedot ensisijaisesti työntekijältä
itseltään. Työnantajan oikeutta käsitellä työntekijöiden henkilötietoja rajaa tarpeellisuusvaatimus. Käsiteltävien henkilötietojen on liityttävä virka- tai työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan tarjoamiin etuuk-
45
Henkilötietolaki 523/1999, 5 §
Henkilötietolaki 523/1999, 9 §
47
Laki asiakastietojen sähköisestä käsittelystä 4 §
48
Laki yksityisyyden suojasta työelämässä 759/2004, 3 §
46
33
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
LUKU 6
siin. Henkilöstöhallinnossa tapahtuvaan henkilötietojen käsittelyyn sovelletaan henkilötietolakia sekä julkisuuslakia.
Henkilöstörekisteri
Henkilöstöhallinnon rekisteriin kerättäviä tietoja ovat mm. henkilön nimitys-, palkka-,
vuosiloma- ja poissaolotiedot sekä palkkausperusteiden arviointiin liittyvät tiedot.
Henkilöstöhallinnon rekisteriin sisällytetään myös sivutoimi-ilmoitukset ja luvat sekä
kurinpidollisiin toimenpiteisiin liittyvät tiedot sekä palkan pidättämiseen liittyvät tiedot.
Työntekijä voi tarkastaa itseään koskevat henkilörekisteritiedot joko osoittamalla kirjallisen tietojen tarkastuspyynnön palkkatoimistoon tai käymällä henkilökohtaisesti
palkkatoimistossa.
Palkkatiedot
Palkkatietojen julkisuus määräytyy julkisuuslain mukaan. Julkisia palkkatietoja ovat
tiedot työntekijän kokonaispalkasta, tehtäväkohtaisesta palkanosasta, henkilökohtaisesta palkanosasta, tehtävän vaativuustasosta sekä vaativuusarvioinnista pisteytyksineen. Salassa pidettäviä tietoja ovat asiakirjat, jotka sisältävät tietoja palkkauksen
perustetta varten tehdyistä arvioinneista, kuten esimiehen suorittama henkilökohtainen työsuorituksen arviointi. Yksittäisiä palkkatietoja voidaan luovuttaa julkisuuslain
nojalla. Mikäli samalla kertaa pyydetään useiden henkilöiden palkkatietoja, ei tietoja
anneta henkilöstötoimistosta. Palkka- ja henkilötietoja luovutettaessa henkilörekisterin muodossa on tietojen luovuttajalla varmistuttava siitä että luovutetun henkilörekisterin käyttö täyttää henkilötietolain vaatimukset. Tästä syystä voidaan pääsääntöisesti luovuttaa vain yksittäisiä palkkatietoja eikä palkkatietoja luovuteta isompina
kokonaisuuksina.
Terveydentilatiedot
Työnantaja saa käsitellä työntekijän terveydentilatietoja vain, jos työntekijä itse toimittaa ne hänelle tai jos työntekijä on antanut kirjallisen suostumuksen luovuttaa tällaisia tietoja työnantajalle. Kun työntekijä itse luovuttaa terveyttään koskevia tietoja,
täyttää se suostumuksen tunnusmerkistön. Työnantaja ei kuitenkaan saa käsitellä
edes työntekijän suostumuksella mitä tahansa terveydentilaa koskevia tietoja.
Huumausainetestit
Laissa säädetään työnantajan oikeudesta käsitellä huumausainetestiä koskevaan
todistukseen merkittyjä tietoja, ei varsinaisesta huumausainetestauksesta. Säännösten lähtökohtana on, että työnhakija tai työntekijä toimittaa itse työnantajalle huumausainetestiä koskevan todistuksen. Siitä saa ilmetä vain, että työntekijälle on tehty
huumausainetesti ja selvitys siitä, onko hän käyttänyt huumausaineita muihin kuin
lääkinnällisiin tarkoituksiin siten, että hänen työ- tai toimintakykynsä on heikentynyt.
Huumausaineen määritelmä on sama kuin huumausainelaissa, johon laissa viitataan.
Koska huumausainetestiä koskeva tieto on arkaluonteinen terveydentilaa koskeva
tieto, sovelletaan sen käsittelyyn muutoin samoja säilytys-, salassapito ja käsittelyoikeuden rajoituksia kuin muihinkin terveydentilaa koskeviin tietoihin.
6.2 Tietojen arkistointi ja hävittäminen
6.2.1
Arkistonmuodostussuunnitelma
Arkistonmuodostajan on määrättävä tehtävien hoidon tuloksena kertyvien asiakirjojen säilytysajat ja -tavat sekä ylläpidettävä niistä arkistonmuodostussuunnitelmaa.
Asiallisesti ottaen myös arkistosääntöön verrattava ohjeistus on muodossa tai toi49
sessa välttämätön. Arkistolaki edellyttää, että arkistonmuodostajan on määrättävä,
miten sen arkistotoimen suunnittelu, vastuu ja käytännön hoito järjestetään.
Arkistonmuodostussuunnitelma ohjaa organisaation arkistointia, rekisteröintiä ja
seulontaa. Sillä on alusta lähtien ollut myös viranomaistoiminnan julkisuutta palvele-
49
Arkistolaki 8 §
34
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
LUKU 6
50
va tehtävä. Se korostuu uuden julkisuuslainsäädännön ansiosta. Laki tähdentää
51
julkisuusperiaatteen toteuttamisessa hyvää tiedonhallintatapaa . Sen olennainen
osa on hyvin hoidettu asiakirjahallinto. Arkistonmuodostussuunnitelma on asiakirjahallinnon tärkeimpiä työkaluja.
Em. lakia täydentää asetus viranomaisten toiminnan julkisuudesta ja hyvästä tie52
donhallintatavasta . Se korostaa arkistonmuodostussuunnitelmaa välineenä, jonka
avulla suunnitellaan ja toteutetaan viranomaisten toiminnan julkisuudesta annetun
53
lain 18 §:n 1 momentin 4 kohdassa tarkoitetut toimenpiteet .
Arkistonmuodostussuunnitelma on julkinen asiakirja, joka on pidettävä yleisön saa54
tavilla viranomaisen kirjaamossa tai muussa yleisöpalvelupisteessä . Arkistonmuodostussuunnitelma on pysyvästi säilytettävä asiakirja. Mikäli suunnitelmaa ylläpidetään tietojärjestelmän avulla, pysyvästi säilytettävä kappale tulostetaan paperille.
Kun suunnitelmaa muutetaan, muutetut kohdat (ja tieto muutosajankohdasta) säilytetään pysyvästi paperilla.
Ohjeita arkistonmuodostussuunnitelman laatimiseen löytyy esimerkiksi arkistolaitoksen sivuilta osoitteesta www.arkisto.fi kohdasta Palvelut – Normit.
6.2.2
Sosiaalihuollon asiakirjojen säilytysajat
Arkistolain 8 §:n 2 momentin mukaan arkistolaitos määrää, mitkä asiakirjat säilytetään pysyvästi. Arkistolaitoksen määräämät, pysyvästi säilytettävät asiakirjat löytyvät
55
arkistolaitoksen päätöksestä 1.12.2014 AL/20064/07.01.01.03.01/2014.
Mitään sosiaalihuollon asiakirjatietoja ei saa hävittää ennen kuin niille on laadittu virallisesti vahvistetut säilytysajat. Nämä säilytysajat ilmenevat kunnan, kuntayhtymän
tai muun viranomaisen laatimasta lakisääteisestä arkistonmuodostussuunnitelmas56
ta. Se on kokonaisvaltainen tietojenkäsittelyn suunnitelma ja sisältää myös eri
asiakirjojen ja tietojen säilytysajat. Tarkempia tietoja arkistonmuodostussuunnitelman laadinnasta ja pysyvästi säilytettäviä aineistoja koskevista päätöksistä löytyy
57
arkistolaitoksen sivuilta . Sosiaalihuollon asiakasasiakirjojen säilytysajat on määritelty sosiaalihuollon asiakasasiakirjalain (254/2015) 27 pykälässä. Lain liitteenä on
luettelo sosiaalihuollon eri palvelutehtäviä koskevista säilytysajoista.
Rekisterinpitäjän tulee määritellä, miten pitkään eri tietoja ja asiakirjoja tarvitaan toiminnan tarpeisiin ja mikä on niiden säilytysaika. Esimerkiksi tulee arvioida, kuinka
kauan toimeentulotukihakemusta ja sitä koskevaa päätöstä on perusteltua toimeentulotukiasioiden käsittelyn kannalta säilyttää. Määritelty säilytysaika pitää myös merkitä arkistonmuodostussuunnitelmaan. Määrittelyssä tulee myös ottaa huomioon arkistolaitoksen määräykset ja laeista, asetuksista tai muista sitovista määräyksistä
mahdollisesti tulevat säilytysaikamääräykset tai suositukset. Myös se tulee määritellä, miten tiedot eri käsittelyvaiheissa mahdollisesti hävitetään. Hävitystavan tulee olla sellainen, etteivät salassa pidettävät tiedot paljastu ulkopuolisille. Tiedot on esimerkiksi silputtava tai poltettava. Sosiaalihuollon asiakaslaki oikeuttaa sosiaali- ja
terveysministeriön tarvittaessa antamaan yleisiä ohjeita asiakastietojen käsittelyyn ja
säilyttämiseen liittyvistä menettelyistä.
50
Laki viranomaisten toiminnan julkisuudesta, 621/1999
Laki viranomaisten toiminnan julkisuudesta, 621/1999 18 §
52
Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999)
53
Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) 1 §
54
Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintavasta 1030/1999 7 §
51
55
Löytyy arkistolaitoksen sivuilta osoitteesta www.arkisto.fi nimellä ” Sosiaalihuollon asiakasasiakirjojen ja -tietojen
pysyvä säilytys 2014”
56
Arkistolaki 8.2 §
57
www.narc.fi
35
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
LUKU 6
Asiakastietoja käytetään aktiivikäytössä olevassa rekisterissä niin kauan kuin asiakas esim. asuu toimintayksikössä tai asiakassuhde muutoin jatkuu. Sen jälkeen
asiakastietoja säilytetään arkistonmuodostussuunnitelmassa määritellyn ajan, jonka
jälkeen ne tulee hävittää. Tietojärjestelmiin pitää rakentaa ominaisuudet, joiden perusteella tiedot voidaan hävittää niille määritellyn säilytysajan päätyttyä. Esimerkiksi
toimeentulotukihakemus tulee poistaa sekä paperiasiakirjoista että sähköisistä tiedoista sille määritellyn säilytysajan päätyttyä.
6.2.3
Säilytysaikojen laskentaperusteita
Säilytysaikojen päättymisajankohtia määriteltäessä noudatetaan seuraavia periaat58
teita:
• Asiakirjallisten tietojen säilytysajan päättymisajankohta lasketaan niitä koskevan asian lopullisesta päättämisestä tai, jollei asia ole aiheuttanut toimenpiteitä, sen vuoden päättymisestä, jolloin asiakirjalliset tiedot ovat organisaatioon saapuneet.
6.2.4
•
Tilinpitoon liittyvien aineistojen säilytysajan päättymisajankohta lasketaan
sen tilikauden päättymisestä, jota ne koskevat.
•
Asiakirjallisten tietojen säilytysajan päättymisajankohta lasketaan niiden päiväyksestä tai viimeisestä merkinnästä.
•
Päiväämättömien asiakirjallisten tietojen säilytysajan päättymisajankohta
lasketaan sen vuoden päättymisestä, jolloin asiakirjallinen tieto on laadittu
tai siihen on tehty viimeinen merkintä.
•
Asiakirjallisten tietojen säilytysajan päättymisajankohta määräytyy viimeisen
päivityksen mukaan. Periaatetta noudatetaan tietojärjestelmiin, joista asiakirjallisten tietojen hävittäminen ei muutoin onnistu ja joihin ei sisälly varsinaista hävitystoiminnallisuutta. Ennen tietojen hävittämistä on huolehdittava,
että tarvittavat raportit ja tulosteet on otettu.
•
Sähköisiin tietojärjestelmiin sisältyvien tietojen säilytysajan pituus tallentuu
automaattisesti arkistonmuodostussuunnitelmasta asianomaiseen metatietokenttään, kun uusi asiakirjallinen tieto liitetään tietojärjestelmään. Arkistonmuodostussuunnitelmaan määritellään se toimenpide tai tapahtuma, josta määräajan säilytettävän asiakirjallisen tiedon säilytysajan päättymisen
laskenta käynnistyy. Määritellyn impulssin toteutuminen tietojärjestelmässä
tallentaa määräaikaisen säilytysajan päättymisajankohdan automaattisesti.
Asiakirjojen hävittäminen
Arkistotoimeen kuuluva tietoaineistojen hävittäminen ennakoidaan arkistonmuodostuksessa niin, että se voidaan toteuttaa esimerkiksi vuosittain säilytysaikojen
kuluttua umpeen. Tarpeettoman aineiston hävittäminen
voi tapahtua joko työpisteessä arkistovastaavan valvonnassa tai
keskusarkistossa. Hävittäminen suoritetaan tietoaineistoille määrätyn
säilytysajan jälkeen niin, ettei tietoja joudu ulkopuolisten käsiin (ArkL 5 13).
Erityistä huolellisuutta noudatetaan salaisten ja ei-julkisten tietojen hävittämisessä.
58
Arkistolaitoksen opas säilytysaikojen määrittelyn periaatteiksi (22.9.2010)
36
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
LUKU 6
6.3 Käytön valvonta ja rekisterinpidon lainmukaisuus
6.3.1
Lokitiedot
Sosiaalihuollon palvelujen antajan tulee pitää rekisteriä omien asiakastietojärjestel59
miensä ja asiakasrekisteriensä käyttäjistä sekä näiden käyttöoikeuksista.
Ne henkilöt, joilla on sähköisen asiakasrekisterin käyttöoikeus, saavat yksikkökohtaisesti rajatun henkilökohtaisen käyttäjätunnuksen. Tunnusten avulla määritellään
ne toiminnot, joiden avulla asiakastietoja voidaan käsitellä. Tietoja saa käsitellä vain
siinä laajuudessa kuin heidän tehtävänsä ja vastuunsa sitä edellyttävät. Tunnuksen
antaminen toisen henkilön käyttöön ei ole luvallista. Käyttölokiin tallentuu mm. tiedot
siitä mitä tietoja on käytetty ja kuka niitä on käyttänyt.
Lokirekisteri
Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa
60
laissa säädetään palvelujen antajalle velvoite ylläpitää lokirekistereitä. Sähköinen
loki on tiedosto, johon automaattisesti tallentuu aikajärjestyksessä merkinnät tietojärjestelmän tapahtumista ja niiden aiheuttajista. Lokitieto sisältää erilaisia tunnistamistietoja kuten esimerkiksi sitä, kuka järjestelmää on käyttänyt tai miten ja milloin järjestelmää on käytetty. Tietojen sähköisestä luovuttamisesta muodostuu myös lokitietoa. Kukin tietojärjestelmä kerää yksilöllistä lokitietoa omaan tietokantaansa.
Käytön tarkoitus
Lokien käytön tarkoituksena on pääsääntöisesti jälkikäteen tapahtuva tietojen käytön
seuranta ja valvonta. Lokeihin tallennetaan sellaiset tiedot, että seuranta on mahdollista ja että se voidaan tehdä luotettavasti. Lokeja voidaan käyttää myös todisteena
ja rangaistusten perusteena. Jälkikäteen tapahtuvalla tietojen käsittelyn seurannalla
edesautetaan asiattoman käytön paljastumista. Tällä ylläpidetään asiakkaiden luottamusta. Lokitietoja käytetään rekisterien säädösten ja ohjeiden mukaisen käytön
valvonnassa, tietosuojarikkeiden paljastamisessa, esitutkinnassa sekä rekisterien
tietosisällön oikeellisuuden tarkistamisessa. Tarkoituksena ei ole estää tai rajoittaa
asiallista käyttöä.
Lokivalvonnassa on kysymys myös työntekijän omasta oikeusturvasta, ei pelkästään
rekisteröidyn tietojen suojaamisesta ja käytön valvonnasta. Lokimerkintöjen avulla
voidaan todentaa työntekijän oikeutettuja toimia.
Oikeus saada tietoa käyttäjälokitiedoista
Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa
selvittämistä tai toteuttamista varten sosiaalihuollon palvelujen antajalta kirjallisesta
pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luo61
vutuksen peruste.
Jos asiakas pyytää toistamiseen saman ajanjakson lokitietoja, palvelujen antaja voi
periä lokitietojen antamisesta kohtuullisen korvauksen, joka ei saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia. Pääsystä lokitietoihin 19 §:ssä tarkoi62
tetun katseluyhteyden avulla ei kuitenkaan saa periä erillistä maksua.
59
60
61
62
Lasi asiakastietojen sähköisestä käsittelystä 5 §
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007, 5 §
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007, 18§
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007, 18 §
37
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
LUKU 6
Jos asiakas katsoo, että hänen asiakastietojaan on käytetty tai luovutettu ilman riittäviä perusteita, tietoja käyttäneen tai tietoja saaneen palvelujen antajan tulee antaa
63
asiakkaalle pyynnöstä selvitys tietojen käytön tai luovuttamisen perusteista.
6.3.2
Rutiinivalvonta ja asiattoman tietojenkäytön etsintä
Rutiinivalvonnalla tarkoitetaan tietojärjestelmän keräämän lokitiedoston suunnitelmaan perustuvaa seurantaa ja valvontaa, joka koskee rekisteritietoja käyttäviä henkilöitä. Rutiinivalvontaa voidaan suorittaa arpomalla tietojärjestelmän käyttäjistä
henkilö, jonka tietojärjestelmän käyttö tarkistetaan tai valitsemalla suunnitelmallisesti
eri ammattiryhmiä eri yksiköistä ja tarkastamalla miten he ovat käyttäneet tietojärjestelmiä.
Valvontaa voidaan edellä mainittujen tapojen lisäksi suunnata siten, että valvonnan
kohteeksi voidaan pistokokein ottaa lokitiedot tunnetun henkilön tietojen katselusta
tai käytöstä. Kiinnostavaksi arvioitu tunnettu henkilö voi olla julkisuuden henkilö, työtoveri tai työyhteisössä muuten tunnettu henkilö tai työntekijän perheenjäsen. Lokitietojen valvontaa suorittavalla rajatulla henkilöstöllä on oikeus ja velvollisuus käyttää lokitietoja suorittaessaan henkilötietojen käsittelyyn liittyvää valvontaa.
Asiakastietojen käytön valvonta voi tapahtua myös asiakkaiden tekemien selvityspyyntöjen perusteella. Asiakkaalla on tiedonsaantioikeus rekisteritietojensa lainmukaisesta käytöstä. Hän voi pyytä rekisterinpitäjältä rekisteritietojen käytön selvitystä
vapaamuotoisella kirjallisella pyynnöllä tai siihen tarkoitetulla lomakkeella. Rekisteritietojen käytön selvityspyyntö toimitetaan rekisteriasioita hoitavalle henkilölle tai tietosuojavastaavalle.
6.3.3
Väärinkäyttöepäily ja lokitietoja koskevat selvityspyynnöt
Rekisteröity voi itse käynnistää selvityksen, mikäli hän epäilee tietojensa väärinkäyttöä. Myös organisaation työntekijä voi tehdä selvityspyynnön epäillessään muiden
työntekijöiden epäasiallista toimintaa asiakastietojen käsittelyssä.
Selvityspyynnössä on riittävästi yksilöitävä mitä tarkoitusta varten selvitystä pyydetään sekä mahdolliset tiedossa olevat seikat, jotka liittyvät tietojen väärinkäyttöön.
Rekisteröidyn tekemässä selvityspyynnössä tulee olla rekisteröidyn henkilö- ja yhteystiedot. Henkilötunnusta tarvitaan rekisteröidyn tunnistamiseksi tietojärjestelmästä.
Organisaation työntekijän ilmoittamasta väärinkäyttöepäilystä tulee ilmetä ilmoituksen tekijä, kenen työntekijän tietojenkäytöstä on kysymys ja tiedossa olevat seikat,
jotka liittyvät mahdolliseen väärinkäyttöön. Työntekijän pyytäessä omaa tietojenkäyttöä koskevat tiedot, pyynnössä tulee ilmetä pyynnön peruste, esimerkiksi epäily siitä, että hänen käyttäjätunnuksensa ovat joutuneet vääriin käsiin.
Selvityspyyntöjä säilytetään hallinnon erillisessä arkistossa. Selvityspyyntöjä tai niihin liittyviä selvityksiä ja ratkaisuja ei sisällytetä asiakas- tai potilasasiakirjoihin.
63
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007, 18 §
38
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
6.3.4
LUKU 6
Rekisteritietojen asiattomasta käytöstä aiheutuvat seuraamukset
Epäilyn potilastietojen asiattomasta käytöstä johtaa aina tarkempiin selvittelyihin.
Asiakastietojen käytön tarkemmasta selvitystarpeesta informoidaan selvityksen kohteena olevaa työntekijää ja esimiehiä. Selvityksen kohteena oleva työntekijä voi tarvittaessa olla yhteydessä luottamusmieheen ja luottamusmies voi olla selvityksen
kohteena olevan työntekijän pyynnöstä mukana kuulemistilaisuudessa, mikäli kuulemistilaisuus katsotaan tarpeelliseksi.
Mikäli selvitysprosessissa ilmenee muitakin ammatinharjoittamiseen liittyviä ongelmia, voidaan harkita tarvittaessa myös valvontaviranomaisen eli VALVIRAn tai
Aluehallintoviraston ottamista mukaan prosessiin.
Tietosuojarikkomuksesta ilmoittamista rekisteröidylle itselleen harkitaan tapauskohtaisesti. Henkilötietolain ja organisaation antamien ohjeiden vastaisesta käytöstä
seuraa lähtökohtaisesti aina kirjallinen varoitus. Mikäli väärinkäytöksiä ilmenee uudestaan, se voi johtaa työ- tai virkasuhteen päättymiseen. Kirjallisen varoituksen antamisen jälkeen kyseisen henkilön asiakasrekisterinkäyttöä valvotaan. Työntekijä
voidaan myös siirtää tehtävään, jossa hänellä ei ole oikeuksia asiakasrekisterin
käyttöön. Rikkomuksen tekijä voidaan irtisanoa irtisanomisaikoja noudattaen tai vakavissa tilanteissa hänen palvelussuhteensa voidaan purkaa välittömästi. Opiskelijoiden osalta väärinkäyttö voidaan ilmoittaa oppilaitoksille kurinpidollista seuraamusharkintaa varten.
Salassapitorikkomuksista, salassapitorikoksesta ja henkilötietolain vastaisesta toiminnasta voidaan tuomita rikoslain mukaisesti sakkorangaistukseen tai enintään
64
vuosi vankeutta.
6.3.5
Toimintaohjeet tietoturvaloukkaustilanteessa
Tietoturvaloukkaustilanteessa selvitetään aiheutettu haitta ja sen vaikutukset. Tämä
voidaan yleensä tutkia suoraan päätelaitteelta tai palvelimelta seuraavin keinoin:
• estetään tutkittavan päätelaitteen tai palvelimen käyttö sulkemalla käyttäjätunnuksen tai haitallisen IP-osoitteen (IP = päätelaitteen yksilöivä tunnus) oikeudet selvitystyön ajaksi
• seurataan tunnuksen käyttöä sekä tallennetaan käyttö lokiin todistusaineistoksi varmentaen, että tunnuksen käyttö ei vaaranna muun järjestelmän tietoturvallisuutta tai käytettävyyttä.
Tietoturvaloukkaus ja tietosuojarikkomus tulee aina selvittää sisäisesti kuitenkin siten, että salassa pidettävää tietoa ei paljasteta selvitystyön yhteydessä enempää
kuin on tarpeellista. Tietosuojan tai tietoturvallisuuden rikkomuksista asetettujen
sanktioiden merkitys on ymmärrettävää ja täytäntöönpano selkeää, jos yhteisöllä on
valmiiksi mietitty tietoturvallisuuspolitiikka, johdonmukaisesti määritellyt henkilövas65
tuut ja yksiselitteiset menettelyohjeet sekä yhteisö on kouluttanut henkilöstön.
6.3.6
Seuraamukset lainvastaisesta menettelystä
Henkilötietolakiin ja rikoslakiin sisältyvät rangaistussäännökset tietosuojasäännösten
rikkomisesta. Laissa terveydenhuollon ammattihenkilöistä (36 §) viitataan salassapi66
tovelvollisuuden rikkomisen osalta rikoslain mukaisiin rangaistuksiin . Rikoslain 40
luvun 5 §:ssä säädetään virkasalaisuuden rikkomisesta ja tuottamuksellisesta virkasalaisuuden rikkomisesta.
64
Rikoslaki 39/1889, 1-2 §, 9 §
Sosiaali- ja terveysministeriön julkaisu: Tietoturvallisuussuunnitelman laatiminen. Opas sosiaali- ja
terveydenhuollon toimintayksikölle. 2007:19
66
Salassapitorikokset (RL 38: 1 ja 2, 40: 5 §).
65
39
REKISTERI- JA HENKILÖTIETOJEN TURVAAMINEN JA VALVONTA
LUKU 6
Sen mukaan, jos virkamies tai julkisyhteisön työntekijä tahallaan palvelussuhteensa
aikana tai sen päätyttyä oikeudettomasti paljastaa sellaisen asiakirjan tai tiedon, joka viranomaisen toiminnan julkisuudesta annetun lain tai muun lain mukaan on salassa pidettävä tai jota ei saa lain mukaan ilmaista tai käyttää omaksi tai toisen hyödyksi sellaista asiakirjaa tai tietoa, hänet on tuomittava, jollei teosta ole muualla
säädetty ankarampaa rangaistusta, virkasalaisuuden rikkomisesta. Rangaistus on
sakkoa tai enintään kaksi vuotta vankeutta. Virkamies voidaan tuomita myös viralta
pantavaksi, jos rikos osoittaa hänet ilmeisen sopimattomaksi tehtäväänsä.
Rikoslain 38 luvun 9 §:ssä säädetään henkilörekisteririkoksesta (525/1999) ja 8
§:ssä henkilörekisteriin kohdistuvasta tietomurrosta. Joka tahallaan tai törkeästä
huolimattomuudesta
67
1) käsittelee henkilötietoja vastoin henkilötietolain käyttötarkoitussidonnaisuutta, käsittelyn yleisiä edellytyksiä, henkilötietojen tarpeellisuutta tai virheettömyyttä, arkaluontoisia tietoja, henkilötunnusta tai henkilötietojen käsittelyä erityisiä tarkoituksia koskevia säännöksiä,
2) antamalla rekisteröidylle väärän tai harhaan johtavan tiedon estää tai yrittää
estää rekisteröityä käyttämästä hänelle kuuluvaa tarkastusoikeutta tai
1) siirtää henkilötietoja Euroopan Unionin ja Euroopan talousalueen ulkopuolisiin valtioihin henkilötietolain 5 luvun vastaisesti
ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle
muuta vahinkoa tai olennaista haittaa, on tuomittava henkilörekisteririkoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Tietosuojasäännösten rikkomisesta voi olla seurauksena myös vahingonkorvauslain
mukainen vahingonkorvausvelvollisuus. Henkilörekisterin rekisterinpitäjä on henkilötietolain 47 §:n mukaan velvollinen korvaamaan sen taloudellisen ja muun vahingon,
joka on aiheutunut rekisteröidylle tai muulle henkilölle henkilötietolain vastaisesta
menettelystä.
Henkilörekisteririkkomuksesta säädetään henkilötietolain 48 §:ssä. Säännöksen mukaan se, joka tahallaan tai törkeästä huolimattomuudesta henkilötietolain vastaisesti
laiminlyö, mitä henkilötietojen käsittelyn tarkoitusten määrittelystä, rekisteriselosteen
laatimisesta, tietojenkäsittelyn informoimisesta, henkilörekisterissä olevan tiedon
korjaamisesta, rekisteröidyn kielto-oikeudesta tai ilmoituksen tekemisestä tietosuojavaltuutetulle säädetään, antaa tietosuojaviranomaisille henkilötietojen käsittelyä koskevassa asiassa väärän tai harhaanjohtavan tiedon, rikkoo henkilötietojen
suojaamisesta ja henkilörekisterin hävittämisestä annettuja säännöksiä ja määräyksiä, rikkoo tietosuojalautakunnan 43 §:n 3 momentin nojalla antamaa lainvoimaista
määräystä ja siten vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan on tuomittava henkilörekisteririkkomuksesta, johon syyllistymisestä voi olla seurauksena sakkorangaistus.
Lisäksi sekä viranhaltija että työntekijä voidaan irtisanoa ja heidän palvelussuhteensa purkaa tietosuojasäännösten vastaisen menettelyn vuoksi, jos lain mukaiset irtisanomis- ja purkamisedellytykset täyttyvät.
67
Henkilötietolaki 523/1999
40
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
7 Tietojen luovuttaminen
Viranomaisen asiakirjat ovat pääsääntöisesti julkisia, mutta julkisuuslain mukaan
asiakirjat, jotka sisältävät tietoja sosiaalihuollon asiakkaasta ja hänen saamastaan
etuudesta tai tukitoimesta tai sosiaalihuollon palvelusta sekä henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen
palvelusta tai henkilön seksuaalisesta käyttäytymisestä tai suuntautumisesta ovat salassapidettäviä.
Saadakseen tietoa viranomaisen asiakirjasta, on esitettävä pyyntö tiedon saamiseksi.
Pyyntö on yksilöitävä riittävän selkeästi ja tietojen pyytäjän on ilmoitettava tietojen
käyttötarkoitus sekä muut tietojen luovuttamisen edellytysten selvittämiseksi tarpeelliset seikat. Viranomaisen asiakirjan antamisesta päättää se viranomainen, jonka hallussa asiakirja on.
Viranomainen voi antaa salassa pidettävästä viranomaisen asiakirjasta tiedon mikäli
se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen
68
suostumuksensa . Rekisteröidyllä on oikeus omiin tietoihinsa. Mikäli hän haluaa tietää, mitä tietoja hänestä on rekisteritietoihin kirjattu, hänen tulee tehdä pyyntö tarkastusoikeutensa käyttämisestä henkilörekisteri-/ tietosuojaselosteen mukaisesti. Pääsääntö on, että tiedot luovutetaan vain asian vaatimassa laajuudessa.
Tieto voidaan luovuttaa suullisesti tai antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla siitä kopio tai tuloste. Mahdollinen kieltäytyminen tietojen luovuttamisesta on perusteltava ja tiedonpyytäjällä on
mahdollisuus vaatia päätökseen oikaisua.
Mikäli viranhaltija kieltäytyy luovuttamasta pyydettyä tietoa, on hänen ilmoitettava
kieltäytymisen syy ja annettava ohje siitä, että tietojen pyytäjä voi saattaa asian edelleen käsiteltäväksi.
7.1 Julkisuuslain yleiset perusteet salassa pidettävän tiedon antamiseen
Julkisuuslain tavoitteena on muun muassa lisätä kansalaisten mahdollisuutta valvoa
viranomaisten toimintaa, luoda perusteet hyvälle tiedonhallintatavalle viranomaistoiminnassa ja luoda yhtenäiset perusteet viranomaisten väliselle tietojen vaihdolle.
Viranomaisen asiakirjojen julkisuus on pääsääntö, mutta tietyillä hallinnonaloilla käsiteltävien asioiden arkaluonteisuuden vuoksi salassa pidettävät asiakirjat voivat
käytännössä olla yleisempiä kuin julkiset asiakirjat.
Julkisuuslain mukaan asiakirjat, jotka sisältävät tietoja sosiaalihuollon asiakkaasta ja
hänen saamastaan etuudesta tai tukitoimesta tai sosiaalihuollon palvelusta sekä
henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta tai henkilön seksuaalisesta käyttäytymisestä tai
suuntautumisesta ovat salassapidettäviä. Tällaisia tietoja sisältävät asiakirjat ovat
salassa pidettäviä riippumatta siitä, minkä viranomaisen hallussa ne ovat ja miten vi69
ranomainen on ne saanut.
68
69
Julkisuuslaki 26.1 § 2-kohta
Narikka, J. 2006. s. 647. Sosiaali- ja terveyspalvelujen lainsäädäntö käytännössä. Tietosanoma Oy.
41
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
7.2 Tietojen antaminen viranomaisen asiakirjoista
7.2.1
Tietojen pyytäminen
Pyyntö saada tieto viranomaisen asiakirjan sisällöstä on oltava riittävän yksilöity, jotta viranomainen voi selvittää, mitä asiakirjaa pyyntö koskee. Tiedon pyytäjää on diaarin ja muiden hakemistojen avulla avustettava yksilöimään asiakirja, josta hän haluaa tiedon. Tiedon pyytäjän ei tarvitse selvittää henkilöllisyyttään eikä perustella
pyyntöään, ellei tämä ole tarpeen viranomaiselle säädetyn harkintavallan käyttämiseksi tai sen selvittämiseksi, onko pyytäjällä oikeus saada tieto asiakirjan sisällöstä.
Pyydettäessä saada tieto salassa pidettävästä asiakirjasta taikka viranomaisen henkilörekisteristä tai muusta asiakirjasta, josta tieto voidaan luovuttaa vain tietyin edellytyksin, tiedon pyytäjän on, jollei erikseen toisin säädetä, ilmoitettava tietojen käyttötarkoitus sekä muut tietojen luovuttamisen edellytysten selvittämiseksi tarpeelliset
70
seikat sekä tarvittaessa tiedot siitä, miten tietojen suojaus on tarkoitus järjestää.
7.2.2
Asiakirjan antamisesta päättäminen
Viranomaisen asiakirjan antamisesta päättää se viranomainen, jonka hallussa asiakirja on, jollei 15 §:n 3 momentissa tai muualla laissa toisin säädetä. Valtuusto voi
kunnan johtosäännöllä kuitenkin antaa tässä laissa tarkoitettuna viranomaisena toimivalle kunnalliselle toimielimelle oikeuden siirtää päättämässään laajuudessa asiakirjan antamista koskevaa viranomaisen ratkaisuvaltaa alaiselleen viranhaltijalle.
Tiedon antamisesta asiakirjasta, joka on laadittu viranomaisen toimeksiantotehtävää
suoritettaessa tai annettu toisen viranomaisen lukuun suoritettavaa tehtävää varten,
päättää tehtävän antanut viranomainen, jollei toimeksiannosta muuta johdu.
(23.6.2005/495)
Tiedon asiakirjan sisällöstä antaa se viranomaisen henkilöstöön kuuluva, jolle viranomainen on tämän tehtävän määrännyt tai jolle se hänen asemansa ja tehtäviensä
vuoksi muuten kuuluu.
Jos virkamies tai muu 2 momentissa tarkoitettu henkilö kieltäytyy antamasta pyydettyä tietoa, hänen on:
1) ilmoitettava tiedon pyytäjälle kieltäytymisen syy
2) annettava tieto siitä, että asia voidaan saattaa viranomaisen ratkaistavaksi
3) tiedusteltava asian kirjallisesti vireille saattaneelta tiedon pyytäjältä, haluaako
hän asian siirrettäväksi viranomaisen ratkaistavaksi, sekä
4) annettava tieto käsittelyn johdosta perittävistä maksuista.
Tässä pykälässä tarkoitettu asia on käsiteltävä viivytyksettä, ja tieto julkisesta asiakirjasta on annettava mahdollisimman pian, kuitenkin viimeistään kahden viikon kuluessa siitä, kun viranomainen on saanut asiakirjan saamista koskevan pyynnön.
Jos pyydettyjä asiakirjoja on paljon tai niihin sisältyy salassa pidettäviä osia tai jos
muu niihin rinnastettava syy aiheuttaa sen, että asian käsittely ja ratkaisu vaativat
erityistoimenpiteitä tai muutoin tavanomaista suuremman työmäärän, asia on ratkaistava ja tieto julkisesta asiakirjasta annettava viimeistään kuukauden kuluessa
71
siitä, kun viranomainen on saanut asiakirjan saamista koskevan pyynnön.
70
71
Laki viranomaisten toiminnan julkisuudesta 13 §
Laki viranomaistoiminnan julkisuudesta 621/1999, 14 §
42
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
7.2.3
LUKU 7
Asiakirjojen antamistapa
Viranomaisen asiakirjan sisällöstä annetaan tieto suullisesti taikka antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla
siitä kopio tai tuloste. Tieto asiakirjan julkisesta sisällöstä on annettava pyydetyllä
tavalla, jollei pyynnön noudattaminen asiakirjojen suuren määrän tai asiakirjan kopioinnin vaikeuden tai muun niihin verrattavan syyn vuoksi aiheuta kohtuutonta haittaa
72
virkatoiminnalle.
Viranomaisen ratkaisuista automaattisen tietojenkäsittelyn avulla ylläpidetyn rekisterin julkisista tiedoista on oikeus saada kopio teknisenä tallenteena tai muutoin sähköisessä muodossa, jollei erityisistä syistä muuta johdu. Tietojen antaminen vastaavassa muodossa muusta julkisesta asiakirjasta on viranomaisen harkinnassa, jollei
toisin säädetä. Videotallenteesta tai muusta vastaavasta tallenteesta, jolla on viranomaisen kuvaama kuulustelu tai muu tapahtuma, jossa henkilöä kuullaan, saa kuitenkin antaa kopion vain, jos tallenteessa kuultava henkilö siihen suostuu tai jos tallenteen sisältö huomioon ottaen on ilmeistä, ettei kopion antaminen johda hänen yksityisyyden suojansa loukkaamiseen. (30.3.2007/385)
Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty,
jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Henkilötietoja saa kuitenkin luovuttaa
suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen
73
säädetään tai jos rekisteröity on antanut siihen suostumuksensa.
7.2.4
Tiedon antaminen keskeneräisestä asiakirjasta tai valmisteluasiakirjasta
Viranomaisen on, jollei salassapitosäännöksistä muuta johdu, pidettävä saatavissa
asiakirjoja, joista selviävät tiedot:
1) lainsäädännön uudistamista koskevan työn käynnistämisestä, sitä koskevasta
toimeksiannosta, asetetusta määräajasta sekä valmistelusta vastaavasta henkilöstä;
2) valmisteilla olevista yleisesti merkittäviä kysymyksiä koskevista suunnitelmista,
selvityksistä ja ratkaisuista.
Viranomaisen on pyydettäessä annettava suullisesti tai muulla sopivalla tavalla tietoja 1 momentissa mainittujen asioiden käsittelyvaiheesta, esillä olevista vaihtoehdoista ja niiden vaikutusten arvioinneista sekä asiaan liittyvistä yksilöiden ja yhteisöjen
74
vaikutusmahdollisuuksista.
7.3 Muutoksenhaku julkisuuslaissa tarkoitettuihin päätöksiin
Tilanteissa, joissa viranomainen ei ole antanut pyydettyä tietoa asiakirjasta tai annettu asiakirja tai tieto on loukannut jonkun oikeutta tai aiheuttaa vahinkoa on mahdollisuus vaatia oikaisua. Oikaisua voi vaatia myös tietojen antamiseen liittyvistä vi75
ranomaisen perimistä maksuista. Oikaisua voi vaatia se, johon päätös on kohdistettu.
72
Laki viranomaistoiminnan julkisuudesta 621/1999, 16 §
Laki viranomaistoiminnan julkisuudesta 15 §
74
Laki viranomaistoiminnan julkisuudesta 19 §
75
Laki viranomaisten toiminnan julkisuudesta 621/1999, 33 §
73
43
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
Julkisuuslaissa tarkoitetun tiedon antamisesta ei edellytetä tehtävän kirjallista päätöstä kun julkisuus on riidaton eikä tiedon luovuttaminen välittömästi vaikuta kenenkään velvollisuuteen tai etuun. Mikäli viranhaltija kieltäytyy luovuttamasta pyydettyä
tietoa, on hänen ilmoitettava kieltäytymisen syy ja annettava ohje siitä, että tietojen
pyytäjä voi saattaa asian edelleen käsiteltäväksi.
Sosiaalilautakunnan alaisen viranhaltijan tekemään päätökseen saa hakea oikaisua
Sosiaalilautakunnalta. Sosiaalilautakunnan tekemään päätökseen voi hakea muutosta hallinto-oikeudelta.
Lastensuojelua koskevien päätösten muutoksenhaku määritellään lastensuojelulaissa.
7.4 Tietojen luovuttaminen sosiaalihuollossa
Sosiaalihuollon asiakaslain tavoitteena on ollut koota yhteen ja tarkentaa keskeisimmät sosiaalihuollossa noudatettavat menettelysäännökset, jotka vaikuttavat asiakkaan kohteluun, hoidolliseen ja tiedolliseen itsemääräämisoikeuteen sekä oikeusturvaan.
Asiakaslakiin sisältyy useita tietosuojaan ja menettelyyn liittyviä säännöksiä, jotka
vastaavat käytännössä sisällöltään viranomaistoimintaa koskevia yleiseen lainsää76
däntöön sisältyviä oikeusohjeita. Ne on tällöin informaatio- ja ymmärrettävyyssyistä muotoiltu sosiaalihuollon toimintaan ja asiakaslain kokonaisuuteen paremmin soveltuviksi. Siten niitä on käytännössä tulkittava yhteneväisesti, ellei tekstistä nimen77
omaan ilmene syytä eriävälle tulkinnalle.
Tietojen luovutuksesta eri henkilörekistereistä huolehtii rekisteriselosteissa mainitut
henkilöt. Henkilörekisteritietojen antamisesta asianomaiselle itselleen ei peritä maksua, ellei edellisestä tietojen antamisesta ole kulunut vähemmän kuin yksi vuosi.
7.4.1
Suostumus ja tietojen luovuttaminen
Viranomainen voi antaa salassa pidettävästä viranomaisen asiakirjasta tiedon mikäli
se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen
78
suostumuksensa . Asianosaisen suostumus silloin, kun asianosaisella itsellään on
oikeus tietoon, oikeuttaa aina salassa pidettävän tiedon luovuttamiseen sivulliselle.
Sosiaalihuollossa on kuitenkin otettava huomioon asiakaslain 16 §, jonka mukaan
milloin asiakkaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä,
tietoja saa antaa laillisen edustajan suostumuksella.
Laillinen edustaja on huoltaja, tuomioistuimen tai maistraatin määräämä edunvalvoja
tai potilaan valtuuttama henkilö. Täysi-ikäiselle henkilölle ja alaikäiselle, jonka edut
ovat ristiriidassa huoltajan edun kanssa, voidaan määrätä edunvalvoja. Edunvalvonnan tarpeen selvittää maistraatti ja aloitteen tekijä voi olla kuka tahansa salassapitosäännösten estämättä. Edunvalvonta voidaan ajallisesti määritellä toistaiseksi, määräiseksi tai määrätyn tehtävän ajan voimassaolevaksi.
76
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 812/2000, 12-16 §
Narikka 2006, 647
78
Julkisuuslaki 26.1 § 2-kohta
77
44
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
7.4.2
LUKU 7
Tietojen luovutus rekisteröidylle itselleen ja hänen huoltajalleen
Asiakkaalla on oikeus omiin tietoihinsa. Mikäli hän haluaa tietää, mitä tietoja hänestä
on asiakastietoihin kirjattu, hänen tulee tehdä pyyntö tarkastusoikeutensa käyttämisestä henkilörekisteri-/ tietosuojaselosteen mukaisesti.
Sosiaalihuollossa tarkastusoikeutta voidaan rajoittaa, mikäli tiedon saanti voi vaarantaa erittäin tärkeää yleistä tai yksityistä etua tai erittäin tärkeää lapsen etua. Tarkastusoikeuden rajoitusperusteena voidaan myös käyttää todistajan sekä rikos- ja
lastensuojeluilmoituksen tekijän suojaa.
Sosiaalihuoltolain 10§:n mukaan alaikäinen voi ottaen huomioon hänen ikänsä ja
kehitystasonsa sekä asian laatu painavasta syystä kieltäytyä antamasta itseään
koskevia tietoja lailliselle edustajalleen, jollei se ole selvästi alaikäisen edun vastaista.
7.4.3
Omaisen ja laillisen edustajan tiedonsaantioikeus
Jos täysi-ikäinen asiakas ei sairauden, henkisen toimintakyvyn vajavuuden tai muun
vastaavan syyn vuoksi pysty osallistumaan ja vaikuttamaan palvelujensa tai sosiaalihuoltoonsa liittyvien muiden toimenpiteiden suunnitteluun ja toteuttamiseen taikka
ymmärtämään ehdotettuja ratkaisuvaihtoehtoja tai päätösten vaikutuksia, on
asiakkaan tahtoa selvitettävä yhteistyössä hänen laillisen edustajansa taikka omaisensa tai muun läheisen henkilön kanssa.
7.4.4
Edunvalvojan tiedonsaantioikeus
Jos täysi-ikäinen asiakas on henkilöään tai varallisuuttaan koskevassa asiassa ilmeisen edunvalvonnan tarpeessa, tulee sosiaalihuoltolain 6 §:n 1 momentissa tarkoitetun toimielimen tehdä holhoustoimesta annetun lain (442/1999) 91 §:ssä tarkoitettu ilmoitus holhousviranomaiselle edunvalvojan määräämiseksi asiakkaalle.
Edunvalvojalla on tehtäviinsä kuuluvissa asioissa oikeus saada ne tiedot, joihin
päämiehellä olisi itsellään oikeus, jollei erikseen toisin säädetä. Edunvalvojalla on
ilman päämiehensä suostumusta oikeus avata vain sellaisia päämiehelleen saapuneita kirjeitä tai niihin rinnastettavia suljettuja viestejä, joiden voidaan lähettäjän nimen tai muun erityisen seikan perusteella päätellä koskevan asiaa, josta edunvalvo79
jan tulee huolehtia.
Täysi-ikäisen potilaan edunvalvojalle saa antaa potilasasiakirjatietoja ajankohtaiseen
hoitoon liittyvän suostumuksen antamista varten. Tämä edellyttää, että edunvalvojalla on oikeus käyttää potilaan (päämiehensä) toimivaltuuksia potilaan terveydentilaa
koskevissa asioissa. Pelkästään oikeus taloudelliseen edunvalvontaan ei anna
edunvalvojalle oikeutta potilasasiakirjoihin. Edunvalvoja voi käyttää kelpoisuuttaan
vain, jos potilas ei ko. hetkellä pysty asian merkitystä itse ymmärtämään.
Edunvalvontavaltuutuksella valtuutettu voidaan oikeuttaa edustamaan valtuuttajaa
tämän omaisuutta koskevissa ja muissa taloudellisissa asioissa. Valtuutettu voidaan
oikeuttaa edustamaan valtuuttajaa myös sellaisissa tämän henkilöä koskevissa asioissa, joiden merkitystä valtuuttaja ei kykene ymmärtämään sillä hetkellä, jolloin valtuutusta olisi käytettävä. Valtuutus voidaan rajoittaa koskemaan määrättyä oikeustointa, asiaa tai omaisuutta. Valtuutetulla ei ole kelpoisuutta valtuuttajan puolesta antaa suostumusta avioliittoon tai lapseksi ottamiseen, tunnustaa isyyttä, hyväksyä
79
Laki holhoustoimesta 442/1999, 89 §
45
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
isyyden tunnustamista, tehdä tai peruuttaa testamenttia eikä edustaa valtuuttajaa
80
muussa sellaisessa asiassa, joka on näihin rinnastuvin tavoin henkilökohtainen.
7.4.5
Asianosaisen tiedonsaantioikeus
Julkisuuslain 11 §:n mukaan hakijalla, valittajalla sekä muulla, jonka oikeutta tai velvollisuutta asia koskee, on oikeus saada tieto asiakirjasta, vaikka se ei ole julkinen,
jos asiakirja voi tai on voinut vaikuttaa asian käsittelyyn. Tieto voidaan jättää kuitenkin poikkeuksellisesti antamatta, jos se olisi vastoin erittäin tärkeää yleistä tai yksityistä etua (esim. lastensuojeluilmoituksen tekijä).
Asianosaiselle on ennen asian ratkaisemista varattava tilaisuus lausua mielipiteensä
asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saat81
tavat vaikuttaa asian ratkaisuun.
Asian saa ratkaista asianosaista kuulematta, jos:
1) vaatimus jätetään tutkimatta tai hylätään heti perusteettomana;
2) asia koskee palvelussuhteeseen tai vapaaehtoiseen koulutukseen ottamista;
3) asia koskee hakijan ominaisuuksien arviointiin perustuvan edun myöntämistä;
4) kuuleminen saattaa vaarantaa päätöksen tarkoituksen toteutumisen tai kuulemisesta aiheutuva asian käsittelyn viivästyminen aiheuttaa huomattavaa haittaa
ihmisten terveydelle, yleiselle turvallisuudelle taikka ympäristölle; tai
5) hyväksytään vaatimus, joka ei koske toista asianosaista tai kuuleminen on
82
muusta syystä ilmeisen tarpeetonta.
Jos asianosaiselle luovutetaan sellainen asiakirja, joka sisältää toista koskevia sa83
laisuuksia, siihen pitää tehdä merkintä asiakirjan salassa pitämisestä. Asianosaiselle on julkisuuslaissa säädetty salassapitovelvollisuus asianosaisasemansa perusteella saatuihin salassa pidettäviin tietoihin, jotka koskevat muuta kuin häntä itse84
ään.
Lastensuojelun asiakirjojen luovuttamisessa puhutaan tietojen luovuttamisesta myös
asiaan osallisille, jonka käsite on asianosaisen käsitettä laajempi. Katso tietojen luovuttamisesta asiaan osallisille luvusta 8.4 Tietojen luovuttaminen sosiaalihuollossa.
Perheen tiedonsaantioikeus lastensuojeluilmoituksen tekijästä:
85
Jos ilmoittaja on viranomainen, on tämä aina kerrottava perheelle. Jos henkilöllä on
lain mukaan velvollisuus lastensuojeluilmoituksen tekemiseen, ei hän voi tehdä ilmoitusta ilmoittamatta nimeään. Yksityishenkilö voi jättää henkilöllisyyden ilmoittamatta. Jos lastensuojelun työntekijä tietää yksityishenkilön henkilöllisyyden, hän ei
voi luvata että tieto voidaan salata asianosaisilta.
Myös muiden kuin ilmoitusvelvollisten osalta perheellä ja lapsella on pääsääntöisesti
oikeus tietää, kuka on tehnyt lastensuojeluilmoituksen. Yksittäistapauksissa joudutaan kuitenkin arvioimaan, annetaanko tieto ilmoituksen tekijästä perheelle tai lapselle. Ilmoituksen tekijän henkilöllisyys voidaan suojata julkisuuslain 11 §:n 2 momentin (621/1999, Finlex) mukaan. on tilanteita, joissa henkilöllisyyden paljastaminen olisi lapsen edun tai ilmoituksen tekijän turvallisuuden kannalta vahingollista.
Asianosaisella ei ole oikeutta saada tietoja, jos tiedon antaminen olisi vastoin lapsen
etua, muuta erittäin tärkeää yksityistä etua tai erittäin tärkeää yleistä etua. Lapsen
80
Laki edunvalvontavaltuutuksesta 25.5.2007/648, 2 §
Hallintolaki 6.6.2003/434, 34 §
82
Hallintolaki 6.6.2003/434, 34 §
83
Julkisuuslaki 25 §
84
Julkisuuslaki 23:2 §
81
85
Lastensuojelun käsikirja, tieto haettu 23.7.2015
46
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
edun vaarantumisen perusteena voi olla esimerkiksi tilanne, jossa ilmoituksen tekijä
on lapselle läheinen henkilö, esimerkiksi isovanhempi, ja tiedon antaminen johtaisi
lapsen hyvinvoinnille tärkeän ihmissuhteen katkeamiseen.
Muu yksityisen edun vaarantuminen voi olla esimerkiksi todennäköinen väkivallan
uhka, tai jos on pelättävissä muita vastatoimenpiteitä ilmoittajaa kohtaan. Ilmoittajaa
voidaan joutua suojelemaan.
Tiedon antaminen lastensuojeluilmoituksen tekijästä saattaa olla yksittäistapauksessa myös vastoin yleistä etua, jos tiedon antaminen voi vaarantaa lastensuojelun tarkoituksen toteutumisen. Mahdollista on esimerkiksi, että lapsi pyritään viemään pois
maasta tai muuten estetään lapsen suojelun tarpeen selvittäminen.
7.4.6
Tietojen luovutus toiselle sosiaalitoimen tai terveydenhuollon yksikölle
Rekisteritietoja ei saa antaa ilman rekisteröidyn kirjallista suostumusta sivulliselle, eli
sellaiselle henkilölle, joka ei osallistu palveluun/hoitoon tai siihen liittyviin tehtäviin.
Tästä poiketen tietoja saa kuitenkin antaa muun muassa seuraavissa tilanteissa:
•
Sosiaalihuollon viranomaiselle pyynnöstä sosiaalihuollon tarpeen selvittämi86
seksi tai sosiaalihuollon järjestämiseksi salassapitosäännösten estämättä .
•
Huoltajalle tai muulle lailliselle edustajalle, jos alaikäinen ikäänsä ja kehitys87
tasoonsa nähden ei kykene päättämään hoidostaan .
•
Poliisille virka-apua pyydettäessä poliisin virka-avun toteuttamiseksi välttämättömät tiedot.
Tietojen luovuttamisesta on tehtävä merkinnät asiakasasiakirjoihin.
Valtion ja kunnan viranomainen sekä muu julkisoikeudellinen yhteisö, kansaneläkelaitos, eläketurvakeskus, eläkesäätiö ja muu eläkelaitos, vakuutuslaitos, koulutuksen
järjestäjä, sosiaalipalvelun tuottaja, terveyden- ja sairaudenhoitotoimintaa harjoittava
yhteisö tai toimintayksikkö sekä terveydenhuollon ammattihenkilö ovat velvollisia
antamaan sosiaalihuollon viranomaiselle sen pyynnöstä maksutta ja salassapitosäännösten estämättä hallussaan olevat sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka viranomaiselle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi,
sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä
88
viranomaiselle annettujen tietojen tarkistamista varten.
Sosiaalihuollon viranomaisella on oikeus saada laissa säädettyjen tehtäviensä suorittamiseksi tarpeellista virka-apua muilta viranomaisilta. Virka-avun antajan tulee
salassapitovelvollisuuden estämättä ilmaista sosiaalihuollon viranomaiselle virka89
aputehtävän edellyttämät tiedot.
Tietoja saa luovuttaa asiakkaan hoidon ja huollon turvaamiseksi. Jos asiakkaan
suostumusta ei voida saada taikka jos asiakas tai hänen laillinen edustajansa nimenomaisesti kieltää tiedon luovuttamisen, sosiaalihuollon järjestäjä tai toteuttaja
saa antaa asiakirjasta salassapitovelvollisuuden estämättä tietoja, jotka ovat välttä86
87
88
89
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000), 20 §
Laki potilaan asemasta ja oikeuksista 9 §, 13 §
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 812/2000, 20 §
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 812/2000, 22 §
47
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
mättömiä asiakkaan hoidon, huollon tai koulutuksen tarpeen selvittämiseksi, hoidon,
huollon tai koulutuksen järjestämiseksi tai toteuttamiseksi taikka toimeentulon edellytysten turvaamiseksi.
Tietoja saa kuitenkin antaa vain, jos:
1) se, jota asiakirja koskee, on hoidon tai huollon ilmeisessä tarpeessa terveytensä, kehityksensä tai turvallisuutensa vaarantumisen vuoksi eikä hoidon tai huollon tarvetta muutoin voida selvittää taikka hoidon tai huollon toimenpiteitä toteuttaa
2) tieto on tarpeen lapsen edun vuoksi, tai
3) tieto on tarpeen asiakkaan välttämättömien etujen ja oikeuksien turvaamiseksi
eikä asiakkaalla itsellään ole edellytyksiä arvioida asian merkitystä.
7.4.7
Viranomaisten ja hoidon ulkopuolisten tiedonsaantioikeus
Asiakasasiakirjojen luovutus sosiaalihuoltoa valvoville viranomaisille
Sosiaali- ja terveydenhuoltoa ja siihen liittyvää henkilötietojen käsittelyä valvovat
muun muassa sosiaali- ja terveysministeriö, aluehallintovirastojen peruspalvelut, oikeusturva ja luvat -vastuualueet, sosiaali- ja terveysalan lupa- ja valvontavirasto
(Valvira), tietosuojalautakunta sekä tietosuojavaltuutettu. Valvontatoimivaltaa on
myös valtioneuvoston oikeuskanslerilla ja eduskunnan oikeusasiamiehellä. Näillä viranomaisilla on lakimääräisten tehtävien hoitamiseksi tai nimenomaisen lainsäännöksen nojalla oikeus saada salassapitosäännösten estämättä tarpeellisia asiakasrekisteritietoja valvonta-asian käsittelemistä varten. Tällöin valvontaviranomaisella
on oikeus saada myös alkuperäiset asiakirjat käyttöönsä ja tutkittavakseen. Rekisterin pitäjän on otettava alkuperäisistä asiakirjoista jäljennökset käyttöään varten, jotta
mahdollista asiakassuhdetta voitaisiin hoitaa asianmukaisesti silloinkin, kun alkuperäiset asiakirjat ovat valvontaviranomaisella. Yleensä valvontaviranomainen pyytää
90
ainoastaan pelkät jäljennökset.
Tietojen luovutuksen lainmukaisuuden varmistamiseksi on syytä pyytää valvontaviranomaistakin esittämään pyyntönsä perusteluineen kirjallisesti, jotta pyynnöstä jää
dokumentti rekisterinpitäjälle ja rekisterinpitäjä voi perustellusti arvioida, onko sillä
yksittäistapauksessa velvollisuus luovuttaa pyydetyt tiedot. Perusteena voi olla asiakkaan kirjallinen suostumus tai tietojen saantiin oikeuttava nimenomainen lainsäännös. Tällöinkin rekisterinpitäjällä on oikeus luovuttaa ainoastaan käsittelyn tar91
koituksen kannalta tarpeellisia tietoja.
Poliisin tiedonsaantioikeus
Tietojen luovuttaminen pyynnöstä:
92
Sosiaalihuollon asiakaslain mukaan sosiaalihuollon järjestäjän ja toteuttajan on
pyydettäessä annettava tieto salassa pidettävästä asiakirjasta asiakkaan tai hänen laillisen edustajansa suostumuksesta riippumatta poliisille, syyttäjäviranomaiselle tai tuomioistuimelle, jos se on tarpeen sellaisen rikoksen selvittämiseksi
• josta säädetään ilmoitusvelvollisuus rikoslain 15 luvun 10 §:ssä
• enimmäisrangaistus on vähintään 4 vuotta
90
Narikka 2006, 674.
91
Narikka 2006, 674
92
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 812/2000, 18 § 2 mom
48
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
Suomen kansalaisilla ei ole yleistä velvollisuutta ilmoittaa jo tapahtuneesta rikoksesta tai sen epäilystä poliisille tai muulle viranomaiselle. Rikoslain 15 luvun 10 §:ssä on
kuitenkin säädetty tilanteesta, jolloin ilmoittamatta jättäminen on rangaistava teko.
Säännös koskee vielä suunnitteilla olevan törkeää rikosta, jonka ilmoittamatta jättäminen on rangaistava teko, jos teko tosiasiallisesti tapahtuu.
Säännöksen perusteella henkilö syyllistyy törkeän rikoksen ilmoittamatta jättämiseen, jos jättää ilmoittamatta viranomaiselle tai teon kohteelle tiedossaan olevasta
suunnitteilla olevasta teosta, joka täyttää esim. törkeän lapsen seksuaalisen hyväksikäytön tunnusmerkistön, vielä kun teko olisi estettävissä. Ilmoittamatta jättäminen
on tuomittavaa, jos rikos tai sen yritys tosiasiallisesti tapahtuu.
Säännöksen mukainen velvollisuus luovuttaa pyydettäessä tietoja poliisille, syyttäjäviranomaiselle ja tuomioistuimelle on myös niiden tekojen osalta, joista säädetty
enimmäisrangaistus on 4 vuotta. Esimerkiksi lapsen seksuaalisen hyväksikäytön
enimmäisrangaistus on 4 vuotta. Lapsen seksuaalisen hyväksikäytön törkeän tekomuodon enimmäisrangaistus on 10 vuotta. Törkeän pahoinpitelyn enimmäisrangaistus on myös 10 vuotta.
Tietojen luovuttaminen omasta aloitteesta:
93
Sosiaalihuollon asiakaslain nojalla sosiaalihuollon järjestäjällä tai toteuttajalla on
oikeus myös oma-aloitteisesti luovuttaa tietoja poliisille, syyttäjälle tai tuomioistuimelle silloin, kun epäillään, että joku on syyllistynyt törkeän rikoksen ilmoittamatta jättämiseen tai tekoon, jonka enimmäisrangaistus on 4 vuotta. Tiedon oma-aloitteinen
luovuttaminen on mahdollista myös silloin, kun epäillään edellä mainittuja vähäisempää rikosta, kun sosiaalihuollon viranomainen arvioi, että tiedon luovuttaminen
on välttämätöntä lapsen edun tai erittäin tärkeän yksityisen tai yleisen edun vuoksi.
Tämän säännöksen nojalla lastensuojelun viranomainen voi luovuttaa tietoja esim.
niissä tilanteissa, kun lastensuojelun tietoon on tullut, että vanhempi jatkuvasti kurittavaa lasta ruumiillisesti. Oikeuskäytännön mukaan lapsen ruumiillinen kurittaminen,
josta ei jää fyysisiä merkkejä lapseen, täyttää lievän pahoinpitelyn tunnusmerkistön.
Lievä pahoinpitely on virallisen syytteen alainen teko silloin, kun se kohdistuu alle
15-vuotiaaseen.
Lievän pahoinpitelyn enimmäisrangaistus on sakko. Lapsen ruumiillista kurittamista
koskevan tiedon luovuttaminen poliisille tutkintapyynnön muodossa on perusteltua
sekä lapsen edun että erittäin tärkeän yleisen edun vuoksi. Yksittäisen lapsen etu toteutuu sitä kautta, että lapsen vanhemmat toivottavasti poliisitutkinnan ja mahdollisten syytetoimien sekä tuomioistuin käsittelyn kohteeksi jouduttuaan ymmärtävät, että
lapsen ruumiillinen kurittaminen on rikos, eikä yleisesti hyväksyttävä kasvatus- ja kurinpitokeino. Erittäin tärkeä yleinen etu, jonka vuoksi tiedon oma-aloitteinen luovuttaminen on perusteltua, on taas pyrkimys nollatoleranssiin lapsen ruumiillisen kurittamisen suhteen. Mitä useampi ruumiillista kuritusta käyttävä vanhempi joutuu rikosprosessin kohteeksi lievästä pahoinpitelystä, sen suurempi on säännöksen fyysiseen kurittamiseen kohdistuva yleistävyys.
93
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 812/2000, 18 § 3 mom
49
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
Velvollisuus luovuttaa tietoja:
94
Lastensuojelulain lastensuojeluviranomaisille säädetty velvollisuus ilmoittaa poliisille lapseen kasvuympäristössä kohdistuneesta pahoinpitelystä tai seksuaalisesta
hyväksikäytöstä täydentää sosiaalihuollon asiakaslain 18 § 3 momentin mukaista
oikeutta antaa oma-aloitteisesti tietoa poliisille.
Lastensuojelulain puheena olevan säännöksen mukaan lastensuojeluviranomaisen
on salassapitosäännösten estämättä ilmoitettava poliisille, jos on perusteltua syytä
epäillä, että lapseen on kasvuympäristössään kohdistettu rikoslain 20 ja 21 luvussa
tarkoitettu teko, jonka enimmäisrangaistus on vähintään kaksi vuotta. Pykälässä on
asetettu kaksoisedellytys ilmoitusvelvollisuuden syntymiselle, eli epäilyn täytyy olla
perusteltu ja epäillystä rikoslain 20 ja 21 luvussa rangaistavaksi säädetystä teosta
säädetyn enimmäisrangaistuksen tulee olla vähintään kaksi vuotta.
7.4.8
Sosiaalihuollon tietojen luovuttaminen tieteellistä tutkimusta varten
Salassa pidettävään asiakirjaan sisältyvien tietojen antamisesta tieteellistä tutkimusta varten on voimassa, mitä siitä säädetään viranomaisten toiminnan julkisuudesta
annetussa laissa ja henkilötietolaissa. Lisäksi Terveyden ja hyvinvoinnin laitos voi
antaa luvan tietojen saamiseen yksittäistapauksessa, kun tieteellistä tutkimusta varten tarvitaan tietoja useamman kuin yhden sosiaalihuollon palveluja tuottavan kunnan tai kuntayhtymän ja yksityisesti sosiaalihuoltoa järjestävän palvelun tuottajan
95
asiakasta koskevista asiakirjoista.
Lupa voidaan antaa, jos on ilmeistä, ettei tiedon antaminen loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lupaa harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan. Lupa voidaan antaa määräajaksi ja siihen on liitettävä yksityisen edun suojaamiseksi tarpeelliset määräykset.
96
Lupa voidaan peruuttaa, jos siihen harkitaan olevan syytä.
7.4.9
Tietojen säännönmukainen luovuttaminen asiakasrekisteristä
Terveyden ja hyvinvoinnin laitos (THL) toimii sosiaali- ja terveydenhuollon tilastoviranomaisena. Tilastoja kootaan muun muassa sosiaali- ja terveyspalveluista, alkoholista ja huumeista sekä sosiaali- ja terveysmenoista. THL vastaa Suomen tietojen
antamisesta kansainvälisiin sosiaali- ja terveystilastoihin. THL kehittää myös lääketieteellisiä sekä sosiaali- ja terveydenhuollon palvelujärjestelmää kuvaavia kansallisia käsitteitä, luokituksia ja termejä.
THL:n tilastotiedonkeruu perustuu lakiin Terveyden ja hyvinvoinnin laitoksesta
(668/2008), lakiin terveydenhuollon valtakunnallisista henkilörekistereistä (556/1989)
ja tilastolakiin (280/2004). Tietojen käsittelyssä noudatetaan myös Henkilötietolakia
(523/1999) sekä Lakia viranomaisen toiminnan julkisuudesta (621/1999).
Tilastokeskus on yksi neljästä tilastolain määrittelemästä tilastoviranomaisesta, joilla
on oikeus kerätä tietoja tilastotarkoituksiin laissa säädetyn tiedonantovelvollisuuden
94
95
Lastensuojelulaki 417/2007, § 25
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain 18 §:n muuttamisesta Eduskunnan päätöksen
mukaisesti 10.9.2010
96
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain 18 §:n muuttamisesta Eduskunnan päätöksen
mukaisesti 10.9.2010
50
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
perusteella. Muut tilastoviranomaiset ovat Sosiaali- ja terveysalan tutkimus- ja kehittämiskeskus STAKES, maa- ja metsätalousministeriön tietopalvelukeskus TIKE sekä Tullihallitus.
Tilastolaissa määritellyistä asioista ovat tiedonantovelvollisia:
• valtion viranomaiset
• elinkeinon-, liikkeen- ja ammatinharjoittajat
• kunnat ja kuntayhtymät
• julkisia palveluja hoitavat tahot
• voittoa tavoittelemattomat yhteisöt ja säätiöt
• eräät eläkelaitokset
Kaikki tilastokeskuksen tilastotarkoituksiin kerätyt tiedot ovat salassa pidettäviä lukuun ottamatta eräitä yritys- ja toimipaikkarekisterin tietoja (tilastolain 18. pykälä).
Tiedonantajien tunnistetietoja, kuten nimeä ja henkilötunnusta, ei kerätä eikä tallenneta, ellei se ole tilastojen laatimisen kannalta välttämätöntä. Välttämätöntä se on
yleensä silloin, kun tunnistetietoja tarvitaan kerättävien tietojen yhdistämisessä muihin tietoihin.
7.4.10 Tietojen luovuttaminen erikoistilanteessa
Ilmoitusoikeutta ja -velvollisuutta käsitellään luvussa 2 Viranomaisen asiakirjan julkisuus ja tietosuoja.
7.4.11 Lastensuojelun asiakirjojen luovuttaminen
Lastensuojelun tietojen luovuttamiseen soveltuvia säännöksiä ovat muun muassa:
• Henkilötietolaki
• Laki viranomaisten toiminnan julkisuudesta
• Laki sosiaalihuollon asiakkaan asemasta ka oikeuksista
Asiakirjoja voivat olla perinteiset kirjalliset ja kuvalliset esitykset sekä sähköiset tallenteet, eli muun muassa erilaiset selvitykset, lausunnot, päätökset, suunnitelmat,
hakemukset ja ilmoitukset sekä cd-levyt ja videoinnit. Myös viranomaisen laatimat
muistiinpanot voivat olla viranomaisen asiakirjoja ja mikäli muistiinpanot ovat vaikuttaneet asian käsittelyyn, on asianosaisella niihin tiedonsaantioikeus. Muistiinpanot
on siis arkistoitava ja säilytettävä. Viranhaltijalla on oikeus kirjoittaa muistiinpanot
puhtaiksi.
Lastensuojeluun kertynyt tieto on kokonaisuudessaan sosiaalihuollon asiakaslain
mukaan salassa pidettävää. Jo yksin tieto, että lapsi tai perhe on lastensuojelun asiakkaana, on salassa pidettävä tieto, jota ei saa ilmaista sivulliselle. Salassapitovelvollisuuden rikkomiseen liittyy rangaistusvastuu.
Tietoja pyytävät henkilöt
Lastensuojelun asiakirjoja voivat pyytää seuraavat henkilöt, joilla kaikilla on oikeus
itseään koskevaan tietoon:
• lapsi
• lapsen huoltaja tai muu laillinen edustaja
• lapsen huollosta erotettu vanhempi
• asianosainen
• muu henkilö
51
TIETOJEN LUOVUTTAMINEN SOSIAALIHUOLLOSSA
LUKU 7
Tietojen luovutus lapselle itselleen
Lapsi on asianosainen omassa lastensuojeluasiassaan ja hänellä on Lastensuojelulain 5 §:n ja 20 §:n mukaan oikeus saada tietoa omasta asiastaan ikänsä ja kehitystasonsa mukaisesti sekä mahdollisuus esittää siitä mielipiteensä. Lapselle annettavan tiedon tulee kuitenkin olla sellaista, että se ei vaaranna lapsen kehitystä tai vaaranna lapsen muuta erittäin tärkeää yksityistä etua. Rekisterinpitäjän arvioitavaksi
jää, ymmärtääkö lapsi asian merkityksen ikäänsä, kehitystasoonsa ja asian laatuun
nähden.
Lapsen huollosta erotettu vanhempi
Lapsen huollosta erotetulla vanhemmalla on tilaisuus tulla kuulluksi lapsen huoltoa
koskevassa asiassa. Hänellä on oikeus tehdä hakemus lapsen huollosta ja tapaamisoikeudesta. Hänellä on myös puhevaltaa lastensuojeluasioissa sekä lähtökohtaisesti
suostumus lapsen adoptioon. Muilta osin huollosta erotetun vanhemmat oikeudet ovat
hyvin rajoitetut.
Jos vanhempi ei ole lapsen huoltaja, hän rinnastuu juridisesti tarkastellen kokonaan
ulkopuolisen henkilön asemaan jos laissa ei aseteta vanhempaa vanhempana erityisasemaan. Henkilöllä on toki oikeus itseään koskevaan tietoon.
Tuomioistuin voi antaa määräyksen, jonka mukaan huollosta erotetulla vanhemmalla
on oikeus käyttää huoltajalle kuuluvaa oikeutta saada viranomaiselta lasta koskevia
tietoja, mikäli sitä voidaan pitää lapsen edun mukaisena. (KKO 2003:7) Tietojen luovuttamisen päätöksenteon pohjaksi tarvitaan tuomioistuimen päätös. Määräys voi koskea tiettyjä tietoja tai jonkun viranomaisen laatimia tietoja, kuten esimerkiksi koulunkäyntiä ja terveydenhuoltoa koskevia tietoja tai terveydenhuollon viranomaisen laatimia asiakirjoja.
Asianosaiset ja asiaan osalliset
Lastensuojelun 42 §:ssä puhutaan asiaan osallisten kuulemisesta, mikä tarkoittaa laajempaa kuultavien piiriä kuin mitä yleensä asianosaisella ymmärretään. Lastensuojelussa käytössä oleva asiaan osallisten käsite pitää sisällään myös lastensuojeluasian
asianosaiset.
Lastensuojelun asianosaiset tarkoittaa lasta ja hänen huoltajaansa sekä jälkihuollon
osalta myös 18 vuotta täyttänyttä nuorta. Lastensuojelun muut asiaanosalliset voivat
olla lapsen vanhempi tai henkilö, kenen hoidossa ja kasvatuksessa lapsi on tai oli välittömästi ennen asian ratkaisua, kuten esimerkiksi vanhemman uusi puoliso tai isovanhemmat. Muuksi asiaanosalliseksi luetaan myös sijaishuoltopaikan muuttamistapauksessa ja huostaanoton lopettamisen yhteydessä perhehoitaja tai ammatillisen perhekodinhoitaja.
Asiaan osallisella on asianosaisen tietojensaantioikeus. Asiaan osallisella on oikeus
saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen
asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. Tietojensaantioikeus kuitenkin päättyy, kun päätös tulee lainvoimaiseksi, eikä asiaan osallisella ole oikeutta saada tietoja sen jälkeisistä asioista.
Muu henkilö
Myös muu taho voi pyytää lastensuojelun asiakirjoja. Tällaisia tahoja voivat olla esimerkiksi lapsen isovanhemmat, jotka eivät ole asiassa asianosallisia. Tällaisilla henkilöillä ei ole lakiin perustuvaa oikeutta saada tietoja.
52
KESKEISET KÄSITTEET
8 Muuta tietosuojaan liittyvää
8.1
Ostopalvelusopimukset ja tietosuoja 97
Ostopalvelusopimus
Sosiaali- ja terveystoimi voi järjestää sosiaali- ja terveydenhuollon alaan kuuluvat
tehtävät hoitamalla ne itse tai hankkimalla palveluja esim. yksityiseltä palvelujen
tuottajalta. Palvelujen ostamisesta tehdään ostopalvelusopimus, joka voi olla oikeudelliselta muodoltaan joko toimeksiantosopimus tai muunlainen sopimus. Sopimuksen oikeudellisella muodolla on merkitystä henkilötietojen käsittelylle, koska sen perusteella määräytyy se, kumpi sopimuksen osapuolista on rekisterinpitäjä.
On tärkeää, että palvelujen ostamisesta tehdään yksityiskohtaiset kirjalliset sopimukset. Sopimuksessa määritellään henkilötietojen käsittelyyn liittyvät vastuut ja
velvoitteet sekä niihin liittyvät menettelyt. Ennen sopimuksen tekemistä tulee sopimuksen luonteesta riippumatta varmistua siitä, että sopimuksen tarkoittaman toiminnan edellyttämä henkilötietojen käsittely hoidetaan lain vaatimusten mukaisesti. (Laki sosiaalihuollon asiakasasiakirjoista 254/2015)
Toimeksiantosopimus
Kyseessä on toimeksiantosopimus, jos siitä ilmenee, että palvelua tuotetaan sosiaali- ja terveystoimen toimeksiannosta tai muuten sen lukuun. Palvelun hankkimista
koskevan toimeksiantosopimuksen tehnyt sosiaali- ja terveystoimi on yksityisen
palvelujen asiakastietojen rekisterinpitäjä. Rekisterinpitäjä vastaa palvelujen tuottajan henkilötietojen käsittelyn lainmukaisuudesta. Yksityinen palveluntuottaja kerää ja
muutoin käsittelee asiakastietoja sopimuksessa sovitun mukaisesti. Esimerkiksi
henkilötietolaissa säädetyt suojaamis- ja huolellisuusvelvoitteet sekä salassapitovelvoitteet, kuka tietoja voi käyttää ja millä edellytyksellä, koskevat myös toimeksiantotehtäviä suorittavia.
Toimeksiantosopimuksen tehneen sosiaali- ja terveystoimen tulee rekisterinpitäjänä
huolehtia myös mm. sopimuksen piiriin kuuluvien asiakkaiden informoinnista, tarkastusoikeuden toteuttamisesta ja tiedon korjaamisesta. Myös sopimuksen päättymisen
varalta on sovittava noudatettavista menettelyistä. Palveluntuottajan on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset sitoumukset ja
muutoin riittävät takeet henkilötietojen suojaamisesta.
Silloin kun palvelua ostetaan toimeksiantosopimuksen perusteella, palvelua ostava
viranomainen saa julkisuuslain 26 §:n nojalla antaa palvelun tarjoajalle, esim. yksityiselle sosiaalihuollon palveluntuottajalle, kaikki sellaiset salassa pidettävät asiakastiedot, jotka ovat välttämättömiä palvelun antamiseksi. Tietojen antamiseen ei tarvita
asiakkaan suostumusta. Palvelun tuottaja saa käyttää asiakastietoja ainoastaan
toimeksiantotehtävän suorittamiseen. Palvelun antamisen yhteydessä palvelun antaja saa kerätä ja tallettaa rekisteriin sellaisia tietoja, jotka ovat tarpeen kyseessä olevan palvelun antamiseksi. Asiakassuhteen päätyttyä asiakasta koskevat asiakastiedot tulee kuitenkin antaa toimeksiantajalle. Palvelun tuottaja ei saa säilyttää niistä
myöskään kopioita.
97
Tietosuojavaltuutetun oppaat: Henkilötietolaki ja asiakastietojen käsittely kunnallisessa sosiaalihuollossa (s. 28-30). Palvelun
tuottamisesta tehdyn sopimuksen merkityksestä henkilötietojen käsittelylle.
Asiaa tietosuojasta 2/2008 5.2.2008, Tietosuojavaltuutetun toimisto
53
KESKEISET KÄSITTEET
Sosiaali- ja terveystoimen ja palvelun tuottajan välillä voidaan tehdä palvelun tuottamisesta myös muunlainen sopimus kuin toimeksiantosopimus. Tällöin sosiaali- ja
terveystoimi sopimuksessa sitoutuu maksamaan toimintayksikön asukkaalle antamat palvelut. Myös tällaisessa sopimuksessa on syytä määritellä ja todeta asiakkaan
henkilötietojen käsittelyn periaatteet ja vastuut. Tällöin palveluntuottaja on asiakasrekisterin rekisterinpitäjä ja palveluntuottajalla on määräysvalta asiakastietoihin.
Asiakastietojen luovuttaminen kunnalle merkitsee tietojen luovuttamista ulkopuoliselle. Kunnalla on kuitenkin oikeus saada maksajana laskun ja maksuvelvollisuuden
oikeellisuuden varmistamiseksi tarvittavat tiedot. Näitä ovat asiakkaan yksilöintitiedot
sen varmistamiseksi, että kyse on asianomaisen kunnan asukkaasta ja tiedot, joista
ilmenee annettu palvelu sen varmistamiseksi, että laskutetaan vain sellaisesta palvelusta, josta on sovittu.
Maksusitoumus
Sosiaali- ja terveystoimi voi antaa sosiaali- ja terveydenhuollon palvelun ostamisesta
myös maksusitoumuksen. Maksusitoumuksen laatua tulee arvioida sen sisällön mukaan. Maksusitoumus on rinnastettavissa ostopalvelusopimukseen silloin, jos kyse
on yksilön palvelun ostamisesta (esim. laitossijoitus).
Yksityisille palveluntuottajille, jotka käyttävät kunnan omistamaa asiakastietojärjestelmää hoidossaan olevien ostopalveluasiakkaiden asiakastietojen ylläpitämiseen,
annetaan asiakaskohtaiset käyttöoikeudet. Se tarkoittaa sitä, että heillä on oikeudet
vain niiden asiakkaiden tietoihin, joista heidän kanssaan on tehty kunnan kanssa ostopalvelusopimus. Tällöin heillä ei ole edes teknisesti mahdollista nähdä muiden
kunnan omistamaan rekisteriin kirjattujen asiakkaiden tietoja.
Mikäli käyttöoikeuksia ei rajata, esim. silloin kun koko terveysasemapiiriä hoitaa yksityinen palveluntuottaja, lokitietojen seuranta toteutetaan samoin periaattein kuin
oman toiminnan osalta.
Yksityinen palveluntuottaja allekirjoittaa palvelun tuottamisen alkuvaiheessa tietoturvasitoumuksen, jossa hän sitoutuu noudattamaan samoja tietoturvasäännöksiä kuin kunnan omat työntekijät.
Palveluseteli
Palveluseteli tarkoittaa järjestämisvastuussa olevan kunnan sosiaali- ja terveyspalvelun saajalle myöntämää sitoumusta korvata palvelujen tuottajan antaman palvelun
kustannukset kunnan ennalta määräämään arvoon asti. Tulosidonnaisella palvelusetelillä taas tarkoitetaan palveluseteliä, jonka arvo määräytyy kunnan määrittelemien asiakkaan jatkuvien ja säännöllisten tulojen mukaan tai jonka arvo perustuu tulojen huomioon ottamiseen. Omavastuuosuus palvelusetelin yhteydessä taas tarkoittaa sitä osuutta yksityisen palvelujen tuottajan palvelun hinnasta, jota kunnan
myöntämän palvelusetelin arvo ei kata ja joka jää asiakkaan maksettavaksi.
Kunnan tulee hyväksyä ne yksityiset palvelujen tuottajat, joiden palvelujen maksamiseen asiakas voi käyttää kunnan myöntämää palveluseteliä ja pidettävä niistä luetteloa. Tiedot palvelujen tuottajista, näiden tuottamista palveluista ja niiden hinnoista tulee olla julkisesti saatavilla internetissä ja muulla soveltuvalla tavalla. Kunnan tulee peruuttaa palvelujen tuottajan hyväksyminen ja poistaa palvelujen tuottaja luettelosta, jos hyväksymiselle asetetut edellytykset eivät enää täyty tai palvelujen tuottaja
pyytää hyväksymisen peruuttamista.
Kunnan on selvitettävä asiakkaalle tämän asema palveluseteliä käytettäessä, palvelusetelin arvo, palvelujen tuottajien hinnat, omavastuuosuuden määräytymisen perusteet ja arvioitu suuruus sekä vastaavasta palvelusta sosiaali- ja terveydenhuollon
54
KESKEISET KÄSITTEET
asiakasmaksuista annetun lain mukaan määräytyvä asiakasmaksu. Asiakkaan on
annettava palvelusetelin myöntämistä varten tarvittavat tiedot. Asiakkaalle on myös
annettava tieto, mistä muualta ja mitä häntä koskevia tietoja voidaan hänen suostumuksestaan riippumatta hankkia. Asiakkaalle on varattava tilaisuus tutustua muualta
hankittuihin tietoihin ja antaa asiassa tarpeellista selvitystä.
Kunta on palvelusetelillä järjestettävässä palvelussa syntyvien asiakasasiakirjojen
henkilötietolaissa (523/1999) tarkoitettu rekisterinpitäjä. Palvelujen tuottajan tulee
asiakirjoja käsitellessään noudattaa, mitä kunnan asiakirjojen käsittelystä säädetään.
8.2 Asiakirjoista perittävät maksut
Julkisesta asiakirjasta annettavasta tiedosta ja asianosaisen pyytämästä asiakirjasta
ei pääsääntöisesti peritä maksua, jos tiedon antaminen tapahtuu suullisesti, asiakirja
annetaan viranomaisen luona luettavaksi tai jäljennettäväksi, julkinen sähköinen
asiakirja lähetetään tiedon pyytäjälle sähköpostitse, sähköinen asiakirja lähetetään
asianosaiselle sähköpostitse tai pyydetyn asiakirjan antaminen kuuluu viranomaisen
98
neuvonta-, kuulemis- tai tiedotusvelvoitteen piiriin.
Maksua voidaan periä niissä tilanteissa, kun tiedon esille hakeminen aiheuttaa tavanomaista suurempaa työtä. Kopioiden antamisesta voidaan periä maksua, joka
vastaa viranomaiselle aiheutuvien kustannusten määrää. (Tarkemmin maksujen perimisestä löytyy Valtion maksuperustelaista 150/1992; Kuntalaista 365/1995)
Rekisteröidyllä on oikeus tarkistaa itseään koskevat tiedot maksutta. Korvauksen
saa periä tietojen antamisesta vain, mikäli siitä kun rekisteröity edellisen kerran sai
tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Perittävä
korvaus tulee olla kohtuullinen eikä se saa ylittää tiedon antamisesta viranomaiselle
aiheutuvia kustannuksia.
8.3 Luottamushenkilöiden tietosuojaohjeet
Luottamustehtävässä tulee eteen tilanteita, jolloin käsitellään henkilötietoja tai muita
yksityishenkilöön liittyviä tietoja. Osa käsiteltävistä tiedoista on salassa pidettäviä ja
arkaluontoisia. Tehtävien hoito tulee tehdä siten, että rekisteröityjen ja heidän läheistensä yksityisyyttä kunnioitetaan.
Luottamushenkilöt ovat vastuussa salassapitosäännösten noudattamisesta ja tietoturvasta kaikilta niiltä osin kuin se suoraan tai välillisesti liittyy luottamushenkilöiden
toimintaan tai heidän edustamiinsa ympäristöihin.
Sosiaali- ja terveydenhuollon yksikössä toimivien luottamushenkilöiden salassapitovelvollisuudesta ovat voimassa samat periaatteet kuin sosiaali- ja terveydenhuollossa toimivien henkilöiden osalta. Luottamustehtävässä saatuja salassa pidettäviä
tietoja ei saa ilmaista ulkopuolisille ja saatuja tietoja saa käyttää vain niiden tehtävien hoitamiseksi mitä varten tiedot on saatu.
98
Laki viranomaisten toiminnan julkisuudesta 621/1999, 34 §
55
KESKEISET KÄSITTEET
8.4 Tietosuoja ja salassapitovelvollisuus eri tilanteissa
8.4.1
Kokousasiakirjat
Salassa pidettäviä tietoja sisältäviä asiakirjoja tulee käsitellä niin, etteivät sivulliset
saa tietoonsa asiakirjoissa olevia tietoja. Asiakirjojen käsittelyssä on huomioitava, että asiakirjat kuljetetaan, säilytetään ja tuhotaan luotettavalla tavalla niin, etteivät sivulliset pääse käsittelemään asiakirjoja. Kokousasiakirjat on mahdollista jättää kokouksen jälkeen asianmukaista tuhoamista varten. Salassa pidettäviä tietoja sisältäviä kokousasiakirjoja ei ole syytä säilyttää pidempään kuin asian käsittely vaatii. Mikäli asiakirjojen pidempiaikainen säilyttäminen katsotaan tarpeelliseksi, on asiakirjojen asianmukainen säilyttäminen jokaisen henkilökohtaisella vastuulla.
Pääsääntöisesti salassa pidettäviä tietoja sisältävät asiakirjat jaetaan ja käsitellään
vain kokouspaikalla. Kokouskutsun mukana lähetetään vain sellainen salassa pidettävä aineisto, johon on välttämätöntä tutustua etukäteen ennen kokousta, muut salassa pidettävät asiakirjat käsitellään ainoastaan kokouksessa.
Salainen asiakirja tulee kokouksen jälkeen aina palauttaa sihteerille. Mikäli salassa
pidettäviä tietoja sisältävä asiakirja on tarpeellista olla kokouksen jälkeen, on asiasta
erikseen sovittava.
8.4.2
Sähköposti
Useimmilla työntekijöillä on käytettävissä Internet-sähköposti ja sähköpostiviestintää
käytetään yhä enemmän asioiden hoidossa. Salassa pidettävät tiedot eivät ole tällaisessa Internet-sähköpostissa suojattuja, vaan viestin välitys tapahtuu suojaamattomassa yhteydessä. Tietoturvan ja tietosuojan kannalta tämä merkitsee, että suojaamattomassa yhteydessä tapahtuva viestintä ei ole suojattu sivullisilta. Ongelmana
on myös, ettei viestinnän toista osapuolta voida luotettavasti tunnistaa. Toinen henkilö saattaa lähettää viestin jonkun toisen henkilön nimissä. Myöskään ei ole varmuutta siitä, että viesti on tullut muuttumattomana perille.
Sähköpostitse voidaan hoitaa yleiseen tiedottamiseen, tiedusteluun ja neuvontaan
liittyviä asioita siten, että henkilötietoja tai muita arkaluontoisia tietoja ei käsitellä
sähköpostiviestissä.
8.4.3
Sosiaalinen toiminta
Salassapitovelvollisen henkilön tulee kontrolloida tilanteet, joissa käsittelee tai muutoin ilmaisee salassa pidettäviä henkilötietoja sekä tunnistaa salassapidon riskitilanteet. Ongelmatilanteita voivat muodostaa esimerkiksi sellaisten henkilöiden yhteydenotot ja tiedustelut, jotka vaikuttavat asianosaisilta, mutta tosiasiassa ovat asiaan
nähden sivullisia. Useassa roolissa ja ympäristössä toimiminen ja niiden yhteydessä
saadut salassa pidettävät tiedot asettavat haasteita tietosuojalle.
Asiakastietojen lisäksi salassa pidettäviä tietoja voi sisältyä esimerkiksi keskeneräisten asioiden käsittelyyn sekä tieteelliseen tutkimustoimintaan tai muuhun kehittämistoimintaan ja elinkeinon harjoittamisen liittyviin tietoihin.
56
KESKEISET KÄSITTEET
99
Julkisuuslain nojalla julkisella hallinnolla on velvollisuus noudattaa avoimuusperiaatetta ja hyvää tiedonhallintatapaa. Julkisen hallinnon tulee olla myös avointa. Julkiset tiedot ja salassa pidettävät tiedot tulee osata erottaa toisistaan ja edistää sekä
yksityisyyden suojaa sekä hallinnon avoimuutta ja hyvää tiedonhallintatapaa.
8.5 Hyödyllisiä tiedonlähteitä
Tietosuojavaltuutetun toimisto – www.tietosuoja.fi
Sosiaali- ja terveysministeriö – www.stm.fi
Pohjois-Suomen sosiaalialan osaamiskeskus – www.sosiaalikollega.fi
Sosiaalialan tietoteknologiahanke – www.sosiaaliportti.fi
Kansallinen terveysarkisto – www.kanta.fi
Terveyden ja hyvinvoinnin laitos – www.thl.fi
Sosiaali- ja terveysalan lupa- ja valvontavirasto – www.valvira.fi
Kuntatiedon keskus – www.kunnat.net
Valtion säädöstietopankki – www.finlex.fi
99
Laki viranomaisen toiminnan julkisuudesta 621/1999
57
KESKEISET KÄSITTEET
Keskeiset käsitteet
Arkaluonteisia tietoja
Tiedot, jotka kuvaavat tai on tarkoitettu kuvaamaan rotua tai etnistä alkuperää, henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattitaitoon
kuulumista, rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta, henkilön
terveydentilaa, sairautta tai vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitä
tai niihin verrattavia toimia, henkilön seksuaalista suuntautumista tai käyttäytymistä,
tai henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja,
tukitoimia ja muita sosiaalihuollon etuuksia.
Asiakas
Sosiaalihuollon palveluja hakeva tai käyttävä henkilö. Terveyskeskuksen asiakas,
kun ei ole muodostunut hoitosuhdetta, esimerkiksi laboratoriopalvelujen ostaja. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain
(157/07) 3 §:n mukaan asiakkaalla tarkoitetaan sekä sosiaalihuollon asiakkaan
asemasta ja oikeuksista annetusta laissa (812/00) tarkoitettua asiakasta sekä potilaslaissa tarkoitettua potilasta.
Asiakirja
Viranomaisen ja yksityisen järjestämään sosiaalihuoltoon liittyvä asiakirja, joka sisältää asiakasta tai muuta yksityistä henkilöä koskevia tietoja.
Henkilörekisteri
Käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla tai on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta (HetiL 3 §). Viranomaisen henkilörekisteri muodostuu asiakirjoista.
Henkilötieto
Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilö taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä
100
tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi.
Henkilötietojen käsittely
Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä
Laillinen edustaja
Laillinen edustaja on huoltaja, tuomioistuimen tai maistraatin määräämä edunvalvoja
tai potilaan valtuuttama henkilö. Täysi-ikäiselle henkilölle ja alaikäiselle, jonka edut
ovat ristiriidassa huoltajan edun kanssa, voidaan määrätä edunvalvoja. Edunvalvonnan tarpeen selvittää maistraatti ja aloitteen tekijä voi olla kuka tahansa salassapitosäännösten estämättä. Edunvalvonta voidaan ajallisesti määritellä toistaiseksi, määräiseksi tai määrätyn tehtävän ajan voimassaolevaksi.
100
Henkilötietolaki 523/1999, 3 §
58
KESKEISET KÄSITTEET
Edunvalvontavaltuutuksella valtuutettu voidaan oikeuttaa edustamaan valtuuttajaa
tämän omaisuutta koskevissa ja muissa taloudellisissa asioissa. Valtuutettu voidaan
oikeuttaa edustamaan valtuuttajaa myös sellaisissa tämän henkilöä koskevissa asioissa, joiden merkitystä valtuuttaja ei kykene ymmärtämään sillä hetkellä, jolloin valtuutusta olisi käytettävä. Valtuutus voidaan rajoittaa koskemaan määrättyä oikeustointa, asiaa tai omaisuutta. Valtuutetulla ei ole kelpoisuutta valtuuttajan puolesta antaa suostumusta avioliittoon tai lapseksi ottamiseen, tunnustaa isyyttä, hyväksyä
isyyden tunnustamista, tehdä tai peruuttaa testamenttia eikä edustaa valtuuttajaa
101
muussa sellaisessa asiassa, joka on näihin rinnastuvin tavoin henkilökohtainen.
Loki
Loki on tiedosto, johon tehdään aikajärjestyksessä merkinnät tapahtumista ja niiden
aiheuttajista. Loki kerätään yleensä automaattisesti ja samaan järjestelmään liittyviä
lokeja voi olla useita, esimerkiksi käyttäjäloki, rekisteritietojen luovutusloki, virheloki
jne.
Palvelutapahtuma
Palvelutapahtumalla tarkoitetaan terveydenhuollon palvelujen antajan ja potilaan vä102
listä yksittäisen palvelun järjestämistä tai toteuttamista.
Palvelukokonaisuus
Palvelukokonaisuudella tarkoitetaan yhden tai useamman terveydenhuollon palvelu103
jen antajan tuottamien palvelutapahtumien yksiköityä kokonaisuutta.
Potilas
Terveyden- ja sairaanhoitopalveluja käyttävä tai muuten niiden kohteena oleva henkilö (PotL 2 §). Potilas on myös lääketieteelliseen tutkimukseen osallistuva henkilö
sekä veren, kudoksen tai elimen luovuttaja.
Potilaan lähiomainen / muu läheinen
Aviopuoliso, lapset, vanhemmat ja sisarukset. Potilas voi ilmoittaa läheisekseen
myös muun kuin verisukulaisen. (Potilaslaki 9 §)
Potilasasiakirja
Potilasasiakirjoihin kuuluvat potilaskertomus ja siihen liittyvät potilastiedot tai asiakirjat sekä lääketieteelliseen kuolemansyynselvittämiseen liittyvät tiedot tai asiakirjat
samoin kuin muut potilaan hoidon järjestämiseen ja toteuttamisen yhteydessä syn104
tyneet tai muualta saadut tiedot ja asiakirjat
Potilasasiakirjojen käsittely
Potilasasiakirjojen käsittelyllä tarkoitetaan mm. asiakirjojen laatimista, käyttöä, säilyttämistä ja tietojen luovuttamista sekä muita niiden sisältämiin tietoihin kohdistuvia
toimenpiteitä
Rekisterinpitäjä
101
Laki edunvalvontavaltuutuksesta 25.5.2007/648, 2 §
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007, 3 §
103
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007, 3 §
104
Potilasasiakirja-asetus 298/2009, 2 §
102
59
KESKEISET KÄSITTEET
Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä
105
henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty . Rekisterinpitäjä on siis yritys, laitos, virasto tai yhteisö, ei sen palveluksessa oleva henkilö.
Rekisteriseloste
Rekisterinpitäjän tulee laatia jokaisesta eri henkilörekisteristä rekisteriseloste, joka
on pidettävä yleisesti saatavilla esimerkiksi rekisterinpitäjän toimipaikassa tai verkkopalvelussa. Samaan henkilörekisteriin kuuluvat erikseen pidetyt atk-rekisterit ja
manuaaliset luettelot ja kortistot, jos niitä käytetään saman tehtävän hoitamiseen.
Rekisteriselosteeseen merkitään lain 10 §:ssä säädetyt keskeiset rekisterinpidon
vastuita, käsiteltävien henkilötietojen käyttötarkoitusta ja rekisterin tietosisältöä sekä
henkilötietojen säännönmukaisia luovutuksia ja suojaamista koskevat tiedot. Rekisteriselosteen laatimisvelvoite edustaa henkilötietolain keskeistä avoimuuden periaatetta. Katso myös luvun 1 kohta 2.1 Rekisteri/tietosuojaselosteet.
Rekisteröity
Rekisteröidyllä tarkoitetaan henkilöä, jota henkilötieto koskee
denhuollon toimintayksikössä potilas.
106
, esimerkiksi tervey-
Sivullinen
Sivullinen on muu kuin potilaan hoitoon tai siihen liittyvien tehtävien hoitoon asianomaisessa terveydenhuollon toimintayksikössä tai sen toimeksiannosta osallistuva
107
henkilö . Siten myös potilaan lähiomaiset ja muut läheiset ovat sivullisia.
Lisäksi sivullinen tarkoittaa muuta henkilöä kuin rekisteröityä, rekisterinpitäjää tai
henkilötietojen käsittelijää. Se voi olla myös muu yhteisö, laitos tai säätiö (Henkilötietolaki 3 §). Sivullinen voi olla esimerkiksi samassa yksikössä oleva työntekijä, jonka
työtehtäviin ei kuulu kyseessä olevan henkilön tietojen käsittely. Myös asiakasyhteistyöryhmän jäsenten taustaorganisaatiot ovat asiakasyhteistyöryhmästä erillisiä muita
yhteisöjä tai organisaatioita ja näin ollen sivullisia.
Sosiaalihuollon ammattihenkilö
Laissa sosiaalihuollon ammatillisen henkilöstön kelpoisuusvaatimuksista (272/2005)
määritelty henkilö.
Sosiaalihuolto
Sosiaalihuoltolain 17 §:ssä mainittuja sosiaalipalveluja, tukitoimia, toimeentulotukea,
elatustukea, sosiaalista luottoa sekä mainittuihin palveluihin ja etuuksiin liittyviä toimenpiteitä, joiden tarkoituksena on edistää tai ylläpitää yksityisen henkilön tai perheen sosiaalista turvallisuutta ja toimintakykyä.
Terveyden- ja sairaanhoito
Potilaan terveydentilan määrittämiseksi taikka hänen terveytensä palauttamiseksi tai
ylläpitämiseksi tehtäviä toimenpiteitä, joita suorittavat terveydenhuollon ammattihenkilöt tai joita suoritetaan terveydenhuollon toimintayksikössä.
105
Henkilötietolaki 523/1999, 3 §
Henkilötietolaki 523/1999, 3 §
107
Laki potilaan asemasta ja oikeuksista 785/1992, 13 §
106
60
KESKEISET KÄSITTEET
Terveydenhuollon ammattihenkilö
Henkilö, joka on terveydenhuollon ammattihenkilöistä annetun lain 2 § mukaisesti:
- Saanut ammatinharjoittamisoikeuden (laillistettu ammattihenkilö), esim. lääkäri, sairaanhoitaja, terveydenhoitaja
-
Saanut ammatinharjoittamisluvan Terveydenhuollon oikeusturvakeskukselta
(nyk. Valvira) (luvan saanut ammattihenkilö).
-
Koulutuksensa perusteella on oikeus käyttää asetuksella säädettyä terveydenhuollon ammattihenkilön ammattinimikettä (nimikesuojattu ammattihenkilö) esim. lähihoitaja, perushoitaja, mielenterveyshoitaja
Tietosuoja
Tietosuojaan kuuluvat ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet
henkilötietoja käsiteltäessä. Tietosuojan tarkoitus on turvata tiedon kohteen yksityisyys, edut ja oikeusturva. Niitä käytännön toimenpiteitä, joilla tietosuoja toteutetaan
tai pyritään toteuttamaan, kutsutaan tietoturvaksi.
Tietosuojaseloste
Tietosuojaseloste on laajennettu rekisteriseloste, jossa lisäksi informoidaan rekisteröidyn oikeuksista.
Tietosuojavastaava
Jokaisella palvelujen antajalla, Kansaneläkelaitoksella ja Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava. (Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä
9.2.2007/159)
Tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjää saavuttamaan sekä hyvän henkilötietojen käsittelytavan, että hyvän tietojen käsittelytavan ja mahdollisten erityislakien edellyttämä korkea tietosuojan taso,
jonka avulla voidaan rakentaa ja säilyttää luottamus rekisteröidyn ja rekisterinpitäjän
välille. Näin ollen tietosuojavastaavan tehtävänä on antaa asiantuntija-apua sekä
organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu
rekisterinpitäjänä henkilötietojen käsittelystä. Lisäksi tietosuojavastaavan tehtävänä
on muun muassa tukea henkilökuntaa ja potilaita tietosuoja-asioissa sekä toimia yhdyssiteenä valvontaviranomaisiin.
Tietoturva
Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen
61
LIITTEET
Asiahakemisto
A
Arkaluonteiset tiedot ............................................................................................................................................................... 33
Arkistonmuodostussuunnitelma ............................................................................................................................................... 34
Asiakasrekisteri ..................................................................................................................................................................... 24
Asiakastietojen käsittelyä koskevat keskeiset säännökset ja määräykset ................................................................................ 65
Asiakastietojen virheettömyys .................................................................................................................................................. 30
Asiakirjan antamisesta päättäminen ......................................................................................................................................... 42
Asiakirjan julkiseksi tuleminen ................................................................................................................................................... 11
Asiakirjoista perittävät maksut.................................................................................................................................................. 55
Asiakirjojen antamistapa ........................................................................................................................................................... 43
Asiakirjojen hävittäminen .......................................................................................................................................................... 36
Asiakkaan / potilaan oikeudet rekisteritietoihin ....................................................................................................................... 28
Asiakkaan/potilaan informointi tietojen käsittelyssä ................................................................................................................ 31
Asiakkaan/potilaan tietoja sisältävien henkilörekisterien käytöstä .......................................................................................... 18
Asianosaisen tiedonsaantioikeus ............................................................................................................................................... 46
Asiattoman tietojenkäytön etsintä ............................................................................................................................................ 38
Asiointiin liittyvät viranomaisen asiakirjarekisterit.................................................................................................................... 24
E
Edunvalvojan tiedonsaantioikeus .............................................................................................................................................. 45
Esimerkkilomakkeita .................................................................................................................................................................. 66
H
Henkilörekisterin käyttö ............................................................................................................................................................. 18
Henkilörekisterin perustaminen ................................................................................................................................................. 17
Henkilöstöhallinnon rekisterit .................................................................................................................................................... 21
Henkilöstörekisteri ................................................................................................................................................................... 34
Henkilötietojen käsittelyn periaatteet ....................................................................................................................................... 32
Huumausainetestit .................................................................................................................................................................. 34
Hyödyllisiä tiedonlähteitä .......................................................................................................................................................... 57
I
Ilmoitus edunvalvojan määräämiseksi....................................................................................................................................... 15
Ilmoitusoikeus tai -velvollisuus .................................................................................................................................................. 14
J
Julkisuuslain yleiset perusteet salassa pidettävän tiedon antamiseen ...................................................................................... 41
K
Kertomustietojen jatkuvuus ja toipuvuussuunnitelma................................................................................................................ 7
Keskeiset käsitteet ..................................................................................................................................................................... 58
Kokousasiakirjat ......................................................................................................................................................................... 56
Käytön valvonta ja rekisterinpidon lainmukaisuus .................................................................................................................... 37
L
Laitteistot ..................................................................................................................................................................................... 6
Lasten valvontarekisteri (kunnan alueelle sijoitetut) .................................................................................................. 25
Lastensuojeluilmoitus ................................................................................................................................................................ 14
Lastensuojeluilmoitusten rekisteri ................................................................................................................................... 25
Lastensuojelun asiakasrekisteri ....................................................................................................................................... 24
Lastensuojelun asiakirjojen luovuttaminen ............................................................................................................................... 51
Lastenvalvojan asiakasrekisteri ....................................................................................................................................... 26
Lokirekisteri .............................................................................................................................................................................. 37
62
LIITTEET
Lokitiedot ................................................................................................................................................................................... 37
Lokitietojen käyttötarkoitus .................................................................................................................................................... 37
Lokitietojen selvityspyynnöt ...................................................................................................................................................... 38
Luottamushenkilöiden tietosuojaohjeet .................................................................................................................................... 55
M
Maksusitoumus ....................................................................................................................................................................... 54
Muutoksenhaku julkisuuslaissa tarkoitettuihin päätöksiin........................................................................................................ 43
O
Oikeus saada tietoa käyttäjälokitiedoista ............................................................................................................................ 37
Oikeus tietojen korjaamiseen .................................................................................................................................................... 30
Omaisen tiedonsaantioikeus ..................................................................................................................................................... 45
Oman henkilöstön tietojen käsittely ......................................................................................................................................... 33
Opiskelijoiden oikeudet rekisteritietojen käsittelyssä ............................................................................................................... 19
Organisaation fyysiset järjestelyt................................................................................................................................................. 9
Ostopalvelusopimukset ja tietosuoja ......................................................................................................................................... 53
P
Palkkatiedot ............................................................................................................................................................................. 34
Palveluseteli ............................................................................................................................................................................. 54
Poliisin tiedonsaantioikeus ................................................................................................................................................ 48
R
Rekistereistä vastaavat henkilöt ja vastuuhenkilön tehtävät .................................................................................................... 23
Rekisteri- ja henkilötietojen turvaaminen ja valvonta ............................................................................................................... 32
Rekisterinpitäjä .......................................................................................................................................................................... 23
Rekisterinpitäjätason toimijat ..................................................................................................................................................... 4
Rekisteriseloste ....................................................................................................................................................................... 17
Rekisteritietojen asiattomasta käytöstä aiheutuvat seuraamukset .......................................................................................... 39
Rekisteritietojen korjaaminen ................................................................................................................................................... 20
Rekisteritietojen korjaamisesta kieltäytyminen ........................................................................................................................ 21
Rekisteritietojen korjausvaatimus ............................................................................................................................................. 20
Rekisteritietojen käsittely .......................................................................................................................................................... 17
Rekisteritietojen käyttö asiakkaan/potilaan palveluun ............................................................................................................. 19
Rutiinivalvonta ........................................................................................................................................................................... 38
S
Salassa pidettävät asiakirjat ...................................................................................................................................................... 12
Salassapitovelvollisuus............................................................................................................................................................... 32
Seuraamukset lainvastaisesta menettelystä ............................................................................................................................. 39
Sosiaalihuollon asiakirjojen säilytysajat ..................................................................................................................................... 35
Sosiaalihuollon rekisterit ........................................................................................................................................................... 23
Sosiaalihuollon rekisterit ja niiden käyttötarkoitus ................................................................................................................... 23
Sosiaalihuollon tietojen luovuttaminen tieteellistä tutkimusta varten ..................................................................................... 50
Sosiaalinen toiminta .................................................................................................................................................................. 56
Sosiaaliturvan asiakasrekisteri ......................................................................................................................................... 26
Suostumus ja tietojen luovuttaminen ....................................................................................................................................... 44
Sähköposti ................................................................................................................................................................................. 56
Säilytysaikojen laskentaperusteita ............................................................................................................................................ 36
T
Tarkastuspyynnön epääminen................................................................................................................................................... 29
Tarkastuspyyntö ........................................................................................................................................................................ 29
Terveydentilatiedot.................................................................................................................................................................. 34
Tiedon antaminen keskeneräisestä asiakirjasta tai valmisteluasiakirjasta ................................................................................ 43
Tietojen antaminen viranomaisen asiakirjoista ......................................................................................................................... 42
63
LIITTEET
Tietojen arkistointi ja hävittäminen ........................................................................................................................................... 34
Tietojen erityiset luovutusrajoitukset ........................................................................................................................................ 31
Tietojen luovuttaminen ............................................................................................................................................................. 41
Tietojen luovuttaminen erikoistilanteessa ................................................................................................................................ 51
Tietojen luovuttaminen sosiaalihuollossa .................................................................................................................................. 44
Tietojen luovutus rekisteröidylle itselleen ja hänen huoltajalleen ............................................................................................ 45
Tietojen luovutus toiselle sosiaalitoimen tai terveydenhuollon yksikölle ................................................................................. 47
Tietojen pyytäminen .................................................................................................................................................................. 42
Tietojen säännönmukainen luovuttaminen asiakasrekisteristä ................................................................................................ 50
Tietojen tarkastamisoikeus ........................................................................................................................................................ 28
Tietojenkäsittelyä ohjaavat yleislait ............................................................................................................................................ 3
Tietojärjestelmät ......................................................................................................................................................................... 6
Tietojärjestelmät ja niiden tietosuojaan liittyvä ohjeistaminen .................................................................................................. 5
Tietosuoja ja salassapitovelvollisuus eri tilanteissa ................................................................................................................... 56
Tietoturvalliset käytännöt............................................................................................................................................................ 7
Tietoturvaperiaatteet .................................................................................................................................................................. 5
Tietoturvatehtävät ja -vastuut..................................................................................................................................................... 4
Toimeentulotukirekisteri ..................................................................................................................................................... 26
Toimintaohjeet tietoturvaloukkaustilanteessa .......................................................................................................................... 39
Turvakielto ................................................................................................................................................................................. 31
Törkeän rikoksen estäminen ..................................................................................................................................................... 16
V,W
Vaitiolovelvollisuus .................................................................................................................................................................... 32
Vammaispalvelurekisteri..................................................................................................................................................... 26
Vanhuspalveluiden asiakasrekisteri ................................................................................................................................ 26
Viranomaiselle toimitetun asiakirjan julkiseksi tuleminen ........................................................................................................ 11
Viranomaisen asiakirjan julkisuus ja tietosuoja ......................................................................................................................... 10
Viranomaisen ja viranomaisen asiakirjan määritelmä .............................................................................................................. 10
Viranomaisten ja hoidon ulkopuolisten tiedonsaantioikeus ..................................................................................................... 48
Väärinkäyttöepäily ..................................................................................................................................................................... 38
64
LIITTEET
Liitteet
Asiakastietojen käsittelyä koskevat keskeiset säännökset ja määräykset
Laki sosiaalihuollon asiakasasiakirjoista (254/2015) sisältää säännökset asiakastietojen kirjaamisesta ja siihen liittyvistä velvoitteista sosiaalihuollossa.
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) sisältää eräitä säännöksiä sosiaalihuollon yhteydessä sovellettavasta asiakirjan käsitteestä ja
asiakirjasalaisuudesta. Sosiaalihuollon asiakirjoja ovat palvelujen järjestämistä koskevat päätökset sekä palvelu- ja hoitosuunnitelmat.
Palvelujen toteuttamista säätelevät erityislait:
Lastensuojelulaki 417/2007
Sosiaalihuoltolaki 1301/2014
Sosiaalihuoltolaki 710/1982, tämä laki on kumottu L:lla 30.12.2014/1301, joka on
voimassa 1.4.2015 alkaen. 2 luku, 27 d, 27 e, 40 ja 41 § sekä 5 ja 8 luku jäävät kuitenkin voimaan.
Sosiaalihuoltoasetus 607/1983
Laki lasten päivähoidosta 36/1973
Laki lasten kotihoidon ja yksityisen hoidon tuesta 1128/1996
Isyyslaki 700/1975
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000)
Laki sosiaalihuollon asiakasasiakirjoista (254/2015)
Avioliittolaki (411/1987)
Elatustukilaki 580/2008
Laki lapsen elatuksesta 704/1975
Laki kotouttamisen edistämisestä 1386/2010
Laki lasten huollosta ja tapaamisoikeudesta 361/1983
Asetus lapsen huollosta ja tapaamisoikeudesta 556/1994
Päihdehuoltolaki (41/1986) ja -asetus 653/1986
Laki toimeentulotuesta 1412/1997
Laki sosiaalisesta luototuksesta (1133/2002)
Laki vammaisuuden perusteella järjestettävistä palveluista ja tukitoimista 380/87
Laki kuntouttavasta työtoiminnasta (189/2001)
Laki ikääntyneen väestön toimintakyvyn tukemisesta sekä iäkkäiden sosiaali- ja terveyspalveluista (980/2012)
Laki kehitysvammaisten erityishuollosta 519/77
Laki omaishoidontuesta 937/2005
Laki yksityishenkilön velkajärjestelystä (57/1993)
Laki sosiaali- ja terveydenhuollon asiakasmaksuista (734/1992)
65
LIITTEET
Esimerkkilomakkeita
Ohessa on muutamia esimerkkejä aiheeseen liittyvistä lomakkeista. Organisaatio voi
korvata esimerkkilomakkeet omassa käytössään olevilla lomakkeilla tai muokata
esimerkkilomakkeista omaan käyttöönsä sopivat lomakkeet. Tarvittaessa listaan voi
myös lisätä organisaatiolle tärkeitä lomakkeita ja ohjeita.
1 Rekisteri- ja tietosuojaseloste
Muonion sosiaalitoimen rekisteri- ja tietosuojaselosteet löytyvät palvelimelta kohdasta \\Muonioknt2\Omat\A Jaetut tiedostot\Sosiaali\1. HALLINTO\Rekisteriselosteet.
2 Tarkastusoikeuden toteuttamista koskeva pyyntö
Löytyy tietosuojavaltuutetun sivuilta osoitteesta http://www.tietosuoja.fi/3186.htm
3 Tarkastusoikeuden toteuttamista koskeva epäämistodistus
Löytyy tietosuojavaltuutetun sivuilta osoitteesta http://www.tietosuoja.fi/3186.htm
4 Virheen oikaisua koskeva vaatimus
Löytyy tietosuojavaltuutetun sivuilta osoitteesta http://www.tietosuoja.fi/3186.htm
5 Virheen oikaisua koskeva epäämistodistus
Löytyy tietosuojavaltuutetun sivuilta osoitteesta http://www.tietosuoja.fi/3186.htm
66
LIITTEET
6 Muonion sosiaalitoimen salassapito- ja käyttäjäsitoumus
Muonion kunta
Sosiaalitoimi
Käyttäjäsitoumus
Muonion sosiaalipalveluiden työasemien (sisältää tietoverkkoon langallisesti/ langattomasti liitetyt atk-laitteet), tietoliikenneverkon ja atk-järjestelmien käyttöoikeudet annetaan vain niille, jotka ovat allekirjoittaneet tämän käyttäjäsitoumuksen.
1 Salassapito- ja vaitiolovelvollisuus
- En kopioi organisaation hankkimia ohjelmia. En liitä
työasemaa verkkoon tai siirrä sitä luvatta.
- Asiakastietoja koskee salassapito- ja vaitiolovelvolli- En käytä samoja levykkeitä, muistitikkua tai muita tietosuus, joka säilyy työsuhteen päättymisen jälkeenkin.
välineitä työpaikalla ja sen ulkopuolella, jos en ole varAsiakkaan tietoja voidaan antaa sivullisille vain lakiin
mistautunut niiden viruksettomuudesta.
perustuen tai asianomaisen nimenomaisella suostu- Lopetan työskentelyn heti, kun epäilen työaseman
muksella. Asiakassuhteessa sivullisella tarkoitetaan
olevan tietokoneviruksen saastuttama ja ilmoitan tietomuita kuin asianomaisessa toimintayksikössä tai sen
koneviruksista aina hallinto-osaston atk-tuelle.
toimeksiannosta asiakkaan palveluun tai siihen liittyviin
- Otan työaseman käytössä huomioon tietoverkon ja
tehtäviin osallistuvia henkilöitä.
palvelinlaitteiden rajoitetun kapasiteetin. Kuvia, grafiik- Asiakasrekisterien ja -tietojen katselu- tai käyttöoikeus
kaa ja äänitiedostoja saa välittää verkossa tai tallentaa
perustuu työtehtävien hoitamiseen. Omia tai lähiomaispalvelimelle vain työtehtävien vaatiessa.
ten asiakastietoja saa selata ainoastaan hoitavan yksi- En käytä työasemaa tai omia tallennusvälineitä salassa
kön vastaavan ja asianomaisen luvalla.
pidettävien tiedostojen pitkäaikaiseen säilytykseen.
- Asiakastietoja ei saa luovuttaa, siirtää tai tallentaa ilman
- Vastaan itse työasemaan tallettamieni tiedostojen varrekisteristä vastaavan (palvelujohtaja) kirjallista lupaa
muuskopioimisesta. Ainoastaan verkkolevyiltoisiin rekistereihin, työaseman kiintolevylle, levykkeelle
lä/palvelimilla olevien tiedostojen varmistuskopiointi
tai muille tallennuslaitteille.
hoidetaan keskitetysti tai järjestelmän pääkäyttäjän toi- Sivulliselle ei saa ilmaista työn vuoksi tietoon saatuja
mesta.
Muonion kuntaa, sen sosiaalipalveluita tai sen asiakkai4 Sähköpostin ja internet-yhteyksien käyttö
ta, työntekijöitä, sopimuskumppaneita tai muita yhteis- Käytän sähköposti- ja internet-yhteyksiä pääsääntöityötahoja koskevia salassa pidettäviä tietoja. Tällaisia
sesti työtehtävieni hoitamiseen.
ovat asiakastietojen lisäksi liike- ja ammattisalaisuudet.
2 Käyttäjätunnukset ja salasanat
- En lähetä arkaluonteisia ja muita salassa pidettäviä
tietoja sähköpostin välityksellä.
- Käytän työasemaa vain omalla käyttäjätunnuksella ja
- En avaa epämääräisestä lähteestä saapuvaa sähkösalasanalla.
postia tai liitetiedostoja virusriskin vuoksi, vaan hävitän
- Käyttäjätunnukset ovat henkilökohtaisia. Salassa pidetviestin.
tävien tietojen käsittely edellyttää aina henkilökohtaista
- En lähetä tai välitä sähköpostiketjukirjeitä ja muuta
käyttäjätunnusta. Vastaan käyttäjätunnuksellani tehroskapostia eteenpäin, vaan tuhoan ne.
dyistä merkinnöistä.
- En kopioi ohjelmia internetistä.
- Pidän käyttäjätunnuksen ja salasanan muistissani. En
5 Tietosuoja- ja tietoturvaohjeet
anna niitä muiden tietoon. Vaihdan salasanaa heti sen
- Tutustun Muonion kunnan sosiaalipalveluiden tiesaamisen jälkeen ja myöhemmin tarvittaessa tai sovitosuojaa ja tietoturvaa koskeviin ohjeisiin sekä käyttätuin aikavälein.
mieni tietojärjestelmien käyttöohjeisiin ja rekisteriselos- Kirjaudun ulos tietojärjestelmistä tai lukitsen työaseman
teisiin. Ohjeissa on viitteet asiaa koskevaan lainsäädänvälittömästi käytön jälkeen, ellei työasema ole käyttäjän
töön.
valvonnassa.
6 Rikkomusten seuraamukset
- Tietojärjestelmien käytöstä sekä asiakastietojen käsitte- Sääntöjen ja periaatteiden rikkomisesta tietojärjestelmilystä kertyy käyttäjäkohtaista tietoa jota seurataan.
3 Työaseman käyttö
en käyttöoikeudet voidaan peruuttaa. Rikkomuksista
tiedotetaan aina esimiehelle. Jos kyseessä on toistuva
- Käytän työasemassa vain Muonion kunnan hyväksymiä
tai vakava rikkomus, ryhdytään tapauksen edellyttämiin
ja lisensioituja ohjelmia, jotka ovat hallinto-osaston atkjatkotoimiin. Mikäli rikkomuksesta aiheutuu välittömästi
tuen asentamia ja tukemia tai erillisellä hallinto-osaston
tai välillisesti taloudellisia menetyksiä, voidaan päätyä
atk-tuen hyväksymällä tavalla muun toimittajan asentavahingonkorvausvaatimuksiin.
mia ja tukemia.
Tietojen väärinkäyttö tai tahallinen ohjeiden vastainen toiminta voi johtaa muun ohella rikosoikeudellisiin seuraamuksiin.
Olen lukenut ja ymmärtänyt yllä olevassa käyttäjäsitoumuksessa esitetyt periaatteet. Sitoudun
noudattamaan niitä ja tutustumaan organisaation tietosuojaa ja tietoturvaa koskeviin ohjeisiin.
Pvm____________________Yksikkö________________________
Työntekijän allekirjoitus___________________________________
Esimiehen allekirjoitus____________________________________
67
LIITTEET
7 Käyttäjätunnuksen avaaminen/muutos-/poistolomake
Muonion kunta
Sosiaalitoimi
Käyttäjätunnuksen avaaminen/muutos/poistaminen
Työntekijän nimi
Henkilötunnus
Tehtävänimike
Työyksikkö
Työsuhteen alkaminen
Työsuhteen päättyminen
Käyttöoikeuden hakeminen, alkaa
/
201
, päättyy
Pro Consona vanhustyö
Pro Consona sosiaalityö
toimeentuloturva
lastensuojelu
aikuis- ja perhetyö
Uusi käyttöoikeus
Käyttöoikeuden muutos
/
201
Käyttöoikeuden laajuus
asiakaskertomusten ja suunnitelmien tekeminen, palvelutarpeen sekä hoito- ja palvelusuunnitelman katseluoikeus
laajempi käyttöoikeus, mikä
Ennen kuin sinulle annetaan käyttäjätunnus, tulee sinun tutustua sosiaalitoimen tietosuojakäsikirjaan ja allekirjoittaa
käyttäjäsitoumuksen. Jos työsuhteesi päättyy aikaisemmin, sitoudut ilmoittamaan siitä pääkäyttäjälle, jolloin käyttöoikeutesi Pro Consona ohjelmaan päätetään.
Kun kirjaudut sisään Pro Consona järjestelmään, tulee sinun heti vaihtaa salasanasi. Salasana tulee olla tarpeeksi pitkä, siinä tulee olla isoja- ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Salasana on voimassa 90 päivää, jonka jälkeen järjestelmä pyytää sinua uusimaan salasanan. Jos unohdat salasanan, ota yhteyttä sosiaalitoimen toimistosihteeriin puh. 040 489 5112 tai atk-tukeen puh. 050 536 2023.
Hakijan allekirjoitus
Paikka, päivämäärä
Toimintayksikön vastaavan allekirjoitus
Puollan käyttöoikeuden myöntämistä/muutosta
hakemuksen mukaisesti, seuraavin muutoksin
Paikka, päivämäärä
Sosiaalijohtajan allekirjoitus
Hyväksyn käyttöoikeuden
hakemuksen mukaisesti,
seuraavin muutoksin
Paikka, päivämäärä
Käyttöoikeus voimassa
Käyttäjätunnus
Käyttöoikeuden avaaja
68
LIITTEET
8 Tilaus-/lainauspyyntö, asiakasasiakirjat
Tilaus/lainauspyyntö
asiakasasiakirjat
Muonion kunta
Sosiaalitoimi
Saapumispäivämäärä ja tilauksen vastaanottaja
Tilaaja
Asiakkaan nimi
Toimitusosoite
Asiakkaan asioita hoitava viranhaltija
puhelin
Virkanimike
Puhelin
Toimeksisaanut, nimi
puhelin
Virkanimike
Tilattavat asiakasasiakirjat ajalta
Henkilötunnus
Puhelin
Telekopio
Asiakaskertomus
Hoito- ja palvelusuunnitelma
Lastensuojelun asiakkuudesta
Lastenvalvojan asiakkuudesta
Vanhustyön asiakkuudesta
Toimeentuloturvan asiakkuudesta
Vammaispalvelun asiakkuudesta
Muusta, mistä
Täsmennys halutusta
aineistosta
Käyttötarkoitus
Allekirjoitus
Paikka ja päivämäärä
Tilaajan/toimeksisaaneen allekirjoitus
SUOSTUMUS (tarvittaessa)
Annan luvan
omien,
huollettavamme,
käyttötarkoitukseen
En/emme anna lupaa
luovuttamiseen
Päivämäärä
asiakastietojeni,
edunvalvonnassa olevan henkilön asiakastietojen luovuttamiselle yllä mainittuun
huollettavamme asiakastietojen,
edunvalvonnassa olevan henkilön asiakastietojen
Asiakkaan/huoltajien/edunvalvojan (tarpeeton yliviivataan) allekirjoitus ja nimenselvennys
69
LIITTEET
9 Tiedote henkilötietojen keräämisestä ja luovuttamisesta
Muonion kunnan tiedote henkilötietojen keräämisestä ja luovuttamisesta.
Muonion kunta
Sosiaalitoimi
Arvoisa asiakas
Henkilötietonne talletetaan rekisteriin, jota ylläpitää Muonion sosiaalitoimi.
Henkilötietonne ovat salassa pidettäviä ja niitä käytetään ja luovutetaan vain lakiin perustuen tai
Teidän luvallanne. Tietojanne käsitellään vain asiakassuhteeseen liittyvänä.
Teillä on mahdollisuus tarkastaa rekisteriimme talletetut Teitä koskevat tiedot niin halutessanne
henkilökohtaisen käynnin yhteydessä tai kirjallisella pyynnöllä. Samoin Teillä on oikeus vaatia
korjattavaksi rekisterissämme oleva virheellinen tieto.
Lisätietoja saatte henkilökunnaltamme.
Etunimi Sukunimi
asema
toimiala
70
LIITTEET
10 Malli tietosuojarikkomusten seuraamuskäytännöstä
RIKKOMUKSEN VAKAVUUS
Lievä rikkomus (Asiaton
toiminta), esim.
* Henkilökohtaisen tietoturvan laiminlyönti
* Epäasiallinen käytös
* Haitan aiheuttaminen
* Resurssien tuhlaus
* Virustorjunnan laiminlyönti
* Luvaton kaupallinen tai
poliittinen toiminta
* Kulunvalvontasääntöjen
rikkominen
Rikkomus (Vakava väärinkäyttö tai turvallisuuden
vaarantaminen), esim.
* Ohjelmien ja pelien luvaton
kopiointi
* Luvattomien ohjelmien asentaminen
* Ylläpitäjän työkalujen luvaton
hallussapito
* Palvelun luvaton pystytys
* Tunnuksen luovuttaminen
* Tiedon luottamuksellisuuden
vaarantaminen
Vakava rikkomus/rikos (Lain
mukaan rikkomuksena tai
rikoksena tuomittava teko),
esim.
* Asiakastiedon tai liikesalaisuuden luvaton käsittely ja
luovuttaminen
* Hakkerointi, tunkeutuminen
* Rikoslain alaisen materiaalin
oikeudeton käsittely
* Tekijänoikeuslain alaisen
materiaalin laiton levittäminen
* Virusten tahallinen levittäminen
Teon arviointi
Tietämättömyys
Osaamattomuus
Huolimattomuus
Vahinko
Tahattomuus
Mahdolliset seuraamukset
Huomautus
Kirjallinen huomautus
Suullinen tai kirjallinen huomautus
Rikosilmoitusta harkitaan
Piittaamattomuus
Törkeä huolimattomuus
Välinpitämättömyys
Tahallisuus
Toistuvuus
Huomautus
Kirjallinen varoitus
Kirjallinen varoitus
Käyttöoikeuden peruminen
Palvelussuhteen purku
Irtisanominen
Kirjallinen varoitus
Rikosilmoitus
Palvelussuhteen purku
Irtisanominen
Rikoksenteko-tarkoitus
(vahingonteko, luvaton
käyttö, vakoilu, salassapitorikos, virka-aseman
väärinkäyttö yms.)
Hyötymistarkoitus
Rikosilmoitusta harkitaan
Kirjallinen varoitus
Palvelussuhteen purku
Irtisanominen
Rikosilmoitus
Palvelussuhteen purku
Irtisanominen
Rikosilmoitus
Palvelussuhteen purku
Irtisanominen
Tietosuojarikkomusten käsitemäärittelyjä:
Tietoturvapoikkeamaksi luokitellaan esim. jokin tekninen vika, järjestelmässä tai laitteistossa, joka saa aikaan vikatilanteen tietoverkossa käytettävissä ohjelmissa.
Työntekijän asiaton toiminta tietoverkossa voi vaarantaa esim. potilaan tietoja, tietoverkkoa, tietojärjestelmien tai työasemien toimintaa. Asiaton toiminta voidaan katsoa tahalliseksi tai tuottamukselliseksi teoksi tapahtunutta arvioitaessa.
Tietoturvarikkomuksena pidetään tietoturvapolitiikan ja tietojärjestelmien käytöstä annettujen sääntöjen tai
määräysten vastaista toimintaa tai tietojärjestelmien käyttöä Suomen lakien vastaisesti.
Tietoturvarikkomus on esim. yritys päästä käsiksi luvattomasti järjestelmään tai tietoon, johon ei ole käyttöoikeutta. Myös luvaton laitteistojen käyttö tai luvattomien muutoksien tekeminen laitteistoihin tai ohjelmistoihin
on tietoturvarikkomus. Tietoturvarikkomus voidaan katsoa tahalliseksi tai tuottamukselliseksi teoksi tapahtunutta arvioitaessa.
Tietosuojarikkomuksena pidetään tietosuojapolitiikan ja tietosuojalainsäädännön vastaista toimintaa. Tietosuojarikkomuksia (henkilörekisteririkkomuksia) ovat esim. henkilötietojen asiaton käsittely, henkilörekisterin
suojaamisesta ja hävittämisestä annettujen määräysten rikkominen. Rangaistavuuden lisäedellytyksenä hen-
71
LIITTEET
kilörekisteririkkomuksen osalta on, että teko vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan.
Tietoturvarikokseksi luokitellaan tahallinen tietoturvasäännösten tai rikoslakien vastainen toiminta kaupungin
tietoverkossa ja siihen kytketyillä työasemilla tai ohjeiden vastainen toiminta tietoverkossa toimivilla sovelluksilla. Tietoverkon laitteistoon kohdistuva asiaton toiminta hyötymistarkoituksessa luokitellaan aina rikokseksi.
Tietosuojarikokseksi (henkilörekisteririkokseksi) luokitellaan tahallinen tietosuojasäännösten tai rikoslakien
vastainen toiminta. Salaiseksi luokiteltujen tietojen sääntöjenvastainen käyttäminen luokitellaan aina rikokseksi. Henkilötietolakiin ja rikoslakiin sisältyvät rangaistussäännökset tietosuojasäännösten rikkomisesta. Laissa
terveydenhuollon ammattihenkilöstöistä (36§) viitataan salassapitovelvollisuuden rikkomisen osalta rikoslain
mukaisiin rangaistuksiin. Salassapitovelvollisuuden rikkominen on kyseessä, mikäli salaisuus ilmaistaan luvattomasti. Henkilörekisteririkoksen osalta lisäedellytyksenä on, että teko loukkaa rekisteröidyn yksityisyyden
suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa.
Tietojen väärinkäyttö tai tahallinen ohjeiden vastainen toiminta voi johtaa muun ohella rikosoikeudellisiin seuraamuksiin.
72