Omatietovarannon tietosuojaseloste

Omatietovarannon tietosuojaseloste

Tämä on voimassa oleva Omatietovarannon käyttäjätietorekisterin tietosuojaseloste, joka on päivitetty 1.11.2021.

Rekisterinpitäjä

Kansaneläkelaitos

Nordenskiöldinkatu 12, 00250 Helsinki
PL 450, 00056
puh. 020 634 11

Rekisteriasioita hoitava henkilö tai yhteyshenkilö

Kanta-palvelujen tietosuojavastaava
kanta@kanta.fi

Rekisterin nimi

Omatietovaranto

Henkilötietojen käsittelyn tarkoitus / rekisterin käyttötarkoitus

Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (784/2021) (myöh. asiakastietolaki) 4 §:n mukaan Kela on valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) kuuluvaan Omatietovaranto-palveluun tallennettujen hyvinvointitietojen ja palvelun käyttöön liittyvien tietojen rekisterinpitäjä.

Omatietovarannon tarkoituksena on mahdollistaa asiakastietolain mukaisesti kansalaisten (käyttäjät) hyvinvointitietojen säilyttäminen valtakunnallisesti keskitetyssä palvelussa. Asiakastietolain mukaisesti käyttäjä voi tallentaa ja käsitellä Omatietovarannossa olevia hyvinvointitietojaan hyvinvointisovelluksilla tai Omakannan kautta, ja hyödyntää niitä hyvinvointinsa edistämiseksi.

Kela vastaa asiakastietolain mukaisesti Omatietovarannossa olevien tietojen käytettävyydestä ja eheydestä, muuttumattomuudesta, suojaamisesta ja säilyttämisestä sekä tietojen hävittämisestä silloin, kun henkilö ei ole itse hävittänyt tietoja ennen säilytysajan päättymisestä. Kela vastaa siitä, että palvelu toimii teknisesti siten, että hyvinvointitietoja ei voida käsitellä tai luovuttaa lain vastaisesti.

Omatietovarantoon tallennettavat hyvinvointitiedot ovat henkilön itsensä tuottamia tietoja, jotka koskevat hänen terveyttään ja hyvinvointiaan. Henkilö voi tallentaa tietojaan Omatietovarantoon hyvinvointisovelluksilla. Henkilöllä on aina oikeus päättää omien  tietojensä käytöstä, muuttamisesta ja poistamisesta. Näin ollen Omatietovarannon käyttäjä on itse vastuussa omien hyvinvointitietojensa tallentamisesta ja osaltaan kirjaamiensa tietojen oikeellisuudesta.

Omatietovarannossa olevia tietoja säilytetään, kunnes käyttäjä on ne itse poistanut tai silloin, kun henkilö ei ole itse tietojaan poistanut, enintään 5 vuotta henkilön kuolemasta.

Kelalla ei ole oikeutta käsitellä omatietovarantoon tallennettuja tietoja laajemmin kuin mitä Omatietovarannon ylläpitoon liittyvät tehtävät välttämättä edellyttävät. Kela toteuttaa osaltaan henkilötietojen käsittelyn EU:n yleisen tietosuoja-asetuksen ja muun henkilötietojen käsittelyä sääntelevien lakien mukaisesti.

Omatietovarantoon liitettyjen sovellusten ja laitteiden valmistajat vastaavat siitä, että sovellukset toimivat oikein. Hyvinvointisovelluksen valmistaja vastaa osaltaan asiakastietolain mukaan toimimisesta sekä lain lukujen 6 ja 7 mukaisesti hyvinvointisovelluksensa sertifioinnista ja sertifiointivaatimusten täyttämisestä.

Omatietovaranto ja evästeet

Käyttäjä tunnistautuu Omatietovarantoon Suomi.fi-palvelun kautta, kun käyttäjä ottaa palvelun käyttöön ja kun hän antaa haluamilleen sovelluksille käyttöoikeuksia Omatietovarantoon. Tässä yhteydessä Omatietovarannossa käytetään evästeitä, joiden käyttö on välttämätöntä palvelun tarjoamiseksi. Käyttäjältä ei pyydetä näiden evästeiden käyttöön suostumusta. Kela ei muutoin hyödynnä kerättyjä tietoja mitenkään. Evästeet tuhoutuvat automaattisesti, kun selain suljetaan.

Rekisterin tietosisältö

Omatietovarantoon tallennetaan käyttäjän itsensä hyvinvointisovelluksella tallentamat hyvinvointitiedot. Tallennettavat hyvinvointitiedot vaihtelevat sovelluksittain. Lista hyvinvointitiedoista, joita kullakin Omatietovarantoon liittyneellä sovelluksella käyttäjä voi Omatietovarantoon tallentaa, löytyy Omatietovarannon sovellusluettelosta.

Lisäksi Omatietovarantoon tallennetaan Omatietovarannon käyttäjistä seuraavat tiedot:

  • käyttäjän henkilötunnus
  • tiedot käyttäjän sovelluksille antamista käyttöoikeuksista (esimerkiksi mittaustietojen luku- ja/tai kirjoitusoikeus)
  • tieto siitä, että käyttäjä on hyväksynyt Omatietovarannon käyttöehdot ja milloin ne on hyväksytty.

Yllä kuvattuja tietoja Omatietovarannon käyttäjistä tallennetaan käyttäjän ottaessa palvelun käyttöön sekä aina, kun käyttäjä antaa sovelluksille käyttöoikeuksia tai käyttäjä hyväksyy Omatietovarannon muuttuneet käyttöehdot. Käyttöönottovaiheessa käyttäjä tunnistautuu palveluun suomi.fi tunnistuksella. Palvelun käyttäjä valitsee tunnistamistavan/varmentajan sekä suostuu tunnistamispalvelussa välittämään henkilötunnuksen rekisterinpitäjälle.

Säännönmukaiset tietolähteet

Palveluun tallennettavat tiedot saadaan käyttäjältä itseltään hänen käyttäessään hyvinvointisovellusta tai Omakantaa tietojensa tallentamiseen tai käsittelyyn.

Säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle

Kela ei luovuta tietoja rekisteristä ulkopuolisille. Kelalla ei ole oikeutta luovuttaa Omatietovarantoon tallenettua tietoa muutoin kuin mitä asiakastietolain 13 § 2 momentissa on säädetty.

Kela ei siirrä tietoja EU:n tai Euroopan talousalueen ulkopuolelle.

Rekisterin suojauksen periaatteet

Omatietovarantoon tallennetut tiedot ovat salassa pidettäviä tietoja.

Organisatoriset suojauksen periaatteet

Kela omalta osaltaan seuraa ja valvoo tietojen käsittelyn lainmukaisuutta. Kelassa on nimettynä tietosuojavastaava.

Kela antaa kirjalliset ohjeet rekisterin tietojen käsittelystä sekä huolehtii henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta. Kelalla on tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.

Kela oma-aloitteisesti ryhtyy tarvittaviin toimenpiteisiin, jos rekisteriin tallennettuja tietoja on käsitelty lainvastaisesti.

Tekninen suojaus

Omatietovarannossa olevien tietojen käsittely edellyttää ylläpitäjän ja kansalaiskäyttäjän yksilöivää vahvaa tunnistautumista, sekä järjestelmään liittyvää käyttöoikeuksien hallintaa. Kansalaiskäyttäjän tulee tunnistautua vahvasti Suomi.fi-tunnistuksella ennen kuin hän voi antaa käytössään olevalle hyvinvointisovellukselle käyttöoikeuksia Omatietovarantoon. Digi- ja väestötietovirasto vastaa Kanta-palvelujen tunnistamis- ja varmennepalveluista.

Kaikesta käyttäjän ja Kelan ylläpitoon liittyvistä tietojen käsittelyn toimista tallennetaan lokia.

Ympäristöjen ja laitteiden fyysinen suojaus

Rekisteriin tallennetut tiedot on teknisesti suojattu muuttamiselta ja poistamiselta. Kelan laitetilat sekä tietojen fyysinen sijainti on Suomessa. Laitetiloihin on rajoitettu pääsy Kelan teknisillä ylläpitäjillä, joiden työtehtävien hoito edellyttää niihin pääsyä.

Pääsy tietoihin

Käyttäjä voi katsoa hänen itse Omatietovarantoon tallentamiaan hyvinvointitietoja ja Omatietovarannon käyttöön liittyviä tietoja Omakannan kautta, josta tiedot voi tarvittaessa tulostaa. Käyttäjän voi olla mahdollista katsoa Omatietovarantoon tallennettuja hyvinvointitietoja myös sellaisilla hyvinvointisovelluksilla, joille käyttäjä on antanut käyttöoikeudet tietojen hakemiseen Omatietovarannosta.

Kelalla ei ole lähtökohtaisesti oikeutta käsitellä Omatietovarantoon tallennettuja tietoja. Kelalla on oikeus käsitellä Omatietovarantoon tallennettuja hyvinvointitietoja vain siltä osin kuin Omatietovarannon ylläpitoon kuuluvat tehtävät välttämättä edellyttävät.

Oikeus korjata tietoja

Omatietovarantoon tallennetut tiedot ovat henkilön itsensä tuottamia tietoja, joita hän voi vapaasti katsella, muokata tai poistaa.

Korjausoikeuden toteuttamiseksi Kela ei voi rekisterinpitäjänä käsitellä Omatietovarantoon tallennettuja tietoja asiakastietolain 4 §:n rajauksesta johtuen, vaan Kela ohjeistaa kansalaista muokkaamaan tai poistamaan tallentamansa tiedot itse.

Oikeus tehdä valitus valvontaviranomaiselle

Jos palvelun käyttäjä katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä (EU:n yleinen tietosuoja-asetus artikla 12–22) palvelun käyttäjällä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle. Suomessa valvontaviranomainen on tietosuojavaltuutettu.

Sivua päivitetty 1.11.2021