Coronablinkern

Dataskyddsmeddelande för att informera den registrerade

Institutet för hälsa och välfärd (THL) behandlar personuppgifter för att kunna sköta sina lagstadgade uppgifter. Vid behandling av personuppgifter följer THL gällande lagstiftning om dataskydd och ser till att datasäkerheten är på en ändamålsenlig nivå. I detta meddelande berättar vi närmare om hur THL behandlar dina personuppgifter i samband med användningen och underhållet av mobilapplikationen Coronablinkern.

1. De registeransvariga

THL beslutar om och ansvarar för behandlingen av personuppgifter för det ändamål som anges i detta meddelande och är således registeransvarig för dessa uppgifter. Den registeransvarige ansvarar för att behandlingen av personuppgifter är lagenlig.

I slutet av 2020 ansluter sig Finland till EFGS (European Federation Gateway Service) som möjliggör samarbete mellan olika EU-medlemsstaters spårningsapplikationer. THL är gemensam registeransvarig för samarbetet med de övriga deltagande medlemsstaterna. Varje medlemsstat ansvarar själv för att behandlingen av personuppgifter i medlemsstaterna är lagenlig. Mer information om de tekniska och organisatoriska detaljerna i samarbetet hittas i EU-kommissionens beslut 2020/1023:

https://eurlex.europa.eu/eli/dec_impl/2020/1023/oj

Mer information om samarbetet finns på EU-kommissionens webbplats:

https://ec.europa.eu/info/live-work-travel-eu/health/coronavirus-response/travel-during-coronavirus-pandemic/how-tracing-and-warning-apps-can-help-during-pandemic_fi

En aktuell lista över gemensamma personuppgiftsansvariga finns här:

https://ec.europa.eu/health/sites/health/files/ehealth/docs/gateway_jointcontrollers_en.pdf

Våra kontaktuppgifter:

Institutet för hälsa och välfärd (THL)
PB 30
00271 Helsingfors
tfn 029 524 6000

Kontaktperson i ärenden som gäller behandling av personuppgifter:
Aleksi Yrttiaho

E-postadress till THL:s dataskyddsombud: tietosuoja@thl.fi.

2. Syftet med behandlingen av personuppgifter

Mobilapplikationen som intensifierar brytandet av smittkedjorna (nedan ”applikationen”) är en systemhelhet som består av mobilapplikationen, dess bakgrundssystem och ett användargränssnitt för yrkesutbildade personer. Syftet med applikationen och behandlingen av personuppgifterna i den är att identifiera användarnas närkontakter och varna dem för eventuell exponering för covid-19-coronaviruset. Det är frivilligt att använda applikationen.

Om hälso- och sjukvården konstaterar att en användare av applikationen är smittad med covid-19, får denna en engångskod som frivilligt anges i applikationen, varvid andra användare av applikationen får information om eventuell exponering. Det går inte att identifiera smittade eller exponerade personer från uppgifterna.

Om en användare informeras via applikationen om eventuell exponering, kan denna välja att frivilligt informera hälso- och sjukvården om den eventuella exponeringen, till exempel via Omaolo-tjänsten eller per telefon. Applikationen skickar inte automatiskt information om exponeringen till hälso- och sjukvården eller andra myndigheter. Mer information om gränsöverskridande hälso- och sjukvård finns här:

https://www.eu-terveydenhoito.fi/yhteystiedot/rajat-ylittavan-terveydenhuollon-yhteyspiste/

I fråga om samarbetet inom EU ber vi användaren separat om information om de stater som besökt dem samt samtycke till att nödvändiga mötesuppgifter lämnas ut till andra medlemsländers spårningssystem och tillämpningar som deltar i samarbetet. Mötesuppgifterna delas ut till medlemsstaterna via samverkstjänsten som upprätthålls av EU-kommissionen. På motsvarande sätt får Finland via samverkstjänsten information från andra medlemsstaters spårningsapplikationer.

Utifrån mötesuppgifterna är det inte möjligt att identifiera användaren och varje medlemsstat ansvarar själv för att behandlingen av mötesuppgifterna är lagenlig. I samverkan följer medlemsstaterna EU-kommissionens interoperabilitetspraxis för att säkerställa integriteten samt dataskyddslagstiftningen. Samverkan övervakas av behöriga nationella myndigheter.

Personuppgifterna behandlas i mobilapplikationen Coronablinkern i användargränssnitten iOS och Android, i bakgrundssystemet för applikationen Coronablinkern, i användargränssnittet för yrkespersoner samt i de program och system i de medlemsstater som deltar i samarbetet.

Uppgifterna om yrkesutbildade personers användarrättigheter kan användas i normala arbetsstationsprogram och i säker e-post.

Bakgrundssystemet finns i den datatekniska behandlingsmiljö som Folkpensionsanstalten tillhandahåller.

Användargränssnittet för yrkesutbildade personer finns i den datatekniska behandlingsmiljö som Sotedigi Oy tillhandahåller.

3. Rättslig grund för behandlingen av personuppgifter

Behandlingen av personuppgifter grundar sig alltid på gällande lagstiftning. THL:s uppgifter föreskrivs i lagen om Institutet för hälsa och välfärd (31.10.2008/668). Om användningen och underhållet av applikationen föreskrivs i 43 a §–43 i § i lagen om smittsamma sjukdomar (1227/2016).

Laglig behandling av personuppgifter i enlighet med EU:s allmänna dataskyddsförordning är:

Verksamhet för utförande av en uppgift av allmänt intresse (i enlighet med artikel 6.1 e i dataskyddsförordningen och 4 § 2 punkten i dataskyddslagen)

Behandlingen av känsliga personuppgifter grundar sig dessutom på följande specialvillkor i artikel 9.2 i dataskyddsförordningen och 6 § i dataskyddslagen:

Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet (artikel 9.2 i dataskyddsförordningen)

4. Personuppgifter som behandlas

I applikationen och tillhörande system behandlas följande personuppgifter:

Mobilapplikation

Applikationen lagrar följande uppgifter i användarens egen mobila enhet:

  • Användarens egna pseudonymer
  • Pseudonymer för andra användare som användaren har kommit i kontakt med, och tillhörande nödvändiga uppgifter om kontaktens längd, tidpunkt och Bluetooth-signalens styrka
  • Pseudonymen för den användare som har meddelat om sin smitta
  • Informationen som användaren får om en eventuell exponering

Uppgifterna om kontakten och pseudonymen för den som meddelat om sin smitta raderas senast 21 dygn efter meddelandet.

Bakgrundssystem

Följande uppgifter lagras i bakgrundssystemet:

  • Pseudonymen för den användare som har meddelat om sin smitta
  • Heltal som härletts från symtomens begynnelsedatum kopplat till pseudonymer
  • Information om samverkan som begärts av användaren om främmande stater

Uppgifterna raderas senast 21 dygn efter meddelandet. Uppgifter ska raderas ur system som möjliggör samarbete inom EU senast inom 14 dagar.

Användargränssnitt för yrkesutbildade personer

Då smitta hos en användare av applikationen bekräftats med ett coronatest, lagras användarens telefonnummer tillfälligt i användargränssnittet för yrkesutbildade personer, för att engångskoden ska kunna skickas till användarens telefon samt symtomens begynnelsedatum.

I användargränssnittet för yrkesutbildade personer lagras dessutom följande uppgifter om yrkesutbildade personer inom hälso- och sjukvården, som har användarrättigheter:

  • Förnamn
  • Efternamn
  • Personbeteckning
  • Registreringsnumret i registret över yrkesutbildade personer inom hälso- och sjukvården
  • OID-kod i enlighet med SOTE-organisationsregistret
  • Giltighetstid för användarrättigheten
  • Angiven roll för användarrättigheten
  • Kontaktuppgifter
  • Yrkesbeteckning

5. Från vilka källor har personuppgifterna samlats?

Uppgifter om användarnas pseudonymer samlas in med hjälp av mobilapplikationen Coronablinkern samt med hjälp av spårningsapplikationer från andra medlemsstater som deltar i samarbetet.

Uppgifterna som behövs för åtkomsträttigheterna för yrkesutbildade personer samlas in via kommunens eller samkommunens läkare för smittsamma sjukdomar eller någon annan person som kommunen eller samkommunen utsett.

6. Överföring eller överlämnande av personuppgifter

Uppgifterna lämnas inte ut utanför THL utan användarens samtycke. Den som använder applikationen fattar själv beslut om att informera hälsovårdsmyndigheterna om exponeringen.

Den registeransvarige kan anlita underleverantörer för att möjliggöra en tjänst som tillhandahålls via applikationen. Underleverantörerna förbinder sig till kraven i dataskyddslagstiftningen till den del de deltar i behandlingen av personuppgifter. Underleverantörerna behandlar inte uppgifterna för andra ändamål.

7. Överföring av uppgifter utanför EU eller Europeiska ekonomiska samarbetsområdet

Personuppgifter överförs inte utanför EU eller EES.

8. Profilering och automatiskt beslutsfattande

Uppgifterna används inte för automatiskt beslutsfattande, inklusive profilering av personer.

9. Lagring av personuppgifter

Personuppgifter som ingår i applikationen och tillhörande system lagras i högst 21 dygn.

10. Vilka rättigheter har du?

Dataskyddslagstiftningen garanterar dig vissa rättigheter, med vilka du kan säkerställa att den grundläggande rättigheten till integritetsskydd tillgodoses. Om du vill utnyttja din rättighet, kontakta THL:s registratorskontor (kirjaamo@thl.fi).

Om THL inte kan identifiera dig på basis av uppgifterna tillämpas inte rätten att kontrollera, rätta, radera och begränsa behandlingen av uppgifterna. I praktiken kan rättigheterna tillgodoses endast i de fall då användaren har uppgett sitt telefonnummer till en yrkesutbildad person inom hälso- och sjukvården i samband med konstaterad covid-19-smitta.

10.1.     Rätt att återta samtycke

Behandlingen av personuppgifter grundar sig på lagen om smittsamma sjukdomar. Du kan när som helst ta bort applikationen från telefonen och då raderas även eventuella pseudonymer i bakgrundssystemet automatiskt, senast inom 21 dagar. THL kan inte identifiera dig på basis av i pseudonymen.

10.2.     Rätt att granska egna personuppgifter

Du har rätt att få veta huruvida THL behandlar personuppgifter om dig. Dessutom har du rätt att få veta vilka personuppgifter om dig som behandlas och hur de behandlas. Du har också rätt att få en kopia på dina personuppgifter till den del överlåtandet av en kopia inte påverkar andras rättigheter och friheter på ett ogynnsamt sätt eller såvida THL inte har en lagstadgad grund att neka utlämnandet av uppgifter. Rätten till insyn tillämpas inte till den del som THL inte kan identifiera dig.

10.3.     Rätt att korrigera uppgifter

Utgångspunkten är att du har rätt att få bristfälliga eller felaktiga uppgifter korrigerade. Rätten att korrigera uppgifter tillämpas inte till den del som THL inte kan identifiera dig.

10.4.     Rätt att radera uppgifter

Du kan när som helst ta bort applikationen och då raderas även eventuella pseudonymer i bakgrundssystemet automatiskt, senast inom 21 dagar. THL kan inte identifiera dig på basis av i pseudonymen.

10.5.     Rätt att begränsa behandlingen

Du har eventuellt rätt att begränsa behandlingen av personuppgifter i fall som stadgats i lagen. Rätt att begränsa behandlingen kan komma på fråga till exempel om du anser att dina personuppgifter är felaktiga, att de behandlas på ett sätt som strider mot lagen eller om du motsatt dig behandlingen av dina uppgifter. I detta fall kan vi behandla dina personuppgifter endast med ditt samtycke om det sker för fastställande, utövande eller försvar av rättsliga anspråk, i allmänt intresse eller för att skydda en annan persons rättigheter. Rätten att begränsa behandlingen tillämpas inte till den del som THL inte kan identifiera dig.

10.6.     Rätt att invända mot behandlingen av personuppgifter

Du har eventuellt rätt att invända mot behandlingen av personuppgifter i fall som stadgats i lagen. Rätten att invända mot behandlingen kan till exempel bli aktuell om behandlingen omfattar automatiskt beslutsfattande, inklusive profilering, eller om uppgifterna används för direktmarknadsföring.

10.7.     Rätt att överföra ärendet för behandling av tillsynsmyndigheten

Du har rätt att be Dataombudsmannen bedöma lagenligheten i THL:s verksamhet.

Kontaktinformation:

Dataombudsmannens byrå
Besöksadress: Fågelviksgränden 4, 00530 Helsingfors
Postadress: PB 800, 00521 Helsingfors
Växel: 029 56 66700
Fax: 029 56 66735
E-post: tietosuoja@om.fi