DATATILLSTÅND dnro 377/410/17 1 (8) Taktillstånd Inofficiell översättning Tillståndshavare Tillståndshavarorganisationens namn: kommuner och samkommuner inom social- och hälsovård samt sjukvårdsdistrikt (senare tillståndshavare) Datatillståndet gäller dock inte ett kommunalt affärsverk som bedriver affärsverksamhet. Datatillståndsbeslut Detta datatillstånd är ett administrativt beslut om utlämnande av uppgifter till den tillståndshavare som nämns i detta datatillstånd. Med stöd av lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) beviljar Befolkningsregistercentralen tillståndshavaren tillstånd att få de uppgifter som definieras närmare i detta datatillstånd ur befolkningsdatasystemet. Med detta datatillstånd upphävs tidigare datatillstånd för ändringsdatatjänst som beviljats till kommuner, samkommuner, sjukvårdsdistrikt och samarbetsområden. Användningsändamål Uppgifter som lämnats från befolkningsdatasystemet får endast användas för skötsel av de myndighetsuppgifter som enligt lag har ålagts tillståndshavaren. Tillståndshavaren ansvarar för att uppgifter som lämnas från befolkningsdatasystemet används uteslutande för de ändamål som fastställs i detta datatillstånd. Om tillståndshavaren vill använda uppgifter för något annat användningsändamål, ska tillståndshavaren söka ändring i detta tillstånd. Uppgifter får användas för det nya användningsändamålet först när Befolkningsregistercentralen har godkänt användningsändamålet.
DATATILLSTÅND dnro 377/410/17 2 (8) Beskrivning av tjänsten/verksamheten Start av ändringsdatatjänsten av Befolkningsregistercentralens befolkningsuppgifter/byte av datainnehållet inleds genom att lämna basuppgifter om alla personer som vid tidpunkten för urval av uppgifter bor i kommunen/samkommunen eller kommuner som hör till sjukvårdsdistriktet. Efter basuppgifterna upprätthålls uppgifterna i kundsystem, med hjälp av s.k. regelbundna ändringsdataleveranser enligt vald leveransrytm och datainnehåll. Ändringen av datainnehållsmallen i ändringsdatatjänsten förutsätter antingen ny leverans av basuppgifter eller leverans av nya tillagda basuppgifter. Med ändringsdataleverans avses ändringsdata som regelbundet införs i tillståndshavarens fil. Med ändringsdata uppdateras existerande basuppgifter genom att leverera uppgifter om tillagda personer, och ändringar i personer som finns i filerna. Ändringsdataleveranserna ska motsvara samma datainnehåll som den basuppgiftsleverans som levererats i början av tjänsten. En teknisk beskrivning av ändringsdatatjänsten finns på Befolkningsregistercentralens webbplats. Samarbetsområde Kommunerna kan sköta sina tjänster också som ett samarbetsområde så att någon kommun är ansvarig kommun dvs. värdkommun. Grund för skapande av uppgifter en är en standardiserad produkt där uppgifter för kunden skapas och förmedlas enligt definitionen nedan. Uppgifter som lämnas ut materialet skapas på följande sätt: hemkommun I ändringsdatatjänsten kan personuppgifter lämnas ut. Produkter som får lämnas ut med stöd av datatillståndet: Befolkningsuppgifter på basnivå Omfattande befolkningsuppgifter K2000-befolkningsuppgifter Uppgifter som lämnas ut, hantering av uppgifter och användningsändamål för uppgifter har beskrivits närmare i bilagorna. Leveransrytmen för ändringsdata är: med en (1) eller två (2) veckors mellanrum enligt tillståndshavarens val.
DATATILLSTÅND dnro 377/410/17 3 (8) Uppgifter som omfattas av spärrmarkering Information om spärrmarkering och hemkommun lämnas ut Vad gäller personer som omfattas av spärrmarkering enligt 36 i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) i befolkningsdatasystemet, lämnas ut uppgifter om personens hemkommun och giltighetstiden för spärrmarkeringen. Adressuppgifter som omfattas av spärrmarkering lämnas inte ut. I behandlingen av uppgifter som omfattas av spärrmarkering ska Befolkningsregistercentralens allmänna principer för uppförandekod i fråga om spärrmarkering beaktas (uppdaterad uppförandekod 28.2.2013, diarienummer 715/420/13). Tillståndshavaren ska följa dessa praxisbestämmelser. Specialvillkor för användning av uppgifter Känsliga uppgifter Befolkningsregistercentralen riktar tillståndshavarens uppmärksamhet mot att uppgifter om en persons tidigare namn, medborgarskap, medlemskap i ett religionssamfund, fastställt adoptionsförhållande, intressebevakning, intressebevakningsfullmakt och omhändertagande samt modersmål i kombination med övriga uppgifter kan avslöja sådana känsliga uppgifter som avses i 11 i personuppgiftslagen och som det i regel är förbjudet att behandla. I 12 i personuppgiftslagen finns det bestämmelser om undantag från förbudet att behandla känsliga uppgifter. Allmänna villkor för datatillståndet Befolkningsregistercentralen förutsätter att tillståndshavaren noggrant iakttar villkoren i detta tillstånd. När uppgifterna används ska särskild uppmärksamhet riktas mot bestämmelserna i personuppgiftslagen (523/1999) och den övriga anknutna lagstiftningen. Tillståndshavaren ska sörja för att god informationshanteringssed iakttas i de informationssystem som används. Om tillståndshavaren har lagt ut tjänsten på en annan organisation, ska tillståndshavaren tillkännage detta datatillstånd och villkoren för datatillståndet för den aktör som sköter tjänsten samt se till att aktören följer villkoren för detta datatillstånd. Befolkningsregistercentralen bedömer hur uppgifterna kommer att behandlas och kan av motiverad anledning anse att datatjänsten ska avslutas till exempel på grund av att datasäkerhets- och/eller dataskyddskraven inte uppfylls eller att behandlingen av personuppgifter inte motsvarar den nivå som förutsätts eller att utlämnande av uppgifter skulle strida mot Befolkningsregistercentralens praxis för utlämnande av uppgifter. Befolkningsregistercentralen ska utan dröjsmål underrättas om det sker ändringar i tillståndshavaren som gäller namn, existens, kontaktperson eller tillståndshavarens behandling av data eller i de tekniska lösningarna för behandling av data i den utsträckning som
DATATILLSTÅND dnro 377/410/17 4 (8) en redogörelse getts över detta till Befolkningsregistercentralen (redogörelse om skydd av data-blanketten eller andra motsvarande utredningar som gäller behandling av personuppgifter för en specifik tjänst eller data som har lämnats ut ur befolkningsdatasystemet). Befolkningsregistercentralen har rätt att på motiverade grunder återkalla datatillståndet eller ändra datatillståndet och/eller dess villkor. Utlämning av uppgifter Befolkningsregistercentralen understryker att data i befolkningsdatasystemet inte är offentlig och att data inte får lämnas ut till tredje part utan tillstånd av BRC, om inte lagen innehåller bestämmelser om utlämnande. Som tredje part ses också en annan myndighet eller ett företag som ägs av en kommun. Befolkningsregistercentralen har fastställt följande situationer där det fortfarande är tillåtet att lämna ut uppgifter. I andra än nedan fastställda situationer ska man fortfarande meddela Befolkningsregistercentralen om utlämning av uppgifter. Detta gäller när utlämningen av uppgifter grundar sig på lagstiftning. Om en sådan lagstiftning inte finns, ska en ansökan om utlämning lämnas till Befolkningsregistercentralen. Från kommun till samkommuner eller sjukvårdsdistrikt Kommunen får fortfarande lämna ut nödvändiga uppgifter i befolkningsdatasystemet till samkommuner eller sjukvårdsdistrikt. Från samkommuner eller sjukvårdsdistrikt till kommuner Samkommunen och sjukvårdsdistriktet får fortfarande lämna ut nödvändiga uppgifter i befolkningsdatasystemet till kommunen i fråga om den befolkning som kommunen annars ansvarar för. Från kommun, samkommun eller sjukvårdsdistrikt till aktiebolag Aktiebolaget sköter uppgifter på uppdrag av kommunen, samkommunen eller sjukvårdsdistriktet: kommunen, samkommunen och sjukvårdsdistriktet kan fortfarande lämna ut enbart nödvändiga uppgifter som behövs i uppgiften i fråga. Kommunen, samkommunen och sjukvårdsdistriktet ansvarar då för användning av uppgifter i befolkningsdatasystemet. Uppgifter som omfattas av spärrmarkering och uppgifter som gäller omhändertagande får dock inte lämnas ut till aktiebolag. Från kommun till kommun En kommun får fortfarande lämna ut nödvändiga uppgifter i befolkningsdatasystemet till en annan kommun i fråga om den befolkning och tjänst som den andra kommunen ansvarar för på den andra kommunens vägnar enligt separat avtal. Från samkommun eller sjukvårdsdistrikt till en annan samkommun eller sjukvårdsdistrikt
DATATILLSTÅND dnro 377/410/17 5 (8) En samkommun eller sjukvårdsdistrikt får fortfarande lämna ut nödvändiga uppgifter i befolkningsdatasystemet till en annan samkommun eller ett annat sjukvårdsdistrikt i fråga om den befolkning och tjänst som den andra samkommunen eller det andra sjukvårdsdistriktet ansvarar för. Skydd av uppgifterna Tillståndshavaren överlämnar i samband med godkännandet av tillståndet till Befolkningsregistercentralen den i 44 i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster avsedda utredningen om användningen och skyddet av uppgifterna samt en allmän beskrivning av dataskydds- och datakommunikationslösningarna i tillståndshavarens system. Tillståndshavaren ska omedelbart meddela BRC om eventuella förändringar i de uppgifter som har lämnats i redogörelsen. Tillståndshavaren ska se till att den organisation som uppgifter lämnas till fortfarande uppfyller de krav som kommunen, samkommunen eller sjukvårdsdistriktet enligt redogörelsen om skydd av data uppfyller. Om det sker ändringar i dessa uppgifter, ska kommunen, samkommunen och sjukvårdsdistriktet kontakta Befolkningsregistercentralen. I situationer där tjänster läggs ut på entreprenad ska man fästa särskild uppmärksamhet på systemets dataskydds- och sekretessfrågor. Tillståndshavaren ska på förhand underrätta Befolkningsregistercentralen om sådana ändringar i datakommunikations- och programmiljön som förutsätter ändringar i den tekniska beskrivning av systemet som levererats till Befolkningsregistercentralen. Tillståndshavaren ska sörja för att god informationshanteringssed iakttas i de informationssystem som används. För verkställande av god informationshanteringssed ska man sörja för att informationssystemen samt de uppgifter som ingår i dem är tillgängliga och användbara på ett adekvat sätt samt göra upp beskrivningar av de system som används för administrering av uppgifterna. Dessutom ska skyddet av uppgifter och informationssystem, enhetligheten i dessa och deras kvalitet säkras med adekvata förfaranden och iakttagandet av dessa förfaranden ska övervakas. Tillståndshavaren ansvarar för att anordna övervakningen av datahanteringen. Tillståndshavaren ska ha skriftliga instruktioner för hur data som fås ur befolkningsdatasystemet får användas. I instruktionerna ska det också klargöras hur skyddet av uppgifterna och tillsynen ordnas. Befolkningsregistercentralen kan vid behov be om att se instruktionerna. Tillståndshavaren ansvarar för att den personal som behandlar data som har fåtts ur befolkningsdatasystemet får tillräcklig utbildning och handledning i användning av data enligt detta tillstånd. Tillståndshavaren ska säkerställa att utomstående inte kan använda data ur befolkningsdatasystemet. Tillståndshavaren ska ha en utnämnd ansvarsperson och/eller teknisk kontaktperson som meddelas till Befolkningsregistercentralen. Tillståndshavaren ska följa upp hur data används och behandlas i sin organisation. Tillståndshavaren ska se till att de personer som behandlar data är medvetna om villkoren i datatillståndet. Befolkningsregistercentralen
DATATILLSTÅND dnro 377/410/17 6 (8) lämnar tekniska meddelanden som gäller tjänsten till ansvarspersonen eller den tekniska kontaktpersonen. Ändringar i ansvarspersonens och den tekniska kontaktpersonens kontaktuppgifter ska omedelbart anmälas till Befolkningsregistercentralen. Logguppgifter Tillståndshavaren ansvarar för att tillståndshavaren har en loggfil i vilken alla förfrågningar om data lagras. Logguppgifterna ska i regel förvaras fem år, om lagstiftningen inte föreskriver om en längre tid. Uppföljning och övervakning av behandlingen av uppgifterna I lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster finns det bestämmelser om Befolkningsregistercentralens rätt att få information och utföra inspektioner. Befolkningsregistercentralen övervakar regelbundet användningen av data som lämnats ut ur befolkningsdatasystemet, liksom även efterlevnaden av Befolkningsregistercentralens praxis för utlämnande av data samt villkoren och anvisningarna i det datatillstånd som beviljats av Befolkningsregistercentralen. Tillståndshavaren ska vid behov ge Befolkningsregistercentralen de redogörelser som är nödvändiga när det gäller att följa detta datatillstånd senast vid den tidpunkt som Befolkningsregistercentralen har bestämt. Detta gäller också situationer där tillståndshavaren har lagt ut någon tjänst på ett aktiebolag. Eventuella påföljder Om tillståndshavaren bryter mot villkoren i datatillståndet, kan Befolkningsregistercentralen avsluta eller dra in ett datatillstånd som beviljats till tillståndshavaren och avsluta leveransen av ändringsdata samt vidta andra nödvändiga åtgärder. Tjänstens prissättning samt betalningsvillkor Grund för prissättning Avgifterna för prestationen grundar sig på lagen om grunderna för avgifter till staten (150/1992; ändr. 348/1994 och 961/1998) samt finansministeriets förordning om avgifterna för Befolkningsregistercentralens prestationer (1396/2016) eller eventuella motsvarande senare givna bestämmelser.
DATATILLSTÅND dnro 377/410/17 7 (8) Befolkningsregistercentralens priser och avgifter vid tidpunkten för beviljande av tillstånd Leverans av grundläggande uppgifter: Leveransavgift 250 Enhetsavgift 0,009 /person. Eventuella rabatter grundar sig på reglering som gäller vid respektive tidpunkt. Ändringsdataleveranser: avgiftsfria. Prestationen är momsfri. Om tillståndshavaren anser att det skett ett misstag i fastställandet av avgiften, kan tillståndshavaren yrka rättelse av Befolkningsdatacentralen i enlighet med 11 b i lagen om grunderna för avgifter till staten (150/1992) inom sex (6) månader från datumet på detta tillstånd. Tillämplig lagstiftning I fråga om detta datatillstånd, utlämnande av uppgifter ur befolkningsdatasystemet samt uppgifternas behandling tillämpas och följs vid respektive tidpunkt gällande finländsk lagstiftning. Godkännande av villkoren i datatillståndet och ingående av förbindelse Tillståndshavaren ska förbinda sig till villkoren i detta tillstånd för att tjänsten ska kunna tas i bruk.
DATATILLSTÅND dnro 377/410/17 8 (8) Möjligheten till omprövning och sökande av ändring Begäran om omprövning av detta datatillståndsbeslut eller ett beslut som fattats utifrån detta datatillståndsbeslut kan framföras av den vars rätt, fördel eller skyldighet direkt omfattas av ett beslut enligt lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009). Begäran om omprövning ska sökas skriftligen hos Befolkningsregistercentralen. Ändring i ett beslut som meddelas med anledning av begäran om omprövning kan sökas med en överklagan. Anvisning för begäran om omprövning och anvisning för sökande av ändring fogas till detta tillstånd. Överdirektör Lea Krohns Direktör Timo Salovaara BILAGOR Bilaga 1a: Uppgifter som lämnas ut och användningsändamål för uppgifterna, basuppgifter Bilaga 1b: Uppgifter som lämnas ut och användningsändamål för uppgifterna, omfattande Bilaga 1c: Uppgifter som lämnas ut och användningsändamål för uppgifterna, K2000 Bilaga 2a: Materialbeskrivning, basuppgifter Bilaga 2b: Materialbeskrivning, omfattande Bilaga 2c: Materialbeskrivning, K2000 Bilaga 3: Anvisning för begäran om omprövning och besvärsanvisning Bilaga 4: Uppförandekodex för spärrmarkeringar