Tietolupaviranomainen oli voinut edellyttää tietyn tietoturvallisen käyttöympäristön käyttöä lupaehtona
4.10.2023 | OikeusuutisetItä-Suomen HAO: Tietosuoja – Sosiaali- ja terveystietojen toissijainen käyttö – Tietoturvallinen käyttöympäristö – Findata
Asiassa oli ratkaistavana muun ohella kysymys siitä, oliko sosiaali- ja terveysalan tietolupaviranomainen Findata (Tietolupaviranomainen) voinut velvoittaa valittajan siirtämään ennen sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain voimaantuloa myönnettyjen tietolupien voimassaolon jatkamista koskevan hakemuksen yhteydessä kyseisiä lupia koskevan tutkimusaineiston muutoshakemuksessa esitettyyn Sensitive Data Desktop -nimiseen tietoturvalliseen käyttöympäristöön.
Hallinto-oikeus hylkäsi valittajan valituksen.
Valittaja oli 12.4.2022 hakenut muun muassa hänelle aikaisemmin myönnettyjen tietolupapäätösten voimassaolon jatkamista 30.4.2032 saakka. Valittaja oli hakemuksessaan lisäksi todennut hakevansa Tietolupaviranomaisen vaatimuksesta aineiston siirtämistä CSC:n auditoimaan Sensitive Data Desktop -nimiseen tietoturvalliseen käyttöympäristöön, mutta todennut pitävänsä nykyistä käyttöympäristöä tietoturvallisempana ja siirtovaatimuksen käytännössä lopettavan tutkimuksen ja pakottavan aineistojen hävittämiseen. Valittajan tietolupien voimassaoloaikaa oli jatkettu hakemuksen mukaisesti 30.4.2032 saakka sillä edellytyksellä, että valittaja siirtää aineiston Sensitive Data Desktop – käyttöympäristöön. Tietolupaviranomainen oli valituksenalaisella päätöksellään hylännyt valittajan oikaisuvaatimuksen, jossa valittaja oli vaatinut tietoaineiston käsittelyn sallimista nykyisessä käyttöympäristössä. Tietolupaviranomainen oli valituksenalaisen päätöksensä perusteluissa muun ohella todennut, että sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (toisiolaki) tarkoitettuja henkilötietoja voidaan luovuttaa tietoluvan nojalla käsiteltäväksi ainoastaan tietoturvallisessa käyttöympäristössä, ja että Tietolupaviranomainen oli voinut antaa päätöksen aineiston käsittelemisestä Sensitive Data Desktop -käyttöympäristössä hakemuksen mukaisesti.
Valittajan hakemus oli koskenut tietolupia, joiden perusteella hän voi käyttää sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettuja henkilötietoja tieteellistä tutkimusta varten. Mainituissa tiedoissa on kyse erityisiä henkilöryhmiä koskevista henkilötiedoista, joiden käsittely on yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan lähtökohtaisesti kiellettyä. Saman artiklan 2 kohdan j alakohdan ja johdantokappaleen 157 mukaan kyseisten tietojen käsittely on kuitenkin sallittua muun muassa tieteellistä tutkimusta varten edellyttäen, että jäsenvaltion lainsäädännössä asetettuja asianmukaisia edellytyksiä ja suojatoimia noudatetaan.
Suomessa terveystietojen toissijaisesta käytöstä tieteellisessä tutkimuksessa säädetään toisiolaissa, jonka 18 §:n mukaan, kun henkilötietoja käsitellään toisiolain nojalla, käsittelyn riittävä tietoturvallisuus on varmistettava riskienhallinnalla, pääsynhallinnalla, aktiivisella valvonnalla sekä noudattamalla tietoturvallisuuden ja tietosuojan toteutuksesta ja valvonnasta vastaavan viranomaisen määräyksiä ja ohjeita. Toisiolain 20–34 §:ssä säädetään tietoturvalliselta käyttöympäristöltä edellytetyistä vaatimuksista, joiden tarkoituksena on varmistaa Tietolupaviranomaisen tai muun toisiolaissa tarkoitetun viranomaisen toisiolain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely. Kyseisiä säännöksiä on alettu soveltaa toisiolain 60 §:n 1 momentin (793/2021) siirtymäsäännöksen mukaan 1.5.2022 alkaen. Toisiolakia koskevan hallituksen esityksen (HE 159/2017 vp) lain siirtymäsäännösten yksityiskohtaisten perusteluiden mukaan siirtymäajan tarkoituksena on ollut turvata se, ettei terveydenhuollon tutkimus tyrehdy lain voimaantultua. Asianomaisilla toimintayksiköillä on ollut kuitenkin velvollisuus huolehtia, että tutkijoiden käyttämät tietojärjestelmät vastaavat viimeistään siirtymäajan päätyttyä 20 §:n 3 momentissa asetettuja vaatimuksia.
Toisiolain mukaisen sosiaali- ja terveystietojen toissijaisen käytön edellytyksenä on siten toisiolaissa säädettyjen tietoturvavaatimusten noudattaminen, joihin sisältyy muun ohella luovutettujen tietojen käsitteleminen tietoturvallisessa käyttöympäristössä. Vaikka toisiolaissa puhutaan käyttöympäristön käytön yhteydessä tietoaineiston luovuttamisesta, on edellä siirtymäsäännöksen perusteella toisiolakia tulkittava niin, että vaatimus tietoturvallisesta käyttöympäristöstä koskee myös aikaisemmin tietoluvan nojalla luovutettua aineistoa.
Toisiolain 20 §:n 1 ja 3 momentin mukaisesti tietoaineistoa voidaan käsitellä joko Tietolupaviranomaisen ylläpitämässä käyttöympäristössä tai toisiolain 25 §:n 1 momentin mukaisessa, arviointilaitoksen tietoturvalliseksi arvioimassa käyttöympäristössä. Koska valittaja ei ollut esittänyt selvitystä siitä, että hänen nykyisin käyttämänsä käyttöympäristö täyttäisi toisiolaissa säädetyt edellytykset tietoturvalliselle käyttöympäristölle, ei Tietolupaviranomainen ollut voinut sallia tietoaineiston käsittelyn jatkamista nykyisessä käyttöympäristössä. Valittajalla oli lisäksi ollut toisiolain mukaan vapaus valita aineistolleen sopiva, tietoturvallinen käyttöympäristö, ja Tietolupaviranomainen oli valittajan hakemuksen mukaisesti hyväksynyt tietoaineiston käsittelyyn Sensitive Data Desktop -nimisen käyttöympäristön.
Tietolupaviranomainen oli siten voinut edellyttää päätöksellä jatkettujen tietolupien nojalla luovutetun tietoaineiston siirtämisen Sensitive Data Desktop -nimiseen käyttöympäristöön. Tietoturvallisen käyttöympäristön edellyttämiselle oli lakiin perustuva hyväksyttävä peruste, minkä lisäksi sillä turvattiin toisen perusoikeuden eli perustuslain 10 §:ssä säädetyn yksityiselämän suojan toteutuminen, eikä Tietolupaviranomaisen päätös ollut Suomen perustuslain 16 §:n 3 momentin ja toisiolain 38 § 2 momentin vastainen. Sillä, miten tietoaineiston siirtäminen käytännössä toteutuu valittuun käyttöympäristöön, tai siirtämisen vaatimalla työmäärällä ja kustannuksilla, ei ollut merkitystä asiaa hallinto-oikeudessa arvioitaessa.