Lasten terveystietojen käsittely harrastustoiminnassa
Digikyvykkyys

Kuva: Kim Reuben, Unsplash

Lasten terveystietojen käsittely harrastustoiminnassa

GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa -hankkeen alkukyselyn perusteella lasten terveydentilaa kuvaavien tietojen, etenkin allergiatietojen, käsittely harrastustoiminnassa herättää kysymyksiä. Tämän artikkelin tarkoituksena on antaa suuntaviivoja lapsen terveystietojen asianmukaiseen käsittelyyn harrastustoiminnassa.

Lapsen terveydentilaa koskevien tietojen käsittely harrastustoiminnassa on lähtökohtaisesti sallittua, kunhan toimitaan tietosuojalainsäädännön asettamissa rajoissa.

Mitä terveydentilaa kuvaavat tiedot ovat?

EU:n yleisen tietosuoja-asetuksen mukaan terveystiedoilla tarkoitetaan ihmisen fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja.

Terveystietoja ovat muun muassa

  • tiedot henkilön fyysisistä sairauksista, esimerkiksi allergioista tai diabeteksesta
  • psyykkiseen terveyteen liittyvät henkilötiedot
  • tiedot henkilön käyttämästä lääkityksestä
  • tiedot terveyspalveluiden tarjoamisesta, kun ne kertovat henkilön terveydentilasta.

Milloin terveydentilaa kuvaavia tietoja saa käsitellä?


Yleisen tietosuoja-asetuksen mukaan terveyttä koskevat tiedot ovat erityisiä henkilötietoja, joiden käsittelylle on oltava tietosuoja-asetuksen tai muun lainsäädännön mukainen peruste. Yleisen tietosuoja-asetuksen mukaan terveydentilaa koskevien tietojen käsittely voi olla sallittua esimerkiksi rekisteröidyn nimenomaisen suostumuksen perusteella. Nimenomaisuuden vaatimuksella tarkoitetaan tapaa, jolla rekisteröity ilmaisee suostumuksensa. Nimenomaisen suostumuksen voi antaa esimerkiksi allekirjoittamalla kirjallisen lausuman, sähköisellä allekirjoituksella tai kaksivaiheisella varmistuksella.

Harrastustoiminnassa lapsen terveystietoja saadaan käytännössä usein lapsen huoltajalta, lapsen muulta edustajalta tai lapselta itseltään. Tiedot lapsen allergioista, sairauksista tai lääkityksistä voivat usein olla olennaisia tietoja, jotta lapsen terveys ja turvallisuus harrastustoiminnassa voidaan taata.

Mikäli terveystietoja kerätään lapsen tai lapsen edustajan suostumuksen perusteella, tulee rekisterinpitäjän pyytää ilmoittamaan ainoastaan lapsen terveyden ja turvallisuuden kannalta tarpeelliset ja olennaiset terveystiedot. Tietoja ei saa kerätä varmuuden vuoksi tai mahdollista tulevaa tarvetta varten. Esimerkiksi tietoa ruoka-aineallergioista ei voi kerätä, jos sille ei ole asianmukaista perustetta juuri sillä hetkellä. Rekisterinpitäjän on kyettävä osoittamaan, että lapsi tai lapsen edustaja on antanut nimenomaisen suostumuksen lapsen terveystietojen käsittelyyn.

Suostumuksen edellytyksistä voi lukea lisää tietoa tietosuojavaltuutetun toimiston verkkosivuilta.

Kuka saa käsitellä terveystietoja harrastustoiminnassa?


Rekisterinpitäjän on määriteltävä, kenellä on oikeus käsitellä lapsen terveystietoja. Harrastustoiminnassa tietoihin on yleensä oltava pääsy niillä henkilöillä, jotka ovat vastuussa lapsesta.  Esimerkiksi lapsen urheilujoukkueen ohjaajalle voi olla olennaista tietää lapsen terveystiedosta, jos täten voidaan varmistaa lapsen turvallisuus harrastustoiminnassa ja reagoida mahdolliseen sairauden oireiluun. Niin ikään tieto lapsen allergiasta voi olla tärkeä tieto esimerkiksi leirillä tai vastaavassa tilanteessa, jossa leirin ohjaajat vastaavat lasten ruokailun järjestämisestä.

Rekisterinpitäjän tulee niin ikään määritellä ne tahot, joilla ei tule olla pääsyä terveystietoihin. Rekisterinpitäjän on varmistettava, ettei terveystietoja luovuteta täysin sivullisille tahoille. Esimerkiksi lapsen kanssa samassa urheilujoukkueessa mukana olevilla lapsilla tai näiden vanhemmilla ei lähtökohtaisesti ole perustetta saada tietoa lapsen terveydentilaa kuvaavista seikoista. Tietojen luovuttamiselle on aina oltava asianmukainen peruste.

Miten terveystietoja tulisi säilyttää?

Henkilötietojen käsittelyä on myös tietojen säilyttäminen. Henkilötietojen säilyttämisessä on huomioitava muun muassa henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä.

Henkilötietojen turvallisuutta voidaan varmistaa esimerkiksi suojaamalla rekisterinpitäjän järjestelmiä verkkohyökkäyksiltä tai suojaamalla fyysisiä laitteita tai papereita sivullisilta. Vaadittu suojaamisen taso riippuu käsiteltävän tiedon luonteesta ja tietomäärän laajuudesta; esimerkiksi erityisiin henkilötietoryhmiin kuuluvaa terveystietoa on suojattava tehokkaammin.

Etenkin alaikäisen lapsen terveystietojen säilyttämisessä tulee huomioida tiedon arkaluonteisuus ja tiedon leviämisestä lapselle mahdollisesti aiheutuvat riskit. Terveystietoja tulisi säilyttää siten, ettei sivullisilla ole pääsyä tietoihin. Tietoja ei saa luovuttaa laajemmalle joukolle kuin on tarpeellista.

Henkilötietojen käsittelyssä on arvioitava lisäksi, milloin rekisterinpitäjällä ei ole enää perustetta säilyttää tietoja. Rekisterinpitäjän tulee määritellä kerätyille tiedoille säilytysaika ja varmistaa tietojen poistaminen, kun niitä ei enää tarvita harrastustoiminnassa. Säilytysaikaa määriteltäessä on otettava huomioon esimerkiksi tilanteet, joissa lapsi lopettaa harrastustoiminnan. Henkilötietojen säilyttämisessä tulee huomioida myös henkilökunnan vaihdokset, jotta henkilöt, jotka eivät enää ole mukana harrastustoiminnassa, eivät käsittele tietoja perusteetta.

Mitä muuta rekisterinpitäjän on huomioitava?

Edellä on tuotu esille seikkoja, jotka rekisterinpitäjän tulisi ottaa huomioon lapsen terveystietojen käsittelyssä. Rekisterinpitäjän omien toimien lisäksi sen on varmistettava, että harrastustoiminnassa mukana olevat henkilöt osaavat käsitellä henkilötietoja asianmukaisesti ja tuntevat tietosuojalainsäädännön vaatimukset.

Rekisterinpitäjän on suositeltavaa keskustella lapsen terveystietojen käsittelyyn liittyvistä asioista myös lapsen huoltajan tai muun edustajan kanssa, jotta lapsen edustajakin on tietoinen siitä, miten lapsen tietoja käsitellään. Jokaisella on yleisen tietosuoja-asetuksen nojalla oikeus saada tietää, miten ja mitä tietoja rekisterinpitäjä heistä käsittelee. Näin ollen myös lapsille on kerrottava heidän henkilötietojensa käsittelystä selkeästi ja ymmärrettävästi.

Euroopan unionin rahoittama. Tämän julkaisun sisältö edustaa vain kirjoittajien näkemyksiä ja he ovat niistä yksin vastuussa. Euroopan unioni tai Euroopan komissio eivät ole vastuussa tämän julkaisun sisällöstä.

Lue seuraavaksi

Vastuullisuus
Kestävä kehitys tulevaisuuden ICT-ratkaisujen keskiössä 
Vastuullisuus

Kestävä kehitys tulevaisuuden ICT-ratkaisujen keskiössä 

Kaikkien, myös ICT-alan, on osallistuttava kestävyyshaasteiden ratkomiseen. Tällä hetkellä ei kuitenkaan ole yhteisymmärrystä siitä, mitä ICT-alan ympäristövaikutuksia mitataan ja miten. Myös kuluttajilla on tärkeä rooli kestävyyshaasteiden ratkomisessa, mutta tietoa esimerkiksi laitteiden tai liittymien ympäristökestävyydestä ei ole tarpeeksi saatavilla ostopäätöksen tueksi.

Marja Matinmikko-Blue
Ajankohtaista
TIEKE tuo suomalaista asiantuntemusta Euroopan digiosaamisen kentälle
Ajankohtaista

TIEKE tuo suomalaista asiantuntemusta Euroopan digiosaamisen kentälle

TIEKEllä on pitkä historia osaamisen kehittämisen ja tunnistamisen parissa. Toimiminen kansainvälisillä foorumeilla on tuonut arvokasta kokemusta siitä, miten yhteinen sävel löytyy, vaikka eri maiden toimintatavat eroavat toisistaan. Yhteistyö on avainasemassa, kun tavoitteena on kehittää osaamista Euroopan laajuisesti ja edistää esimerkiksi mikrokredentiaalien käyttöönottoa.

Viestintätoimisto Aivela
Digikyvykkyys
Oppimismyönteisyydellä ja digitaalisilla osaamismerkeillä työhyvinvointia ja kilpailukykyä
Digikyvykkyys

Oppimismyönteisyydellä ja digitaalisilla osaamismerkeillä työhyvinvointia ja kilpailukykyä

Nykyisessä nopeasti muuttuvassa työelämässä organisaatioiden menestys riippuu yhä enemmän siitä, miten ne tunnistavat ja kehittävät henkilöstönsä osaamista. Suomessa on perinteisesti painotettu tutkintotodistuksia, mutta osaamista kertyy yhä enemmän työelämässä ja vapaa-ajalla myös epävirallisemmilla tavoilla. Digitaaliset osaamismerkit ovat keskeinen väline osaamisen tunnistamisessa ja kehittämisessä.

Viestintätoimisto Aivela