Koronavilkku

Tietosuojailmoitus rekisteröidyn informoimiseksi

Terveyden ja hyvinvoinnin laitos (THL) käsittelee henkilötietoja lakisääteisten tehtäviensä hoitamista varten. THL noudattaa henkilötietojen käsittelyssä voimassa olevaa tietosuojalainsäädäntöä ja huolehtii, että tietoturva on asianmukaisella tasolla. Tässä ilmoituksessa kerromme tarkemmin kuinka THL käsittelee henkilötietojasi Koronavilkku-mobiilisovelluksen käytön ja ylläpidon yhteydessä.

1. Rekisterinpitäjä

THL päättää ja vastaa henkilötietojen käsittelystä tässä ilmoituksessa kerrottua tarkoitusta varten eli THL on näiden tietojen osalta rekisterinpitäjä.

Yhteystiedomme ovat:

Terveyden ja hyvinvoinnin laitos, THL
PL 30
00271 Helsinki
puh. 029 524 6000

Yhteyshenkilö henkilötietojen käsittelyä koskevissa asioissa on:
Aleksi Yrttiaho

THL:n tietosuojavastaavan sähköpostiosoite on tietosuoja@thl.fi.

2. Henkilötietojen käsittelyn tarkoitus

Tartuntaketjujen katkaisua tehostava mobiilisovellus (jäljempänä ”sovellus”) on järjestelmien kokonaisuus, joka koostuu mobiilisovelluksesta, sen taustajärjestelmästä sekä ammattilaisten käyttöliittymästä. Sovelluksen ja siinä käsiteltävien henkilötietojen käsittelyn tarkoituksena on sovelluksen käyttäjien lähikontaktien tunnistaminen ja lähikontaktien varoittaminen mahdollisesta covid-19-koronavirukselle altistumisesta. Sovelluksen käyttö on vapaaehtoista.

Jos käyttäjällä todetaan terveydenhuollon ammattilaisen toimesta covid-19-tartunta, annetaan käyttäjälle kertakäyttöinen koodi, jonka käyttäjä voi omalla vapaaehtoisella päätöksellään syöttää sovellukseen, jolloin sovelluksen muut käyttäjät saavat tiedon mahdollisesta altistumisesta. Tiedoista ei ole mahdollista tunnistaa tai yksilöidä tartunnansaaneita tai altistuneita.

Jos käyttäjä saa sovelluksen kautta tiedon mahdollisesta altistumisesta, voi käyttäjä omalla vapaaehtoisella päätöksellään ilmoittaa mahdollisesta altistumisesta terveydenhuollon ammattilaisille esimerkiksi Omaolo-palvelun tai puhelimen kautta. Sovellus ei lähetä automaattisesti tietoa altistumisesta terveydenhuollon ammattilaisille tai muille viranomaisille.

Henkilötietoja käsitellään Koronavilkku-mobiilisovelluksessa iOS- ja Android -käyttöliittymissä, Koronavilkku-sovelluksen taustajärjestelmässä sekä ammattilaisten käyttöliittymässä.

Ammattilaisen käyttöoikeustietoja voidaan käyttää normaaleissa työasemaohjelmistoissa sekä turvasähköpostissa.

Taustajärjestelmä sijaitsee Kansaneläkelaitoksen tarjoamassa tietoteknisessä käsittely-ympäristössä.

Ammattilaisen käyttöliittymä sijaitsee SoteDigi Oyn tarjoamassa tietoteknisessä käsittely-ympäristössä.

3. Henkilötietojen käsittelyn oikeusperuste

Henkilötietojen käsittely perustuu aina voimassa olevaan lainsäädäntöön. THL:n tehtävät on määritelty laissa Terveyden ja hyvinvoinnin laitoksesta (31.10.2008/668). Sovelluksen käytöstä ja ylläpidosta säädetään tartuntalain (1227/2016) 43 a § – 43 h §:ssä.

EU:n yleisen tietosuoja-asetuksen mukainen henkilötietojen lainmukainen käsittelyperuste on:

Yleistä etua koskevan tehtävän suorittaminen (tietosuoja-asetuksen 6 artiklan 1 kohdan e-alakohta ja tietosuojalain 4 §:n 2 kohta)

Lisäksi arkaluonteisten henkilötietojen käsittely perustuu seuraavaan tietosuoja-asetuksen 9 artiklan 2 kohdan ja tietosuojalain 6 §:n mukaiseen erityisehtoon:

Käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi (tietosuoja-asetuksen 9 artiklan 2 kohdan i-alakohta)

4. Käsiteltävät henkilötiedot

Sovelluksessa ja siihen liittyvissä järjestelmissä käsitellään seuraavia henkilötietoja:

Mobiilisovellus

Mobiilisovellus tallentaa seuraavat tiedot käyttäjän omaan mobiililaitteeseen:

  • Käyttäjän omat pseudonyymit tunnisteet
  • Muiden käyttäjän kohtaamien käyttäjien pseudonyymit tunnisteet ja niihin liittyvät tarvittavat tiedot kohtaamisen kestosta, ajankohdasta ja bluetooth-signaalin voimakkuudesta
  • Tartunnastaan ilmoittaneen käyttäjän pseudonyymit tunnisteet
  • Käyttäjän saama tieto mahdollisesta altistumisesta
  • Avauskoodi (jota ei tallenneta, mutta käsitellään)

Kohtaamistiedot ja tartunnasta ilmoittaneen käyttäjän pseudonyymit tunnisteet poistetaan viimeistään 21 vrk kuluttua ilmoituksesta.

Taustajärjestelmä

Taustajärjestelmään tallennetaan seuraavat tiedot:

  • Tartunnastaan ilmoittaneen käyttäjän pseudonyymit tunnisteet
  • Avauskoodi ja puhelinnumero

Tiedot poistetaan viimeistään 21 vrk kuluttua ilmoituksesta.

Ammattilaisen käyttöliittymä

Koronatestillä varmistetussa tartuntatapauksessa ammattilaisen käyttöliittymään tallennetaan väliaikaisesti koronasovelluksen käyttäjän puhelinnumero kertakäyttöisen koodin lähettämistä varten käyttäjän puhelimeen.

Lisäksi terveydenhuollon ammattilaisen käyttöliittymään tallennetaan seuraavat käyttöoikeuden saaneiden terveydenhuollon ammattihenkilöiden tiedot:

  • Etunimi
  • Sukunimi
  • Henkilötunnus
  • Terveydenhuollon ammattihenkilörekisterin rekisteröintinumero
  • Sote-organisaatiorekisterin mukainen OID-tunnus
  • Käyttöoikeuden kesto
  • Käyttöoikeuden mukainen rooli
  • Yhteystiedot
  • Ammattinimike

Terveydenhuollon ammattihenkilöiden tietoja säilytetään ammattilaisen käyttöliittymässä niin kauan kuin järjestelmä on käytössä tai oikeudet poistetaan käyttäjän tai ammattilaisen organisaation vastuuhenkilön pyynnöstä.

5. Mistä lähteistä henkilötiedot on kerätty?

Tiedot käyttäjien pseudonyymeistä tunnisteista kerätään Koronavilkku-mobiilisovelluksen avulla.

Tiedot ammattihenkilöiden käyttöoikeuksiin tarvittavista tiedoista kerätään kunnan tai kuntayhtymän tartuntatautilääkäreiden tai muun kunnan tai kuntayhtymän nimeämän henkilön kautta.

6. Henkilötietojen siirto tai luovuttaminen

Tietoja ei luovuteta THL:n ulkopuolelle ilman käyttäjän suostumusta. Sovelluksen käyttäjä päättää itse altistumistiedon kertomisesta terveysviranomaisille.

Rekisterinpitäjä voi käyttää alihankkijoita sovelluksen kautta tarjottavan palvelun mahdollistamiseksi. Alihankkijat sitoutetaan tietosuojalainsäädännön mukaisiin vaatimuksiin siltä osin kuin ne osallistuvat henkilötietojen käsittelyyn. Alihankkijat eivät käsittele tietoja muihin tarkoituksiin. Kela ja Sotedigi Oy käsittelevät henkilötietoja rekisterinpitäjän puolesta. Sovelluksen toimittanut Solita Oy ei käsittele henkilötietoja.

7. Tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

8. Profilointi ja automaattinen päätöksenteko

Tietoja ei käytetään automaattisen päätöksentekoon mukaan lukien henkilöiden profilointi.

9. Henkilötietojen säilyttäminen

Sovellukseen ja siihen liittyviin järjestelmiin sisältyviä henkilötietoja säilytetään korkeintaan 21 vuorokautta.

10. Mitä oikeuksia sinulla on?

Tietosuojalainsäädäntö takaa sinulle tiettyä oikeuksia, joilla voit varmistaa perusoikeuksiin kuuluvan yksityisyyden suojan toteutumisen. Mikäli haluat käyttää oikeuttasi, ota yhteyttä THL:n kirjaamoon (kirjaamo@thl.fi).

Jos THL ei pysty tunnistamaan sinua tiedoista, niin oikeutta mm. tietojen tarkastamiseen, oikaisuun, poistoon ja käsittelyn rajoittamiseen ei sovelleta. Käytännössä oikeuksia voidaan toteuttaa vain niissä tapauksissa kun käyttäjä on ilmoittanut puhelinnumeronsa terveydenhuollon ammattihenkilölle covid-19-tartunnan toteamisen yhteydessä.

10.1. Oikeus suostumuksen peruuttamiseen

Henkilötietojen käsittely perustuu tartuntatautilakiin. Voit milloin tahansa poistaa sovelluksen puhelimesta jolloin kaikki puhelimeen tallentuneet pseudotunnisteet poistuvat automaattisesti. Kun sovellus poistetaan puhelimesta, niin myös mahdolliset taustajärjestelmässä olevat pseudotunnistetiedot poistuvat automaattisesti viimeistään 21 päivän kuluessa. THL ei pysty tunnistamaan pseudotunnistetiedoista sinua.

10.2. Oikeus tarkastaa itseään koskevat tiedot

Sinulla on oikeus saada tietää, käsitteleekö THL sinuun liittyviä henkilötietoja. Lisäksi sinulla on oikeus tietää, mitä sinuun liittyviä henkilötietoja käsitellään ja kuinka niitä käsitellään. Sinulla on myös oikeus saada jäljennös sinua koskevista henkilötiedoista siltä osin kuin jäljennöksen antamisella ei ole haitallisia vaikutuksia muiden oikeuksiin ja vapauksiin tai jos THL:llä ei ole lakiin perustuvaa perustetta kieltäytyä tietojen luovuttamisesta. Siltä osin kuin THL ei pysty tunnistamaan sinua tiedoista, tarkastusoikeutta ei sovelleta, koska se ei ole mahdollista.

10.3. Oikeus tietojen oikaisuun

Lähtökohtaisesti sinulla on oikeus epätarkkojen tai virheellisten tietojen oikaisuun. Siltä osin kuin THL ei pysty tunnistamaan sinua tiedoista, oikeutta tietojen oikaisuun ei sovelleta, koska se ei ole mahdollista.

10.4. Oikeus tietojensa poistamiseen

Voit milloin tahansa poistaa sovelluksen jolloin puhelimessa ja myös mahdolliset taustajärjestelmässä olevat pseudotunnistetiedot poistuvat automaattisesti viimeistään 21 päivän kuluessa. THL ei pysty tunnistamaan pseudotunnistetiedoista sinua.

10.5. Oikeus käsittelyn rajoittamiseen

Sinulla voi olla oikeus rajoittaa henkilötietojen käsittelyä laissa säädetyissä tapauksissa. Rajoittamisoikeus voi tulla kyseeseen esimerkiksi jos sinua koskevat henkilötiedot ovat mielestäsi virheellisiä, niitä käsitellään lainvastaisesti tai olet vastustanut tietojesi käsittelyä. Tässä tapauksessa voimme käsitellä henkilötietojasi vain suostumuksellasi, oikeusvaateen laatimisen, esittämisen tai puolustamisen vuoksi, yleisen edun vuoksi tai jonkun toisen henkilön oikeuksien suojaamiseksi. Siltä osin kuin THL ei pysty tunnistamaan sinua tiedoista, oikeutta käsittelyn rajoittamiseen ei sovelleta, koska se ei ole mahdollista.

10.6. Oikeus vastustaa henkilötietojen käsittelyä

Sinulla voi olla oikeus vastustaa henkilötietojen käsittelyä laissa säädetyissä tapauksissa. Vastustamisoikeus voisi tulla kyseeseen esimerksi jos käsittelyyn liittyisi automaattista päätöksentekoa mukaan lukien profilointi tai jos tietoja käytettäisiin suoramarkkinointitarkoituksiin.

10.7. Oikeus saattaa asia valvontaviranomaisen käsiteltäväksi

Sinulla on oikeus saattaa THL:n toiminnan lainmukaisuus Tietosuojavaltuutetun arvioitavaksi

Yhteystiedot:

Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00521 Helsinki
Vaihde: 029 56 66700
Faksi: 029 56 66735
Sähköposti: tietosuoja@om.fi