Lapsen terveydentilaa koskevien tietojen käsittely harrastustoiminnassa on lähtökohtaisesti sallittua, kunhan toimitaan tietosuojalainsäädännön asettamissa rajoissa.

EU:n yleisen tietosuoja-asetuksen mukaan terveystiedoilla tarkoitetaan ihmisen fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja.

Terveystietoja ovat muun muassa

Yleisen tietosuoja-asetuksen mukaan terveyttä koskevat tiedot ovat erityisiä henkilötietoja, joiden käsittelylle on oltava tietosuoja-asetuksen tai muun lainsäädännön mukainen peruste. Yleisen tietosuoja-asetuksen mukaan terveydentilaa koskevien tietojen käsittely voi olla sallittua esimerkiksi rekisteröidyn nimenomaisen suostumuksen perusteella. Nimenomaisuuden vaatimuksella tarkoitetaan tapaa, jolla rekisteröity ilmaisee suostumuksensa. Nimenomaisen suostumuksen voi antaa esimerkiksi allekirjoittamalla kirjallisen lausuman, sähköisellä allekirjoituksella tai kaksivaiheisella varmistuksella.

Harrastustoiminnassa lapsen terveystietoja saadaan käytännössä usein lapsen huoltajalta, lapsen muulta edustajalta tai lapselta itseltään. Tiedot lapsen allergioista, sairauksista tai lääkityksistä voivat usein olla olennaisia tietoja, jotta lapsen terveys ja turvallisuus harrastustoiminnassa voidaan taata.

Mikäli terveystietoja kerätään lapsen tai lapsen edustajan suostumuksen perusteella, tulee rekisterinpitäjän pyytää ilmoittamaan ainoastaan lapsen terveyden ja turvallisuuden kannalta tarpeelliset ja olennaiset terveystiedot. Tietoja ei saa kerätä varmuuden vuoksi tai mahdollista tulevaa tarvetta varten. Esimerkiksi tietoa ruoka-aineallergioista ei voi kerätä, jos sille ei ole asianmukaista perustetta juuri sillä hetkellä. Rekisterinpitäjän on kyettävä osoittamaan, että lapsi tai lapsen edustaja on antanut nimenomaisen suostumuksen lapsen terveystietojen käsittelyyn.

Suostumuksen edellytyksistä voi lukea lisää tietoa tietosuojavaltuutetun toimiston verkkosivuilta.

Rekisterinpitäjän on määriteltävä, kenellä on oikeus käsitellä lapsen terveystietoja. Harrastustoiminnassa tietoihin on yleensä oltava pääsy niillä henkilöillä, jotka ovat vastuussa lapsesta.  Esimerkiksi lapsen urheilujoukkueen ohjaajalle voi olla olennaista tietää lapsen terveystiedosta, jos täten voidaan varmistaa lapsen turvallisuus harrastustoiminnassa ja reagoida mahdolliseen sairauden oireiluun. Niin ikään tieto lapsen allergiasta voi olla tärkeä tieto esimerkiksi leirillä tai vastaavassa tilanteessa, jossa leirin ohjaajat vastaavat lasten ruokailun järjestämisestä.

Rekisterinpitäjän tulee niin ikään määritellä ne tahot, joilla ei tule olla pääsyä terveystietoihin. Rekisterinpitäjän on varmistettava, ettei terveystietoja luovuteta täysin sivullisille tahoille. Esimerkiksi lapsen kanssa samassa urheilujoukkueessa mukana olevilla lapsilla tai näiden vanhemmilla ei lähtökohtaisesti ole perustetta saada tietoa lapsen terveydentilaa kuvaavista seikoista. Tietojen luovuttamiselle on aina oltava asianmukainen peruste.

Henkilötietojen käsittelyä on myös tietojen säilyttäminen. Henkilötietojen säilyttämisessä on huomioitava muun muassa henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä.

Henkilötietojen turvallisuutta voidaan varmistaa esimerkiksi suojaamalla rekisterinpitäjän järjestelmiä verkkohyökkäyksiltä tai suojaamalla fyysisiä laitteita tai papereita sivullisilta. Vaadittu suojaamisen taso riippuu käsiteltävän tiedon luonteesta ja tietomäärän laajuudesta; esimerkiksi erityisiin henkilötietoryhmiin kuuluvaa terveystietoa on suojattava tehokkaammin.

Etenkin alaikäisen lapsen terveystietojen säilyttämisessä tulee huomioida tiedon arkaluonteisuus ja tiedon leviämisestä lapselle mahdollisesti aiheutuvat riskit. Terveystietoja tulisi säilyttää siten, ettei sivullisilla ole pääsyä tietoihin. Tietoja ei saa luovuttaa laajemmalle joukolle kuin on tarpeellista.

Henkilötietojen käsittelyssä on arvioitava lisäksi, milloin rekisterinpitäjällä ei ole enää perustetta säilyttää tietoja. Rekisterinpitäjän tulee määritellä kerätyille tiedoille säilytysaika ja varmistaa tietojen poistaminen, kun niitä ei enää tarvita harrastustoiminnassa. Säilytysaikaa määriteltäessä on otettava huomioon esimerkiksi tilanteet, joissa lapsi lopettaa harrastustoiminnan. Henkilötietojen säilyttämisessä tulee huomioida myös henkilökunnan vaihdokset, jotta henkilöt, jotka eivät enää ole mukana harrastustoiminnassa, eivät käsittele tietoja perusteetta.

Edellä on tuotu esille seikkoja, jotka rekisterinpitäjän tulisi ottaa huomioon lapsen terveystietojen käsittelyssä. Rekisterinpitäjän omien toimien lisäksi sen on varmistettava, että harrastustoiminnassa mukana olevat henkilöt osaavat käsitellä henkilötietoja asianmukaisesti ja tuntevat tietosuojalainsäädännön vaatimukset.

Rekisterinpitäjän on suositeltavaa keskustella lapsen terveystietojen käsittelyyn liittyvistä asioista myös lapsen huoltajan tai muun edustajan kanssa, jotta lapsen edustajakin on tietoinen siitä, miten lapsen tietoja käsitellään. Jokaisella on yleisen tietosuoja-asetuksen nojalla oikeus saada tietää, miten ja mitä tietoja rekisterinpitäjä heistä käsittelee. Näin ollen myös lapsille on kerrottava heidän henkilötietojensa käsittelystä selkeästi ja ymmärrettävästi.

_{Euroopan unionin rahoittama. Tämän julkaisun sisältö edustaa vain kirjoittajien näkemyksiä ja he ovat niistä yksin vastuussa. Euroopan unioni tai Euroopan komissio eivät ole vastuussa tämän julkaisun sisällöstä.}