Eduskunnan vastaus
EV
303
2018 vp
Eduskunta
Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi
HE 159/2017 vp
StVM 37/2018 vp
Asia
Hallituksen esitys eduskunnalle laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp). 
Valiokuntakäsittely
Valiokunnan mietintö: Sosiaali- ja terveysvaliokunta (StVM 37/2018 vp). 
Päätös
Eduskunta on hyväksynyt seuraavat lait: 
Laki 
sosiaali- ja terveystietojen toissijaisesta käytöstä 
Eduskunnan päätöksen mukaisesti säädetään: 
1 luku  
Yleiset säännökset 
1 §  
Lain tavoite 
Lain tavoitteena on mahdollistaa sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen tehokas ja tietoturvallinen käsittely sekä niiden yhdistäminen Kansaneläkelaitoksen, Väestörekisterikeskuksen, Tilastokeskuksen ja Eläketurvakeskuksen henkilötietoihin. 
Lain tavoitteena on lisäksi turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä. 
2 §  
Soveltamisala 
Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679, jäljempänä tietosuoja-asetus, täydentävät säännökset, kun 1 §:ssä tarkoitettuja henkilötietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun perin tallennettu mainitussa tarkoituksessa: 
1) tilastointi; 
2) tieteellinen tutkimus; 
3) kehittämis- ja innovaatiotoiminta;  
4) opetus; 
5) tietojohtaminen; 
6) sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta; sekä 
7) viranomaisen suunnittelu- ja selvitystehtävä. 
Organisaatioista, joiden tietoja saa tämän lain nojalla käsitellä 1 momentin mukaisesti, sekä tietojen käsittelyyn liittyvistä rajauksista säädetään 6 ja 7 §:ssä.  
Luovutusperusteista sekä vastaanottajan oikeudesta käsitellä luovutettuja henkilötietoja 1 momentissa tarkoitettuihin käyttötarkoituksiin säädetään 4 ja 5 luvussa. 
3 §  
Määritelmät 
Tässä laissa tarkoitetaan: 
1) asiakastiedolla lain mukaan salassa pidettävää, tietosuoja-asetuksen 4 artiklan 1 kohdan mukaista henkilötietoa, joka on tallennettu sosiaali- ja terveydenhuollon tai etuuskäsittelyn asiakassuhteessa asiakasrekisteriin tai asiakkuuteen liittyvään hallinnolliseen rekisteriin;  
2) henkilötietojen ensisijaisella käyttötarkoituksella sellaista käyttötarkoitusta, jossa henkilötiedot on alun perin tallennettu;  
3) henkilötietojen toissijaisella käyttötarkoituksella henkilötietojen käsittelyä muussa käyttötarkoituksessa kuin 2 kohdan tarkoittamassa ensisijaisessa käyttötarkoituksessa; 
4) kehittämis- ja innovaatiotoiminnalla teknisen ja liiketoimintatiedon sekä olemassa olevan muun tiedon soveltamista ja käyttöä yhdessä tässä laissa tarkoitettujen henkilötietojen kanssa, kun tavoitteena on kehittää uusia tai merkittävästi parannettuja tuotteita, prosesseja tai palveluja; 
5) tietojohtamisella tiedon käsittelemistä palvelunantajan asiakas-, palvelu- ja tuotantoprosesseissa toiminnan, tuotannon ja talouden ohjauksen, johtamisen ja päätöksenteon tukena; 
6) sosiaali- ja terveydenhuollon viranomaisohjauksella kansallisten sosiaali- ja terveydenhuollon viranomaisten lainsäädäntöön perustuvaa alan toimijoiden ohjausta, joka pohjautuu tarkoitukseen koottuihin henkilö- ja tilastotietoihin taikka tietoihin, jotka on yksittäistapauksessa saatu ohjaus- tai valvontatehtävää varten; 
7) sosiaali- ja terveydenhuollon viranomaisvalvonnalla kansallisten sosiaali- ja terveydenhuollon viranomaisten lainsäädäntöön perustuvaa sosiaali- ja terveydenhuollon ammattihenkilöiden ja toimintayksiköiden valvontaa; 
8) tietoluvalla tämän lain mukaisesti myönnettyä lupaa käsitellä luvassa määriteltyjä salassa pidettäviä henkilötietoja luvassa mainittuun käyttötarkoitukseen;  
9) tietopyynnöllä pyyntöä saada tämän lain mukaiseen käyttötarkoitukseen tässä laissa tarkoitetuista henkilötiedoista muodostettua aggregoitua tilastotietoa;  
10) tietoturvallisella käyttöpalvelulla tietoturvallista ratkaisua, jonka kautta osapuolet voivat luovuttaa ja vastaanottaa käyttörajoituksen alaisia tietoja; 
11) tietoturvallisella käyttöympäristöllä teknistä, organisatorista ja fyysistä tietojen käsittelyn toimintaympäristöä jossa tietoturvallisuus on varmistettu asianmukaisin hallinnollisin ja teknisin toimin; 
12) tietopyyntöjen hallintajärjestelmällä järjestelmää, jonka välityksellä tietoluvan hakija tai tietoja tämän lain perusteella muutoin pyytävä toimittaa tietolupahakemuksen tai tämän lain mukaisen tietopyynnön ja sen liitteet viranomaiselle ja jossa tietolupaa tai tietopyyntöä koskeva päätös annetaan tiedoksi luvan hakijalle;  
13) palvelunantajalla sosiaali- tai terveydenhuoltoa taikka sosiaali- tai terveyspalveluja järjestävää, tuottavaa tai toteuttavaa viranomaista taikka yksityistä palvelujen tuottajaa, jota tarkoitetaan yksityisistä sosiaalipalveluista annetussa laissa (922/2011) tai yksityisestä terveydenhuollosta annetussa laissa (152/1990);  
14) palvelunjärjestäjällä sosiaali- tai terveydenhuollon palvelunantajaa, jolla on:
a) viranomaisena velvollisuus huolehtia siitä, että asiakas saa hänelle lain tai viranomaisen päätöksen mukaan kuuluvan palvelun tai etuuden; taikka
b) yksityisenä palvelunantajana velvollisuus huolehtia siitä, että yksityisesti palvelun ostava asiakas saa kuluttajansuojaa koskevien säännösten mukaisen, hänelle kuuluvan palvelun;
 
15) palveluntuottajalla palvelunantajaa, joka palvelunjärjestäjän kanssa tehdyn sopimuksen perusteella tai muutoin palvelunjärjestäjän lukuun tuottaa sosiaali- tai terveyspalvelua; 
16) palveluntarjoajalla toimijaa, joka tarjoaa asiakkailleen tietoturvalliseen käyttöympäristöön liittyviä palveluita; 
17) tiedonhyödyntämissuunnitelmalla tutkimussuunnitelmaa, hankesuunnitelmaa ja vastaavaa suunnitelmaa, josta ilmenevät lupahakemuksessa tarkoitettujen tietojen käyttötarkoitus, niiden rekisterinpitäjä ja käsittelijät, käsittelyn oikeudellinen peruste sekä tietojen käsittelyn tietosuojaan ja tietoturvaan liittyvät olennaiset seikat kattaen koko tietojen elinkaaren mukaan lukien tietojen säilytys sekä hävittäminen tai arkistointi; 
18) aggregoidulla tilastotiedolla tilastomuotoista, luotettavasti anonymisoitua tietoa; 
19) valmisaineistolla aineistokokonaisuutta, jotka 4 §:ssä tarkoitettu Sosiaali- ja terveysalan tietolupaviranomainen on koostanut yhden tai useamman kuin yhden organisaation tiedoista ja yhdistänyt yhdeksi aineistoksi taikka tallentanut siten, että aineistojen tunnistetiedot on koodattu yhdenmukaisella koodilla; 
20) tietoturvallisuuden arviointilaitoksella sellaista yritystä, yhteisöä ja viranomaista, jonka Liikenne- ja viestintävirasto on hyväksynyt tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) perusteella arvioimaan sitä, täyttääkö tietojärjestelmä tietoturvallisuutta koskevat vaatimukset. 
2 luku  
Viranomaiset ja organisaatiot  
4 §  
Sosiaali- ja terveysalan tietolupaviranomainen 
Tässä laissa tarkoitettu Sosiaali- ja terveysalan tietolupaviranomainen (Tietolupaviranomainen) toimii Terveyden ja hyvinvoinnin laitoksen yhteydessä. Tietolupaviranomaiselle säädetyistä tehtävistä vastaa laitoksessa itsenäinen yksikkö, joka on eriytetty Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 2 §:ssä säädetyistä tehtävistä. 
Tietolupaviranomainen toimii sosiaali- ja terveysministeriön tulosohjauksessa, ja sillä on erillinen sosiaali- ja terveysministeriön nimittämä johtaja sekä ministeriön asettama ohjausryhmä.  
5 § 
Tietolupaviranomaisen tehtävät 
Tietolupaviranomainen tekee muiden rekisterinpitäjien aineistoja koskevia tietolupapäätöksiä ja päättää, onko 45 §:ssä tarkoitettu tietopyyntö tämän lain mukainen, sekä vastaa päätöstensä mukaisten tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön tämän lain mukaisesti. Lisäksi Tietolupaviranomainen saa koota tässä laissa säädettyä käyttötarkoitusta varten tietopyynnön perusteella eri rekisterinpitäjien henkilötietoja ja niitä yhdistelemällä tuottaa anonyymejä tietoja pyytäjän käyttöön. 
Tietolupaviranomainen ylläpitää tietopyyntöjen hallintajärjestelmää tietopyyntöjen ja lupahakemusten välittämiseksi ja käsittelemiseksi sekä tietoturvallista käyttöpalvelua henkilötietojen vastaanottamiseksi ja luovuttamiseksi. Lisäksi Tietolupaviranomainen ylläpitää tietoturvallista käyttöympäristöä, jossa luvansaajan on mahdollista käsitellä tietoluvan perusteella saamiaan henkilötietoja. 
Tietolupaviranomainen valvoo myöntämänsä luvan ehtojen noudattamista. Se saa peruttaa tietoluvan, jos luvansaaja ei noudata lakia tai rikkoo luvan ehtoja. 
Tietolupaviranomainen vastaa julkaistavien tulosten pohjana olleiden henkilötietojen anonymisoinnista siten kuin 52 §:ssä säädetään. 
6 § 
Palveluista vastaavat viranomaiset ja organisaatiot sekä tietoaineistorajaukset 
Palveluista, joita tarvitaan sosiaali- ja terveydenhuollon asiakastietojen sekä niihin yhdistettävien muiden tässä laissa tarkoitettujen henkilötietojen käsittelemiseksi 2 §:n mukaisiin käyttötarkoituksiin, säädetään 3 luvussa. Vastuu niiden tuottamisesta on Tietolupaviranomaisella sekä seuraavilla viranomaisilla ja organisaatioilla: 
1) sosiaali- ja terveysministeriö; 
2) Terveyden ja hyvinvoinnin laitos lukuun ottamatta sen tilastoviranomaisena tilastotarkoituksiin keräämiä tietoja; 
3) Kansaneläkelaitos siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan etuuskäsittelyn asiakassuhteessa tallennettuja henkilötietoja sekä sähköisestä lääkemääräyksestä annetun lain (61/2007) 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen ja 5 kohdassa tarkoitettuun reseptiarkistoon tallennettuja tietoja lääkemääräyksistä ja niihin liittyvistä toimitustiedoista;  
4) Sosiaali- ja terveysalan lupa- ja valvontavirasto; 
5) aluehallintovirastot siltä osin kuin ne käsittelevät sosiaali- ja terveydenhuoltoon liittyviä asioita; 
6) Työterveyslaitos siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan tietoja työperäisten sairauksien ja altistumismittausten rekistereistä sekä laitoksen potilasrekistereistä; 
7) Lääkealan turvallisuus- ja kehittämiskeskus;  
8) sosiaali- ja terveydenhuollon julkiset palvelunjärjestäjät; 
9) Tilastokeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan kuolemansyyn selvittämisestä annetussa laissa (459/1973) tarkoitettuja tietoja; 
10) Eläketurvakeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan Eläketurvakeskuksen rekistereihin sisältyviä välttämättömiä henkilötietoja, jotka koskevat työeläketurvan toimeenpanossa tallennettuja vakuutettujen työ- ja ansiotietoja sekä myönnettyjä etuuksia ja niiden perusteita mukaan lukien työkyvyttömyyseläkkeiden diagnoosit; sekä 
11) Väestörekisterikeskus siltä osin kuin tämän lain mukaisiin tarkoituksiin tarvitaan henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja väestötietojärjestelmästä. 
7 § 
Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset 
Tilastokeskus sekä Terveyden ja hyvinvoinnin laitos tilastoviranomaisena (tilastoviranomaiset) vastaavat tilastoviranomaisena tilastotarkoituksiin keräämiensä tietojen tietoluvista tieteellistä tutkimusta varten sekä samaan tutkimussuunnitelmaan liittyvien tietojen yhdistelystä omiin tietoihinsa ja niiden pseudonymisoinnista tai anonymisoinnista tilastolain (280/2004) mukaisesti. Lupahakemus, joka koskee muita tässä laissa tarkoitettuja tietoja sekä tilastoviranomaisten tilastotarkoituksissa keräämiä tietoja, toimitetaan Tilastokeskukselle sekä Terveyden ja hyvinvoinnin laitokselle 16 §:ssä tarkoitetun tietopyyntöjen hallintajärjestelmän välityksellä. Myös lupahakemuksen käsittelyyn liittyvä yhteydenpito luvanhakijaan ja päätöksen tiedoksianto toteutetaan sanotun hallintajärjestelmän välityksellä. 
Tietojen luovuttamisesta tilastolain mukaisesti yhdisteltyihin, tässä laissa tarkoitettuihin tietoihin säädetään 51 §:n 4 momentissa.  
8 § 
Tietolupaviranomaisen toiminnan ohjaus ja rekisterinpitäjien yhteistoiminnan kehittäminen 
Tietolupaviranomaisen toiminnan ohjausta ja palveluista vastaavien organisaatioiden yhteisen toiminnan kehittämistä varten sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle ohjausryhmän kolmivuotiskaudeksi, sekä nimittää ohjausryhmän puheenjohtajan. Sosiaali- ja terveysministeriö nimeää ohjausryhmään jäseniksi:  
1) 6 §:ssä mainittujen organisaatioiden ja viranomaisten esitysten pohjalta kuusi edustajaa; 
2) yhden jäsenen edustamaan kuntia sosiaali- ja terveyspalvelujen järjestäjänä;  
3) yhden jäsenen edustamaan kuntia ehkäisevän sosiaali- ja terveydenhuollon järjestäjänä Kuntaliiton esityksen pohjalta;  
4) yhden jäsenen edustamaan yksityisten sosiaali- ja terveyspalvelujen järjestäjiä.  
Ohjausryhmän tehtävänä on käsitellä ja tehdä esitys Terveyden ja hyvinvoinnin laitokselle ja sosiaali- ja terveysministeriölle: 
1) Tietolupaviranomaisen vuosittaisesta toimintasuunnitelmasta ja siihen liittyvästä talousarviosta;  
2) toimintakertomuksesta ja tilinpäätöksestä Tietolupaviranomaista koskevilta osin; 
3) rekisterinpitäjien toiminnan yhteisestä kehittämisestä ja siihen suunnattavista voimavaroista;  
4) kullekin toimijalle suunnattavista voimavaroista tietojärjestelmien ja yhteistoiminnan kehittämiseksi. 
Ohjausryhmä seuraa Tietolupaviranomaisen toiminnan ja palvelujen toimivuutta sekä 47 §:ssä tarkoitettujen, lupakäsittelyyn liittyvien ja 48 §:ssä tarkoitettujen, tietojen luovutusta koskevien määräaikojen toteutumista. Lisäksi ohjausryhmä voi: 
1) asettaa tavoitemittareita Tietolupaviranomaisen toimintaprosesseille ja käynnistää niihin kohdistuvia ulkoisia auditointeja;  
2) tehdä tarvittaessa ehdotuksen Tietolupaviranomaisen toiminnan kehittämisestä Terveyden ja hyvinvoinnin laitokselle ja sosiaali- ja terveysministeriölle; ja 
3) asettaa Tietolupaviranomaisen toimintaa tukevia asiantuntijaryhmiä. 
Sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle korkean tason asiantuntijaryhmän, jonka tehtävänä on laatia anonymisointia, tietosuojaa ja tietoturvaa koskevat Tietolupaviranomaisen toiminnan periaatelinjaukset. Asiantuntijaryhmässä on oltava tekoälyn, data-analytiikan, tietoturvan, tietosuojan, alan tutkimuksen, tilastotieteen ja tilastotoimen asiantuntija sekä Tietolupaviranomaisen edustaja. Sosiaali- ja terveysministeriön asetuksella voidaan säätää tarkemmin asiantuntijaryhmän tehtävistä sekä sen jäsenten määrästä ja kelpoisuusehdoista. 
9 § 
Mahdollisuus perustaa osakeyhtiö 
Sosiaali- ja terveysministeriö saa perustaa Tietolupaviranomaisen alaisuudessa toimivan osakeyhtiön yksin taikka yhden tai useamman 6 §:ssä tarkoitetun organisaation, opetus- ja kulttuuriministeriön, työ- ja elinkeinoministeriön tai valtiovarainministeriön kanssa. Yhtiö on valtion omistuksessa ja hallinnassa. Yhtiön omistajaohjauksesta ja sen osakkeiden hallinnoinnista vastaa sosiaali- ja terveysministeriö. Yhtiön tarkoituksena ei ole tuottaa voittoa.  
Yhtiölle voidaan antaa 10 §:n 3—7 kohdassa tarkoitettuihin palveluihin liittyviä tehtäviä. Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä yhtiön tehtävistä. 
Terveyden ja hyvinvoinnin laitos tai Tietolupaviranomainen voi tuottaa osakeyhtiölle hallinnollisia palveluja ja muita tukipalveluja markkinahintaista korvausta vastaan.  
Yhtiön on annettava sosiaali- ja terveysministeriölle sen pyynnöstä tiedot, jotka ovat tarpeen yhtiön ohjaamiseksi ja valvomiseksi. Yhtiön asiakirjoihin sovelletaan, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999), jäljempänä julkisuuslaki, säädetään viranomaisen asiakirjasta. Päätöksen siitä, ettei yhtiön asiakirjaa luovuteta sitä pyytäneelle, tekee Tietolupaviranomainen julkisuuslain 4 luvun mukaisesti. 
Yhtiön toimintaan voidaan myöntää valtionavustusta valtion talousarvioon otettavien määrärahojen rajoissa. Valtionavustuksesta säädetään valtionavustuslaissa (688/2001). 
Yhtiön palveluksessa olevaan henkilöön ja yhtiön hallituksen jäseniin sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä. 
3 luku 
Toissijaisen käytön mahdollistavat palvelut 
Tietopalvelut  
10 § 
Organisaatioiden toissijaista käyttöä varten tuottamat palvelut 
Rekisteritietojen toissijaista käyttöä varten ylläpidetään seuraavia 6 §:ssä tarkoitettujen organisaatioiden palveluita: 
1) tietoaineistojen kuvaukset;  
2) neuvontapalvelu;  
3) tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelu; 
4) tunnisteiden hallinnointipalvelu; 
5) tietopyyntöjen hallintajärjestelmä; 
6) tietoturvallinen käyttöpalvelu;  
7) tietoturvallinen käyttöympäristö. 
11 § 
Organisaatioiden vastuut palveluista 
Tietolupaviranomainen vastaa aina 10 §:n 3—7 kohdassa tarkoitetuista palveluista, kun kyse on 45 §:ssä tarkoitetusta tietopyynnöstä tai kun tietolupahakemus koskee:  
1) usean 6 §:ssä tarkoitetun rekisterinpitäjän henkilörekistereitä; 
2) sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007), jäljempänä asiakastietolaki, tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennettuja tietoja; tai 
3) yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja.  
Tietolupaviranomainen vastaa kuitenkin Eläketurvakeskuksen, Väestörekisterikeskuksen ja Tilastokeskuksen tietoihin kohdistuvista palveluista vain, jos kyseisiä tietoja yhdistetään 6 §:n 1—8 kohdassa tarkoitettujen organisaatioiden tietoihin tai Kanta-palveluihin tallennettuihin tietoihin taikka yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin. 
Jos tietolupahakemus koskee vain yhden 6 §:n 1—8 kohdassa tarkoitetun organisaation henkilörekistereissä olevia tietoja, sanottu organisaatio vastaa itse kaikista 10 §:n 1—4 kohdassa tarkoitetuista palveluista. Sanotut organisaatiot voivat kuitenkin ilmoittaa Tietolupaviranomaiselle, että ne luopuvat ylläpitämästä muita kuin 10 §:n 1 ja 2 kohdassa tarkoitettuja palveluita. Tietolupaviranomainen vastaa tällöin ilmoituksen tehneen organisaation henkilötietoja koskevista 10 §:n 3—7 §:ssä tarkoitetuista palveluista. 
12 § 
Tietoaineistojen kuvaukset 
Edellä 6 §:ssä tarkoitettujen organisaatioiden on rekisterinpitäjänä laadittava aineistokuvaukset tietovarantojensa tietosisällöistä siten, että niiden perusteella on mahdollista arvioida rekisteritietojen soveltuvuutta 2 §:ssä mainittuihin tarkoituksiin. Tietolupaviranomaisen on laadittava aineistokuvaukset 14 §:n 5 momentissa tarkoitetuista valmisaineistoistaan. 
Tietolupaviranomainen antaa tarkemmat määräykset aineistokuvausten tietosisällöistä, käsitteistä ja tietorakenteista. Ennen määräysten antamista Tietolupaviranomaisen tulee kuulla asianomaisia organisaatioita.  
Sosiaali- ja terveysministeriön asetuksella säädetään, mistä lähtien 1 momentissa säädettyjä velvoitteita sovelletaan. 
13 §  
Neuvontapalvelu  
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän on järjestettävä mainitussa pykälässä tarkoitettuja rekisteritietojaan koskeva neuvontapalvelu siten, että niitä 2 §:ssä mainitussa tarkoituksessa tarvitseva saa riittävät tiedot käytettävissä olevien rekistereiden tietosisällöistä ja rekisteritietojen soveltuvuudesta tiedon tarpeisiinsa. 
Sen lisäksi, mitä 1 momentissa säädetään, Tietolupaviranomaisen on järjestettävä neuvontapalvelu, joka koskee tietoluvan myöntämisedellytyksiä, tietopyyntöjen hyväksymisedellytyksiä, 10 §:ssä tarkoitettujen palvelujen sisältöä ja merkitystä sekä 14 §:n 5 momentissa tarkoitettuja valmisaineistoja. 
14 § 
Tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelu 
Kun Tietolupaviranomainen on myöntänyt 44 §:ssä tarkoitetun tietoluvan tai tehnyt 45 §:ssä tarkoitettua tietopyyntöä koskevan myönteisen päätöksen, se kokoaa, yhdistelee ja esikäsittelee sekä tarvittaessa pseudonymisoi tai anonymisoi aineiston luvansaajan käsiteltäväksi taikka tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon päätöksen mukaisesti. 
Kun tietoluvan on myöntänyt yksittäinen 6 §:n 1—8 kohdassa tarkoitettu rekisterinpitäjä omissa rekistereissään oleviin tietoihin, se tuottaa luvan mukaisen aineiston luvansaajan käsiteltäväksi. Jos kuitenkin aineisto luvan mukaan luovutetaan anonymisoituna, rekisterinpitäjän on toimitettava lupa ja siihen liittyvä tietoaineisto Tietolupaviranomaiselle yhdisteltäväksi, esikäsiteltäväksi ja anonymisoitavaksi. 
Tietolupaviranomaisen on säilytettävä kuvaus luovuttamiensa tietoaineistojen ja aggregoitujen tilastotietojen muodostamisesta, käyttämistään pseudonymisointi- ja anonymisointimenetelmistä sekä luovutetuista lopputuloksista. 
Jos henkilötietoja luovutetaan usean eri tiedonhyödyntämissuunnitelman perusteella pseudonymisoituna, tiedot on pseudonymisoitava jokaista luovutusta varten eri tunnisteella. 
Tietolupaviranomainen saa muodostaa valmisaineistoja 6 §:ssä tarkoitettujen viranomaisten ja organisaatioiden tiedoista. Tietolupaviranomainen saa myöhemmin poimia tietoluvan myöntämiseksi tarvittavat ja myönnetyn tietoluvan tai tietopyyntöä koskevan päätöksen mukaiset tiedot valmisaineistoista. 
15 § 
Tunnisteiden hallinnointipalvelu 
Tietoluvan antanut viranomainen säilyttää pseudonymisoitujen aineistojen tunnisteet tietoturvallisesti ja siten, että aineisto on mahdollista tarvittaessa muuttaa tunnisteelliseksi ja että sama aineisto on niiden avulla mahdollista tuottaa uudelleen.  
Viranomaisen on säilytettävä tunnisteet niin kauan kuin ne ovat tarpeen tutkimuksen tekemiseksi ja sen tulosten asianmukaisuuden varmistamiseksi.  
Toiminnan edellytyksenä olevat tietojärjestelmäpalvelut ja niiden turvallisuuden varmistaminen 
16 § 
Tietopyyntöjen hallintajärjestelmä 
Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa tietopyyntöjen hallintajärjestelmää, jonka välityksellä tietolupahakemus tai tämän lain mukainen tietopyyntö on toimitettava sille.  
Käsittelyn edellytyksenä olevat Tietolupaviranomaisen selvitys- ja täydennyspyynnöt sekä hakijan sille toimittamat selvitykset, täydennykset ja hakemusta koskevat muutokset toteutetaan hallintajärjestelmän välityksellä. Lupapäätös annetaan hakijalle tiedoksi hallintajärjestelmän välityksellä.  
Jos käyttötarkoituksen edellytyksenä on lakisääteisesti tiedonhyödyntämissuunnitelman eettinen ennakkoarviointi, myös eettinen arviointi saatetaan vireille ja lausunto toimitetaan hallintajärjestelmän välityksellä.  
17 § 
Tietoturvallinen käyttöpalvelu 
Tietolupaviranomainen ylläpitää tietoturvallista käyttöpalvelua tietolupahakemuksen ja tietopyynnön käsittelyssä tarvittavien tietojen sekä myönnetyn tietoluvan mukaisten tietojen luovuttamiseksi. Käyttöpalvelun välityksellä saa tässä laissa säädetyin edellytyksin luovuttaa henkilötietoja Tietolupaviranomaisen ja muiden 6 §:ssä mainittujen viranomaisten välillä, Tietolupaviranomaisen ja yksityisten sosiaali- ja terveydenhuollon palvelunantajien välillä sekä luvanhakijan ja Tietolupaviranomaisen välillä.  
Kun henkilötietoja välitetään tietoturvallisen käyttöpalvelun välityksellä, niiden eheys ja alkuperä on varmistettava sähköisellä allekirjoituksella. Organisaation ja tietoteknisten laitteiden lähettämien tietojen eheys ja alkuperä on varmistettava käyttämällä luotettavuudeltaan vastaavaa tekniikkaa kuin luonnollisen henkilön sähköisessä allekirjoituksessa. Tietoturvallisen käyttöpalvelun käyttäjät on tunnistettava vahvasti, kun heille luovutetaan henkilötietoja. Kehittyneestä sähköisestä allekirjoituksesta ja vahvasta sähköisestä tunnistamisesta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009). 
Tietolupaviranomaisen on luotava tarvittavat rajapinnat käyttöpalvelun yhteentoimivuutta varten ja huolehdittava siitä, että tiedonsiirto voidaan tehdä yleisesti käytössä olevien teknologioiden avulla. 
18 § 
Yleiset tietoturvavaatimukset 
Kun henkilötietoja käsitellään tämän lain nojalla, käsittelyn riittävä tietoturvallisuus on varmistettava riskienhallinnalla, pääsynhallinnalla, aktiivisella valvonnalla sekä noudattamalla tietoturvallisuuden ja tietosuojan toteutuksesta ja valvonnasta vastaavan viranomaisen määräyksiä ja ohjeita. Erityistä huomiota on kiinnitettävä käyttörajoitusten sekä salassapitovelvoitteen toteuttamiseen. 
19 §  
Lokitiedot 
Kun henkilötietoja käsitellään tämän lain mukaista lupaharkintaa, päätöksentekoa tai tietojen luovuttamista varten, lokitiedot on kerättävä seuraavasti: 
1) Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on tallennettava käyttölokitietoihin tiedot siitä organisaatiosta, jonka tietoja käytetään, tietojen käyttäjästä, käsitellyistä tiedoista ja tietoryhmistä, tietojen käyttötarkoituksesta, tietolupahakemuksen tai tietopyynnön tunnisteesta sekä käyttöajankohdasta; ja 
2) Tietolupaviranomaisen, yksityisen sosiaali- ja terveydenhuollon palvelunantajan ja 6 §:ssä tarkoitetun organisaation on tallennettava luovutuslokitietoihin tiedot luovuttaneesta organisaatiosta, tietojen luovuttajasta, tietojen 2 §:n mukaisesta luovutustarkoituksesta, tietolupahakemuksen tai tietopyynnön tunnisteesta, luovutuksensaajasta ja luovutusajankohdasta.  
Henkilötietoja tämän lain mukaisen tietoluvan perusteella käsittelevän on tallennettava käyttölokitietoihin tieto tietoluvan saaneesta rekisterinpitäjästä, 2 §:n mukaisesta käyttötarkoituksesta, käsittelyyn oikeuttavasta tietoluvasta, tietojen käsittelyyn tietoluvan mukaan oikeutetusta käyttäjästä, käsitellyistä tiedoista ja tietoryhmistä sekä käyttöajankohdasta. 
Kun palvelunantaja käsittelee omissa henkilörekistereissään olevia henkilötietoja tietojohtamisen käyttötarkoituksessa, sen on tallennettava käyttölokitietoihin tieto käytetyistä henkilötiedoista, tietojen käyttäjästä, tietojen käyttötarkoituksesta ja käyttöajankohdasta. 
Lokitiedot on hävitettävä tai arkistoitava 12 vuoden kuluttua tietoluvan päättymisestä tai 3 momentissa tarkoitetun käsittelyn päättymisestä.  
Tietolupaviranomainen voi antaa tarkempia määräyksiä lokirekistereihin tallennettavista tiedoista ja tietosisällöistä. 
20 § 
Tietoturvallinen käyttöympäristö 
Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa tietoturvallista käyttöympäristöä, jossa voidaan varmistaa Tietolupaviranomaisen tai muun tässä laissa tarkoitetun viranomaisen tämän lain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely.  
Käsittelyn on oltava mahdollista teknisesti erilaisin tavoin ja käyttöympäristöön on oltava pääsy eri paikoista. Tietolupaviranomaisen on arvioitava luovutettavien tietojen arkaluontoisuuden tasoa ja huomioitava tämä tietolupapäätöksessä tietoturvallisen käyttöympäristön käytölle asetettavissa vaatimuksissa. 
Jos tietolupahakemuksessa pyydetään luovuttamaan tietoaineistoja käsiteltäviksi muussa kuin 1 momentissa tarkoitetussa käyttöympäristössä, hakemuksessa on erikseen perusteltava syyt, joiden vuoksi tämä on välttämätöntä. Tietolupaviranomainen tai muu tässä laissa tarkoitettu viranomainen saa tällöin luovuttaa tiedot hakijalle vain, jos käyttöympäristö täyttää 2 momentissa ja 21—29 §:ssä säädetyt edellytykset. 
21 § 
Tietoturvallisen käyttöympäristön käyttäjien tunnistaminen  
Tietoturvallisen käyttöympäristön käyttäjät on tunnistettava luotettavasti sekä todennettava.  
Sosiaali- ja terveysministeriön asetuksella voidaan antaa tarkempia säännöksiä tunnistamisen ja todentamisen teknisestä toteuttamisesta.  
22 § 
Tietoturvallisen käyttöympäristön käyttäjien käyttöoikeudet  
Palveluntarjoajan on määriteltävä luvansaajan ja muun henkilötietoja käyttöympäristössä käsittelevän henkilön käyttöoikeus henkilötietoihin. Luvansaajalle annetaan käyttöoikeus tietoluvan mukaisiin henkilötietoihin. Muille henkilötietoja käyttöympäristössä käsitteleville annetaan käyttöoikeudet heidän työtehtävissään tarvitsemiinsa välttämättömiin henkilötietoihin.  
Palveluntarjoajan on pidettävä rekisteriä tietoturvallisen käyttöympäristön käyttäjistä sekä näiden käyttöoikeuksista. Käyttöympäristön käyttäjien käyttöoikeustiedot on hävitettävä tai arkistoitava 12 vuoden kuluttua käyttöoikeuden päättymisestä. 
Tietolupaviranomainen  antaa  määräykset  niistä  perusteista,  joiden  mukaisesti  palveluntarjoajan on määriteltävä luvansaajan käyttöoikeudet asiakastietoihin. 
23 § 
Tietoturvallisen käyttöympäristön suojaaminen 
Tietoturvallinen käyttöympäristö on suojattava valtion viranomaisten tietoturvallisuutta koskevien velvoitteiden mukaisesti noudattaen, mitä julkisuuslain 36 §:ssä ja mainitun pykälän 1 momentin nojalla annetussa valtioneuvoston asetuksessa säädetään. 
Käyttöympäristön on mahdollistettava lokitietojen kerääminen luovutettujen tietojen käytöstä seurantaa ja valvontaa varten 19 §:n mukaisesti.  
24 § 
Tietoturvallisen käyttöympäristön vähimmäisvaatimukset 
Tietoturvallisen käyttöympäristön on täytettävä tietoturvaa ja tiedonsiirron yhteentoimivuutta koskevat vaatimukset, jotka perustuvat viranomaisten antamiin määräyksiin, suosituksiin ja näiden osoittamiin, tietoturvalliseen käyttöympäristöön soveltuviin standardeihin.  
Tietolupaviranomainen antaa tarkemmat määräykset muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavista vaatimuksista. Vaatimuksissa on edellytettävä vastaavaa tietoturvan tasoa kuin Tietolupaviranomaisen omassa käyttöympäristössä vaaditaan. 
25 § 
Tietoturvallisen käyttöympäristön tietoturvallisuuden osoittaminen 
Käyttöympäristön tietoturvallisuus on osoitettava 26 §:n mukaisella tietoturvallisuuden arviointilaitoksen antamalla todistuksella. 
Tietolupaviranomainen voi antaa tarkempia määräyksiä tietoturvallisuuden osoittamisessa noudatettavista menettelyistä. 
26 § 
Tietoturvallisuuden arviointi 
Tietoturvallisuuden arviointilaitos arvioi tämän lain ja tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti palveluntarjoajan hakemuksesta, täyttääkö käyttöympäristö tietoturvallisuutta koskevat vaatimukset. Arviointiperusteina on käytettävä Tietolupaviranomaisen määräyksiä turvalliselle käyttöympäristölle asetettavista vaatimuksista. 
Jos käyttöympäristö täyttää tämän lain mukaiset tietoturvallisuusvaatimukset, tietoturvallisuuden arviointilaitoksen on annettava suorittamastaan arvioinnista palveluntarjoajalle todistus sekä siihen liittyvä tarkastusraportti. Jos arviointi tai uudelleenarviointi koskee vain käyttöympäristön osaa, arviointilaitoksen antamaan todistukseen on selkeästi merkittävä, mikä osa käyttöympäristöstä on arvioitu. 
Arviointilaitoksen myöntämä todistus on voimassa enintään viisi vuotta. Tietoturvallisuuden arviointilaitos voi vaatia palveluntarjoajalta kaikki arvioinnin sekä todistuksen laatimisen ja ylläpitämisen edellytyksenä olevat tiedot. Todistuksen antamiseen sovelletaan muutoin tietoturvallisuuden arviointilaitoksista annetun lain 9 §:n 3 momenttia.  
27 § 
Arviointilaitoksen myöntämän todistuksen peruuttaminen  
Jos tietoturvallisuuden arviointilaitos toteaa, että käyttöympäristö ei ole täyttänyt tai ei enää täytä tässä laissa säädettyjä vaatimuksia tai että todistusta ei muutoin olisi tullut myöntää, laitoksen on kehotettava palveluntarjoajaa korjaamaan puutteet. Arviointilaitos voi peruuttaa todistuksen määräajaksi tai kokonaan taikka myöntää sen rajoitettuna, jollei palveluntarjoaja korjaa puutteellisuuksia arviointilaitoksen asettamassa määräajassa. Määräajan pituutta määritettäessä on otettava huomioon käyttöympäristön korjaamiseksi tarvittava kohtuullinen aika. 
28 § 
Tietoturvallisuuden arviointilaitoksen ilmoittamisvelvollisuus  
Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai kokonaan peruutetuista tai evätyistä todistuksista sekä 27 §:n mukaisista kehotuksista ja rajoituksista. Lisäksi tietoturvallisuuden arviointilaitoksen on pyydettäessä annettava Sosiaali- ja terveysalan lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot.  
29 § 
Tietoturvallisen käyttöympäristön käyttöönoton jälkeinen seuranta  
Palveluntarjoajan on seurattava ja arvioitava ajantasaisella järjestelmällisellä menettelyllä tietoturvallisesta käyttöympäristöstä sen tuotantokäytön aikana saatavia kokemuksia. Palveluntarjoajan on seurattava tämän lain muutoksia ja tehtävä käyttöympäristöön muutosten edellytyksenä olevat korjaukset. Käyttöympäristön olennaisista muutoksista on ilmoitettava tietoturvallisuuden arviointilaitokselle. Arviointilaitoksen myöntämä todistus on uudistettava, jos käyttöympäristöön tehdään merkittäviä muutoksia tai jos käyttöympäristöä koskevia vähimmäisvaatimuksia on muutettu tavalla, jonka edellytyksenä on uusi arviointi. 
Palveluntarjoajan on säilytettävä vaatimustenmukaisuutta koskevat ja muut valvonnan edellytyksenä olevat tiedot vähintään viisi vuotta tietoturvallisen käyttöympäristön tuotantokäytön päättymisestä.  
30 § 
Tietojärjestelmien valvonta ja tarkastukset  
Sosiaali- ja terveysalan lupa- ja valvontaviraston tehtävänä on valvoa ja edistää sitä, että tietoturvalliset käyttöympäristöt täyttävät tietosuojaa ja tietoturvaa koskevat vaatimukset. Sosiaali- ja terveysalan lupa- ja valvontavirasto ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä käyttöympäristöistä. 
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus tehdä valvonnan edellytyksenä olevia tarkastuksia. Tarkastuksen suorittamiseksi tarkastajalla on oikeus päästä kaikkiin tiloihin, joissa harjoitetaan tässä laissa tarkoitettua toimintaa tai säilytetään tämän lain noudattamisen valvonnan kannalta merkityksellisiä tietoja. Tarkastusta ei kuitenkaan saa tehdä pysyväisluonteiseen asumiseen käytettävissä tiloissa. 
Tarkastuksessa on esitettävä kaikki tarkastajan pyytämät asiakirjat, jotka ovat tarpeellisia tarkastuksen toimittamiseksi. Lisäksi tarkastajalle on annettava maksutta hänen pyytämänsä jäljennökset tarkastuksen toimittamiseksi tarpeellisista asiakirjoista. 
Sosiaali- ja terveysalan lupa- ja valvontaviraston on säilytettävä tarkastuksesta laadittava tarkastuskertomus kymmenen vuoden ajan tarkastuksen suorittamisesta. 
31 § 
Sosiaali- ja terveysalan lupa- ja valvontaviraston oikeus ulkopuolisen asiantuntijan käyttöön  
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus käyttää ulkopuolisia asiantuntijoita arvioimaan tietoturvallisen käyttöympäristön vaatimustenmukaisuutta. Ulkopuoliset asiantuntijat voivat osallistua tämän lain mukaisiin tarkastuksiin sekä tutkia ja testata käyttöympäristöjä. Ulkopuolisella asiantuntijalla tulee olla tehtävien edellytyksenä oleva asiantuntemus ja pätevyys. 
Ulkopuoliseen asiantuntijaan sovelletaan virkamiehen esteellisyyttä koskevia hallintolain (434/2003) säännöksiä sekä rikosoikeudellista virkavastuuta hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. 
32 § 
Sosiaali- ja terveysalan lupa- ja valvontaviraston tiedonsaantioikeus  
Sosiaali- ja terveysalan lupa- ja valvontavirastolla on oikeus saada maksutta ja salassapitosäännösten estämättä käyttöympäristöjen valvontaa varten välttämättömät tiedot valtion ja kunnan viranomaisilta sekä luonnollisilta ja oikeushenkilöiltä, joita tämän lain tai sen nojalla annetut säännökset koskevat. 
33 § 
Sosiaali- ja terveysalan lupa- ja valvontaviraston määräys puutteiden korjaamiseksi ja uhkasakko  
Sosiaali- ja terveysalan lupa- ja valvontavirasto saa 30 §:n nojalla tehdyn tarkastuksen perusteella määrätä palveluntarjoajan korjaamaan tuotantokäytössä olevaa käyttöympäristöä koskevat puutteet. 
Jos tietoturvallinen käyttöympäristö voi vaarantaa tietosuojan tai toteuttaa puutteellisesti tässä laissa sille asetetut vaatimukset eikä puutteita ole korjattu Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamassa määräajassa, lupa- ja valvontavirasto saa kieltää käyttöympäristön käytön, kunnes puutteet on korjattu. Lisäksi Tietolupaviranomainen tai muu 6 §:ssä tarkoitettu viranomainen voi sulkea yhteyden ylläpitämiinsä tietojärjestelmiin, jos niitä käyttävä vaarantaa tai niihin liitetty ulkopuolinen järjestelmä voi vaarantaa niiden asianmukaisen toiminnan. 
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi velvoittaa palveluntarjoajan tai valtuutetun edustajan tiedottamaan käyttöympäristön tuotantokäyttöä koskevasta päätöksestä lupa- ja valvontaviraston asettamassa määräajassa ja määräämällä tavalla.  
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi asettaa 1 momentin nojalla tekemänsä päätöksen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Lupa- ja valvontaviraston on ilmoitettava päätöksestään Tietolupaviranomaiselle.  
34 § 
Määräys velvollisuuksien täyttämiseksi 
Jos palveluntarjoaja, 6 §:ssä tarkoitettu viranomainen tai henkilötietoja muutoin tämän lain mukaisesti käsittelevä on laiminlyönyt tässä laissa säädetyn tietojärjestelmiin tai niiden käyttöön liittyvän velvollisuutensa, Sosiaali- ja terveysalan lupa- ja valvontavirasto voi määrätä velvollisuuden täytettäväksi määräajassa. 
Lisäksi Tietolupaviranomainen tai muu 6 §:ssä tarkoitettu viranomainen voi sulkea yhteyden ylläpitämiinsä tietojärjestelmiin, jos palveluntarjoaja, 6 §:ssä tarkoitettu viranomainen tai henkilötietoja muutoin tämän lain mukaisesti käsittelevä on Sosiaali- ja terveysalan lupa- ja valvontaviraston asettamasta määräajasta huolimatta laiminlyönyt tässä laissa säädetyn tietojärjestelmiin tai niiden käyttöön liittyvän velvollisuutensa. 
Sosiaali- ja terveysalan lupa- ja valvontavirasto voi asettaa 1 momentin nojalla tekemänsä määräyksen tehosteeksi uhkasakon tai uhan, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella. Sosiaali- ja terveysalan lupa- ja valvontaviraston on ilmoitettava päätöksestään Tietolupaviranomaiselle. 
4 luku  
Henkilötietojen toissijaisen käytön perusteet ja edellytykset 
Toissijaisen käytön yleiset perusteet 
35 § 
Henkilötietojen käsittelyn perusteet  
Edellä 6 §:ssä tarkoitettujen rekisterinpitäjien rekisteritietoja ja yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja saa käsitellä toissijaisessa käyttötarkoituksessa rekisterinpitäjän tai Tietolupaviranomaisen myöntämällä määräaikaisella tietoluvalla taikka suoraan lain säännösten perusteella siten kuin jäljempänä säädetään.  
36 §  
Tietolupaviranomaisen oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä 
Tietolupaviranomaisella on salassapitovelvoitteista ja muista tietojen käyttöä koskevista rajoituksista riippumatta oikeus saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltä, yksityisiltä sosiaali- ja terveydenhuollon palvelunantajilta sekä Kanta-palveluihin sisältyvistä, asiakastietolaissa tarkoitetuista tiedoista Kansaneläkelaitokselta tässä laissa säädettyjen tehtäviensä hoitamiseksi välttämättömät tiedot, kuten: 
1) tietoluvan myöntämiseksi tarvittavat tiedot;  
2) myöntämässään tietoluvassa tarkoitetut tiedot niiden kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi 14 §:n mukaisesti sekä luovuttamiseksi luvansaajan käsiteltäväksi ;  
3) tiedot sen arvioimiseksi, onko tietolupahakemuksessa tarkoitetut tiedot mahdollista anonymisoida tai 45 §:ssä tarkoitetuista tiedoista mahdollista tuottaa aggregoitua tilastotietoa; 
4) aggregoidun tilastotiedon tuottamista varten tarvittavat tiedot; sekä 
5) 14 §:n 5 momentissa tarkoitettujen valmisaineistojen koostamiseksi tarvittavat tiedot.  
Edellä 1 momentissa tarkoitetut tiedot voidaan luovuttaa Tietolupaviranomaisen käyttöön 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä. 
Tietolupaviranomainen voi salassapitovelvoitteista ja muista tietojen käyttöä koskevista rajoituksista riippumatta poimia tietoluvan mukaiset tiedot 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä sellaisista 1 momentissa tarkoitettujen rekisterinpitäjien tiedoista ja tietovarannoista, joista se on rekistereiden ja tietovarantojen sisältö ja tekninen toteutus huomioon ottaen mahdollista ja tarkoituksenmukaista. 
Tietolupaviranomainen on tässä pykälässä tarkoitetuin tavoin saamiensa tietojen rekisterinpitäjä. 
Tietojen hyödyntäminen aggregoituna tilastotietona 
37 § 
Kehittämis- ja innovaatiotoiminta 
Tietolupaviranomainen saa salassapitovelvoitteiden estämättä tuottaa 3 §:n 9 kohdassa tarkoitetun tietopyynnön perusteella yksittäistapauksessa asiakastietoihin sekä muihin 6 §:ssä tarkoitettujen organisaatioiden henkilötietoihin perustuvat aggregoidut tilastotiedot kehittämis- ja innovaatiotoimintaan, jota toteutetaan muutoin kuin 38 §:ssä tarkoitettuna tieteellisenä tutkimuksena.  
Edellä 1 momentissa tarkoitetut tiedot voidaan antaa 45 §:n mukaisesti edellyttäen, että tietopyynnön ja siihen liitetyn tiedonhyödyntämissuunnitelman mukaan toiminnan tarkoituksena on: 
1) edistää kansanterveyttä tai sosiaaliturvaa; tai 
2) kehittää sosiaali- ja terveydenhuollon palveluja tai palvelujärjestelmää; taikka 
3) suojella yksilöiden terveyttä tai hyvinvointia taikka turvata heidän niihin liittyviä oikeuksiaan ja vapauksiaan. 
Tietoluvan nojalla luovutettavat tiedot 
38 § 
Tietolupa tieteelliseen tutkimukseen ja tilastointiin 
Tieteelliseen tutkimukseen ja tilastointiin saa salassapitovelvoitteiden estämättä antaa yksittäistapauksessa tietoluvan asiakastietoihin sekä muihin 6 §:ssä tarkoitettujen organisaatioiden henkilötietoihin. 
Tietolupaa harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan. 
Tietojen käsittelystä tieteellistä tutkimusta ja tilastointia varten säädetään lisäksi tietosuojalaissa (1050/2018).  
39 § 
Opetus 
Sosiaali- tai terveydenhuollon palvelunantajan asiakastietoja saa käsitellä salassapitovelvoitteiden estämättä sekä tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla opetusaineistojen valmistamiseksi sosiaali- ja terveydenhuollon asiakastietoja käsittelevän henkilöstön ja sosiaali- ja terveydenhuollon ammattihenkilöiksi opiskelevien opetukseen, jos se on välttämätöntä opetuksen tarkoituksen toteuttamiseksi. Edellytyksenä on lisäksi, että käsittelylle on myönnetty tässä laissa tarkoitettu tietolupa. 
Tunnisteellisina tietoja saa käyttää opetustilanteissa kuitenkin vain, jos opetusta ei voida toteuttaa anonyyminä käsiteltävän tapauksen harvinaislaatuisuuden, opetuksen luonteen tai muun vastaavan syyn vuoksi. Opetusta antavan henkilön on informoitava opetusta seuraavia laissa säädetystä salassapitovelvollisuudesta ja sen rikkomisesta seuraavista sanktioista. 
Rekisteröidyllä ei ole tietosuoja-asetuksen 21 artiklan mukaista oikeutta vastustaa henkilötietojensa käsittelyä opetustarkoituksessa, jos tietojen käsittely on välttämätöntä tapauksen harvinaislaatuisuuden vuoksi.  
Luvansaajan on hävitettävä opetustarkoitusta varten koottu erillinen aineisto, kun se ei enää ole välttämätön kyseistä tarkoitusta varten. 
40 § 
Viranomaisen suunnittelu- ja selvitystehtävä  
Viranomaisen suunnittelu- ja selvitystehtävää varten välttämättömiä asiakastietoja sekä muita 6 §:ssä tarkoitettujen organisaatioiden henkilötietoja saa käsitellä tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla seuraavin edellytyksin: 
1) käsittelylle on myönnetty tässä laissa tarkoitettu tietolupa; 
2) käsittely perustuu asianmukaiseen tiedonhyödyntämissuunnitelmaan; ja 
3) suunnittelu- ja selvitystehtävää tai sen tarkoituksena olevaa tiedontarvetta ei voida toteuttaa ilman henkilötietojen käsittelyä. 
Tietojen käsittely lain nojalla ilman tietolupaa 
41 § 
Tietojohtaminen 
Sosiaali- tai terveydenhuollon palvelunantajalla on oikeus salassapitovelvoitteiden estämättä sekä tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan nojalla käsitellä ja yhdistellä tunnisteellisesti asiakastietoja, jotka ovat syntyneet sen omassa toiminnassa tai ovat sen omiin rekistereihin tallennettuja, jos se on välttämätöntä palvelunantajan vastuulla toteutettavan palvelutoiminnan tuottamista, seurantaa, arviointia, suunnittelua, kehittämistä, johtamista ja valvontaa varten. 
Jos palvelunantajalle on tarpeen vastuullaan toteutettavan palvelutoiminnan taikka palveluketjujen  arviointia,  suunnittelua  tai  kehittämistä  varten  verrata  omaa  toimintaansa  muiden  palvelunantajien toimintaan, Tietolupaviranomainen voi tuottaa tarvittavan vertailuaineiston aggregoituna tilastotietona 45 §:n mukaisesti 3 §:n 9 kohdassa tarkoitetun tietopyynnön perusteella. 
Sen lisäksi, mitä 1 ja 2 momentissa säädetään, kunnalla tai kuntayhtymällä on tietojohtamisen tarkoituksessa oikeus käsitellä ja yhdistellä tunnisteellisesti myös asiakastietoja, jotka on tallennettu terveydenhuoltolain (1326/2010) 9 §:n 1 momentissa tarkoitettuun yhteisrekisteriin. 
42 § 
Sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta 
Jos sosiaali- ja terveysalan ohjaus- tai valvontaviranomainen tarvitsee laissa säädetyn ohjaus- tai valvontatehtävänsä toteuttamiseksi sosiaali- tai terveydenhuollon rekistereihin tallennettuihin henkilötietoihin tai muihin tunnisteellisiin 6 §:ssä tarkoitettujen rekisterinpitäjien rekisteritietoihin perustuvia yhdisteltyjä tietoja, Tietolupaviranomainen voi tuottaa tarvittavat aggregoidut tilastotiedot 45 §:n mukaisesti 3 §:n 9 kohdassa tarkoitetun tietopyynnön perusteella.  
Sellaiset 1 momentissa tarkoitetut tiedot, jotka sanotussa momentissa tarkoitetulla valvontaviranomaisella on muun lain mukaan oikeus saada salassapitovelvoitteista riippumatta, voidaan perustellusta pyynnöstä luovuttaa myös tunnisteellisina.  
Edellä 2 momentissa tarkoitetut tiedot voidaan luovuttaa valvontaviranomaiselle 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä. 
5 luku  
Tietolupahakemuksen ja tietopyynnön sekä luovutettavien tietojen käsittely  
43 §  
Tietoluvan myöntämisen yleiset perusteet 
Tietolupa henkilötietoihin voidaan myöntää, jos hakemuksesta ja tiedonhyödyntämissuunnitelmasta ilmenevä tiedon käyttötarkoitus on tietosuoja-asetuksen, tietosuojalain sekä tämän ja muun kyseessä olevia tietoja koskevan lain mukainen ja jos käyttötarkoitus on tarkoituksenmukaisimmin toteutettavissa hakemuksessa tarkoitettuja tietoja käyttäen. 
Jos tietolupahakemus liittyy sellaiseen käyttötarkoitukseen, jota koskevasta lupamenettelystä ja luvan myöntämisen perusteista säädetään erikseen, sanotun luvan kaikkien edellytysten on täytyttävä.  
Jos luovutettavat tiedot on koottu rekisteröidyn suostumuksella, tietolupa häntä koskeviin rekisteritietoihin voidaan myöntää vain, jos se on suostumuksen ja tiedon käytölle ja luovutukselle annettujen ehtojen mukaista. Jos tietolupahakemusta koskevat tiedot liittyvät käyttötarkoitukseen, joka perustuu rekisteröidyn suostumukseen, tietolupa voidaan myöntää vain sellaisiin tietoihin, jotka rekisteröidyn suostumus kattaa.  
Tietolupa voidaan antaa määräajaksi, jos on ilmeistä, ettei tiedon antaminen loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lupaan on liitettävä tietojen käsittelyn suojaustoimenpiteitä koskevat riskien mukaiset vaatimukset ja muut yksityisen edun suojaamiseksi tarpeelliset määräykset. Lupa voidaan peruuttaa, jos siihen harkitaan olevan syytä. 
Jos Tietolupaviranomainen toteaa tietolupahakemuksen perusteella, että tietoluvan sijaan asia voidaan käsitellä 45 §:n mukaisena tietopyyntönä, Tietolupaviranomaisen on otettava yhteys luvanhakijaan ja esitettävä, että asia käsitellään tietopyyntönä. Jos luvanhakija vaatii tietolupapäätöksen käsittelyä, Tietolupaviranomaisen on tehtävä asiaa koskeva päätös.  
44 §  
Tietolupakäsittelyyn liittyvä toimivalta  
Tietolupaviranomainen vastaa aina tietolupapäätöksestä, kun tietolupahakemus koskee: 
1) usean 6 §:n 1 —8 kohdassa tarkoitetun rekisterinpitäjän tietoja;  
2) Kanta-palveluihin tallennettuja tietoja; tai 
3) yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja. 
Tietolupaviranomainen vastaa lisäksi Eläketurvakeskuksen, Väestörekisterikeskuksen ja Tilastokeskuksen 6 §:n 9—11 kohdassa tarkoitettuihin tietoihin kohdistuvasta tietolupapäätöksestä, jos sanottuja tietoja yhdistetään 1 momentin 1—3 kohdassa tarkoitettuihin tietoihin.  
Jos tietolupahakemus koskee vain yhden 6 §:n 1—8 kohdassa tarkoitetun organisaation henkilörekistereissä olevia tietoja, organisaatio vastaa itse tietolupapäätöksestä. Jos kuitenkin sanottu organisaatio on ilmoittanut Tietolupaviranomaiselle 11 §:n 3 momentin mukaisesti luopuvansa ylläpitämästä muita kuin 10 §:n 1 ja 2 kohdassa tarkoitettuja palveluita, vastaa Tietolupaviranomainen sen tässä laissa tarkoitettuja henkilötietoja koskevista tietolupapäätöksistä. 
Tietolupapäätöksestä vastaavalla viranomaisella on oikeus pyytää tietosuojavaltuutetulta lausunto tietolupahakemuksesta, jos arvioi sen tarpeelliseksi.  
45 §  
Tietopyynnön käsittely 
Tietolupaviranomainen päättää, onko 3 §:n 9 kohdassa tarkoitettu tietopyyntö 2 §:n 1 momentissa säädettyjen käyttötarkoitusten ja muiden tietopyynnölle asetettujen vaatimusten mukainen. 
Päätöstä tehdessään Tietolupaviranomaisen on arvioitava tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan ja 86 artiklan nojalla sekä ottaen huomioon 8 §:n 4 momentissa tarkoitetun asiantuntijaryhmän periaatelinjaukset, onko pyytäjän esittämistä rekisteritiedoista mahdollista muodostaa tietopyynnössä tarkoitettu aggregoitu tilastotieto. 
Jos tietopyyntö kuitenkin koskee tieteellisen tutkimuksen käyttötarkoitusta ja pyyntö koskee myös tilastoviranomaisen tilastotarkoituksiin keräämiä tietoja, noudatetaan menettelyssä, mitä 7 §:ssä ja 51 §:n 4 momentissa säädetään. 
46 § 
Tietolupahakemuksen ja tietopyynnön toimittaminen Tietolupaviranomaiselle 
Tietopyyntö sekä tietolupahakemus Tietolupaviranomaiselle on toimitettava 16 §:ssä tarkoitetun tietopyyntöjen hallintajärjestelmän välityksellä. Jos hakija täydentää hakemustaan, myös täydennys on toimitettava Tietolupaviranomaiselle tietopyyntöjen hallintajärjestelmän välityksellä. Lupahakemukseen ja aggregoituja tilastotietoja koskevaan tietopyyntöön on liitettävä tiedonhyödyntämissuunnitelma. 
Tietolupaviranomainen antaa määräykset tietolupahakemuksen ja tiedonhyödyntämissuunnitelman sekä tietopyynnön tietosisällöistä ja tietorakenteista. 
47 § 
Tietolupakäsittelyn määräajat 
Päätös tietolupahakemukseen on annettava viipymättä, kuitenkin viimeistään 3 kuukauden kuluessa siitä, kun lupahakemus on saapunut täydellisenä viranomaiselle. 
Tietolupaviranomainen voi painavasta syystä päättää, että tietolupahakemuksen käsittelyaikaa jatketaan enintään 3 kuukautta, jos hakemuksen ja siihen liittyvän tiedonhyödyntämissuunnitelman käsittelyn edellytyksenä on poikkeuksellisen laaja ja usean eri rekisterinpitäjän tietojen käsittely taikka erityisen vaativa harkinta. Tietolupaviranomaisen on annettava luvan hakijalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa lupapäätös annetaan. 
Jos tietolupapäätöksestä vastaava viranomainen pyytää 44 §:n 4 momentissa tarkoitettua lausuntoa tietosuojavaltuutetulta, tietolupapäätöksestä vastaavan viranomaisen määräaika hakemuksen käsittelylle keskeytyy, kunnes lausunto on saapunut. 
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava Tietolupaviranomaiselle tietolupahakemuksen tai 45 §:ssä tarkoitetun, aggregoitua tilastotietoa koskevan tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 15 arkipäivässä pyynnön saapumisesta. 
48 § 
Tietojen luovutuksia koskevat määräajat 
Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai 45 §:ssä tarkoitetun aggregoituja tilastotietoja koskevan pyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivässä siitä, kun Tietolupaviranomainen on tehnyt päätöksen siitä, että tiedot saa luovuttaa hakijalle. Jos hakijan tietojen luovuttamisen tueksi esittämä selvitys on riittämätön, Tietolupaviranomaisen on ilmoitettava viipymättä hakijalle, mitä lisäselvitystä edellytetään. Pyydetyt tiedot on tällöin toimitettava hakijalle 30 arkipäivän kuluessa lisäselvityksen vastaanottamisesta, jos luovutuksen edellytyksistä voidaan varmistua toimitetun lisäselvityksen perusteella.  
Jos tietojen luovuttaminen Tietolupaviranomaiselle ei ole mahdollista 1 momentissa tarkoitetussa määräajassa, rekisterinpitäjän on ilmoitettava viivästyksestä, sen syystä ja tietojen luovutukseen tarvittavasta määräajan pidennyksestä ennen määräajan päättymistä. Tietolupaviranomaisen on asetettava perustellusta syystä luovutukselle uusi määräaika. 
Tietolupaviranomaisen on luovutettava luvansaajalle tietoluvan perusteella kokoamansa ja yhdistelemänsä tiedot viipymättä, kuitenkin viimeistään 60 arkipäivän kuluessa luvan myöntämisestä. 
Tietolupaviranomainen voi painavasta syystä pidentää luovutuksen määräaikaa, jos tietojen käyttötarkoituksen edellytyksenä on poikkeuksellisen laaja ja usean eri rekisterinpitäjän tietojen käsittely tai erityisen vaativa yhdistelytyö. Tietolupaviranomaisen on annettava luvan saajalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa tiedot luovutetaan. 
49 § 
Tietolupaa ja tietopyyntöä koskevasta päätöksestä perittävät maksut 
Tietolupaviranomainen tai muu luvan myöntänyt viranomainen saa periä maksun tietoluvasta ja tietopyyntöä koskevasta päätöksestä. Maksun määräytymisen perusteista säädetään valtion maksuperustelaissa (150/1992). 
50 § 
Palveluista perittävät korvaukset 
Tietolupaviranomainen saa periä korvauksen tässä laissa tarkoitetun tietoluvan mukaisten tietojen poimimisesta, toimittamisesta ja yhdistelystä, esikäsittelystä, pseudonymisoinnista ja anonymisoinnista sekä tietoturvallisen käyttöympäristön käytöstä.  
Korvaukset, jotka koskevan tietolupaan perustuvien tietojen poimintaa ja toimittamista muista kuin Tietolupaviranomaisen omista tietovarannoista, määräytyvät kutakin tiedot toimittanutta rekisterinpitäjää koskevien säännösten mukaisesti. Rekisterinpitäjällä tai henkilötietojen käsittelijällä, joka luovuttaa Tietolupaviranomaiselle tietoja tässä laissa tarkoitetun tietoluvan perusteella, on oikeus saada Tietolupaviranomaiselta korvauksena näin määräytyvä osuutensa luvansaajan maksettaviksi määrätyistä kustannusten korvauksista.  
Korvaukseen tämän pykälän mukaisesti oikeutetun on toimitettava Tietolupaviranomaiselle pyynnöstä arvio kustannuksista, joita tietojen käsittelystä korvaukseen oikeutetulle aiheutuu. Tietolupaviranomainen laatii saamiensa tietojen pohjalta kustannusarvion tietopyynnön toteuttamisesta ja toimittaa sen luvanhakijalle. Tietolupaviranomainen perii luvansaajalta 2 momentissa tarkoitetut korvaukset ja tulouttaa ne tiedot toimittaneille rekisterinpitäjille. 
Tietolupaviranomaisen korvausten määräytymisen perusteista säädetään valtion maksuperustelaissa. Tietoturvallisuuden arviointilaitoksen suorittamasta arvioinnista perittävistä maksuista säädetään tietoturvallisuuden arviointilaitoksista annetun lain 11 §:ssä. 
Sosiaali- ja terveysalan lupa- ja valvontavirastolle 30 §:n 1 momentin mukaan tehtävän ilmoituksen rekisteröinti ja merkintä julkiseen rekisteriin on maksullinen.  
51 § 
Tietoaineistojen käsittely ja luovutus luvansaajalle tietoluvan myöntämisen jälkeen  
Jos Tietolupaviranomainen on 44 §:ssä edellytetyissä tilanteissa myöntänyt tietoluvan, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi tämän pykälän 3 momentin mukaisesti. 
Jos 44 §:n 3 momentissa tarkoitettu yksittäinen rekisterinpitäjä on tehnyt omiin rekistereihinsä sisältyviä tietoja koskevan tietolupapäätöksen, se kokoaa rekistereistään tiedot, tarvittaessa yhdistelee, esikäsittelee ja pseudonymisoi ne sekä luovuttaa tietoaineiston luvansaajan käsiteltäväksi tämän pykälän 3 momentin mukaisesti. Jos kuitenkin tietoaineisto luovutetaan luvansaajalle anonymisoituna, on rekisterinpitäjän toimitettava lupapäätös sekä luvan mukaiset tiedot Tietolupaviranomaiselle tarvittaessa yhdisteltäviksi ja esikäsiteltäviksi sekä anonymisoitavaksi. Tietolupaviranomainen vastaa aina käsiteltäviksi luovutettavien tietojen anonymisoinnista ja niiden luovuttamisesta luvansaajan käsiteltäväksi. 
Tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi aina 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä, ellei siitä ole muodostettu aggregoitua tilastotietoa. Ensisijaisesti tämän pykälän 1 ja 2 momentissa tarkoitettu tietoaineisto luovutetaan käsiteltäväksi 20 §:n 1 momentissa tarkoitetussa, Tietolupaviranomaisen ylläpitämässä tietoturvallisessa käyttöympäristössä. Jos se kuitenkin tiedonhyödyntämissuunnitelmasta ja tietoluvasta erikseen ilmenevästä syystä on tärkeää, voidaan tietoaineisto luovuttaa vastaavasti 20 §:n 3 momentissa tarkoitetussa muussa tietoturvallisessa käyttöympäristössä käsiteltäväksi. 
Jos käyttötarkoitukseen tarvitaan myös Tilastokeskuksen tai Terveyden ja hyvinvoinnin laitoksen tilastoviranomaisena tilastotarkoitusta varten kokoamia tietoja, sanottu tilastoviranomainen yhdistelee sekä tarvittaessa esikäsittelee ja pseudonymisoi tai anonymisoi luovutettavat tiedot. Jos käyttötarkoitukseen tarvitaan molempien tilastoviranomaisten tietoja, sanotut viranomaiset sopivat keskenään, kumpi yhdistelee ja pseudonymisoi tai anonymisoi tiedot. Tiedot voidaan tämän jälkeen luovuttaa 17 §:ssä tarkoitetun tietoturvallisen käyttöpalvelun välityksellä saajan käsiteltäväksi tietojen luonteesta ja määrästä riippuen Tilastokeskuksen tai Tietolupaviranomaisen ylläpitämässä tietoturvallisessa käyttöympäristössä taikka muussa 20 §:n mukaisessa käyttöympäristössä.  
Käyttöympäristön palveluntarjoajan on varmistettava ennen yhteyden avaamista luvansaajalle, että luvansaaja täyttää tietoluvassa asetetut vaatimukset.  
52 § 
Tietoluvan nojalla luovutetuista tiedoista johdettujen tulosten julkaiseminen 
Kun tietoluvan nojalla on luovutettu tietoja käsiteltäviksi 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja niiden pohjalta tuotettuja tuloksia halutaan julkaista, vastaa Tietolupaviranomainen julkaistavien tietojen anonymisoinnin varmistamisesta. Tietolupaviranomainen voi kuitenkin perustellusta syystä lupapäätöksessään myöntää luvansaajalle oikeuden toteuttaa itse julkaistavien edellä mainittujen tietojen anonymisoinnin ehdolla, että ne toimitetaan jälkikäteen Tietolupaviranomaisille. 
Tietolupaviranomainen tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle vapaasti julkaistaviksi tämän tekemän pyynnön ja pyyntöön liitetyn ehdotuksen perusteella riippumatta siitä, onko tietoluvan myöntänyt yksittäinen rekisterinpitäjä vai Tietolupaviranomainen. 
53 § 
Tietolupakäsittelystä vastaavien viranomaisten selvitysvelvollisuus 
Tietolupakäsittelystä vastaavien viranomaisten on toimitettava vähintään kerran vuodessa tämän lain nojalla suorittamastaan tietojen käsittelystä ja lokirekisteriin tallennettujen tietojen käsittelystä yksityiskohtainen selvitys tietosuojavaltuutetulle.  
54 § 
Salassapitovelvoitteet 
Myös muihin tämän lain nojalla saatuihin tietoihin kuin viranomaisen tietoihin sovelletaan julkisuuslain:  
1) 22 §:ää asiakirjasalaisuudesta; 
2) 23 §:ää vaitiolovelvollisuudesta ja hyväksikäyttökiellosta; 
3) 24 §:ssä salassa pidettävistä tiedoista; 
4) 31 §:ää asiakirjan salassapidon lakkaamisesta; 
5) 32 §:ää vaitiolovelvollisuudesta poikkeamisesta ja sen lakkaamisesta. 
Jos tämän lain nojalla luovutetaan salassa pidettäviä tietoja muulle kuin viranomaiselle, niiden saajaa on luovutuksen yhteydessä informoitava salassapitovelvoitteista noudattaen julkisuuslain 25 §:ää. 
Sen estämättä, mitä muualla laissa säädetään oikeudesta tai velvollisuudesta luovuttaa salassa pidettäviä tietoja, tämän lain nojalla kerättyjä tietoja ei saa luovuttaa käytettäväksi yksityishenkilöä koskevassa hallinnollisessa päätöksenteossa eikä muussa vastaavassa asioiden käsittelyssä ilman hänen nimenomaista suostumustaan. Sosiaali- ja terveysalan valvontaviranomainen voi kuitenkin käyttää 42 §:n nojalla saamiaan tietoja muuta henkilöä kuin rekisteröityä koskevassa valvontatehtävässä, kun arvioidaan sosiaali- ja terveydenhuollon toimintayksiköiden tai ammattihenkilöiden toiminnan lainmukaisuutta taikka ammatillista asianmukaisuutta. 
6 luku 
Erinäiset säännökset 
55 §  
Merkittäviin kliinisiin löydöksiin perustuvat oikeudet, velvoitteet ja toimenpiteet 
Sen estämättä, mitä 54 §:n 3 momentissa säädetään, tietoluvan saajalla on oikeus ilmoittaa Tietolupaviranomaisen nimeämälle vastuuhenkilölle kliinisesti merkittävästä löydöksestä, jonka perusteella olisi mahdollista ehkäistä tietyn potilaan terveyteen liittyvää riskiä tai parantaa merkittävästi hoidon laatua.  
Jos 1 momentissa tarkoitetun ilmoituksen perusteena olevat tiedot ovat pseudonymisoituja, sanotun vastuuhenkilön on selvitettävä, ketä tai keitä tieto koskee. Kun Tietolupaviranomaisen vastuuhenkilöllä on tiedossaan henkilö tai henkilöt, joita 1 momentissa tarkoitettu ilmoitus koskee, vastuuhenkilön on toimitettava ilman aiheetonta viivytystä tiedot Terveyden ja hyvinvoinnin laitoksen nimeämälle asiantuntijalle. 
Edellä 2 momentissa tarkoitetun asiantuntijan on yhteistyössä laitoksen nimeämien muiden asiantuntijoiden kanssa arvioitava tiedon merkittävyys ja sen pohjalta toteutettavissa olevien toimenpiteiden odotettavissa oleva hyöty. Jos hyöty arvioidaan niin ilmeiseksi, että tutkittava olisi tärkeää saada hoidon piiriin, Terveyden ja hyvinvoinnin laitoksen 2 momentissa tarkoitetun asiantuntijan on ilmoitettava löydöksestä kunkin henkilön terveydenhuollosta alueellisesti terveydenhuoltolain nojalla vastuussa olevalle toimintayksikölle. 
Edellä 3 momentissa tarkoitetun toimintayksikön on otettava yhteys potilaaseen ja selvitettävä, haluaako tämä tiedon kliinisesti merkittävästä löydöksestä ja sen perusteella mahdollisesti tehtävistä tutkimus- ja hoitotoimenpiteistä sekä niistä odotettavissa olevasta hyödystä. 
Potilaalla on oikeus kieltää kliinisesti merkittävän löydöksen perusteella tehtävät yhteydenotot. Kielto kirjataan asiakastietolain 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun. Potilas voi tehdä kiellon kirjallisesti missä tahansa julkista terveydenhuoltoa tuottavassa toimintayksikössä taikka sähköisesti asiakastietolain 19 §:ssä tarkoitetun kansalaisen käyttöliittymän välityksellä.  
56 §  
Ohjaus, valvonta ja seuranta 
Tämän lain mukaisen henkilötietojen käsittelyn ja siihen liittyvän tietohallinnon yleinen suunnittelu, ohjaus ja valvonta kuuluvat sosiaali- ja terveysministeriölle.  
Tietosuojavaltuutettu, Sosiaali- ja terveysalan lupa- ja valvontavirasto sekä Tietolupaviranomainen ohjaavat ja valvovat toimialueellaan niille säädetyn toimivallan mukaisesti osaltaan tämän lain noudattamista. 
Tietolupaviranomaisen ja muiden tämän lain mukaisesti tietolupia myöntävien viranomaisten sekä Sosiaali- ja terveysalan lupa- ja valvontaviraston on omalta osaltaan seurattava ja valvottava, että kunkin antamaan palveluun liittyvä tietosuoja ja tietoturva toteutuvat ja että niiden myöntämien lupien ehtoja noudatetaan. Jos joku on lainvastaisesti käsitellyt henkilötietoja, asianomaisen viranomaisen on oma-aloitteisesti ryhdyttävä tarvittaviin toimenpiteisiin. Jos tietoja käsitellään 20 §:n 3 momentin nojalla muussa kuin Tietolupaviranomaisen tietoturvallisessa käyttöympäristössä, 19 §:ssä tarkoitetut lokitiedot sekä 22 §:n 2 momentissa tarkoitetun käyttäjärekisterin tiedot on toimitettava Tietolupaviranomaiselle seurannan ja valvonnan toteuttamiseksi sen pyynnöstä ilman aiheetonta viivytystä.  
Jos Tietolupaviranomaisella tai tämän lain mukaisesti tietolupia myöntävällä viranomaisella on perusteltua syytä epäillä, että sen myöntämän tietoluvan perusteella tietoja käsittelevä ei käsittele henkilötietoja lain mukaisesti, sen on viipymättä tehtävä ilmoitus tietosuojavaltuutetulle. 
57 §  
Tietolupaviranomaisen velvollisuus raportoida ohjausryhmälle 
Tietolupaviranomaisen on raportoitava ohjausryhmälle tapauksista, joissa poiketaan 47 ja 48 §:ssä tarkoitetuista määräajoista, sekä julkaistava tiedot niistä. 
58 §  
Muutoksenhaku 
Tässä laissa tarkoitettuun 45 §:n mukaista tietopyyntöä koskevaan päätökseen sekä tietolupahakemusta ja luvan peruuttamista koskevaan päätökseen, jonka antaa Tietolupaviranomainen taikka 6 §:ssä tarkoitettu rekisterinpitäjä, sekä Sosiaali- ja terveysalan lupa- ja valvontaviranomaisen tämän lain nojalla tekemään päätökseen saa vaatia oikaisua päätöksen tehneeltä viranomaiselta siten kuin hallintolaissa säädetään.  
Oikaisuvaatimukseen annettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. 
59 § 
Voimaantulo 
Tämä laki tulee voimaan       päivänä           kuuta 20 .  
60 § 
Siirtymäsäännökset 
Tämän lain 19 §:ää lokitiedoista, 20 §:n 3 momenttia ja 21—34 §:ää tietoturvalliselta käyttöympäristöltä edellytettävistä vaatimuksista sekä 55 §:ää kliinisistä löydöksistä sovelletaan 1 päivästä toukokuuta 2021. Ennen mainittua ajankohtaa tietoja voidaan luovuttaa luvansaajan käsiteltäväksi 51 §:n 1 ja 2 momentin nojalla, vaikka tietolupahakemuksessa ei osoitettaisi 51 §:n 3 momentissa tarkoitettua tietoturvallista käyttöympäristöä tietojen käsittelylle. 
Edellä 47 §:n 4 momentissa ja 48 §:ssä säädettyjä tietojen luovutusta koskevia määräaikoja sovelletaan Kansaneläkelaitokseen ja sosiaalihuollon palvelunjärjestäjiin 1 päivästä tammikuuta 2024 sekä sähköisestä lääkemääräyksestä annetun lain 3 §:n 4 kohdassa tarkoitettuun reseptikeskukseen ja 5 kohdassa tarkoitettuun reseptiarkistoon tallennettuihin tietoihin lääkemääräyksistä ja niihin liittyvistä toimitustiedoista 1 päivästä tammikuuta 2021.  
Tätä lakia sovelletaan asiakastietolaissa tarkoitettuihin Kanta-palveluihin 1 päivästä tammikuuta 2021.  
Ennen lain voimaantuloa asianomaisen suostumuksella kerättyjä tietoja saa käyttää ja luovuttaa tämän lain mukaisesti lain 2 §:n 1 momentin 1, 2 ja 7 kohdan mukaisiin käyttötarkoituksiin sen estämättä, mitä 43 §:n 3 momentissa säädetään, jos on ilmeistä, että tietojen tällainen käyttö ja luovutus ei poikkea niistä tarkoituksista, joita varten tiedot on annettu. Tietoluvasta päättävä viranomainen voi edellyttää, että luvanhakija pyytää eettisen arvion lupapäätöksen perusteeksi Terveyden ja hyvinvoinnin laitoksen eettiseltä toimikunnalta.  
Hakemus, joka on tehty ennen tämän lain voimaantuloa, käsitellään loppuun noudattaen tämän lain voimaan tullessa voimassa olleita säännöksiä. Hakemukseen, joka koskee henkilötietojen luovuttamista terveydenhuollon valtakunnallisista henkilörekistereistä annetun lain (556/1989) 4 §:n mukaisesti, ei kuitenkaan sovelleta mainitun pykälän 1 momentin mukaista velvollisuutta varata tietosuojavaltuutetulle tilaisuus tulla kuulluksi, vaan tämän lain 44 §:n 4 momentin mukaista oikeutta pyytää tietosuojavaltuutetulta lausunto tietolupahakemuksesta. 
Tämän lain 13 §:ää neuvontapalvelusta sovelletaan 1 päivästä marraskuuta 2019. 
Tämän lain 41 §:n 2 momenttia ja 42 §:n 1 momenttia sekä 45 §:ää aggregoitua tilastotietoa koskevan tietopyynnön käsittelystä sovelletaan 1 päivästä tammikuuta 2020. 
Tämän lain 14 §:n 1 ja 2 momenttia tietojen kokoamis-, yhdistämis- ja esikäsittelypalvelusta, pseudonymisoinnista ja anonymisoinnista, 16 §:ää tietopyyntöjen hallintajärjestelmästä sekä 20 §:n 1 momenttia tietoturvallisesta käyttöympäristöstä sovelletaan 1 päivästä tammikuuta 2020. 
Tietolupakäsittelyyn liittyvä toimivalta määräytyy tämän lain 44 §:n 1—3 momentin mukaisesti 1 päivästä huhtikuuta 2020. Tietolupahakemus ja tietopyyntö on toimitettava 16 §:ssä tarkoitetun tietopyyntöjen hallintajärjestelmän välityksellä Tietolupaviranomaiselle 1 päivästä huhtikuuta 2020.  
Laki 
Terveyden ja hyvinvoinnin laitoksesta annetun lain muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 2 §:n 1 momentin 3 ja 4 kohta sekä 5 §, sellaisena kuin niistä on 5 § osaksi laissa 1067/2009, sekä  
lisätään 2 §:n 1 momenttiin, sellaisena kuin se on osaksi laeissa 1067/2009 ja 1231/2010, uusi 3 a, 3 b, 4 c ja 4 d kohta sekä lakiin uusi 5 a—5 i § seuraavasti: 
2 § 
Tehtävät 
Laitoksen tehtävänä on: 
3) harjoittaa alan tutkimusta;  
3 a) edistää kehittämis- ja innovaatiotoimintaa; 
3 b) tehdä aloitteita ja esityksiä sosiaali- ja terveydenhuollon ja sen palvelujen kehittämiseksi ja väestön terveyden ja hyvinvoinnin edistämiseksi; 
4) ylläpitää alan tiedostoja ja rekistereitä sekä huolehtia tehtäväalueensa tietoperustasta ja sen hyödyntämisestä;  
4 c) toimia tilastolain (280/2004) 2 §:n 2 momentissa tarkoitettuna tilastoviranomaisena; 
4 d) ylläpitää alan laaturekistereitä; 
5 §  
Oikeus saada ja käsitellä tietoja 
Edellä 2 §:n 1 momentin 1—3, 4 ja 4 d kohdassa Terveyden ja hyvinvoinnin laitokselle säädettyjen tehtävien hoitamista varten laitoksella on oikeus saada maksutta sekä salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten rajoittamatta tunnistetietoineen väestöä koskevat välttämättömät tiedot seuraavasti: 
1) viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:n mukaisilta sosiaali- ja terveydenhuoltoa järjestäviltä viranomaisilta sekä yksityisesti sosiaali- ja terveysalan palveluja järjestäviltä ja tuottavilta sosiaali- ja terveydenhuollon laitoshoitoa ja avopalveluita sekä ensihoitoa koskevat tiedot:
a) asiakkaasta ja potilaasta;
b) sikiöstä ja elävänä tai kuolleena syntyneestä lapsesta sekä näiden äidistä ja tiedossa olevasta isästä;
c) palvelun järjestäjästä ja tuottajasta;
d) palvelun antamisen aloittamis- ja päättymisajankohdasta;
e) asiakkaan kotikunnasta ja asumismuodosta;
f) palvelun antamisen perusteesta ja saatavuudesta;
g) palvelun tarpeesta, lajista ja määrästä;
h) sairaudesta, vammasta, vammaisuudesta, sosiaalisesta tilanteesta ja lääketieteellisestä tilasta sekä niihin liittyvistä toimenpiteistä ja päätöksistä, palveluista ja hoidosta, tutkimustuloksista, lääkityksestä ja kuntoutuksesta;
i) rokotuksista sekä muusta sairauksien ja palvelun tarpeen ennaltaehkäisystä;
j) toimenpiteiden ja palvelujen laadusta ja vaikuttavuudesta;
k) terveydenhuollon laitteiden ja tarvikkeiden tuoteturvallisuudesta;
l) asiakas- ja potilasturvallisuudesta;
m) palveluihin käytetystä henkilöstöstä ja muista voimavaroista sekä niistä aiheutuneista kustannuksista;
n) palveluista perityistä maksuista;
 
2) Kansaneläkelaitokselta:
a) Kansaneläkelaitoksen toimeenpantavaksi säädetyistä etuuksista ja niiden käytöstä sekä sähköisestä lääkemääräyksestä annetussa laissa (61/2007) tarkoitetut reseptikeskukseen ja reseptiarkistoon tallennetut tiedot lääkemääräyksistä ja niihin liittyvistä toimitustiedoista;
b) sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007) tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (Kanta-palvelut) tallennetut tiedot;
 
3) Sosiaali- ja terveydenhuollon lupa- ja valvontavirastolta:
a) raskauden keskeyttämistä ja steriloimista koskevat tiedot noudattaen raskauden keskeyttämisestä annettua lakia (239/1970) ja steriloimislakia (283/1970);
b) tiedot sosiaali- ja terveydenhuollon ammattihenkilöistä terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 24 a §:ssä tarkoitetusta terveydenhuollon ammattihenkilöiden keskusrekisteristä ja sosiaalihuollon ammattihenkilöistä annetun lain (817/2015) 16 §:ssä tarkoitetusta sosiaalihuollon ammattihenkilöiden keskusrekisteristä;
 
4) Väestörekisterikeskukselta henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 3 §:ssä tarkoitetusta väestötietojärjestelmästä; sekä 
5) Tilastokeskukselta kuolemansyyn selvittämisestä annetussa laissa (459/1973) tarkoitetut tiedot. 
Edellä 1 momentissa tarkoitettuna tunnistetietona kerätään henkilöstä henkilötunnus ja muusta tietoyksiköstä sen yksilöivä tunnus.  
Edellä 1 ja 2 momentissa tarkoitetut tiedot on oikeus saada teknisen käyttöyhteyden avulla. 
5 a § 
Tietojen luovuttaminen 
Tämän lain 5 §:n 1 momentin 1 kohdan nojalla kerättyjä tietoja voidaan luovuttaa noudattaen, mitä sosiaali- ja terveystietojen toissijaisesta käytöstä annetussa laissa (   /   ) säädetään. 
Sen estämättä, mitä muualla laissa säädetään oikeudesta tai velvollisuudesta luovuttaa salassa pidettäviä tietoja, tämän lain nojalla kerättyjä tietoja ei saa luovuttaa käytettäviksi yksittäistä henkilöä tai perhettä koskevassa hallinnollisessa päätöksenteossa eikä muussa vastaavassa asioiden käsittelyssä.  
Mitä 2 momentissa tai muussa laissa säädetään, ei estä tietojen antamista takaisin sille viranomaiselle tai palvelunantajalle, joka on toimittanut tietoaineiston laitokselle.  
5 b §  
Tietojen säilytysaika 
Terveyden ja hyvinvoinnin laitos voi säilyttää tiedot niin kauan kuin se on välttämätöntä niiden tehtävien toteuttamiseksi, joissa tietoja käsitellään, jollei tietojen säilyttämisestä säädetä toisin laitosta koskevassa muussa laissa. Tämän jälkeen tiedot on hävitettävä yhden vuoden kuluessa, jollei arkistolaitos arkistolain (831/1994) nojalla määrää tietoja säilytettäviksi pysyvästi.  
Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, jäljempänä tietosuoja-asetus, 9 artiklan 1 kohdassa tarkoitetut tiedot on kuitenkin poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa mainittua perustetta. Perustetta ja käsittelyn tarvetta on arvioitava vähintään viiden vuoden välein, jollei laista muuta johdu. 
5 c § 
Tiedonantovelvollisuus ja päätös tietojen keräämisestä 
Rekisterinpitäjällä, jonka rekisteritietoja 5 §:n 1 momentissa tarkoitettu Terveyden ja hyvinvoinnin laitoksen tiedonsaantioikeus koskee, on velvollisuus luovuttaa laitokselle 5 §:ssä tarkoitetut tiedot laitoksen päätöksen mukaisesti.  
Terveyden ja hyvinvoinnin laitos päättää 1 momentissa tarkoitetun tiedonantovelvollisuuden perusteella toteutettavista uusista tiedonkeruista sekä tiedonkeruiden laajentamisesta, niiden antamisessa noudatettavista määräajoista ja menettelytavoista sekä tiedonantajille toimitettavista palautetiedoista.  
Laitoksen 2 momentissa tarkoitettuun päätökseen saa vaatia oikaisua siten kuin hallintolaissa (434/2003) säädetään. Lisäksi tietosuojavaltuutetulla on oikeus vaatia oikaisua ja hakea muutosta 2 momentissa tarkoitettuun päätökseen. 
Oikaisuvaatimukseen annettuun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (568/1996) säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Päätös voidaan panna täytäntöön heti, jollei valitusviranomainen kiellä täytäntöönpanoa.  
5 d § 
Neuvotteluvelvoite sekä tiedon tarpeen arviointi 
Jos kysymyksessä on uusi tiedonkeruu tai jo kerättävien tietojen tietosisältöjen merkittävä muutos taikka tiedonkeruiden laajentaminen, Terveyden ja hyvinvoinnin laitoksen on neuvoteltava 5 c §:n 1 momentissa tarkoitettuja tiedonantajia edustavien järjestöjen tai organisaatioiden kanssa sekä kuultava tietosuojavaltuutettua mainitun pykälän 2 momentissa tarkoitetusta tietojen keräämisestä ennen kuin se tekee päätöksen tiedonantovelvollisuudesta.  
Edellä 1 momentissa tarkoitetussa neuvottelussa arvioidaan kerättävien tietojen tarpeellisuutta, tietosisältöjä ja niiden muutoksia sekä tietojen säilytysaikaa ja käytettävää tietojen keräämistapaa sekä tunnistetietojen tarpeellisuutta.  
Edellä 1 momentissa tarkoitettu neuvottelu ja kuuleminen on järjestettävä niin varhaisessa vaiheessa, että tiedonantajia edustavien tahojen ja tietosuojavaltuutetun näkemykset voidaan ottaa huomioon. Neuvottelu on järjestettävä myös, jos tiedonantajia edustava taho sitä pyytää. 
5 e §  
Oikeus saada ja käsitellä näytteitä 
Terveyden ja hyvinvoinnin laitos voi 2 §:ssä tai muussa laissa sille säädettyjen tutkimus- ja selvitystehtävien suorittamiseksi kerätä ja käsitellä veri- ja kudosnäytteitä, jos se on välttämätöntä laitokselle säädettyjen tehtävien hoitamiseksi. 
Laitos voi siirtää hallussaan olevia veri- ja kudosnäytteitä sekä niihin liittyviä tietoja biopankkilain (688/2012) mukaisesti biopankkiin. 
Veri- ja kudosnäytteiden säilyttämiseen sovelletaan 5 b §:ää tietojen säilytysajasta. 
5 f § 
Merkittävän tutkimusaineiston siirtäminen Terveyden ja hyvinvoinnin laitokselle 
Jos yliopiston, muun tutkimuslaitoksen, yksityisen tutkijan tai tutkijaryhmän taikka sosiaali- tai terveydenhuollon toimintayksikön tekemä tutkimus ja sen aineisto on väestön hyvinvoinnin tai terveyden ja niiden tutkimuksen kannalta erityisen merkityksellinen, aineisto voidaan salassapitosäännösten estämättä siirtää sopimuksella Terveyden ja hyvinvoinnin laitokselle tutkimustoiminnassa käytettäväksi.  
Edellytyksenä 1 momentissa tarkoitetun tutkimusaineiston siirrolle on, että Terveyden ja hyvinvoinnin laitoksen eettinen toimikunta antaa myönteisen lausunnon tutkimusaineiston luovutuksesta. Asianomaisen suostumuksella kerättyjä tietoja saa kuitenkin siirtää vain, jos on ilmeistä, että tietojen tällainen käyttö ja luovutus ei olennaisesti poikkea niistä tarkoituksista, joita varten tiedot on annettu. 
5 g § 
Terveyden ja hyvinvoinnin laitoksen oikeus saada tietoja mielentilatutkimusten suorittamiseksi 
Terveyden ja hyvinvoinnin laitoksella ja mielentilatutkimusta Terveyden ja hyvinvoinnin laitoksen määräyksestä mielenterveyslain (1116/1990) nojalla suorittavalla on oikeus saada maksutta sekä salassapitovelvollisuutta koskevien säännösten estämättä mielentilatutkimusten suorittamiseksi välttämättömät tiedot valtion ja kunnan viranomaiselta sekä muulta julkisoikeudelliselta yhteisöltä, Kansaneläkelaitokselta, Eläketurvakeskukselta, potilasvahinkolautakunnalta, eläkesäätiöltä ja muulta eläkelaitokselta, vakuutuslaitokselta, yksityisestä terveydenhuollosta annetun lain (152/1990) 2 §:n 2 momentissa tarkoitetulta palvelujen tuottajalta ja 3 momentissa tarkoitetulta itsenäiseltä ammatinharjoittajalta, yksityisistä sosiaalipalveluista annetun lain (922/2011) 3 §:n 2 kohdassa tarkoitetulta toimintayksiköltä sekä apteekilta. Oikeuspsykiatristen asioiden lautakunnalla on oikeus saada vastaavat tiedot sille tämän lain 3 a §:n 2 momentissa säädettyjen tehtävien suorittamiseksi. 
5 h § 
Tietojen käsittely tilastoviranomaisena 
Kun Terveyden ja hyvinvoinnin laitos toimii 2 §:n 1 momentin 4 c kohdassa tarkoitettuna tilastoviranomaisena,  kunnat,  kuntayhtymät,  valtion  viranomaiset  sekä  julkiset  ja  yksityiset sosiaali- ja terveydenhuollon palveluntuottajat ovat velvollisia antamaan laitokselle sen pyynnöstä sellaiset sosiaali- ja terveydenhuoltoon kuuluvaa toimintaansa koskevat tiedot, jotka ovat välttämättömiä tilastojen laatimisen kannalta ja jotka eivät sisällä tunnistetietoja. Vastaavasti Kansaneläkelaitos on velvollinen antamaan Terveyden ja hyvinvoinnin laitokselle tiedot maksamiensa etuuksien sekä niiden saajien määristä.  
Tämän pykälän nojalla saatuja tietoja on oikeus käsitellä vain tilastolain mukaisesti. 
Lisäksi Terveyden ja hyvinvoinnin laitos saa käyttää 5 §:n nojalla saamiaan tietoja myös tilastoviranomaistehtäviin. 
5 i § 
Laaturekisterit 
Laaturekisterillä tarkoitetaan rekisteriä, jonka tietoja käytetään tietyn sairauden hoidon tai tietyn hoitomenetelmän taikka sosiaalipalvelun arvioimiseen. Rekisteriin tallennetaan sairauteen ja hoitomenetelmään tai sosiaalipalvelun toteuttamiseen liittyviä välttämättömiä henkilötietoja. Lisäksi rekisteriin saa tallentaa tiedot hoidosta tai palvelusta vastanneesta toimintayksiköstä ja sen toteuttaneista henkilöistä hoidon tai palvelun laadun arvioimiseksi. 
Terveyden ja hyvinvoinnin laitoksen rekisterinpidollisessa vastuussa olevaa laaturekisteriä saa käyttää sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain mukaisissa käyttötarkoituksissa. 
Sosiaali- ja terveysministeriön asetuksella säädetään, mitkä laaturekisterit ovat Terveyden ja hyvinvoinnin laitoksen rekisterinpidollisessa vastuussa. Terveyden ja hyvinvoinnin laitos antaa määräykset ylläpitämiensä laaturekistereiden tietorakenteista ja tietosisällöistä. 
Tämä laki tulee voimaan       päivänä           kuuta 20 .  
Jos henkilötietoja on ennen tämän lain voimaantuloa kerätty laaturekisteriin ja laaturekisterin rekisterinpitäjä ei ole viranomainen eikä sosiaali- tai terveydenhuollon toimintayksikkö, rekisterinpitäjän on viimeistään 30 päivänä marraskuuta 2019 annettava Terveyden ja hyvinvoinnin laitokselle tiedot ylläpitämästään rekisteristä ja sen rekisteriselosteesta sekä muut asian arvioimiseksi välttämättömät tiedot. 
Laki 
lääkelain 30 e §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti  
kumotaan lääkelain (395/1987) 30 e §:n 4 momentti, sellaisena kuin se on laissa 330/2013, sekä  
muutetaan 30 e §:n 2, 3 ja 6 momentti, sellaisina kuin ne ovat laissa 330/2013, seuraavasti: 
30 e § 
Lääkealan turvallisuus- ja kehittämiskeskus tallentaa 1 momentissa tarkoitetut tiedot ylläpitämäänsä valtakunnalliseen haittavaikutusrekisteriin lääke- ja potilasturvallisuuden varmistamiseksi. Lääkealan turvallisuus- ja kehittämiskeskus voi myös milloin tahansa pyytää tietoja lääkevalmisteen riski-hyötysuhteesta. Lisäksi terveydenhuollon ammattihenkilöistä annetussa laissa (559/1994) tarkoitetut henkilöt ovat velvollisia salassapitovelvollisuutta koskevien säännösten estämättä lääke- ja potilasturvallisuuden varmistamiseksi antamaan maksutta Lääkealan turvallisuus- ja kehittämiskeskukselle potilasasiakirjoihin sisältyvät seuraavat tiedot: potilaan henkilötiedot, tiedot lääkityksestä, lääkityksen käyttöaiheista ja lääkkeiden sivuvaikutuksista sekä tiedot ilmoituksentekijästä. 
Lääkevalmisteen myyntiluvan, rinnakkaistuontimyyntiluvan ja perinteisen kasvirohdosvalmisteen rekisteröinnin haltijan sekä Lääkealan turvallisuus- ja kehittämiskeskuksen ylläpitämässä haittavaikutusrekisterissä olevia tietoja saa käyttää vain lääkkeiden haittavaikutusten seurantaan ja raportointiin, sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (   /   ) mukaisesti siinä tarkoitettuihin käyttötarkoituksiin sekä lääkkeiden turvallisuuden ja riski-hyötysuhteen arviointiin. Tietoja ei saa kuitenkaan luovuttaa tai käyttää rekisteröityä koskevaan päätöksentekoon. Lääkealan turvallisuus- ja kehittämiskeskuksen on luovutettava saamansa rokotetta koskevat tiedot Terveyden ja hyvinvoinnin laitokselle. Tietoja saa luovuttaa Lääkealan turvallisuus- ja kehittämiskeskuksen ylläpitämästä haittavaikutusrekisteristä teknisen käyttöyhteyden kautta. Ennen teknisen käyttöyhteyden avaamista tietoja pyytävän on esitettävä selvitys siitä, että tietojen suojauksesta huolehditaan asianmukaisesti. 
Lääkealan turvallisuus- ja kehittämiskeskus antaa tarkempia määräyksiä haittavaikutusrekisterin ylläpidosta ja tietojen ilmoittamisesta Lääkealan turvallisuus- ja kehittämiskeskukselle. Lääkealan turvallisuus- ja kehittämiskeskus voi tarvittaessa antaa lääkkeen määräämiseen ja toimittamiseen oikeutetuille lääkevalmisteiden haittavaikutusten ilmoittamista koskevia määräyksiä. 
Tämä laki tulee voimaan       päivänä           kuuta 20 .  
Laki 
sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain 18 §:n 5 momentin kumoamisesta  
Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain (812/2000) 18 §:n 5 momentti, sellaisena kuin se on laissa 796/2010. 
2 § 
Tämä laki tulee voimaan       päivänä           kuuta 20 .  
Laki 
potilaan asemasta ja oikeuksista annetun lain 13 §:n 5 momentin kumoamisesta 
Eduskunnan päätöksen mukaisesti säädetään:  
1 § 
Tällä lailla kumotaan potilaan asemasta ja oikeuksista annetun lain (785/1992) 13 §:n 5 momentti, sellaisena kuin se on laissa 795/2010. 
2 § 
Tämä laki tulee voimaan       päivänä           kuuta 20 .  
Laki 
sähköisestä lääkemääräyksestä annetun lain 15 §:n muuttamisesta 
Eduskunnan päätöksen mukaisesti 
muutetaan sähköisestä lääkemääräyksestä annetun lain (61/2007) 15 §:n 4 ja 5 momentti, sellaisena kuin niistä on 15 §:n 4 momentti laissa 251/2014, seuraavasti: 
 
15 § 
Tietojen luovuttaminen viranomaisille ja tieteelliseen tutkimukseen 
Sosiaali- ja terveysalan tietolupaviranomaisella (Tietolupaviranomainen) on oikeus käsitellä ja luovuttaa reseptikeskuksessa ja reseptiarkistossa olevia tietoja sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (   /   ) mukaisesti.  
Kansaneläkelaitos saa laatia ja luovuttaa yhteenvetoja reseptikeskuksessa ja reseptiarkistossa olevista tiedoista, joilla voi olla merkitystä lääketurvallisuuden ja lääkehoidon hyötyjen ja kustannusten selvittämisessä sekä Kansaneläkelaitoksen toiminnan ja palvelujen kehittämisessä. Kansaneläkelaitoksella on oikeus käyttää reseptikeskuksessa ja reseptiarkistossa olevia tietoja Kansaneläkelaitoksen tieteellisessä tutkimuksessa ilman Tietolupaviranomaisen tietolupaa. Kansaneläkelaitoksen on tällöin itse myönnettävä tietolupa reseptikeskuksen ja reseptiarkiston tietoihin. 
Tämä laki tulee voimaan       päivänä           kuuta 20 . 
Laki 
sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 10 §:n 3 momentin kumoamisesta 
Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 10 §:n 3 momentti. 
2 § 
Tämä laki tulee voimaan       päivänä           kuuta 20 . 
Laki 
kuolemansyyn selvittämisestä annetun lain 15 §:n 3 momentin kumoamisesta 
Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan kuolemansyyn selvittämisestä annetun lain (459/1973) 15 §:n 3 momentti, sellaisena kuin se on laissa 684/1999. 
2 § 
Tämä laki tulee voimaan       päivänä           kuuta 20 . 
Laki 
tartuntatautilain muuttamisesta 
Eduskunnan päätöksen mukaisesti 
kumotaan tartuntatautilain (1227/2016) 42 § sekä 
muutetaan 25 §:n 1 momentti, 34 §, 36 §:n 2 momentti, 51 §:n 2 momentti ja 53 §:n 2 momentti seuraavasti: 
25 § 
Tiedonsaantioikeus vakavan epidemian torjumiseksi 
Jos kiireelliset toimet ovat välttämättömiä väestön terveyden suojelemiseksi väestön terveyttä vaarantavan vakavan epidemian uhatessa tai sen aikana epidemian torjumiseksi tai sen syiden selvittämiseksi ja leviämisen estämiseksi, Terveyden ja hyvinvoinnin laitoksella on salassapitosäännösten estämättä ja korvauksetta oikeus saada käyttöönsä ja yhdistää potilasasiakirjoissa ja Kansaneläkelaitoksen etuusrekisterissä olevia tietoja sekä Terveyden ja hyvinvoinnin laitoksesta annetun lain (668/2008) 5 §:n nojalla saamiaan tietoja ja poimia satunnaisesti vertailuhenkilöitä tai tehdä väestöotos väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) mukaisesta väestötietojärjestelmästä. Näitä tietoja ovat taudin aiheuttajia ja niiden ominaisuuksia, diagnooseja, riskitekijöitä, tartunnan kulkuun vaikuttaneita tekijöitä sekä sairastuneen hoitopaikkaa, hoitoa ja hoidon lopputulosta koskevat tiedot. Tietoja voidaan yhdistää, jos se on välttämätöntä vakavan epidemian alkuperän selvittämiseksi tai sen vaikutusten määrittämiseksi. 
34 § 
Otosseurantarekisterin tietojen yhdistäminen 
Terveyden ja hyvinvoinnin laitos voi täydentää otosseurantarekisterin tietoja väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain mukaisesta väestötietojärjestelmästä tiedoilla asiakkaan ja potilaan asuinkunnasta ja -paikasta, syntymämaasta, kansalaisuudesta ja mahdollisesta kuolemasta sekä yhdistää näitä tietoja tartuntatautirekisterissä ja Kansaneläkelaitoksen etuusrekisterissä oleviin tietoihin sekä tietoihin, jotka se on saanut Terveyden ja hyvinvoinnin laitoksesta annetun lain 5 §:n nojalla. 
36 § 
Hoitoon liittyvien infektioiden rekisterit 
Laitos voi täydentää tietoja väestötietojärjestelmästä tiedoilla potilaan ja asiakkaan asuinkunnasta ja -paikasta sekä mahdollisesta kuolemasta. Rekisteriin saa kerätä ja tallettaa seuraavat välttämättömät tiedot: taudin aiheuttajia ja niiden ominaisuuksia, diagnooseja, riskitekijöitä, tartunnan kulkuun vaikuttaneita tekijöitä sekä hoitopaikkaa, hoitoa ja hoidon lopputulosta koskevia tietoja sosiaali- ja terveydenhuollon hoitoilmoitusjärjestelmästä, tartuntatautirekisteristä tai Terveyden ja hyvinvoinnin laitoksesta annetun lain 5 §:n nojalla saatuja tietoja. 
51 § 
Rokotusten vaikutusten seuraaminen ja haittavaikutusten tai niiden epäilyjen selvittäminen 
Terveyden ja hyvinvoinnin laitoksella on oikeus saada salassapitosäännösten estämättä ja korvauksetta käyttöönsä potilasasiakirjoissa olevat 1 momentissa tarkoitettujen tehtävien suorittamiseksi välttämättömät tiedot ja yhdistää näitä tietoja tartuntatautirekisterissä ja Kansaneläkelaitoksen etuusrekisterissä oleviin tietoihin sekä Terveyden ja hyvinvoinnin laitoksesta annetun lain 5 §:n nojalla saatuihin tietoihin. 
53 § 
Rokotteiden ja rokotusten haittavaikutusilmoitusten tallentaminen 
Rekisteristä säädetään lääkelaissa (395/1987). 
 
Tämä laki tulee voimaan       päivänä           kuuta 20 . 
Laki 
terveydenhuollon valtakunnallisista henkilörekistereistä annetun lain kumoamisesta 
Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan terveydenhuollon valtakunnallisista henkilörekistereistä annettu laki (556/1989). 
2 § 
Tämä laki tulee voimaan       päivänä           kuuta 20 . 
Laki 
sosiaali- ja terveysalan tutkimus- ja kehittämiskeskuksen tilastotoimesta annetun lain kumoamisesta  
Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan sosiaali- ja terveysalan tutkimus- ja kehittämiskeskuksen tilastotoimesta annettu laki (409/2001). 
2 § 
Tämä laki tulee voimaan       päivänä           kuuta 20 . 
Laki 
toimeentulotuesta annetun lain 14 g §:n 3 momentin kumoamisesta 
Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan toimeentulotuesta annetun lain (1412/1997) 14 g §:n 3 momentti, sellaisena kuin se on laissa 815/2015. 
2 § 
Tämä laki tulee voimaan       päivänä           kuuta 20 . 
Helsingissä 13.3.2019 
Eduskunnan puolesta
puhemies
pääsihteeri
Viimeksi julkaistu 11.4.2019 11:39