767/2025

Palveluista, joita tarvitaan sosiaali- ja terveydenhuollon asiakastietojen sekä niihin yhdistettävien muiden tässä laissa tarkoitettujen henkilötietojen käsittelemiseksi 2 §:n mukaisiin käyttötarkoituksiin, säädetään 3 luvussa. Vastuu niiden tuottamisesta on Tietolupaviranomaisella sekä seuraavilla viranomaisilla ja organisaatioilla:

Tietoturvallisuuden arviointilaitoksen on ilmoitettava Lupa- ja valvontavirastolle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai kokonaan peruutetuista tai evätyistä todistuksista sekä 27 §:n mukaisista kehotuksista ja rajoituksista. Lisäksi tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot.

Lupa- ja valvontaviraston tehtävänä on valvoa ja edistää sitä, että tietoturvalliset käyttöympäristöt täyttävät tietosuojaa ja tietoturvaa koskevat vaatimukset. Lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä käyttöympäristöistä.

Lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellytyksenä olevia tarkastuksia. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa.

Lupa- ja valvontaviraston on säilytettävä tarkastuksesta laadittava tarkastuskertomus kymmenen vuoden ajan tarkastuksen suorittamisesta.

Lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita arvioimaan tietoturvallisen käyttöympäristön vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata käyttöympäristöjä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellytyksenä oleva asiantuntemus ja pätevyys.

Lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä käyttöympäristöjen valvontaa varten välttämättömät tiedot valtion ja hyvinvointialueen viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset koskevat.

Lupa- ja valvontavirasto saa 30 §:n nojalla tehdyn tarkastuksen perusteella määrätä palveluntarjoajan korjaamaan tuotantokäytössä olevaa käyttöympäristöä koskevat puutteet.

Jos tietoturvallinen käyttöympäristö voi vaarantaa tietosuojan tai toteuttaa puutteellisesti tässä laissa sille asetetut vaatimukset eikä puutteita ole korjattu Lupa- ja valvontaviraston asettamassa määräajassa, Lupa- ja valvontavirasto saa kieltää käyttöympäristön käytön, kunnes puutteet on korjattu. Lisäksi Tietolupaviranomainen tai muu 6 §:ssä tarkoitettu viranomainen voi sulkea yhteyden ylläpitämiinsä tietojärjestelmiin, jos niitä käyttävä vaarantaa tai niihin liitetty ulkopuolinen järjestelmä voi vaarantaa niiden asianmukaisen toiminnan.

Lupa- ja valvontavirasto voi velvoittaa palveluntarjoajan tai valtuutetun edustajan tiedottamaan käyttöympäristön tuotantokäyttöä koskevasta päätöksestä Lupa- ja valvontaviraston asettamassa määräajassa ja määräämällä tavalla.

Lupa- ja valvontavirasto voi asettaa 1 momentin nojalla tekemänsä päätöksen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Lupa- ja valvontaviraston on ilmoitettava päätöksestään Tietolupaviranomaiselle.

Jos palveluntarjoaja, 6 §:ssä tarkoitettu viranomainen tai henkilötietoja muutoin tämän lain mukaisesti käsittelevä on laiminlyönyt tässä laissa säädetyn tietojärjestelmiin tai niiden käyttöön liittyvän velvollisuutensa, Lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa.

Lisäksi Tietolupaviranomainen tai muu 6 §:ssä tarkoitettu viranomainen voi sulkea yhteyden ylläpitämiinsä tietojärjestelmiin, jos palveluntarjoaja, 6 §:ssä tarkoitettu viranomainen tai henkilötietoja muutoin tämän lain mukaisesti käsittelevä on Lupa- ja valvontaviraston asettamasta määräajasta huolimatta laiminlyönyt tässä laissa säädetyn tietojärjestelmiin tai niiden käyttöön liittyvän velvollisuutensa.

Lupa- ja valvontavirasto voi asettaa 1 momentin nojalla tekemänsä määräyksen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Lupa- ja valvontaviraston on ilmoitettava päätöksestään Tietolupaviranomaiselle.

Lupa- ja valvontavirastolle 30 §:n 1 momentin mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen.

Tietosuojavaltuutettu, Lupa- ja valvontavirasto sekä Tietolupaviranomainen ohjaavat ja valvovat toimialueellaan niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista.

Tietolupaviranomaisen ja muiden tämän lain mukaisesti tietolupia myöntävien viranomaisten sekä Lupa- ja valvontaviraston on omalta osaltaan seurattava ja valvottava, että kunkin antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat ja että niiden myöntämien lupien ehtoja noudatetaan. Jos joku on lainvastaisesti käsitellyt henkilötietoja, asianomaisen viranomaisen on oma-aloitteisesti ryhdyttävä tarvittaviin toimenpiteisiin. Jos tietoja käsitellään 20 §:n 3 momentin nojalla muussa kuin Tietolupaviranomaisen tietoturvallisessa käyttöympäristössä, 19 §:ssä tarkoitetut lokitiedot sekä 22 §:n 2 momentissa tarkoitetun käyttäjärekisterin tiedot on toimitettava Tietolupaviranomaiselle seurannan ja valvonnan toteuttamiseksi sen pyynnöstä ilman aiheetonta viivytystä.

Edellä 45 §:ssä tarkoitettuun tietopyyntöä koskevaan päätökseen sekä tietolupahakemusta ja luvan peruuttamista koskevaan päätökseen, jonka antaa Tietolupaviranomainen taikka 6 §:ssä tarkoitettu rekisterinpitäjä, sekä Lupa- ja valvontaviraston tämän lain nojalla tekemään päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa.