Lasten terveystietojen käsittely harrastustoiminnassa

GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa -hankkeen alkukyselyn perusteella lasten terveydentilaa kuvaavien tietojen, etenkin allergiatietojen, käsittely harrastustoiminnassa herättää kysymyksiä. Tämän artikkelin tarkoituksena on antaa suuntaviivoja lapsen terveystietojen asianmukaiseen käsittelyyn harrastustoiminnassa.

Lapsen terveydentilaa koskevien tietojen käsittely harrastustoiminnassa on lähtökohtaisesti sallittua, kunhan toimitaan tietosuojalainsäädännön asettamissa rajoissa.

Mitä terveydentilaa kuvaavat tiedot ovat?

EU:n yleisen tietosuoja-asetuksen mukaan terveystiedoilla tarkoitetaan ihmisen fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja.

Terveystietoja ovat muun muassa

  • tiedot henkilön fyysisistä sairauksista, esimerkiksi allergioista tai diabeteksesta
  • psyykkiseen terveyteen liittyvät henkilötiedot
  • tiedot henkilön käyttämästä lääkityksestä
  • tiedot terveyspalveluiden tarjoamisesta, kun ne kertovat henkilön terveydentilasta.

Milloin terveydentilaa kuvaavia tietoja saa käsitellä?

Milloin terveydentilaa kuvaavia tietoja saa käsitellä?

Yleisen tietosuoja-asetuksen mukaan terveyttä koskevat tiedot ovat erityisiä henkilötietoja, joiden käsittelylle on oltava tietosuoja-asetuksen tai muun lainsäädännön mukainen peruste. Yleisen tietosuoja-asetuksen mukaan terveydentilaa koskevien tietojen käsittely voi olla sallittua esimerkiksi rekisteröidyn nimenomaisen suostumuksen perusteella. Nimenomaisuuden vaatimuksella tarkoitetaan tapaa, jolla rekisteröity ilmaisee suostumuksensa. Nimenomaisen suostumuksen voi antaa esimerkiksi allekirjoittamalla kirjallisen lausuman, sähköisellä allekirjoituksella tai kaksivaiheisella varmistuksella.

Harrastustoiminnassa lapsen terveystietoja saadaan käytännössä usein lapsen huoltajalta, lapsen muulta edustajalta tai lapselta itseltään. Tiedot lapsen allergioista, sairauksista tai lääkityksistä voivat usein olla olennaisia tietoja, jotta lapsen terveys ja turvallisuus harrastustoiminnassa voidaan taata.

Mikäli terveystietoja kerätään lapsen tai lapsen edustajan suostumuksen perusteella, tulee rekisterinpitäjän pyytää ilmoittamaan ainoastaan lapsen terveyden ja turvallisuuden kannalta tarpeelliset ja olennaiset terveystiedot. Tietoja ei saa kerätä varmuuden vuoksi tai mahdollista tulevaa tarvetta varten. Esimerkiksi tietoa ruoka-aineallergioista ei voi kerätä, jos sille ei ole asianmukaista perustetta juuri sillä hetkellä. Rekisterinpitäjän on kyettävä osoittamaan, että lapsi tai lapsen edustaja on antanut nimenomaisen suostumuksen lapsen terveystietojen käsittelyyn.

Suostumuksen edellytyksistä voi lukea lisää yhdistyksen hallitukselle suunnatusta oppaasta täältä.

Kuka saa käsitellä terveystietoja harrastustoiminnassa?

Rekisterinpitäjän on määriteltävä, kenellä on oikeus käsitellä lapsen terveystietoja. Harrastustoiminnassa tietoihin on yleensä oltava pääsy niillä henkilöillä, jotka ovat vastuussa lapsesta. Esimerkiksi lapsen urheilujoukkueen ohjaajalle voi olla olennaista tietää lapsen terveystiedosta, jos täten voidaan varmistaa lapsen turvallisuus harrastustoiminnassa ja reagoida mahdolliseen sairauden oireiluun. Niin ikään tieto lapsen allergiasta voi olla tärkeä tieto esimerkiksi leirillä tai vastaavassa tilanteessa, jossa leirin ohjaajat vastaavat lasten ruokailun järjestämisestä.

Rekisterinpitäjän tulee niin ikään määritellä ne tahot, joilla ei tule olla pääsyä terveystietoihin. Rekisterinpitäjän on varmistettava, ettei terveystietoja luovuteta täysin sivullisille tahoille. Esimerkiksi lapsen kanssa samassa urheilujoukkueessa mukana olevilla lapsilla tai näiden vanhemmilla ei lähtökohtaisesti ole perustetta saada tietoa lapsen terveydentilaa kuvaavista seikoista. Tietojen luovuttamiselle on aina oltava asianmukainen peruste.

Miten terveystietoja tulisi säilyttää?

Henkilötietojen käsittelyä on myös tietojen säilyttäminen. Henkilötietojen säilyttämisessä on huomioitava muun muassa henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä.

Henkilötietojen turvallisuutta voidaan varmistaa esimerkiksi suojaamalla rekisterinpitäjän järjestelmiä verkkohyökkäyksiltä tai suojaamalla fyysisiä laitteita tai papereita sivullisilta. Vaadittu suojaamisen taso riippuu käsiteltävän tiedon luonteesta ja tietomäärän laajuudesta; esimerkiksi erityisiin henkilötietoryhmiin kuuluvaa terveystietoa on suojattava tehokkaammin.

Etenkin alaikäisen lapsen terveystietojen säilyttämisessä tulee huomioida tiedon arkaluonteisuus ja tiedon leviämisestä lapselle mahdollisesti aiheutuvat riskit. Terveystietoja tulisi säilyttää siten, ettei sivullisilla ole pääsyä tietoihin. Tietoja ei saa luovuttaa laajemmalle joukolle kuin on tarpeellista.

Henkilötietojen käsittelyssä on arvioitava lisäksi, milloin rekisterinpitäjällä ei ole enää perustetta säilyttää tietoja. Rekisterinpitäjän tulee määritellä kerätyille tiedoille säilytysaika ja varmistaa tietojen poistaminen, kun niitä ei enää tarvita harrastustoiminnassa. Säilytysaikaa määriteltäessä on otettava huomioon esimerkiksi tilanteet, joissa lapsi lopettaa harrastustoiminnan. Henkilötietojen säilyttämisessä tulee huomioida myös henkilökunnan vaihdokset, jotta henkilöt, jotka eivät enää ole mukana harrastustoiminnassa, eivät käsittele tietoja perusteetta.

Miten terveystietoja tulisi säilyttää?

Edellä on tuotu esille seikkoja, jotka rekisterinpitäjän tulisi ottaa huomioon lapsen terveystietojen käsittelyssä. Rekisterinpitäjän omien toimien lisäksi sen on varmistettava, että harrastustoiminnassa mukana olevat henkilöt osaavat käsitellä henkilötietoja asianmukaisesti ja tuntevat tietosuojalainsäädännön vaatimukset.

Rekisterinpitäjän on suositeltavaa keskustella lapsen terveystietojen käsittelyyn liittyvistä asioista myös lapsen huoltajan tai muun edustajan kanssa, jotta lapsen edustajakin on tietoinen siitä, miten lapsen tietoja käsitellään. Jokaisella on yleisen tietosuoja-asetuksen nojalla oikeus saada tietää, miten ja mitä tietoja rekisterinpitäjä heistä käsittelee. Näin ollen myös lapsille on kerrottava heidän henkilötietojensa käsittelystä selkeästi ja ymmärrettävästi.

Kirjoittaja

Emmi Iivonen
Emmi Iivonen toimii tarkastajana tietosuojavaltuutetun toimistossa ja on mukana asiantuntijana GDPR4CHLDRN-hankkeessa.