← Suomi

Lyhyesti

Tämä laki koskee sosiaali- ja terveystietojen käyttöä muuhun kuin alkuperäiseen tarkoitukseen, kuten tilastointiin tai tutkimukseen. Sen tavoitteena on mahdollistaa tietojen tehokas ja tietoturvallinen käsittely samalla kun turvataan yksilön tietosuoja.

Mitä se säätelee

Ketä se koskee

Keskeiset kohdat

📄 Lakiteksti
2025 1159/2025 Laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta Eduskunnan päätöksen mukaisesti kumotaan sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (552/2019) 10 ja 11 §, 21 §:n 2 momentti, 44 § sekä 50 §:n 3 momentti, sellaisina kuin niistä ovat 11 § osaksi laissa 707/2023 ja 50 §:n 3 momentti laissa 1491/2019, muutetaan 1 ja 2 §, 3 §:n 10, 12 ja 13 kohta, 5 §:n 1, 2 ja 4 momentti, 6 §:n otsikko, johdantokappale ja 11 kohta, 7 ja 8 §, 13 §:n 2 momentti, 14, 16, 17 ja 20 §, 23 §:n 1 momentti, 36 §:n 2 ja 3 momentti, 37 §:n 1 momentti, 42 §:n 3 momentti, 43 §:n 5 momentti, 45–48 §, 50 §:n 2 ja 4 momentti, 51, 52 ja 58 § sekä 60 §:n 4, 8 ja 9 momentti, sellaisina kuin niistä ovat 8 § osaksi laissa 544/2022 ja 50 §:n 2 momentti laissa 1491/2019 ja 58 § osaksi laissa 767/2025, sekä lisätään lakiin uusi 6 a–6 c, 7 a ja 36 a §, 49 §:ään uusi 2 momentti sekä lakiin uusi 51 a– 51 d § seuraavasti: 1 § Lain tavoite Tämän lain tavoitteena on mahdollistaa sosiaali- ja terveystietojen tehokas ja tietoturvallinen käsittely toissijaisissa käyttötarkoituksissa. Lain tavoitteena on lisäksi turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä. 2 § Soveltamisala ja suhde muuhun lainsäädäntöön Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, täydentävät säännökset, kun 2 momentissa tarkoitettuja tietoja käsitellään mainitussa momentissa tarkoitettuihin käyttötarkoituksiin. Tätä lakia sovelletaan 6 §:ssä tarkoitettujen organisaatioiden sekä yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen käsittelyyn ja niiden yhdistämiseen Kansaneläkelaitoksen, Tilastokeskuksen, Eläketurvakeskuksen ja Digi- ja väestötietoviraston henkilötietoihin 6, 7 ja 7 a §:ssä säädetyin rajauksin, kun kyseisiä tietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun perin tallennettu mainitussa tarkoituksessa: 1)  tilastointi; 2)  tieteellinen tutkimus; 3)  kehittämis- ja innovaatiotoiminta; 4)  opetus; 5)  tietojohtaminen; 6)  sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta; 7)  viranomaisen suunnittelu- ja selvitystehtävä. Luovutusperusteista sekä vastaanottajan oikeudesta käsitellä luovutettuja henkilötietoja 2 momentissa tarkoitettuihin käyttötarkoituksiin säädetään 4 ja 5 luvussa. Tätä lakia ei sovelleta kliinisestä lääketutkimuksesta annetun lain (983/2021), jäljempänä lääketutkimuslaki, 1 §:ssä tarkoitetussa kliinisessä lääketutkimuksessa, lääkinnällisistä laitteista annetun lain (719/2021) 3 luvussa tarkoitetussa lääkinnällisen laitteen kliinisessä tutkimuksessa tai in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimuksessa ja lääketieteellisestä tutkimuksesta annetun lain (488/1999), jäljempänä tutkimuslaki, 2 §:n 1 kohdassa tarkoitetussa lääketieteellisessä tutkimuksessa tapahtuvaan henkilötietojen käsittelyyn, jos tutkittava tai hänen laillinen edustajansa on antanut suostumuksensa osallistua tutkimukseen noudattaen, mitä ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 536/2014 ja lääketutkimuslaissa, lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/745, in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/746 ja lääkinnällisistä laitteista annetussa laissa taikka tutkimuslaissa säädetään suostumuksen antamisesta tai jos mainituissa säädöksissä säädetyt hätätilanteessa suoritettavan tutkimuksen suorittamisen edellytykset täyttyvät. 3 § Määritelmät Tässä laissa tarkoitetaan: 10)  tietoturvallisella siirtopalvelulla tietoturvallista ratkaisua, jonka kautta osapuolet voivat luovuttaa ja vastaanottaa käyttörajoituksen alaisia tietoja; 12)  asiointipalvelulla järjestelmää, jonka välityksellä tietoluvan hakija tai tietoja tämän lain perusteella muutoin pyytävä toimittaa tietolupahakemuksen tai tietopyynnön ja sen liitteet viranomaiselle ja jossa tietolupaa tai tietopyyntöä koskeva päätös annetaan tiedoksi luvan hakijalle; 13)  palvelunantajalla sosiaali- tai terveydenhuoltoa taikka sosiaali- tai terveyspalveluja järjestävää, tuottavaa tai toteuttavaa viranomaista taikka sosiaali- ja terveydenhuollon valvonnasta annetussa laissa (741/2023) tarkoitettua yksityistä palvelujen tuottajaa; 5 § Tietolupaviranomaisen tehtävät Tietolupaviranomainen käsittelee tietolupia ja tietopyyntöjä sekä vastaa tietoluvassa tai tietopyynnössä tarkoitettujen tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön. Tietolupaviranomainen ylläpitää asiointipalvelua tietopyyntöjen ja tietolupahakemusten välittämiseksi ja käsittelemiseksi sekä tietoturvallista siirtopalvelua henkilötietojen vastaanottamiseksi ja luovuttamiseksi. Lisäksi Tietolupaviranomainen järjestää tietoturvallista käyttöympäristöä koskevan palvelun, jossa luvansaajan on mahdollista käsitellä tietoluvan perusteella saamiaan henkilötietoja. Tietolupaviranomainen voi tuottaa anonymisoidut tulokset ja varmistaa tuotettujen tulosten anonymisoinnin. Tulosten anonymisoinnista säädetään 52 §:ssä. 6 § Organisaatiot ja tietoaineistorajaukset Organisaatiot, joiden henkilötietoja voidaan käsitellä tämän lain nojalla 2 §:n mukaisiin käyttötarkoituksiin, ovat: 11)  Digi- ja väestötietovirasto siltä osin kuin väestötietojärjestelmästä tarvitaan tämän lain mukaisiin tarkoituksiin henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja. 6 a § Tietolupakäsittelyyn liittyvä toimivalta Jos tietolupahakemus koskee sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa (703/2023), jäljempänä asiakastietolaki, tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, hakemus toimitetaan Tietolupaviranomaiselle, joka tekee tietolupaa koskevan päätöksen. Hakija voi toimittaa tietolupahakemuksen, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen. Jos hakija toimittaa tietolupahakemuksen Tietolupaviranomaiselle, se tekee tietolupaa koskevan päätöksen kaikkien hakemuksen kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos hakija toimittaa hakemuksen jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekee tietolupaa koskevan päätöksen omien tietoaineistojensa osalta. Jos tietolupahakemus koskee vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation tietoja, hakemus toimitetaan kyseiselle organisaatiolle, joka tekee tietolupaa koskevan päätöksen. Tietolupapäätöksestä vastaava organisaatio voi pyytää tietosuojavaltuutetulta lausuntoa tietolupahakemuksesta, jos arvioi sen tarpeelliseksi. 6 b § Tietopyyntökäsittelyyn liittyvä toimivalta Jos tietopyyntö koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, tietopyyntö toimitetaan Tietolupaviranomaiselle, joka tekee tietopyyntöä koskevan päätöksen. Hakija voi toimittaa tietopyynnön, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle pyynnön kohteena olevalle organisaatiolle erikseen. Jos hakija toimittaa tietopyynnön Tietolupaviranomaiselle, se tekee tietopyyntöä koskevan päätöksen kaikkien tietopyynnön kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos hakija toimittaa tietopyynnön jokaiselle tietopyynnön kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekee tietopyyntöä koskevan päätöksen omien tietoaineistojensa osalta. Jos tietopyyntö koskee vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation tietoja, tietopyyntö toimitetaan kyseiselle organisaatiolle, joka tekee tietopyyntöä koskevan päätöksen. 6 c § Tietolupa- ja tietopyyntökäsittelyyn liittyvän toimivallan siirto Edellä 6 §:ssä tarkoitettu organisaatio voi luovuttaa toimivallan antaa tietolupa- tai tietopyyntöpäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Tietolupaviranomainen tekee tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia tai tietopyyntöjä koskevat päätökset. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. Jos organisaatio on luovuttanut toimivallan Tietolupaviranomaiselle tai kyseessä on tietolupahakemus tai tietopyyntö, joka koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, ja hakija on toimittanut tietolupahakemuksen tai tietopyynnön jokaiselle hakemuksen tai pyynnön kohteena olevalle organisaatiolle erikseen, Tietolupaviranomainen tekee tietolupaa tai tietopyyntöä koskevan päätöksen toimivallan luovuttaneen organisaation, Kanta-palveluihin tallennettujen tietojen ja yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien rekisteritietojen osalta. 7 § Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset Tilastokeskus ja Terveyden ja hyvinvoinnin laitos tilastoviranomaisena (tilastoviranomaiset) vastaavat tilastotarkoituksiin keräämiensä tietojen tietolupa- ja tietopyyntöpäätöksistä tieteellistä tutkimusta varten sekä samaan tutkimussuunnitelmaan liittyvien tietojen yhdistelystä omiin tietoihinsa ja niiden pseudonymisoinnista tai anonymisoinnista noudattaen, mitä tilastolaissa (280/2004) säädetään. Tietolupahakemus tai tietopyyntö, joka koskee muita tässä laissa tarkoitettuja tietoja sekä tilastoviranomaisen tilastotarkoituksissa keräämiä tietoja, toimitetaan Tilastokeskukselle tai Terveyden ja hyvinvoinnin laitokselle. Tilastotarkoituksessa kerättyjen tietojen yhdistelemisestä ja luovuttamisesta säädetään 51 §:n 3 momentissa. 7 a § Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen tietojen käsittelyä koskevat poikkeukset Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen 6 §:n 9–11 kohdassa tarkoitettuihin tietoihin kohdistuvaan tietolupahakemukseen tai tietopyyntöön sovelletaan tämän lain säännöksiä silloin, jos näitä tietoja yhdistetään yhden tai usean 6 §:n 1–8 kohdassa tarkoitetun rekisterinpitäjän tietoihin, Kanta-palveluihin tallennettuihin tietoihin tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin. 8 § Tietolupaviranomaisen korkean tason asiantuntijaryhmä Sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle korkean tason asiantuntijaryhmän, jonka tehtävänä on laatia anonymisointia, tietosuojaa ja tietoturvaa koskevat Tietolupaviranomaisen toiminnan periaatelinjaukset. Asiantuntijaryhmässä on oltava tekoälyn, data-analytiikan, tietoturvan, tietosuojan, alan tutkimuksen, tilastotieteen ja tilastotoimen asiantuntija sekä Tietolupaviranomaisen edustaja. Sosiaali- ja terveysministe-riön asetuksella voidaan säätää tarkemmin asiantuntijaryhmän tehtävistä sekä sen jäsenten määrästä ja kelpoisuusehdoista. 13 § Neuvontapalvelu Sen lisäksi, mitä 1 momentissa säädetään, Tietolupaviranomaisen on järjestettävä neuvontapalvelu, joka koskee tietoluvan myöntämisedellytyksiä, tietopyyntöjen hyväksymisedellytyksiä, Tietolupaviranomaisen palvelujen sisältöä ja merkitystä sekä 14 §:n 4 momentissa tarkoitettuja valmisaineistoja. 14 § Tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelu Kun Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan myönteisen päätöksen, Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio kokoaa, tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoaineiston luvansaajan käsiteltäväksi taikka tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Tietolupaviranomaisen ja 6 §:ssä tarkoitettujen organisaatioiden on säilytettävä kuvaus luovuttamiensa tietoaineistojen ja aggregoitujen tilastotietojen muodostamisesta, käyttämistään pseudonymisointi- ja anonymisointimenetelmistä sekä luovutetuista lopputuloksista. Jos henkilötietoja luovutetaan usean eri tiedonhyödyntämissuunnitelman perusteella pseudonymisoituna, tiedot on pseudonymisoitava jokaista luovutusta varten eri tunnisteella. Tietolupaviranomainen saa muodostaa valmisaineistoja 6 §:ssä tarkoitettujen organisaatioiden tiedoista. Tietolupaviranomainen saa poimia tietoluvan myöntämiseksi tarvittavat ja myönnetyn tietoluvan tai tietopyyntöä koskevan päätöksen mukaiset tiedot valmisaineistoista. 16 § Tietolupaviranomaisen asiointipalvelu Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa asiointipalvelua, jonka välityksellä tietolupahakemus tai tietopyyntö on toimitettava sille. Keskeiset Tietolupaviranomaisen selvitys- ja täydennyspyynnöt sekä keskeiset hakijan laatimat selvitykset ja täydennykset sekä hakemusta koskevat muutokset toimitetaan asiointipalvelun välityksellä. Lupapäätös annetaan hakijalle tiedoksi asiointipalvelun välityksellä. Jos tietojen käytön edellytykseksi on säädetty tiedonhyödyntämissuunnitelman eettinen ennakkoarviointi, myös eettinen arviointi saatetaan vireille ja lausunto toimitetaan asiointipalvelun välityksellä. 17 § Tietoturvallinen siirtopalvelu Tietolupaviranomainen ylläpitää tietoturvallista siirtopalvelua tietolupahakemuksen ja tietopyynnön käsittelyssä tarvittavien tietojen sekä myönnetyn tietoluvan mukaisten tietojen luovuttamiseksi. Tietoturvallisen siirtopalvelun välityksellä saa tässä laissa säädetyin edellytyksin luovuttaa henkilötietoja Tietolupaviranomaisen ja muiden 6 §:ssä tarkoitettujen organisaatioiden välillä, 6 §:ssä tarkoitettujen organisaatioiden välillä, Tietolupaviranomaisen ja yksityisten sosiaali- ja terveydenhuollon palvelunantajien välillä, luvanhakijan ja Tietolupaviranomaisen sekä luvanhakijan ja 6 §:ssä tarkoitettujen organisaatioiden välillä. Kun henkilötietoja välitetään tietoturvallisen siirtopalvelun välityksellä, niiden eheys ja alkuperä on varmistettava sähköisellä allekirjoituksella. Organisaation ja tietoteknisten laitteiden lähettämien tietojen eheys ja alkuperä on varmistettava käyttämällä luotettavuudeltaan vastaavaa tekniikkaa kuin luonnollisen henkilön sähköisessä allekirjoituksessa. Tietoturvallisen siirtopalvelun käyttäjät on tunnistettava vahvasti, kun heille luovutetaan henkilötietoja. Kehittyneestä sähköisestä allekirjoituksesta ja vahvasta sähköisestä tunnistamisesta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009). Tietolupaviranomaisen on luotava tarvittavat rajapinnat tietoturvallisen siirtopalvelun yhteentoimivuutta varten ja huolehdittava siitä, että tiedonsiirto voidaan tehdä yleisesti käytössä olevien teknologioiden avulla. 20 § Tietoturvallinen käyttöympäristö Tietolupaviranomaisen tai muun 6 §:ssä tarkoitetun organisaation tämän lain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely toteutetaan tietoturvallisessa käyttöympäristössä. Tietolupaviranomainen järjestää yksin tai yhdessä muiden viranomaisten kanssa tietoturvallista käyttöympäristöä koskevan palvelun. Tietoturvallisia käyttöympäristöjä koskevia palveluita voivat tarjota myös muut organisaatiot. Käsittelyn on oltava mahdollista teknisesti erilaisin tavoin ja käyttöympäristöön on oltava pääsy eri paikoista. Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on arvioitava luovutettavien tietojen arkaluontoisuuden tasoa ja huomioitava tämä tietolupapäätöksessä tietoturvallisen käyttöympäristön käytölle asetettavissa vaatimuksissa. Tietolupaviranomaisen tietoturvallisen käyttöympäristön ja muiden tietoturvallisten käyttöympäristöjen tulee täyttää 2 momentissa ja 21–29 §:ssä säädetyt edellytykset. 23 § Tietoturvallisen käyttöympäristön suojaaminen Tietoturvallinen käyttöympäristö on suojattava noudattaen, mitä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 4 luvussa säädetään. 4 luku Henkilötietojen toissijaisen käytön perusteet ja edellytykset Toissijaisen käytön yleiset perusteet 36 § Tietolupaviranomaisen oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä Edellä 1 momentissa tarkoitetut tiedot luovutetaan Tietolupaviranomaisen käyttöön tietoturvallisen siirtopalvelun välityksellä. Tietolupaviranomainen voi salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä poimia tietoluvan mukaiset tiedot tietoturvallisen siirtopalvelun välityksellä sellaisista 1 momentissa tarkoitettujen rekisterinpitäjien tiedoista ja tietovarannoista, joista se on rekistereiden ja tietovarantojen sisältö ja tekninen toteutus huomioon ottaen mahdollista ja tarkoituksenmukaista. 36 a § Tietoaineistojen kokoajan oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä Jos 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio on 51 §:ssä tarkoitetulla tavalla valittu usean organisaation tietoaineistojen kokoajaksi, sillä on salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä oikeus pyynnöstä saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltä seuraavat tässä laissa säädettyjen tehtävien hoitamiseksi välttämättömät tiedot: 1)  tietoluvassa tarkoitetut tiedot tietojen kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi sekä luovuttamiseksi luvansaajan käsiteltäväksi; 2)  tiedot sen arvioimiseksi, onko tietolupahakemuksessa tarkoitetut tiedot mahdollista anonymisoida tai onko 45 §:ssä tarkoitetuista tiedoista mahdollista tuottaa aggregoitua tilastotietoa; sekä 3)  aggregoidun tilastotiedon tuottamista varten tarvittavat tiedot. Edellä 1 momentissa tarkoitetut tiedot luovutetaan tietoaineistojen kokoajan käyttöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä. Tietoaineistojen kokoaja on tässä pykälässä tarkoitetuin tavoin saamiensa tietojen rekisterinpitäjä. 37 § Kehittämis- ja innovaatiotoiminta Tietolupaviranomainen ja 6 §:ssä tarkoitettu organisaatio saa salassapitovelvoitteiden estämättä tuottaa tietopyynnön perusteella yksittäistapauksessa asiakastietoihin sekä muihin 6 §:ssä tarkoitettujen organisaatioiden henkilötietoihin perustuvat aggregoidut tilastotiedot kehittämis- ja innovaatiotoimintaan, jota toteutetaan muutoin kuin tieteellisenä tutkimuksena. 42 § Sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta Edellä 2 momentissa tarkoitetut tiedot luovutetaan valvontaviranomaiselle tietoturvallisen siirtopalvelun välityksellä. 43 § Tietoluvan myöntämisen yleiset perusteet Jos Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio toteaa tietolupahakemuksen perusteella, että tietoluvan sijaan asia voidaan käsitellä tietopyyntönä, Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on otettava yhteys luvanhakijaan ja esitettävä, että asia käsitellään tietopyyntönä. Jos luvanhakija vaatii asian käsittelyä tietolupahakemuksena, Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on tehtävä asiaa koskeva päätös. 45 § Tietopyynnön käsittely Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio päättää, onko tietopyyntö 2 §:ssä säädettyjen käyttötarkoitusten ja tietopyynnölle säädettyjen vaatimusten mukainen. Päätöstä tehdessään Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on arvioitava tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan ja 86 artiklan nojalla sekä ottaen huomioon 8 §:ssä tarkoitetun asiantuntijaryhmän periaatelinjaukset, onko pyytäjän esittämistä rekisteritiedoista mahdollista muodostaa tietopyynnössä tarkoitettu aggregoitu tilastotieto. Jos tietoja pyydetään tieteellistä tutkimusta varten ja pyyntö koskee tilastoviranomaisen tilastotarkoituksiin keräämiä tietoja, käsitellään tietopyyntö kuitenkin noudattaen, mitä 7 §:ssä ja 51 §:n 3 momentissa säädetään. 46 § Tietolupahakemuksen ja tietopyynnön toimittaminen Tietolupaviranomaiselle Tietopyyntö sekä tietolupahakemus on toimitettava Tietolupaviranomaiselle asiointipalvelun välityksellä. Jos hakija täydentää hakemustaan, myös täydennys on toimitettava Tietolupaviranomaiselle asiointipalvelun välityksellä. Lupahakemukseen ja aggregoituja tilastotietoja koskevaan tietopyyntöön on liitettävä tiedonhyödyntämissuunnitelma. Tietolupaviranomainen antaa määräykset tietolupahakemuksen, tiedonhyödyntämissuunnitelman, tietopyynnön sekä tietolupa- ja tietopyyntöpäätöksen tietosisällöistä ja tietorakenteista. 47 § Tietolupakäsittelyn määräajat Päätös tietolupahakemukseen on annettava viipymättä, kuitenkin viimeistään 3 kuukauden kuluessa siitä, kun lupahakemus on saapunut täydellisenä organisaatiolle. Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio voi painavasta syystä päättää, että tietolupahakemuksen käsittelyaikaa jatketaan enintään 3 kuukautta, jos hakemuksen ja siihen liittyvän tiedonhyödyntämissuunnitelman käsittely edellyttää poikkeuksellisen laajaa ja usean eri rekisterinpitäjän tietojen käsittelyä taikka erityisen vaativaa harkintaa. Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on annettava luvan hakijalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa lupapäätös annetaan. Jos tietolupapäätöksestä vastaava organisaatio pyytää 6 a §:n 5 momentissa tarkoitettua lausuntoa tietosuojavaltuutetulta, tietolupapäätöksestä vastaavan organisaation määräaika hakemuksen käsittelylle keskeytyy, kunnes lausunto on saapunut. Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava Tietolupaviranomaiselle tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 15 arkipäivän kuluessa pyynnön saapumisesta. Jos hakijan hakemuksensa tai pyyntönsä tueksi esittämä selvitys on riittämätön, rekisterinpitäjän on ilmoitettava viipymättä Tietolupaviranomaiselle ja hakijalle, mitä lisäselvitystä edellytetään. Tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot on tällöin toimitettava Tietolupaviranomaiselle 15 arkipäivän kuluessa siitä, kun hakijalta saadut lisäselvitykset ovat riittäviä. 48 § Tietojen luovutuksia koskevat määräajat Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun Tietolupaviranomainen on tehnyt päätöksen siitä, että tiedot saa luovuttaa hakijalle. Edellä 6 §:ssä tarkoitetun rekisterinpitäjän on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot 51 §:ssä tarkoitetun tietoaineistojen kokoajan pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun organisaatiot ovat tehneet päätöksen siitä, että tiedot saa luovuttaa hakijalle. Jos hakijan tietojen luovuttamisen tueksi esittämä selvitys on riittämätön, Tietolupaviranomaisen tai tietoaineistojen kokoajan on ilmoitettava viipymättä hakijalle, mitä lisäselvitystä edellytetään. Pyydetyt tiedot on tällöin toimitettava hakijalle 30 arkipäivän kuluessa lisäselvityksen vastaanottamisesta, jos luovutuksen edellytyksistä voidaan varmistua toimitetun lisäselvityksen perusteella. Jos tietojen luovuttaminen Tietolupaviranomaiselle tai tietoaineistojen kokoajalle ei ole mahdollista 1 momentissa säädetyssä määräajassa, rekisterinpitäjän on ilmoitettava viivästyksestä, sen syystä ja tietojen luovutukseen tarvittavasta määräajan pidennyksestä ennen määräajan päättymistä. Tietolupaviranomaisen tai tietoaineistojen kokoajan on asetettava perustellusta syystä luovutukselle uusi määräaika. Tietolupaviranomaisen tai tietoaineistojen kokoajan on luovutettava luvansaajalle tietoluvan perusteella kokoamansa ja yhdistelemänsä tiedot viipymättä, kuitenkin viimeistään 60 arkipäivän kuluessa luvan myöntämisestä. Tietolupaviranomainen tai tietoaineistojen kokoaja voi painavasta syystä pidentää luovutuksen määräaikaa, jos tietojen luovuttaminen edellyttää poikkeuksellisen laajaa ja usean eri rekisterinpitäjän tietojen käsittelyä tai erityisen vaativaa tietojen yhdistelyä. Tietolupaviranomaisen tai tietoaineistojen kokoajan on annettava luvan saajalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa tiedot luovutetaan. 49 § Tietolupaa ja tietopyyntöä koskevasta päätöksestä perittävät maksut Tietoluvasta ja tietopyyntöä koskevasta päätöksestä perittävien maksujen tulee olla läpinäkyviä. 50 § Palveluista perittävät korvaukset Korvaukset, jotka koskevat tietolupaan ja tietopyyntöä koskevaan päätökseen perustuvien tietojen poimintaa ja toimittamista muista kuin Tietolupaviranomaisen omista tietovarannoista, määräytyvät kutakin tiedot toimittanutta rekisterinpitäjää koskevien säännösten mukaisesti. Tietolupaviranomaisen korvausten määräytymisen perusteista säädetään valtion maksuperustelaissa. 51 § Tietoaineistojen kokoaminen tietoluvan myöntämisen tai tietopyyntöpäätöksen jälkeen Jos Tietolupaviranomainen on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan päätöksen, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Jos kukin 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan päätöksen omien tietoaineistojensa osalta tietolupahakemuksessa tai tietopyynnössä, joka koskee usean organisaation tietoja, usean organisaation tietoaineistot kokoaa joko Tietolupaviranomainen tai jokin hakemuksen tai pyynnön kohteena oleva 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio. Päätöksen siitä, mikä edellä tarkoitettu organisaatio kokoaa tietoaineistot, tekevät tietolupahakemuksen tai tietopyynnön kohteena olevat organisaatiot yhteistyössä perustuen organisaatioiden resursseihin ja käytettävissä olevaan asiantuntemukseen. Edellä 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio voi ilmoittaa, että se ei ole käytettävissä kyseiseen tehtävään. Jos organisaatiot eivät pääse yhteisymmärrykseen siitä, mikä organisaatio kokoaa tietoaineistot, tietoaineistot kokoaa Tietolupaviranomainen. Tietoaineistojen kokoaja myös tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Jos käyttötarkoitukseen tarvitaan myös Tilastokeskuksen tai Terveyden ja hyvinvoinnin laitoksen tilastoviranomaisena tilastotarkoitusta varten kokoamia tietoja, tilastoviranomainen yhdistelee sekä tarvittaessa esikäsittelee ja pseudonymisoi tai anonymisoi luovutettavat tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Jos käyttötarkoitukseen tarvitaan molempien tilastoviranomaisten tietoja, viranomaiset sopivat keskenään, kumpi yhdistelee ja pseudonymisoi tai anonymisoi tiedot. Tiedot voidaan tämän jälkeen luovuttaa tietoturvallisen siirtopalvelun välityksellä saajan käsiteltäväksi tietojen luonteesta ja määrästä riippuen joko Tilastokeskuksen tai Tietolupaviranomaisen tietoturvalliseen käyttöympäristöön tai muuhun tietoturvalliseen käyttöympäristöön. 51 a § Tietoaineistojen käsittely yksittäisessä organisaatiossa Jos hakija ilmoittaa tietolupahakemuksessa tai tietopyynnössä, joka koskee usean 6 §:ssä tarkoitetun organisaation tietoja, että usean organisaation tietoaineistoja ei ole tarpeen yhdistellä, jokainen hakemuksessa tai tietopyynnössä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi omat tietoaineistonsa tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Organisaatiot voivat käyttää pseudonymisoinnissa Tietolupaviranomaisen luomaa pseudonymisointiavainta. Jos hakemus tai tietopyyntö on koskenut vain organisaation omia tietoaineistoja, tietoluvan myöntänyt tai tietopyyntöpäätöksen tehnyt 6 §:ssä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Organisaatio voi luovuttaa toimivallan tässä pykälässä tarkoitettuun tietoaineistojen käsittelyyn omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. 51 b § Tietoaineistojen luovutus tietoturvalliseen käyttöympäristöön Muissa kuin 51 c ja 51 d §:ssä tarkoitetuissa tilanteissa tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä, ellei siitä ole muodostettu aggregoitua tilastotietoa. Käyttöympäristön palveluntarjoajan on varmistettava ennen yhteyden avaamista luvansaajalle, että luvansaaja täyttää tietoluvassa asetetut vaatimukset. 51 c § Tietoaineistojen luovutus muuhun turvalliseen käyttöympäristöön Tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan, jossa tietoaineisto voidaan luovuttaa muuhun turvalliseen käyttöympäristöön kuin 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön. Tällainen tietolupa voidaan myöntää, jos: 1)  kansalliseen turvallisuuteen kohdistuvat ja muut tietoluvan nojalla luovutettavaan tietoaineistoon kohdistuvat riskit ovat vähäiset; 2)  yhtenä osallistujana hankkeessa on taho, joka harjoittaa tutkimustoimintaa suomalaisessa tutkimusorganisaatiossa; ja 3)  tietosuojan ja tietoturvan taso tietoaineiston käsittelyssä on riittävä. Hakijan tulee perustella tietolupahakemuksessaan, miksi tietoaineistoa ei ole mahdollista käsitellä 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja antaa kaikki tarvittavat tiedot, jotta Tietolupaviranomainen voi arvioida, täyttyvätkö 1 momentissa säädetyt edellytykset. Tietolupaan voidaan liittää tarkempia tietojen käsittelyä koskevia ehtoja. Jos Tietolupaviranomainen on myöntänyt 1 momentissa tarkoitetun tietoluvan, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi muussa turvallisessa käyttöympäristössä kuin 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä. 51 d § Anonymisoitujen tietoaineistojen luovutus Edellä 6 §:ssä tarkoitettu organisaatio voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle, jos tietolupahakemus koskee ainoastaan kyseisen organisaation tietoja. Jos tietolupahakemus koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoja, Tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle. Edellä 6 §:ssä tarkoitettu organisaatio voi luovuttaa toimivallan antaa tässä pykälässä tarkoitettuja tietolupapäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Tietolupaviranomainen tekee tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia koskevat päätökset. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle. Edellä 1 momentissa tarkoitetun luvan myöntämisen edellytyksenä on, että tietoaineistoon kohdistuvat riskit ovat vähäiset ja että tietoaineisto on mahdollista anonymisoida luotettavalla tavalla. Edellä 6 §:ssä tarkoitettu organisaatio tai Tietolupaviranomainen kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä anonymisoi tietoluvassa yksilöidyt tiedot ja luovuttaa tuottamansa anonymisoidun tietoaineiston luvansaajalle. 52 § Tulosten tuominen ulos tietoturvallisesta käyttöympäristöstä Kun tietoluvan nojalla on luovutettu tietoja käsiteltäviksi 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja niiden pohjalta tuotettuja tuloksia halutaan tuoda ulos tietoturvallisesta käyttöympäristöstä, luvansaaja anonymisoi tietoturvallisesta käyttöympäristöstä ulos otettavat tulokset. Tietolupaviranomainen voi luvansaajan pyynnöstä tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle. Jos tulokset on anonymisoinut luvansaaja, sen tulee ilmoittaa Tietolupaviranomaiselle, että se aikoo tuoda tulokset ulos tietoturvallisesta käyttöympäristöstä. Tietolupaviranomainen varmistaa tuotettujen tulosten anonymisoinnin riskiperusteisen arvioinnin perusteella. Tietolupaviranomainen voi antaa tarkempia määräyksiä tulosten anonymisoinnista. 58 § Muutoksenhaku Tässä laissa tarkoitettuun tietopyyntöä koskevaan päätökseen sekä tietolupahakemusta ja luvan peruuttamista koskevaan päätökseen, jonka antaa Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio, sekä Lupa- ja valvontaviraston tämän lain nojalla tekemään päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa (434/2003). Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). 60 § Siirtymäsäännökset Ennen lain voimaantuloa asianomaisen suostumuksella kerättyjä tietoja saa käyttää ja luovuttaa tämän lain mukaisesti lain 2 §:n 2 momentin 1, 2 ja 7 kohdan mukaisiin käyttötarkoituksiin sen estämättä, mitä 43 §:n 3 momentissa säädetään, jos on ilmeistä, että tietojen tällainen käyttö ja luovutus ei poikkea niistä tarkoituksista, joita varten tiedot on annettu. Tietoluvasta päättävä organisaatio voi edellyttää, että luvanhakija pyytää eettisen arvion lupapäätöksen perusteeksi Terveyden ja hyvinvoinnin laitoksen eettiseltä toimikunnalta. Tämän lain 14 §:n 1 ja 2 momenttia tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelusta, pseudonymisoinnista ja anonymisoinnista, 16 §:ää Tietolupaviranomaisen asiointipalvelusta sekä 20 §:n 1 momenttia tietoturvallisesta käyttöympäristöstä sovelletaan 1 päivästä tammikuuta 2020. Tietolupahakemus ja tietopyyntö on toimitettava 16 §:ssä tarkoitetun asiointipalvelun välityksellä Tietolupaviranomaiselle 1 päivästä huhtikuuta 2020. Tämä laki tulee voimaan 1 päivänä toukokuuta 2026. Lain 2 §:n 4 momentti tulee kuitenkin voimaan jo 1 päivänä tammikuuta 2026. Lain 2 §:n 4 momentin voimaantultua sellaiset asiakastiedot sekä muut 6 §:ssä tarkoitettujen organisaatioiden henkilötiedot, joita on tämän lain voimaan tullessa voimassa olleiden säännösten nojalla käsitelty tietoturvallisessa käyttöympäristössä kliinisen lääketutkimuksen, lääketieteellisen tutkimuksen tai lääkinnällisen laitteen kliinisen tutkimuksen tai in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimuksen toteuttamista varten, saadaan siirtää muuhun käyttöympäristöön, jos kliinisestä lääketutkimuksesta annetun lain 34 §:ssä, lääketieteellisestä tutkimuksesta annetun lain 21 c §:ssä tai lääkinnällisistä laitteista annetun lain 20 a §:ssä säädetyt edellytykset tietojen saamiselle ja tietojen muulle käsittelylle täyttyvät. HE 87/2025 StVM 15/2025 EV 127/2025 Helsingissä 5.12.2025 Tasavallan Presidentti Alexander Stubb Sosiaaliturvaministeri Sanni Grahn-Laasonen

🔗 Viralliseen lähteeseen

Tekoälyselitys virallisen lakitekstin pohjalta. Suuntaa antava, ei korvaa oikeudellista neuvontaa.