Henkilötietojen käsittely on lakisääteistä

EU:n yleisen tietosuoja-asetuksen mukaan ’henkilötiedoilla’ tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

’Käsittelyllä’ tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

’Rekisterinpitäjällä’ tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Lapin hyvinvointialueella rekisterinpitäjänä toimii aluehallitus ja rekistereiden vastuuhenkilöinä toimivat pääasiassa toimialajohtajat tai muu aluehallituksen nimeämänsä henkilö.

Lapin hyvinvointialueen tuottamissa palveluissa henkilötietoja käsitellään lainmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lainmukaisuus tarkoittaa sitä, että henkilötietoja kerätään vain tiettyä laillista käyttötarkoitusta varten, eikä niitä käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen käsittelyä pyritään minimoimaan keräämällä kutakin palvelua varten vain olennainen tieto, jonka käsittely on välttämätöntä palvelun oikean kohdentamisen, mitoittamisen tai palvelutarpeen arvioinnin toteuttamiseksi.

Henkilötietojen täsmällisyydestä huolehditaan pitämällä tiedot päivitettyinä ja virheettöminä. Läpinäkyvyydellä tarkoitetaan sitä, että asiakkaalla on oikeus saada tietoa siitä, miten ja mitä tarkoitusta varten hänen henkilötietojaan käsitellään. Oikeutta tukee kunkin rekisterin tietosuojaselosteet, joissa kerrotaan rekisterin yksityiskohtaisemmat tiedot. Tietosuojaselosteet löytyvät verkkosivuilta Lapha.fi/tietosuojaselosteet.

Yksilöintitietoja (etunimi, sukunimi ja henkilötunnus) tarvitaan palvelun, laskujen ja viestinnän kohdentamiseksi juuri oikealle henkilölle. Yhteystietoja (kotiosoite, puhelinnumero, sähköpostiosoite) tarvitaan asiakkaan tavoittamiseen kaikissa palveluissa. Asiakkaan taloudellisia tietoja tarvitaan mm. sosiaalipalveluissa erilaisten asiakasmaksujen ja etuuksien määrittämiseen. 

Terveystietoja käsitellään sosiaali- ja terveyspalveluiden toimialalla. Asiakas- ja potilastietojen käsittely on vahvasti erityislainsäädännöllä säädeltyä ja niitä suojataan erityisen tarkasti.

Eri palveluiden henkilötietoja voidaan käsitellä moniammatillisissa verkostoissa joko suostumuksen tai lainsäädännön ohjaamana. Esim. oppilashuollossa ja kuntouttavassa työtoiminnassa, eri asiantuntijat käsittelevät oman alansa mukaisia henkilötietoja asiakkaan kannalta parhaan palvelun toteuttamiseksi.

Lapin hyvinvointialueen palveluissa henkilötietoja käsitellään niin pitkään, kuin lainsäädäntö edellyttää tai kun käyttötarkoituksenmukainen asiakkuus, palveluntarve tai laskutusperuste on olemassa. Sosiaali- ja terveydenhuollon lainsäädäntö edellyttää asiakas- ja potilastietojen säilytystä pitkäaikaisesti, pääosin 30 vuotta palveluista, 12 vuotta kuolemasta ja joissakin tilanteissa pysyvästi.

Julkisella viranomaisella on oikeus ja velvollisuus joidenkin asiakirjojen pysyvään tai pitkäaikaissäilytykseen yleiseen etuun perustuvan arkistointi- ja tilastointitarkoituksen nojalla (Tietosuoja-asetus artikla 89 kohta 1). Mikäli säilytettävän tiedon ei tarvitse palvelun päättymisen jälkeen olla tunnistettavaa henkilötietoa, voidaan asiakastiedoista joissain tapauksissa poistaa tunnistetiedot, jolloin tieto säilytetään anonyymissä muodossa. Tällöin ei ole enää kysymys henkilötietojen käsittelystä, joten tietosuojalainsäädäntöä ei enää sovelleta.

Henkilötietoja käsitellessä noudatetaan Lapin hyvinvointialueen aluehallituksen hyväksymää Tietoturva- ja tietosuojapolitiikkaa ja siitä johdettuja periaatteita ja ohjeita. Asiakkaiden ja potilaiden yksityisyyden suoja ja perusoikeudet ovat kaiken keskiössä.

Lapin hyvinvointialueen palveluissa henkilötietoja saavat käsitellä vain työntekijät tai viranhaltijat, joiden nimenomaisiin työtehtäviin tietojen käsittely kuuluu. Pääsy tietoihin on rajattu työroolin mukaisilla henkilökohtaisilla käyttöoikeuksilla, millä varmistetaan, että tiedot ovat suojassa luvattomalta ja yhteensopimattomalta käsittelyltä. Teknisillä suojatoimilla estetään tietojen häviäminen ja vahingoittuminen. Teknisiä suojatoimia ovat esimerkiksi 

pääsynhallinta, lokitiedot, varmuuskopiointi, palomuurit ja kulunvalvonta. Lisäksi kaikilta työntekijöiltä edellytetään vaitiolovelvollisuutta, perehtymistä tietosuoja- ja turvaohjeisiin. Henkilöstöä koulutetaan säännöllisesti ja ohjeiden noudattamista valvotaan osana sisäistä valvontaa.

Lapin hyvinvointialueella on useita sopimusperusteisia palveluntarjoajia, joilla on tekninen pääsy henkilötietoihin taikka jotka käsittelevät henkilötietoja hyvinvointialueen lukuun ja nimiin. Tällaisia sopimuskumppaneita ovat esimerkiksi ICT-palvelujen tarjoajat, ohjelmistojen ylläpitäjät ja yksityiset sosiaali- ja terveydenhuollon palveluntuottajat. Palveluntuottajat ovat sopimuksessa sitoutuneet hyvinvointialueen edellyttämään tietosuojatasoon ja vaitioloon kaikessa henkilötietojen käsittelyssä.

Henkilötietoja käsitellään pääasiassa niiden käsittelyyn tarkoitetuilla sertifioiduilla tietojärjestelmillä ja arkistoidaan valtakunnallisiin sähköisiin arkistoihin (esim. Kanta-palvelut). Tietosuojavaatimuksesta mm. arkaluontoisia asiakas- ja potilastietoja ei käsitellä suojaamattomalla sähköpostilla, vaan käytetään turvasähköpostia.

Lapin hyvinvointialueen palveluyksiköistä tietoja voidaan luovuttaa viranomaisille, asianosaisille mikäli näillä on lain mukaan oikeus käsitellä kyseisiä tietoja kyseessä olevassa käyttötarkoituksessa. Muussa tapauksessa henkilötietojen luovuttaminen edellyttää asiakkaan suostumuksen.

Hyvinvointialue ei luovuta henkilötietoja suoramarkkinointitarkoituksiin eikä lähtökohtaisesti kolmansiin maihin taikka EU:n ulkopuolelle.