<AknXmlList><Results><akomaNtoso xmlns="http://docs.oasis-open.org/legaldocml/ns/akn/3.0" xmlns:finlex="http://data.finlex.fi/schema/finlex" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <act contains="originalVersion" name="main">
        <meta>
            <identification source="#organization_fi.finlex">
                <FRBRWork>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup"/>
                    <FRBRdate date="2025-12-05" name="dateIssued"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRcountry value="fi"/>
                    <FRBRsubtype value="statute"/>
                    <FRBRnumber value="1159"/>
                    <FRBRprescriptive value="true"/>
                    <FRBRauthoritative value="true"/>
                </FRBRWork>
                <FRBRExpression>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/swe@/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159/swe@"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup/swe"/>
                    <FRBRdate date="2025-12-05" name="dateIssued"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRlanguage language="swe"/>
                </FRBRExpression>
                <FRBRManifestation>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/swe@/!main.xml"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159/swe@.akn"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup/swe/xml"/>
                    <FRBRdate date="2025-12-11" name="dateProduced"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_editor" href="#organization_fi.finlex"/>
                    <FRBRformat value="xml"/>
                </FRBRManifestation>
            </identification>
            <references source="#organization_fi.finlex">
                <TLCOrganization eId="organization_fi.finlex" href="/akn/ontology/organization/fi.finlex" showAs="Finlex"/>
                <TLCRole eId="role_author" href="/akn/ontology/role/author" showAs="Tekijä"/>
                <TLCRole eId="role_editor" href="/akn/ontology/role/editor" showAs="Toimittaja"/>
                <TLCConcept eId="act" href="/akn/ontology/concept/statute/type-statute.act" showAs="Lag"/>
                <TLCConcept eId="amending-statute" href="/akn/ontology/concept/statute/category-statute.amending-statute" showAs="Muutossäädös"/>
            </references>
            <proprietary source="#organization_fi.finlex">
                <finlex:typeStatute refersTo="#act"/>
                <finlex:categoryStatute refersTo="#amending-statute"/>
                <finlex:documentYear>2025</finlex:documentYear>
            </proprietary>
        </meta>
        <preface>
            <p>
                <docNumber>1159/2025</docNumber>
                <docTitle>Lag om ändring av lagen om sekundär användning av personuppgifter inom social- och hälsovården</docTitle>
            </p>
        </preface>
        <preamble>
            <formula name="enactingClause">
                <p>I enlighet med riksdagens beslut</p>
                <blockContainer>
                    <block name="repeals">
                        <i>upphävs</i>
                         i lagen om sekundär användning av personuppgifter inom social- och hälsovården (<affectedDocument href="/akn/fi/act/statute/2019/552">552/2019</affectedDocument>) 10 och 11 §, 21 § 2 mom., 44 § och 50 § 3 mom., 
                    </block>
                    <block name="repeals-originals">av dem 11 § sådan den lyder delvis ändrad i lag 707/2023 och 50 § 3 mom. sådant det lyder i lag 1491/2019,</block>
                </blockContainer>
                <blockContainer>
                    <block name="substitutions">
                        <i>ändras</i>
                         1 och 2 §, 3 § 10, 12 och 13 punkten, 5 § 1, 2 och 4 mom., rubriken för och det inledande stycket i 6 § samt 6 § 11 punkten, 7 och 8 §, 13 § 2 mom., 14, 16, 17 och 20 §, 23 § 1 mom., 36 § 2 och 3 mom., 37 § 1 mom., 42 § 3 mom., 43 § 5 mom., 45–48 §, 50 § 2 och 4 mom., 51, 52 och 58 § samt 60 § 4, 8 och 9 mom., 
                    </block>
                    <block name="substitutions-originals">av dem 8 § sådan den lyder delvis ändrad i lag 544/2022, 50 § 2 mom. sådant det lyder i lag 1491/2019 och 58 § sådan den lyder delvis ändrad i lag 767/2025, samt</block>
                </blockContainer>
                <blockContainer>
                    <block name="insertions">
                        <i>fogas</i>
                         till lagen nya 6 a–6 c, 7 a och 36 a §, till 49 § ett nytt 2 mom. och till lagen nya  51 a– 51 d § som följer:
                    </block>
                </blockContainer>
            </formula>
        </preamble>
        <body>
            <hcontainer finlex:outline="Förordningens text" name="statuteProvisionsWrapper">
                <section eId="sec_1">
                    <num>1 §</num>
                    <heading>Lagens syfte</heading>
                    <subsection eId="sec_1__subsec_1">
                        <content>
                            <p>Syftet med denna lag är att möjliggöra en effektiv och informationssäker behandling av personuppgifter inom social- och hälsovården för sekundära användningsändamål. Lagens syfte är dessutom att trygga individens skydd för berättigade förväntningar samt rättigheter och friheter vid behandlingen av personuppgifter.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_2">
                    <num>2 §</num>
                    <heading>Tillämpningsområde och förhållande till annan lagstiftning</heading>
                    <subsection eId="sec_2__subsec_1">
                        <content>
                            <p>
                                 Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan 
                                <i>dataskyddsförordningen</i>, när personuppgifter som avses i 2 mom. behandlas för användningsändamål som avses i det momentet.
                            </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_2__subsec_2">
                        <intro eId="sec_2__subsec_2__intro">
                            <p>Denna lag tillämpas på behandling av personuppgifter som registrerats i social- och hälsovårdsverksamhet hos de organisationer som avses i 6 § och hos privata serviceanordnare inom socialvården eller hälso- och sjukvården samt för styrnings-, tillsyns-, forsknings- och statistikändamål inom social- och hälsovården liksom även på samkörning av dessa personuppgifter med Folkpensionsanstaltens, Statistikcentralens, Pensionsskyddscentralens och Myndigheten för digitalisering och befolkningsdatas personuppgifter, med de begränsningar som anges i 6, 7 och 7 a §, när uppgifterna i fråga behandlas för följande användningsändamål, även om de inte ursprungligen har registrerats för de ändamålen:</p>
                        </intro>
                        <paragraph eId="sec_2__subsec_2__para_1">
                            <num>1) </num>
                            <content>
                                <p>statistikföring,</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_2">
                            <num>2) </num>
                            <content>
                                <p>vetenskaplig forskning,</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_3">
                            <num>3) </num>
                            <content>
                                <p>utvecklings- och innovationsverksamhet,</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_4">
                            <num>4) </num>
                            <content>
                                <p>undervisning,</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_5">
                            <num>5) </num>
                            <content>
                                <p>informationsledning,</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_6">
                            <num>6) </num>
                            <content>
                                <p>myndighetsstyrning och myndighetstillsyn inom social- och hälsovården,</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_7">
                            <num>7) </num>
                            <content>
                                <p>myndigheternas planerings- och utredningsuppgifter.</p>
                            </content>
                        </paragraph>
                    </subsection>
                    <subsection eId="sec_2__subsec_3">
                        <content>
                            <p>Bestämmelser om grunder för utlämnande och mottagarens rätt att behandla de utlämnade personuppgifterna för sådana ändamål som avses i 2 mom. finns i 4 och 5 kap.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_2__subsec_4">
                        <content>
                            <p>Denna lag tillämpas inte på behandling av personuppgifter som sker inom ramen för sådana kliniska prövningar som avses i 1 § i lagen om klinisk prövning av läkemedel (983/2021), sådana kliniska prövningar av medicintekniska produkter eller prestandastudier av produkter för in vitro-diagnostik som avses i 3 kap. i lagen om medicintekniska produkter (719/2021) eller sådan medicinsk forskning som avses i 2 § 1 punkten i lagen om medicinsk forskning (488/1999), om försökspersonen eller dennes lagliga företrädare har gett sitt samtycke till deltagande i prövningen i enlighet med de bestämmelser om givande av samtycke som finns i Europaparlamentets och rådets förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG och i lagen om klinisk prövning av läkemedel, i Europaparlamentets och rådets förordning (EU) 2017/745 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och
förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, i Europaparlamentets och rådets förordning (EU) 2017/746 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU och i lagen om medicintekniska produkter eller i lagen om medicinsk forskning eller om villkoren för prövning i nödsituationer uppfylls på det sätt som anges i de ovan nämnda författningarna.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_3">
                    <num>3 §</num>
                    <heading>Definitioner</heading>
                    <subsection eId="sec_3__subsec_1">
                        <intro eId="sec_3__subsec_1__intro">
                            <p>I denna lag avses med</p>
                        </intro>
                        <hcontainer name="omission"/>
                        <paragraph>
                            <num>10) </num>
                            <content>
                                <p>
                                    <i>informationssäker överföringstjänst</i>
                                     en informationssäker lösning via vilken parterna kan lämna ut och ta emot uppgifter som omfattas av användningsbegränsningar,
                                </p>
                            </content>
                        </paragraph>
                        <hcontainer name="omission"/>
                        <paragraph>
                            <num>12) </num>
                            <content>
                                <p>
                                    <i>e-tjänst</i>
                                     ett system via vilket den som ansöker om dataanvändningstillstånd eller den som på annat sätt begär information med stöd av denna lag lämnar in en ansökan om dataanvändningstillstånd eller en begäran om information med bilagor till myndigheten och i vilket ett beslut om dataanvändningstillstånd eller om en begäran om information delges sökanden,
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>13)</num>
                            <content>
                                <p>
                                    <i>tjänstetillhandahållare</i>
                                     en myndighet som ordnar, producerar eller lämnar socialvård eller hälso- och sjukvård eller socialvårdstjänster eller hälso- och sjukvårdstjänster eller en sådan privat tjänsteproducent som avses i lagen om tillsynen över social- och hälsovården (741/2023),
                                </p>
                            </content>
                        </paragraph>
                        <hcontainer name="omission"/>
                    </subsection>
                </section>
                <section eId="sec_5">
                    <num>5 §</num>
                    <heading>Tillståndsmyndighetens uppgifter</heading>
                    <subsection eId="sec_5__subsec_1">
                        <content>
                            <p>Tillståndsmyndigheten behandlar dataanvändningstillstånd och begäranden om information samt svarar för samlande, samkörning, förbehandling och utlämnande för sekundär användning av de uppgifter som avses i ett dataanvändningstillstånd eller en begäran om information.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_5__subsec_2">
                        <content>
                            <p>Tillståndsmyndigheten driver en e-tjänst för förmedling och behandling av begäranden om information och ansökningar om dataanvändningstillstånd samt en informationssäker överföringstjänst för mottagande och utlämnande av personuppgifter. Tillståndsmyndigheten ska även ordna en tjänst för en informationssäker driftmiljö där tillståndshavaren kan behandla de personuppgifter som lämnats ut med stöd av ett dataanvändningstillstånd.</p>
                        </content>
                    </subsection>
                    <hcontainer name="omission"/>
                    <subsection>
                        <content>
                            <p>Tillståndsmyndigheten kan producera anonymiserade resultat och säkerställa anonymiseringen hos producerade resultat. Bestämmelser om anonymisering av resultat finns i 52 §.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_6">
                    <num>6 §</num>
                    <heading>Organisationer samt begränsningar i fråga om datamaterial</heading>
                    <subsection eId="sec_6__subsec_1">
                        <intro eId="sec_6__subsec_1__intro">
                            <p>De organisationer vars personuppgifter får behandlas med stöd av denna lag för användningsändamål enligt 2 § är</p>
                        </intro>
                        <hcontainer name="omission"/>
                        <paragraph>
                            <num>11) </num>
                            <content>
                                <p>Myndigheten för digitalisering och befolkningsdata till den del det ur befolkningsdatasystemet för ändamål enligt denna lag behövs basuppgifter om personer, uppgifter om personers familjeförhållanden och bostadsorter samt byggnadsuppgifter.</p>
                            </content>
                        </paragraph>
                    </subsection>
                </section>
                <section eId="sec_6a">
                    <num>6 a §</num>
                    <heading>Behörighet för behandling av dataanvändningstillstånd</heading>
                    <subsection eId="sec_6a__subsec_1">
                        <content>
                            <p>
                                 Om en ansökan om dataanvändningstillstånd gäller uppgifter som registrerats i de riksomfattande informationssystemtjänster 
                                <i>(Kanta-tjänster</i>) som avses i lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023), nedan 
                                <i>kunduppgiftslagen</i>, eller registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården, ska ansökan lämnas in till Tillståndsmyndigheten, som fattar beslutet om dataanvändningstillstånd.
                            </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6a__subsec_2">
                        <content>
                            <p>Sökanden får lämna in en ansökan om dataanvändningstillstånd som gäller fler än en i 6 § avsedd organisations datamaterial antingen till Tillståndsmyndigheten eller separat till varje enskild organisation som är föremål för ansökan.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6a__subsec_3">
                        <content>
                            <p>Om sökanden lämnar in en ansökan om dataanvändningstillstånd till Tillståndsmyndigheten, fattar myndigheten beslutet om dataanvändningstillstånd i fråga om alla personuppgiftsansvarigas datamaterial som är föremål för ansökan. Om sökanden lämnar in en ansökan separat till varje organisation som är föremål för ansökan, fattar varje organisation beslutet om dataanvändningstillstånd i fråga om sitt eget datamaterial.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6a__subsec_4">
                        <content>
                            <p>Om en ansökan om dataanvändningstillstånd gäller uppgifter hos endast en av de organisationer som avses i 6 § 1–8 punkten, lämnas ansökan in till den organisationen, som själv fattar beslutet om dataanvändningstillstånd.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6a__subsec_5">
                        <content>
                            <p>Den organisation som svarar för ett beslut om dataanvändningstillstånd får begära utlåtande från dataombudsmannen om en ansökan om dataanvändningstillstånd, om organisationen bedömer att det behövs.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_6b">
                    <num>6 b §</num>
                    <heading>Behörighet för behandling av begäranden om information</heading>
                    <subsection eId="sec_6b__subsec_1">
                        <content>
                            <p>Om en begäran om information gäller uppgifter som registrerats i Kanta-tjänsterna eller registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården, ska begäran om information lämnas in till Tillståndsmyndigheten, som fattar beslutet om begäran om information.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6b__subsec_2">
                        <content>
                            <p>Sökanden kan lämna in en begäran om information som gäller fler än en i 6 § avsedd organisations datamaterial antingen till Tillståndsmyndigheten eller separat till varje enskild organisation som är föremål för begäran.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6b__subsec_3">
                        <content>
                            <p>Om sökanden lämnar in begäran om information till Tillståndsmyndigheten, fattar myndigheten beslutet om begäran om information i fråga om alla de personuppgiftsansvarigas datamaterial som är föremål för begäran. Om sökanden lämnar in en begäran om information separat till varje organisation som är föremål för begäran, fattar varje organisation beslutet om begäran om information i fråga om sitt eget datamaterial.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6b__subsec_4">
                        <content>
                            <p>Om en begäran om information gäller uppgifter hos endast en av de organisationer som avses i 6 § 1–8 punkten, lämnas begäran in till den organisationen, som själv fattar beslutet om begäran om information.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_6c">
                    <num>6 c §</num>
                    <heading>Överföring av behörighet för behandling av dataanvändningstillstånd och begäranden om information</heading>
                    <subsection eId="sec_6c__subsec_1">
                        <content>
                            <p>En organisation som avses i 6 § kan i fråga om sitt eget datamaterial överlåta behörigheten att meddela beslut om dataanvändningstillstånd eller om begäranden om information till Tillståndsmyndigheten tills vidare eller för viss tid. Tillståndsmyndigheten fattar då besluten om dataanvändningstillstånd eller om begäranden om information i fråga om datamaterialet hos den personuppgiftsansvariga som överlåtit behörigheten. Behörigheten kan överlåtas om det är motiverat med beaktande av organisationens resurser och tillgänglig sakkunskap. Om organisationen anser att det inte längre finns grunder för överföring av behörigheten kan den återta behörigheten genom att underrätta Tillståndsmyndigheten om saken.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6c__subsec_2">
                        <content>
                            <p>Om en organisation har överlåtit behörigheten till Tillståndsmyndigheten eller om det handlar om en sådan ansökan om dataanvändningstillstånd eller en sådan begäran om information som gäller uppgifter som registrerats i Kanta-tjänsterna eller registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården och sökanden har lämnat in ansökan om dataanvändningstillstånd eller begäran om information separat till varje organisation som är föremål för ansökan eller begäran, fattar Tillståndsmyndigheten beslutet om dataanvändningstillstånd eller om begäran om information i fråga om den organisation som överlåtit behörigheten, de uppgifter som registrerats i Kanta-tjänsterna och registeruppgifterna hos de privata serviceanordnarna inom socialvården eller hälso- och sjukvården.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_7">
                    <num>7 §</num>
                    <heading>Undantag som gäller behandling av statistikmyndigheters uppgifter</heading>
                    <subsection eId="sec_7__subsec_1">
                        <content>
                            <p>
                                 Statistikcentralen och Institutet för hälsa och välfärd i egenskap av statistikmyndighet (<i>statistikmyndigheter</i>) svarar för sådana beslut om dataanvändningstillstånd och om begäranden om information för vetenskaplig forskning som gäller uppgifter som de samlat in för statistiska ändamål samt för att uppgifter som hänför sig till en och samma forskningsplan samkörs med deras egna uppgifter och för pseudonymisering eller anonymisering av uppgifterna, med iakttagande av vad som föreskrivs i statistiklagen (280/2004). En ansökan om dataanvändningstillstånd eller en begäran om information som gäller andra uppgifter som avses i denna lag och uppgifter som en statistikmyndighet samlat in för statistiska ändamål lämnas in till Statistikcentralen eller Institutet för hälsa och välfärd.
                            </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_7__subsec_2">
                        <content>
                            <p>Bestämmelser om samkörning och utlämnande av uppgifter som samlats in i statistiska syften finns i 51 § 3 mom.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_7a">
                    <num>7 a §</num>
                    <heading>Undantag som gäller behandlingen av Pensionsskyddscentralens, Myndigheten för digitalisering och befolkningsdatas och Statistikcentralens uppgifter</heading>
                    <subsection eId="sec_7a__subsec_1">
                        <content>
                            <p>På en ansökan om dataanvändningstillstånd eller en begäran om information som gäller sådana uppgifter hos Pensionsskyddscentralen, Myndigheten för digitalisering och befolkningsdata och Statistikcentralen som avses i 6 § 9–11 punkten tillämpas bestämmelserna i denna lag, om dessa uppgifter samkörs med uppgifter hos en eller flera av de personuppgiftsansvariga som avses i 6 § 1–8 punkten, med uppgifter som registrerats i Kanta-tjänsterna eller med registeruppgifter hos en eller flera privata serviceanordnare inom socialvården eller hälso- och sjukvården. </p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_8">
                    <num>8 §</num>
                    <heading>Expertgrupp på hög nivå för Tillståndsmyndigheten </heading>
                    <subsection eId="sec_8__subsec_1">
                        <content>
                            <p>Social- och hälsovårdsministeriet utser en expertgrupp på hög nivå för Tillståndsmyndigheten med uppgift att ta fram principiella riktlinjer för anonymisering, dataskydd och informationssäkerhet för Tillståndsmyndighetens verksamhet. Expertgruppen ska ha en expert på artificiell intelligens, dataanalys, informationssäkerhet, dataskydd, sektorsforskning, statistik respektive statistikväsendet och en företrädare för Tillståndsmyndigheten. Närmare bestämmelser om expertgruppens uppgifter, antalet medlemmar och behörighetsvillkoren för dem får utfärdas genom förordning av social- och hälsovårdsministeriet.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_13">
                    <num>13 §</num>
                    <heading>Rådgivningstjänster</heading>
                    <hcontainer name="omission"/>
                    <subsection>
                        <content>
                            <p>Utöver vad som föreskrivs i 1 mom. ska Tillståndsmyndigheten ordna en rådgivningstjänst som avser förutsättningarna för beviljande av dataanvändningstillstånd, förutsättningarna för godkännande av begäranden om information, innehållet i och betydelsen av Tillståndsmyndighetens tjänster samt sådant färdigt datamaterial som avses i 14 § 4 mom.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_14">
                    <num>14 §</num>
                    <heading>Tjänst för sammanställning, samkörning och förbehandling av datamaterial</heading>
                    <subsection eId="sec_14__subsec_1">
                        <content>
                            <p>När Tillståndsmyndigheten eller en i 6 § avsedd organisation har beviljat ett dataanvändningstillstånd eller beslutat bifalla en begäran om information, ska Tillståndsmyndigheten eller den i 6 § avsedda organisationen sammanställa, vid behov samköra och förbehandla samt pseudonymisera eller anonymisera datamaterialet för behandling av tillståndshavaren eller producera de aggregerade statistiska uppgifter som avses i begäran om information. </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_14__subsec_2">
                        <content>
                            <p>Tillståndsmyndigheten och de organisationer som avses i 6 § ska bevara en beskrivning av hur datamaterial och aggregerade statistiska uppgifter som de lämnat ut har bildats, av de pseudonymiserings- och anonymiseringsmetoder de använt och av de utlämnade slutresultaten.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_14__subsec_3">
                        <content>
                            <p>Om personuppgifter lämnas ut i pseudonymiserad form med stöd av flera olika planer för användning av uppgifter, ska uppgifterna pseudonymiseras med olika identifierare för varje utlämnande.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_14__subsec_4">
                        <content>
                            <p>Tillståndsmyndigheten får skapa färdigt datamaterial av uppgifter hos de organisationer som avses i 6 §. Tillståndsmyndigheten får plocka ut de uppgifter som behövs för beviljande av dataanvändningstillstånd och som avses i ett beviljat dataanvändningstillstånd eller i ett beslut om begäran om information ur det färdiga datamaterialet.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_16">
                    <num>16 §</num>
                    <heading>Tillståndsmyndighetens e-tjänst</heading>
                    <subsection eId="sec_16__subsec_1">
                        <content>
                            <p>Tillståndsmyndigheten driver ensam eller tillsammans med andra myndigheter en e-tjänst, via vilken ansökningar om dataanvändningstillstånd eller begäranden om information ska lämnas in till Tillståndsmyndigheten.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_16__subsec_2">
                        <content>
                            <p>Centrala begäranden om utredningar och begäranden om kompletteringar från Tillståndsmyndigheten och de centrala utredningar och kompletteringar som sökanden upprättar samt ändringar i ansökan förmedlas via e-tjänsten. Tillståndsbeslutet delges sökanden via e-tjänsten.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_16__subsec_3">
                        <content>
                            <p>Om en etisk förhandsgranskning av planen för användningen av uppgifterna har föreskrivits som en förutsättning för användning av uppgifterna, inleds även en etisk granskning och lämnas ett utlåtande via e-tjänsten.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_17">
                    <num>17 §</num>
                    <heading>Informationssäker överföringstjänst</heading>
                    <subsection eId="sec_17__subsec_1">
                        <content>
                            <p>Tillståndsmyndigheten driver en informationssäker överföringstjänst att användas vid utlämnande av de uppgifter som behövs vid behandlingen av en ansökan om dataanvändningstillstånd eller en begäran om information samt av uppgifter som avses i ett beviljat dataanvändningstillstånd. Via den informationssäkra överföringstjänsten får personuppgifter, under de förutsättningar som anges i denna lag, överlämnas mellan Tillståndsmyndigheten och övriga organisationer som avses i 6 §, mellan de organisationer som avses i 6 §, mellan Tillståndsmyndigheten och privata tjänstetillhandahållare inom socialvården och hälso- och sjukvården, mellan den tillståndssökande och Tillståndsmyndigheten samt mellan tillståndssökanden och de organisationer som avses i 6 §.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_17__subsec_2">
                        <content>
                            <p>När personuppgifter förmedlas via den informationssäkra överföringstjänsten ska deras integritet och ursprung säkerställas med en elektronisk underskrift. Integritet och ursprung hos uppgifter som sänds av en organisation och med informationsteknisk utrustning ska säkerställas genom användning av teknik med motsvarande tillförlitlighet som vid elektronisk signering som görs av en fysisk person. Användare av den informationssäkra överföringstjänsten måste vara starkt identifierade när personuppgifter lämnas ut till dem. Bestämmelser om avancerad elektronisk underskrift och stark elektronisk identifiering finns i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG och i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009).</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_17__subsec_3">
                        <content>
                            <p>Tillståndsmyndigheten ska skapa de gränssnitt som behövs för den informationssäkra överföringstjänstens interoperabilitet och sörja för att dataöverföringen kan göras med hjälp av allmänt använda tekniker.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_20">
                    <num>20 §</num>
                    <heading>Informationssäker driftmiljö</heading>
                    <subsection eId="sec_20__subsec_1">
                        <content>
                            <p>En informationssäker, tillståndsenlig behandling av uppgifter som Tillståndsmyndigheten eller någon annan organisation som avses i 6 § lämnat ut med stöd av denna lag ska genomföras i en informationssäker driftmiljö. Tillståndsmyndigheten ska ensam eller tillsammans med andra myndigheter ordna en tjänst för en informationssäker driftmiljö. Tjänster för informationssäkra driftmiljöer kan även tillhandahållas av andra organisationer. </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_20__subsec_2">
                        <content>
                            <p>Behandlingen ska vara tekniskt möjlig att genomföra på olika sätt och driftmiljön ska vara tillgänglig från olika platser. Tillståndsmyndigheten och organisationer som avses i 6 § ska bedöma hur känsliga de uppgifter som lämnas ut är och beakta detta i de krav som i beslutet om dataanvändningstillstånd ska ställas på användning av den informationssäkra driftmiljön.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_20__subsec_3">
                        <content>
                            <p>Tillståndsmyndighetens informationssäkra driftmiljö och andra informationssäkra driftmiljöer ska uppfylla villkoren i 2 mom. och 21–29 §.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_23">
                    <num>23 §</num>
                    <heading>Skydd för informationssäkra driftmiljöer</heading>
                    <subsection eId="sec_23__subsec_1">
                        <content>
                            <p>En informationssäker driftmiljö ska skyddas i enlighet med vad som föreskrivs i 4 kap. i lagen om informationshantering inom den offentliga förvaltningen (906/2019).</p>
                        </content>
                    </subsection>
                    <hcontainer name="omission"/>
                </section>
                <chapter eId="chp_4">
                    <num>4 kap.</num>
                    <heading>Grunder och förutsättningar för sekundär användning av personuppgifter</heading>
                    <crossHeading eId="chp_4__crossHeading">Allmänna grunder för sekundär användning</crossHeading>
                    <section eId="chp_4__sec_36">
                        <num>36 §</num>
                        <heading>Tillståndsmyndighetens rätt att få och behandla uppgifter trots sekretessplikten</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>De uppgifter som avses i 1 mom. lämnas ut till Tillståndsmyndigheten via den informationssäkra överföringstjänsten.</p>
                            </content>
                        </subsection>
                        <subsection>
                            <content>
                                <p>Tillståndsmyndigheten kan, oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifter, via den informationssäkra överföringstjänsten plocka ut uppgifter enligt dataanvändningstillståndet ur sådana uppgifter och datalager hos de i 1 mom. avsedda personuppgiftsansvariga ur vilka det med hänsyn till registrens och datalagrens innehåll och tekniska utförande är möjligt och ändamålsenligt.</p>
                            </content>
                        </subsection>
                        <hcontainer name="omission"/>
                    </section>
                    <section eId="chp_4__sec_36a">
                        <num>36 a §</num>
                        <heading>Rätt för den som sammanställer datamaterial att få och behandla uppgifter trots sekretessplikten</heading>
                        <subsection eId="chp_4__sec_36a__subsec_1">
                            <intro eId="chp_4__sec_36a__subsec_1__intro">
                                <p>Om en organisation som avses i 6 § 2, 3, 5, 7 eller 8 punkten på det sätt som avses i 51 § har utsetts till att sammanställa datamaterial från flera organisationer, har organisationen oberoende av sekretessplikten och andra begränsningar som gäller användningen av uppgifter rätt att av de personuppgiftsansvariga som avses i 6 § på begäran få följande uppgifter som är nödvändiga för att sköta uppdrag enligt denna lag:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_36a__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>uppgifter som avses i dataanvändningstillståndet för samlande, samkörning och förbehandling av uppgifterna och för utlämnande av uppgifterna till tillståndshavaren för behandling,</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_36a__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>uppgifter för att bedöma om det är möjligt att anonymisera de uppgifter som avses i ansökan om dataanvändningstillstånd eller om det är möjligt att producera aggregerade statistiska uppgifter av de uppgifter som avses i 45 §, samt</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_36a__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>uppgifter som behövs för produktion av aggregerade statistiska uppgifter.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4__sec_36a__subsec_2">
                            <content>
                                <p>De uppgifter som avses i 1 mom. lämnas ut till den som sammanställer datamaterialet via den informationssäkra överföringstjänsten eller någon annan informationssäker tjänst.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_36a__subsec_3">
                            <content>
                                <p>Den som sammanställer datamaterialet är personuppgiftsansvarig för de uppgifter som den fått på det sätt som avses i denna paragraf.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_37">
                        <num>37 §</num>
                        <heading>Utvecklings- och innovationsverksamhet</heading>
                        <subsection eId="chp_4__sec_37__subsec_1">
                            <content>
                                <p>Tillståndsmyndigheten och organisationer som avses i 6 § får trots skyldigheten att iaktta sekretess i enskilda fall med stöd av en begäran om information producera aggregerade statistiska uppgifter som bygger på kunduppgifter och andra personuppgifter från organisationer som avses i 6 § för sådan utvecklings- och innovationsverksamhet som genomförs på annat sätt än som vetenskaplig forskning.</p>
                            </content>
                        </subsection>
                        <hcontainer name="omission"/>
                    </section>
                    <section eId="chp_4__sec_42">
                        <num>42 §</num>
                        <heading>Myndighetsstyrning och myndighetstillsyn inom social- och hälsovården</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>De uppgifter som avses i 2 mom. lämnas ut till tillsynsmyndigheten via den informationssäkra överföringstjänsten.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_43">
                        <num>43 §</num>
                        <heading>Allmänna grunder för beviljande av dataanvändningstillstånd</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Om Tillståndsmyndigheten eller en organisation som avses i 6 § utifrån ansökan om dataanvändningstillstånd konstaterar att ärendet i stället för ett dataanvändningstillstånd kan behandlas som en begäran om information, ska Tillståndsmyndigheten eller den i 6 § avsedda organisationen ta kontakt med den tillståndssökande och föreslå att ärendet behandlas som en begäran om information. Om den tillståndssökande kräver att ärendet behandlas som en tillståndsansökan, ska Tillståndsmyndigheten eller den i 6 § avsedda organisationen fatta beslut i ärendet.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_45">
                        <num>45 §</num>
                        <heading>Behandling av en begäran om information</heading>
                        <subsection eId="chp_4__sec_45__subsec_1">
                            <content>
                                <p>Tillståndsmyndigheten eller en organisation som avses i 6 § beslutar huruvida en begäran om information överensstämmer med användningsändamålen enligt 2 § och de krav som ställs på en begäran om information.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_45__subsec_2">
                            <content>
                                <p>När den fattar sådana beslut ska Tillståndsmyndigheten och den i 6 § avsedda organisationen, med stöd av artiklarna 9.2 g och 86 i dataskyddsförordningen och med beaktande av den i 8 § avsedda expertgruppens principiella riktlinjer, bedöma om det är möjligt att av de begärda registeruppgifterna utforma aggregerade statistiska uppgifter enligt begäran.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_45__subsec_3">
                            <content>
                                <p>Om uppgifterna begärs för vetenskaplig forskning och begäran gäller uppgifter som en statistikmyndighet samlat in för statistiska ändamål, ska begäran om information dock behandlas med iakttagande av 7 § och 51 § 3 mom.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_46">
                        <num>46 §</num>
                        <heading>Lämnande av ansökan om dataanvändningstillstånd och begäran om information till Tillståndsmyndigheten</heading>
                        <subsection eId="chp_4__sec_46__subsec_1">
                            <content>
                                <p>Begäranden om information och ansökningar om dataanvändningstillstånd ska lämnas in till Tillståndsmyndigheten via e-tjänsten. Om sökanden kompletterar sin ansökan, ska även kompletteringen lämnas in till Tillståndsmyndigheten via e-tjänsten. Till en tillståndsansökan och till en begäran om information som gäller aggregerade statistiska uppgifter ska det fogas en plan för användning av uppgifterna.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_46__subsec_2">
                            <content>
                                <p>Tillståndsmyndigheten meddelar föreskrifter om datainnehållet och datastrukturerna i ansökan om dataanvändningstillstånd, i planen för användning av uppgifterna, i begäran om information samt i beslutet om dataanvändningstillstånd och om begäran om information.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_47">
                        <num>47 §</num>
                        <heading>Tidsfrister för behandling av dataanvändningstillstånd</heading>
                        <subsection eId="chp_4__sec_47__subsec_1">
                            <content>
                                <p>Beslut om ansökan om dataanvändningstillstånd ska meddelas utan dröjsmål, dock senast tre månader från det att tillståndsansökan har inkommit i fullständig form till organisationen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_47__subsec_2">
                            <content>
                                <p>Tillståndsmyndigheten eller en organisation som avses i 6 § kan av vägande skäl besluta att behandlingstiden för en ansökan om dataanvändningstillstånd ska förlängas med högst tre månader, om behandlingen av ansökan och av den anknytande planen för användning av uppgifterna förutsätter en exceptionellt omfattande behandling som omfattar flera olika personuppgiftsansvarigas uppgifter eller förutsätter särskilt krävande prövning. Tillståndsmyndigheten eller den i 6 § avsedda organisationen ska underrätta den som ansöker om tillstånd om förlängning av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken tillståndsbeslutet meddelas.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_47__subsec_3">
                            <content>
                                <p>Om den organisation som svarar för beslutet om dataanvändningstillstånd begär ett utlåtande enligt 6 a § 5 mom. från dataombudsmannen, avbryts den ansvariga organisationens tidsfrist för behandling av ansökan tills utlåtandet har kommit in.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_47__subsec_4">
                            <content>
                                <p>En personuppgiftsansvarig som avses i 6 § och en privat tjänstetillhandahållare inom socialvården eller hälso- och sjukvården ska på begäran av Tillståndsmyndigheten utan dröjsmål lämna Tillståndsmyndigheten de uppgifter som behövs för behandlingen av en ansökan om dataanvändningstillstånd eller av en begäran om information, dock senast inom 15 vardagar från det att begäran inkom. Om den utredning som sökanden lagt fram till stöd för sin ansökan eller sin begäran är otillräcklig, ska den personuppgiftsansvarige utan dröjsmål underrätta Tillståndsmyndigheten och sökanden om vilka tilläggsutredningar som krävs. De uppgifter som behövs för behandling av ansökan om dataanvändningstillstånd eller begäran om information ska då lämnas in till Tillståndsmyndigheten inom 15 vardagar från det att de tilläggsutredningar som erhållits av sökanden är tillräckliga.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_48">
                        <num>48 §</num>
                        <heading>Tidsfrister för utlämnande av uppgifter</heading>
                        <subsection eId="chp_4__sec_48__subsec_1">
                            <content>
                                <p>En personuppgiftsansvarig som avses i 6 § och en privat tjänstetillhandahållare inom socialvården eller hälso- och sjukvården ska på begäran av Tillståndsmyndigheten utan dröjsmål lämna ut de registeruppgifter som hänför sig till ett beviljat dataanvändningstillstånd eller som behövs för behandlingen av en begäran om information, dock senast inom 30 vardagar från det att Tillståndsmyndigheten har fattat beslut om att uppgifterna får lämnas ut till sökanden.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_2">
                            <content>
                                <p>En personuppgiftsansvarig som avses i 6 § ska på begäran av en i 51 § avsedd sammanställare av datamaterial utan dröjsmål lämna ut registeruppgifter enligt ett beviljat dataanvändningstillstånd eller uppgifter som behövs för behandlingen av en begäran om information, dock senast inom 30 vardagar från det att organisationerna har fattat beslut om att uppgifterna får lämnas ut till sökanden.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_3">
                            <content>
                                <p>Om den utredning som sökanden lagt fram till stöd för utlämnande av uppgifter är otillräcklig, ska Tillståndsmyndigheten eller den som sammanställer datamaterialet utan dröjsmål underrätta sökanden om vilka tilläggsutredningar som krävs. De begärda uppgifterna ska då lämnas ut till sökanden inom 30 vardagar från det att tilläggsutredningen togs emot, om säkerhet om förutsättningarna för utlämnandet kan nås med stöd av den inlämnade tilläggsutredningen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_4">
                            <content>
                                <p>Om uppgifterna inte kan lämnas ut till Tillståndsmyndigheten eller den som sammanställer datamaterialet inom den tidsfrist som föreskrivs i 1 mom., ska den personuppgiftsansvarige före tidsfristens utgång informera om dröjsmålet, om orsaken till dröjsmålet och om den förlängning av tidsfristen som behövs för utlämnande av uppgifter. Tillståndsmyndigheten eller den som sammanställer datamaterialet ska av grundad anledning sätta ut en ny tidsfrist för utlämnandet.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_5">
                            <content>
                                <p>Tillståndsmyndigheten eller den som sammanställer datamaterialet ska lämna ut de uppgifter som den med stöd av ett dataanvändningstillstånd samlat och samkört till tillståndshavaren utan dröjsmål, dock senast 60 vardagar från det att tillståndet beviljades.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_6">
                            <content>
                                <p>Tillståndsmyndigheten eller den som sammanställer datamaterialet kan av vägande skäl förlänga tidsfristen för utlämnande av uppgifter, om utlämnandet av uppgifterna förutsätter en exceptionellt omfattande behandling som omfattar flera olika personuppgiftsansvarigas uppgifter eller förutsätter särskilt krävande samkörning av uppgifter. Tillståndsmyndigheten eller den som sammanställer datamaterialet ska informera tillståndshavaren om förlängningen av tidsfristen och om grunden för förlängningen samt om den nya tidsfrist inom vilken uppgifterna lämnas ut.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_49">
                        <num>49 §</num>
                        <heading>Avgift för dataanvändningstillstånd och för beslut om begäran om information</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>De avgifter som tas ut för dataanvändningstillstånd och för beslut om begäranden om information ska vara transparenta.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_50">
                        <num>50 §</num>
                        <heading>Ersättningar för tjänster</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Ersättningar som hänför sig till att uppgifter med stöd av dataanvändningstillstånd eller beslut om begäranden om information plockats ut och tillhandahålls från andra datalager än Tillståndsmyndighetens egna bestäms i enlighet med vad som föreskrivs om varje personuppgiftsansvarig som tillhandahållit uppgifterna.</p>
                            </content>
                        </subsection>
                        <subsection>
                            <content>
                                <p>Bestämmelser om grunderna för bestämmande av ersättningar till Tillståndsmyndigheten finns i lagen om grunderna för avgifter till staten. </p>
                            </content>
                        </subsection>
                        <hcontainer name="omission"/>
                    </section>
                    <section eId="chp_4__sec_51">
                        <num>51 §</num>
                        <heading> Sammanställande av datamaterial efter beviljande av dataanvändningstillstånd eller efter ett beslut om begäran om information</heading>
                        <subsection eId="chp_4__sec_51__subsec_1">
                            <content>
                                <p>Om Tillståndsmyndigheten har beviljat ett dataanvändningstillstånd eller fattat ett beslut om begäran om information, ska den samla och vid behov samköra och förbehandla samt pseudonymisera eller anonymisera de uppgifter som specificeras i tillståndet eller producera de aggregerade statistiska uppgifter som avses i begäran om information.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51__subsec_2">
                            <content>
                                <p>Om varje sådan organisation som avses i 6 § har beviljat dataanvändningstillstånd eller fattat beslut om begäran om information i fråga om sitt eget datamaterial beträffande en ansökan om dataanvändningstillstånd eller en begäran om information som gäller flera organisationers data, sammanställs organisationernas datamaterial antingen av Tillståndsmyndigheten eller någon av de organisationer som avses i 6 § 2, 3, 5, 7 eller 8 punkten och som är föremål för tillståndsansökan eller begäran om information. Beslutet om vilken av de ovan avsedda organisationerna som ska sammanställa datamaterialet ska fattas i samarbete mellan de organisationer som ansökan om dataanvändningstillstånd eller begäran om information gäller utifrån organisationernas resurser och tillgänglig sakkunskap. En organisation som avses i 6 § 2, 3, 5, 7 eller 8 punkten kan meddela att den inte står till förfogande för uppgiften i fråga. Om organisationerna inte når samförstånd om vilken organisation
som ska sammanställa datamaterialet, ska datamaterialet sammanställas av Tillståndsmyndigheten. Den som sammanställer datamaterialet ska också vid behov samköra och förbehandla samt pseudonymisera eller anonymisera de uppgifter som specificeras i dataanvändningstillståndet eller producera de aggregerade statistiska uppgifter som avses i begäran om information.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51__subsec_3">
                            <content>
                                <p>Om det för användningsändamålet även behövs uppgifter som Statistikcentralen eller Institutet för hälsa och välfärd i egenskap av statistikmyndighet samlat för statistiska ändamål, ska statistikmyndigheten samköra samt vid behov förbehandla och pseudonymisera eller anonymisera de uppgifter som ska lämnas ut eller producera de aggregerade statistiska uppgifter som avses i begäran om information. Om det för användningsändamålet behövs uppgifter av båda statistikmyndigheterna, ska myndigheterna sinsemellan komma överens om vem av dem som samkör och pseudonymiserar eller anonymiserar uppgifterna. Uppgifterna kan därefter via den informationssäkra överföringstjänsten lämnas ut till tillståndshavaren för behandling antingen i Statistikcentralens eller Tillståndsmyndighetens informationssäkra driftmiljö eller i någon annan informationssäker driftmiljö, beroende på uppgifternas art och mängd.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_51a">
                        <num>51 a §</num>
                        <heading>Behandling av datamaterial i en enskild organisation</heading>
                        <subsection eId="chp_4__sec_51a__subsec_1">
                            <content>
                                <p>Om en sökande i en ansökan om dataanvändningstillstånd eller en begäran om information som gäller uppgifter hos flera organisationer som avses i 6 § anger att datamaterialet hos ett flertal av de organisationerna inte behöver samköras, ska varje organisation som avses i ansökan eller i begäran om information sammanställa, förbehandla och pseudonymisera eller anonymisera sitt eget datamaterial eller producera sådana aggregerade statistiska uppgifter som avses i begäran om information. Organisationerna kan vid pseudonymiseringen använda sig av en pseudonymiseringsnyckel som Tillståndsmyndigheten skapar.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51a__subsec_2">
                            <content>
                                <p>Om en tillståndsansökan eller begäran om information gäller endast en organisations eget datamaterial, ska den i 6 § avsedda organisation som beviljat dataanvändningstillståndet eller fattat beslutet om begäran om information samla, förbehandla och pseudonymisera eller anonymisera uppgifterna eller producera de aggregerade statistiska uppgifter som avses i begäran om information.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51a__subsec_3">
                            <content>
                                <p>En organisation kan i fråga om sitt eget datamaterial överlåta behörigheten att utföra den behandling av datamaterial som avses i denna paragraf till Tillståndsmyndigheten tills vidare eller för viss tid. Behörigheten kan överlåtas om det är motiverat med beaktande av organisationens resurser och tillgänglig sakkunskap. Om organisationen anser att det inte längre finns grunder för överföring av behörigheten kan den återta behörigheten genom att underrätta Tillståndsmyndigheten om saken.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_51b">
                        <num>51 b §</num>
                        <heading>Utlämnande av datamaterial till en informationssäker driftmiljö</heading>
                        <subsection eId="chp_4__sec_51b__subsec_1">
                            <content>
                                <p>I andra situationer än de som avses i 51 c och 51 d § ska det datamaterial som baserar sig på ett dataanvändningstillstånd lämnas ut till tillståndshavaren för behandling i en i 20 § avsedd informationssäker driftmiljö via den informationssäkra överföringstjänsten eller någon annan informationssäker tjänst, om det inte har skapats aggregerade statistiska uppgifter av materialet.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51b__subsec_2">
                            <content>
                                <p>Leverantören av en driftmiljö ska innan en anslutning till tillståndshavaren öppnas säkerställa att tillståndshavaren uppfyller kraven i dataanvändningstillståndet.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_51c">
                        <num>51 c §</num>
                        <heading>Utlämnande av datamaterial i någon annan säker driftmiljö</heading>
                        <subsection eId="chp_4__sec_51c__subsec_1">
                            <intro eId="chp_4__sec_51c__subsec_1__intro">
                                <p>Tillståndsmyndigheten kan av särskilda skäl bevilja ett dataanvändningstillstånd där datamaterialet får lämnas ut i någon annan säker driftmiljö än en sådan informationssäker driftmiljö som avses i 20 §. Ett sådant dataanvändningstillstånd kan beviljas, om</p>
                            </intro>
                            <paragraph eId="chp_4__sec_51c__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>riskerna för den nationella säkerheten och andra risker som hänför sig till det datamaterial som lämnas ut med stöd av dataanvändningstillståndet är små,</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_51c__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>en av deltagarna i projektet är en aktör som bedriver forskningsverksamhet i en finländsk forskningsorganisation, och </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_51c__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>nivån på dataskyddet och informationssäkerheten vid behandlingen av datamaterialet är tillräcklig.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4__sec_51c__subsec_2">
                            <content>
                                <p>Sökanden ska i sin ansökan om dataanvändningstillstånd motivera varför datamaterialet inte kan behandlas i en sådan informationssäker driftmiljö som avses i 20 § och lämna alla uppgifter som behövs för att Tillståndsmyndigheten ska kunna bedöma huruvida förutsättningarna enligt 1 mom. uppfylls. Dataanvändningstillståndet kan förenas med närmare villkor för behandlingen av uppgifter.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51c__subsec_3">
                            <content>
                                <p>Om Tillståndsmyndigheten har beviljat ett dataanvändningstillstånd som avses i 1 §, ska den samla och vid behov samköra och förbehandla samt pseudonymisera eller anonymisera de uppgifter som specificeras i dataanvändningstillståndet och lämna ut det datamaterial som den producerat till tillståndshavaren för behandling i en annan säker driftmiljö än en sådan informationssäker driftmiljö som avses i 20 §.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_51d">
                        <num>51 d §</num>
                        <heading>Utlämnande av anonymiserat datamaterial</heading>
                        <subsection eId="chp_4__sec_51d__subsec_1">
                            <content>
                                <p>En organisation som avses i 6 § kan av särskilda skäl bevilja dataanvändningstillstånd för erhållande av uppgifter i anonymiserad form utanför en sådan informationssäker driftmiljö som avses i 20 §, om ansökan om dataanvändningstillstånd gäller endast sådana uppgifter som innehas av organisationen i fråga. Om en ansökan om dataanvändningstillstånd gäller uppgifter hos fler än en av de organisationer som avses i 6 §, kan Tillståndsmyndigheten av särskilda skäl bevilja dataanvändningstillstånd för erhållande av uppgifter i anonymiserad form utanför en sådan informationssäker driftmiljö som avses i 20 §.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51d__subsec_2">
                            <content>
                                <p>En organisation som avses i 6 § kan i fråga om sitt eget datamaterial överlåta behörigheten att meddela i denna paragraf avsedda beslut om dataanvändningstillstånd till Tillståndsmyndigheten tills vidare eller för viss tid. Tillståndsmyndigheten fattar då besluten om dataanvändningstillstånd i fråga om datamaterialet hos den personuppgiftsansvariga som överlåtit behörigheten. Behörigheten kan överlåtas om det är motiverat med beaktande av organisationens resurser och tillgänglig sakkunskap. Om organisationen anser att det inte längre finns grunder för överföring av behörigheten kan den återta behörigheten genom att underrätta Tillståndsmyndigheten om saken.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51d__subsec_3">
                            <content>
                                <p>En förutsättning för beviljande av tillstånd enligt 1 mom. är att riskerna som hänför sig till datamaterialet är små och att datamaterialet kan anonymiseras på ett tillförlitligt sätt.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51d__subsec_4">
                            <content>
                                <p>En organisation som avses i 6 § eller Tillståndsmyndigheten ska samla och vid behov samköra och förbehandla samt anonymisera de uppgifter som specificeras i dataanvändningstillståndet och lämna ut det anonymiserade datamaterial som den producerat till tillståndshavaren.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_52">
                        <num>52 §</num>
                        <heading>Exportering av resultat ur en informationssäker driftmiljö</heading>
                        <subsection eId="chp_4__sec_52__subsec_1">
                            <content>
                                <p>När uppgifter med stöd av ett dataanvändningstillstånd har lämnats ut för behandling i en sådan informationssäker driftmiljö som avses i 20 § och de resultat som producerats på basis av uppgifterna exporteras ur den informationssäkra driftmiljön, ska tillståndshavaren anonymisera de resultat som exporteras ur den informationssäkra driftmiljön. På begäran av tillståndshavaren kan Tillståndsmyndigheten producera de anonymiserade resultaten och lämna ut dem till tillståndshavaren.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_52__subsec_2">
                            <content>
                                <p>Om det är tillståndshavaren som har anonymiserat resultaten, ska tillståndshavaren meddela Tillståndsmyndigheten att avsikten är att exportera resultaten ur den informationssäkra driftmiljön. Tillståndsmyndigheten ska säkerställa anonymiseringen av de producerade resultaten utifrån en riskbaserad bedömning. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_52__subsec_3">
                            <content>
                                <p>Tillståndsmyndigheten får meddela närmare föreskrifter om anonymisering av resultat.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_58">
                        <num>58 §</num>
                        <heading>Överklagande</heading>
                        <subsection eId="chp_4__sec_58__subsec_1">
                            <content>
                                <p>I fråga om ett sådant beslut om en begäran om information och ett sådant beslut om en ansökan om dataanvändningstillstånd eller återkallelse av tillstånd som avses i denna lag och som meddelats av Tillståndsmyndigheten eller av en i 6 § avsedd organisation samt i fråga om ett beslut som meddelats av Tillstånds- och tillsynsverket med stöd av denna lag får omprövning begäras. Bestämmelser om begäran om omprövning finns i förvaltningslagen (434/2003).</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_58__subsec_2">
                            <content>
                                <p>Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019).</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_60">
                        <num>60 §</num>
                        <heading>Övergångsbestämmelser</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Uppgifter som samlats in med den berördas samtycke före lagens ikraftträdande får användas och lämnas ut i enlighet med denna lag för användningsändamål enligt 2 § 2 mom. 1, 2 och 7 punkten trots vad som föreskrivs i 43 § 3 mom., om det är uppenbart att användningen och utlämnandet inte avviker från de syften för vilka uppgifterna har lämnats. Den organisation som fattar beslut om dataanvändningstillstånd kan förutsätta att den som ansöker om tillstånd, till grund för tillståndsbeslutet, ska be om en etisk bedömning av den etiska kommittén vid Institutet för hälsa och välfärd.</p>
                            </content>
                        </subsection>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Bestämmelserna om en tjänst för sammanställning, samkörning och förbehandling av datamaterial och om pseudonymisering och anonymisering av uppgifter i 14 § 1 och 2 mom., om Tillståndsmyndighetens e-tjänst i 16 § och om en informationssäker driftmiljö i 20 § 1 mom. tillämpas från och med den 1 januari 2020.</p>
                            </content>
                        </subsection>
                        <subsection>
                            <content>
                                <p>Ansökningar om dataanvändningstillstånd och begäranden om information ska via den i 16 § avsedda e-tjänsten lämnas till Tillståndsmyndigheten från och med den 1 april 2020.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
            </hcontainer>
            <hcontainer name="entryIntoForceStart"/>
            <hcontainer eId="entryIntoForce" name="entryIntoForce">
                <content>
                    <p>Denna lag träder i kraft den 1 maj 2026. Lagens 2 § 4 mom. träder dock i kraft redan den 1 januari 2026. </p>
                    <p>Efter ikraftträdandet av lagens 2 § 4 mom. får sådana kunduppgifter samt sådana andra personuppgifter hos organisationer enligt 6 § som med stöd av de bestämmelser som gällde vid ikraftträdandet av denna lag har behandlats i en informationssäker driftmiljö för genomförande av klinisk prövning av läkemedel, medicinsk forskning eller kliniska prövningar av medicintekniska produkter eller prestandastudier av produkter för in vitro-diagnostik överföras till en annan driftmiljö, om villkoren för erhållande av uppgifter och annan behandling av uppgifter enligt 34 § i lagen om klinisk prövning av läkemedel, 21 c § i lagen om medicinsk forskning eller 20 a § i lagen om medicintekniska produkter uppfylls.</p>
                </content>
            </hcontainer>
            <hcontainer finlex:outline="Förarbeten och signaturer" name="conclusions">
                <hcontainer finlex:outline="Förarbeten" name="preliminaryWork">
                    <content>
                        <p>
                            <ref href="/akn/fi/doc/government-proposal/2025/87">RP 87/2025</ref>
                        </p>
                        <p>ShUB 15/2025</p>
                        <p>RSv 127/2025</p>
                    </content>
                </hcontainer>
                <hcontainer finlex:outline="Signaturer" name="signatures">
                    <content>
                        <p>Helsingfors den 5 december 2025</p>
                        <p>
                            <signature>
                                <role refersTo="">Republikens President</role>
                                <person refersTo="">Alexander Stubb</person>
                            </signature>
                            <signature>
                                <role refersTo="">Minister för social trygghet</role>
                                <person refersTo="">Sanni Grahn-Laasonen</person>
                            </signature>
                        </p>
                    </content>
                </hcontainer>
            </hcontainer>
        </body>
    </act>
</akomaNtoso>
<akomaNtoso xmlns="http://docs.oasis-open.org/legaldocml/ns/akn/3.0" xmlns:finlex="http://data.finlex.fi/schema/finlex" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <act contains="originalVersion" name="main">
        <meta>
            <identification source="#organization_fi.finlex">
                <FRBRWork>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup"/>
                    <FRBRdate date="2025-12-05" name="dateIssued"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRcountry value="fi"/>
                    <FRBRsubtype value="statute"/>
                    <FRBRnumber value="1159"/>
                    <FRBRprescriptive value="true"/>
                    <FRBRauthoritative value="true"/>
                </FRBRWork>
                <FRBRExpression>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/swe@/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159/swe@"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup/swe"/>
                    <FRBRdate date="2025-12-05" name="dateIssued"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRlanguage language="swe"/>
                </FRBRExpression>
                <FRBRManifestation>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/swe@/!main.xml"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159/swe@.akn"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup/swe/pdf"/>
                    <FRBRdate date="2025-12-11" name="dateProduced"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_editor" href="#organization_fi.finlex"/>
                    <FRBRformat value="pdf"/>
                </FRBRManifestation>
            </identification>
            <references source="#organization_fi.finlex">
                <TLCOrganization eId="organization_fi.finlex" href="/akn/ontology/organization/fi.finlex" showAs="Finlex"/>
                <TLCRole eId="role_author" href="/akn/ontology/role/author" showAs="Tekijä"/>
                <TLCRole eId="role_editor" href="/akn/ontology/role/editor" showAs="Toimittaja"/>
                <TLCConcept eId="act" href="/akn/ontology/concept/statute/type-statute.act" showAs="Lag"/>
                <TLCConcept eId="amending-statute" href="/akn/ontology/concept/statute/category-statute.amending-statute" showAs="Muutossäädös"/>
            </references>
            <proprietary source="#organization_fi.finlex">
                <finlex:typeStatute refersTo="#act"/>
                <finlex:categoryStatute refersTo="#amending-statute"/>
                <finlex:documentYear>2025</finlex:documentYear>
            </proprietary>
        </meta>
        <preface>
            <p>
                <docNumber>1159/2025</docNumber>
                <docTitle>Lag om ändring av lagen om sekundär användning av personuppgifter inom social- och hälsovården</docTitle>
            </p>
        </preface>
        <body>
            <componentRef showAs="main.pdf" src="main.pdf"/>
        </body>
    </act>
</akomaNtoso>
<akomaNtoso xmlns="http://docs.oasis-open.org/legaldocml/ns/akn/3.0" xmlns:finlex="http://data.finlex.fi/schema/finlex" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <act contains="originalVersion" name="main">
        <meta>
            <identification source="#organization_fi.finlex">
                <FRBRWork>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup"/>
                    <FRBRdate date="2025-12-05" name="dateIssued"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRcountry value="fi"/>
                    <FRBRsubtype value="statute"/>
                    <FRBRnumber value="1159"/>
                    <FRBRprescriptive value="true"/>
                    <FRBRauthoritative value="true"/>
                </FRBRWork>
                <FRBRExpression>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/fin@/!main"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159/fin@"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup/fin"/>
                    <FRBRdate date="2025-12-05" name="dateIssued"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_author" href="#organization_fi.parliament"/>
                    <FRBRlanguage language="fin"/>
                </FRBRExpression>
                <FRBRManifestation>
                    <FRBRthis value="/akn/fi/act/statute/2025/1159/fin@/!main.xml"/>
                    <FRBRuri value="/akn/fi/act/statute/2025/1159/fin@.akn"/>
                    <FRBRalias name="eli" value="http://data.finlex.fi/eli/sd/2025/1159/alkup/fin/xml"/>
                    <FRBRdate date="2025-12-11" name="dateProduced"/>
                    <FRBRdate date="2025-12-11" name="datePublished"/>
                    <FRBRauthor as="#role_editor" href="#organization_fi.finlex"/>
                    <FRBRformat value="xml"/>
                </FRBRManifestation>
            </identification>
            <references source="#organization_fi.finlex">
                <TLCOrganization eId="organization_fi.finlex" href="/akn/ontology/organization/fi.finlex" showAs="Finlex"/>
                <TLCRole eId="role_author" href="/akn/ontology/role/author" showAs="Tekijä"/>
                <TLCRole eId="role_editor" href="/akn/ontology/role/editor" showAs="Toimittaja"/>
                <TLCConcept eId="act" href="/akn/ontology/concept/statute/type-statute.act" showAs="Laki"/>
                <TLCConcept eId="amending-statute" href="/akn/ontology/concept/statute/category-statute.amending-statute" showAs="Muutossäädös"/>
            </references>
            <proprietary source="#organization_fi.finlex">
                <finlex:typeStatute refersTo="#act"/>
                <finlex:categoryStatute refersTo="#amending-statute"/>
                <finlex:documentYear>2025</finlex:documentYear>
            </proprietary>
        </meta>
        <preface>
            <p>
                <docNumber>1159/2025</docNumber>
                <docTitle>Laki sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain muuttamisesta</docTitle>
            </p>
        </preface>
        <preamble>
            <formula name="enactingClause">
                <p>Eduskunnan päätöksen mukaisesti</p>
                <blockContainer>
                    <block name="repeals">
                        <i>kumotaan</i>
                         sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (<affectedDocument href="/akn/fi/act/statute/2019/552">552/2019</affectedDocument>) 10 ja 11 §, 21 §:n 2 momentti, 44 § sekä 50 §:n 3 momentti, 
                    </block>
                    <block name="repeals-originals">sellaisina kuin niistä ovat 11 § osaksi laissa 707/2023 ja 50 §:n 3 momentti laissa 1491/2019,</block>
                </blockContainer>
                <blockContainer>
                    <block name="substitutions">
                        <i>muutetaan</i>
                         1 ja 2 §, 3 §:n 10, 12 ja 13 kohta, 5 §:n 1, 2 ja 4 momentti, 6 §:n otsikko, johdantokappale ja 11 kohta, 7 ja 8 §, 13 §:n 2 momentti, 14, 16, 17 ja 20 §, 23 §:n 1 momentti, 36 §:n 2 ja 3 momentti, 37 §:n 1 momentti, 42 §:n 3 momentti, 43 §:n 5 momentti, 45–48 §, 50 §:n 2 ja 4 momentti, 51, 52 ja 58 § sekä 60 §:n 4, 8 ja 9 momentti, 
                    </block>
                    <block name="substitutions-originals">sellaisina kuin niistä ovat 8 § osaksi laissa 544/2022 ja 50 §:n 2 momentti laissa 1491/2019 ja 58 § osaksi laissa 767/2025, sekä</block>
                </blockContainer>
                <blockContainer>
                    <block name="insertions">
                        <i>lisätään</i>
                         lakiin uusi 6 a–6 c, 7 a ja 36 a §, 49 §:ään uusi 2 momentti sekä lakiin uusi 51 a– 51 d § seuraavasti:
                    </block>
                </blockContainer>
            </formula>
        </preamble>
        <body>
            <hcontainer finlex:outline="Säädöksen teksti" name="statuteProvisionsWrapper">
                <section eId="sec_1">
                    <num>1 §</num>
                    <heading>Lain tavoite</heading>
                    <subsection eId="sec_1__subsec_1">
                        <content>
                            <p>Tämän lain tavoitteena on mahdollistaa sosiaali- ja terveystietojen tehokas ja tietoturvallinen käsittely toissijaisissa käyttötarkoituksissa. Lain tavoitteena on lisäksi turvata yksilön luottamuksensuoja sekä oikeudet ja vapaudet henkilötietoja käsiteltäessä.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_2">
                    <num>2 §</num>
                    <heading>Soveltamisala ja suhde muuhun lainsäädäntöön</heading>
                    <subsection eId="sec_2__subsec_1">
                        <content>
                            <p>
                                Tässä laissa annetaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä 
                                <i>tietosuoja-asetus</i>, täydentävät säännökset, kun 2 momentissa tarkoitettuja tietoja käsitellään mainitussa momentissa tarkoitettuihin käyttötarkoituksiin.
                            </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_2__subsec_2">
                        <intro eId="sec_2__subsec_2__intro">
                            <p>Tätä lakia sovelletaan 6 §:ssä tarkoitettujen organisaatioiden sekä yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien sosiaali- ja terveydenhuollon toiminnassa sekä sosiaali- ja terveysalan ohjaus-, valvonta-, tutkimus- ja tilastotarkoituksessa tallennettujen henkilötietojen käsittelyyn ja niiden yhdistämiseen Kansaneläkelaitoksen, Tilastokeskuksen, Eläketurvakeskuksen ja Digi- ja väestötietoviraston henkilötietoihin 6, 7 ja 7 a §:ssä säädetyin rajauksin, kun kyseisiä tietoja käsitellään seuraaviin käyttötarkoituksiin, vaikka niitä ei olisi alun perin tallennettu mainitussa tarkoituksessa:</p>
                        </intro>
                        <paragraph eId="sec_2__subsec_2__para_1">
                            <num>1) </num>
                            <content>
                                <p>tilastointi;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_2">
                            <num>2) </num>
                            <content>
                                <p>tieteellinen tutkimus;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_3">
                            <num>3) </num>
                            <content>
                                <p>kehittämis- ja innovaatiotoiminta;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_4">
                            <num>4) </num>
                            <content>
                                <p>opetus;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_5">
                            <num>5) </num>
                            <content>
                                <p>tietojohtaminen;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_6">
                            <num>6) </num>
                            <content>
                                <p>sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta;</p>
                            </content>
                        </paragraph>
                        <paragraph eId="sec_2__subsec_2__para_7">
                            <num>7) </num>
                            <content>
                                <p>viranomaisen suunnittelu- ja selvitystehtävä.</p>
                            </content>
                        </paragraph>
                    </subsection>
                    <subsection eId="sec_2__subsec_3">
                        <content>
                            <p>Luovutusperusteista sekä vastaanottajan oikeudesta käsitellä luovutettuja henkilötietoja 2 momentissa tarkoitettuihin käyttötarkoituksiin säädetään 4 ja 5 luvussa.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_2__subsec_4">
                        <content>
                            <p>
                                Tätä lakia ei sovelleta kliinisestä lääketutkimuksesta annetun lain (983/2021), jäljempänä 
                                <i>lääketutkimuslaki</i>, 1 §:ssä tarkoitetussa kliinisessä lääketutkimuksessa, lääkinnällisistä laitteista annetun lain (719/2021) 3 luvussa tarkoitetussa lääkinnällisen laitteen kliinisessä tutkimuksessa tai in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimuksessa ja lääketieteellisestä tutkimuksesta annetun lain (488/1999), jäljempänä 
                                <i>tutkimuslaki</i>, 2 §:n 1 kohdassa tarkoitetussa lääketieteellisessä tutkimuksessa tapahtuvaan henkilötietojen käsittelyyn, jos tutkittava tai hänen laillinen edustajansa on antanut suostumuksensa osallistua tutkimukseen noudattaen, mitä ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 536/2014 ja lääketutkimuslaissa,
lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/745, in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/746 ja lääkinnällisistä laitteista annetussa laissa taikka tutkimuslaissa säädetään suostumuksen antamisesta tai jos mainituissa säädöksissä säädetyt hätätilanteessa suoritettavan tutkimuksen suorittamisen edellytykset täyttyvät. 
                            </p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_3">
                    <num>3 §</num>
                    <heading>Määritelmät</heading>
                    <subsection eId="sec_3__subsec_1">
                        <intro eId="sec_3__subsec_1__intro">
                            <p>Tässä laissa tarkoitetaan:</p>
                        </intro>
                        <hcontainer name="omission"/>
                        <paragraph>
                            <num>10) </num>
                            <content>
                                <p>
                                    <i>tietoturvallisella siirtopalvelulla</i>
                                     tietoturvallista ratkaisua, jonka kautta osapuolet voivat luovuttaa ja vastaanottaa käyttörajoituksen alaisia tietoja;
                                </p>
                            </content>
                        </paragraph>
                        <hcontainer name="omission"/>
                        <paragraph>
                            <num>12) </num>
                            <content>
                                <p>
                                    <i>asiointipalvelulla</i>
                                     järjestelmää, jonka välityksellä tietoluvan hakija tai tietoja tämän lain perusteella muutoin pyytävä toimittaa tietolupahakemuksen tai tietopyynnön ja sen liitteet viranomaiselle ja jossa tietolupaa tai tietopyyntöä koskeva päätös annetaan tiedoksi luvan hakijalle;
                                </p>
                            </content>
                        </paragraph>
                        <paragraph>
                            <num>13) </num>
                            <content>
                                <p>
                                    <i>palvelunantajalla</i>
                                     sosiaali- tai terveydenhuoltoa taikka sosiaali- tai terveyspalveluja järjestävää, tuottavaa tai toteuttavaa viranomaista taikka sosiaali- ja terveydenhuollon valvonnasta annetussa laissa (741/2023) tarkoitettua yksityistä palvelujen tuottajaa;
                                </p>
                            </content>
                        </paragraph>
                        <hcontainer name="omission"/>
                    </subsection>
                </section>
                <section eId="sec_5">
                    <num>5 §</num>
                    <heading>Tietolupaviranomaisen tehtävät</heading>
                    <subsection eId="sec_5__subsec_1">
                        <content>
                            <p>Tietolupaviranomainen käsittelee tietolupia ja tietopyyntöjä sekä vastaa tietoluvassa tai tietopyynnössä tarkoitettujen tietojen kokoamisesta, yhdistelystä, esikäsittelystä ja luovuttamisesta toissijaiseen käyttöön.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_5__subsec_2">
                        <content>
                            <p>Tietolupaviranomainen ylläpitää asiointipalvelua tietopyyntöjen ja tietolupahakemusten välittämiseksi ja käsittelemiseksi sekä tietoturvallista siirtopalvelua henkilötietojen vastaanottamiseksi ja luovuttamiseksi. Lisäksi Tietolupaviranomainen järjestää tietoturvallista käyttöympäristöä koskevan palvelun, jossa luvansaajan on mahdollista käsitellä tietoluvan perusteella saamiaan henkilötietoja.</p>
                        </content>
                    </subsection>
                    <hcontainer name="omission"/>
                    <subsection>
                        <content>
                            <p>Tietolupaviranomainen voi tuottaa anonymisoidut tulokset ja varmistaa tuotettujen tulosten anonymisoinnin. Tulosten anonymisoinnista säädetään 52 §:ssä.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_6">
                    <num>6 §</num>
                    <heading>Organisaatiot ja tietoaineistorajaukset</heading>
                    <subsection eId="sec_6__subsec_1">
                        <intro eId="sec_6__subsec_1__intro">
                            <p>Organisaatiot, joiden henkilötietoja voidaan käsitellä tämän lain nojalla 2 §:n mukaisiin käyttötarkoituksiin, ovat:</p>
                        </intro>
                        <hcontainer name="omission"/>
                        <paragraph>
                            <num>11) </num>
                            <content>
                                <p>Digi- ja väestötietovirasto siltä osin kuin väestötietojärjestelmästä tarvitaan tämän lain mukaisiin tarkoituksiin henkilöiden perustietoja, henkilöiden perhesuhteita ja asuinpaikkoja koskevia tietoja sekä rakennustietoja.</p>
                            </content>
                        </paragraph>
                    </subsection>
                </section>
                <section eId="sec_6a">
                    <num>6 a §</num>
                    <heading>Tietolupakäsittelyyn liittyvä toimivalta</heading>
                    <subsection eId="sec_6a__subsec_1">
                        <content>
                            <p>
                                Jos tietolupahakemus koskee sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa (703/2023), jäljempänä 
                                <i>asiakastietolaki</i>, tarkoitettuihin valtakunnallisiin tietojärjestelmäpalveluihin (<i>Kanta-palvelut</i>) tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, hakemus toimitetaan Tietolupaviranomaiselle, joka tekee tietolupaa koskevan päätöksen.
                            </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6a__subsec_2">
                        <content>
                            <p>Hakija voi toimittaa tietolupahakemuksen, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6a__subsec_3">
                        <content>
                            <p>Jos hakija toimittaa tietolupahakemuksen Tietolupaviranomaiselle, se tekee tietolupaa koskevan päätöksen kaikkien hakemuksen kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos hakija toimittaa hakemuksen jokaiselle hakemuksen kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekee tietolupaa koskevan päätöksen omien tietoaineistojensa osalta.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6a__subsec_4">
                        <content>
                            <p>Jos tietolupahakemus koskee vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation tietoja, hakemus toimitetaan kyseiselle organisaatiolle, joka tekee tietolupaa koskevan päätöksen.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6a__subsec_5">
                        <content>
                            <p>Tietolupapäätöksestä vastaava organisaatio voi pyytää tietosuojavaltuutetulta lausuntoa tietolupahakemuksesta, jos arvioi sen tarpeelliseksi.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_6b">
                    <num>6 b §</num>
                    <heading>Tietopyyntökäsittelyyn liittyvä toimivalta</heading>
                    <subsection eId="sec_6b__subsec_1">
                        <content>
                            <p>Jos tietopyyntö koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, tietopyyntö toimitetaan Tietolupaviranomaiselle, joka tekee tietopyyntöä koskevan päätöksen.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6b__subsec_2">
                        <content>
                            <p>Hakija voi toimittaa tietopyynnön, joka koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoaineistoja, joko Tietolupaviranomaiselle tai jokaiselle pyynnön kohteena olevalle organisaatiolle erikseen.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6b__subsec_3">
                        <content>
                            <p>Jos hakija toimittaa tietopyynnön Tietolupaviranomaiselle, se tekee tietopyyntöä koskevan päätöksen kaikkien tietopyynnön kohteena olevien rekisterinpitäjien tietoaineistojen osalta. Jos hakija toimittaa tietopyynnön jokaiselle tietopyynnön kohteena olevalle organisaatiolle erikseen, jokainen organisaatio tekee tietopyyntöä koskevan päätöksen omien tietoaineistojensa osalta.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6b__subsec_4">
                        <content>
                            <p>Jos tietopyyntö koskee vain yhden 6 §:n 1–8 kohdassa tarkoitetun organisaation tietoja, tietopyyntö toimitetaan kyseiselle organisaatiolle, joka tekee tietopyyntöä koskevan päätöksen.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_6c">
                    <num>6 c §</num>
                    <heading>Tietolupa- ja tietopyyntökäsittelyyn liittyvän toimivallan siirto</heading>
                    <subsection eId="sec_6c__subsec_1">
                        <content>
                            <p>Edellä 6 §:ssä tarkoitettu organisaatio voi luovuttaa toimivallan antaa tietolupa- tai tietopyyntöpäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Tietolupaviranomainen tekee tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia tai tietopyyntöjä koskevat päätökset. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_6c__subsec_2">
                        <content>
                            <p>Jos organisaatio on luovuttanut toimivallan Tietolupaviranomaiselle tai kyseessä on tietolupahakemus tai tietopyyntö, joka koskee Kanta-palveluihin tallennettuja tietoja tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoja, ja hakija on toimittanut tietolupahakemuksen tai tietopyynnön jokaiselle hakemuksen tai pyynnön kohteena olevalle organisaatiolle erikseen, Tietolupaviranomainen tekee tietolupaa tai tietopyyntöä koskevan päätöksen toimivallan luovuttaneen organisaation, Kanta-palveluihin tallennettujen tietojen ja yksityisten sosiaali- tai terveydenhuollon palvelunjärjestäjien rekisteritietojen osalta.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_7">
                    <num>7 §</num>
                    <heading>Tilastoviranomaisten tietojen käsittelyä koskevat poikkeukset</heading>
                    <subsection eId="sec_7__subsec_1">
                        <content>
                            <p>
                                Tilastokeskus ja Terveyden ja hyvinvoinnin laitos tilastoviranomaisena (<i>tilastoviranomaiset</i>) vastaavat tilastotarkoituksiin keräämiensä tietojen tietolupa- ja tietopyyntöpäätöksistä tieteellistä tutkimusta varten sekä samaan tutkimussuunnitelmaan liittyvien tietojen yhdistelystä omiin tietoihinsa ja niiden pseudonymisoinnista tai anonymisoinnista noudattaen, mitä tilastolaissa (280/2004) säädetään. Tietolupahakemus tai tietopyyntö, joka koskee muita tässä laissa tarkoitettuja tietoja sekä tilastoviranomaisen tilastotarkoituksissa keräämiä tietoja, toimitetaan Tilastokeskukselle tai Terveyden ja hyvinvoinnin laitokselle.
                            </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_7__subsec_2">
                        <content>
                            <p>Tilastotarkoituksessa kerättyjen tietojen yhdistelemisestä ja luovuttamisesta säädetään 51 §:n 3 momentissa.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_7a">
                    <num>7 a §</num>
                    <heading>Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen tietojen käsittelyä koskevat poikkeukset</heading>
                    <subsection eId="sec_7a__subsec_1">
                        <content>
                            <p>Eläketurvakeskuksen, Digi- ja väestötietoviraston ja Tilastokeskuksen 6 §:n 9–11 kohdassa tarkoitettuihin tietoihin kohdistuvaan tietolupahakemukseen tai tietopyyntöön sovelletaan tämän lain säännöksiä silloin, jos näitä tietoja yhdistetään yhden tai usean 6 §:n 1–8 kohdassa tarkoitetun rekisterinpitäjän tietoihin, Kanta-palveluihin tallennettuihin tietoihin tai yhden tai usean yksityisen sosiaali- tai terveydenhuollon palvelunjärjestäjän rekisteritietoihin. </p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_8">
                    <num>8 §</num>
                    <heading>Tietolupaviranomaisen korkean tason asiantuntijaryhmä </heading>
                    <subsection eId="sec_8__subsec_1">
                        <content>
                            <p>Sosiaali- ja terveysministeriö asettaa Tietolupaviranomaiselle korkean tason asiantuntijaryhmän, jonka tehtävänä on laatia anonymisointia, tietosuojaa ja tietoturvaa koskevat Tietolupaviranomaisen toiminnan periaatelinjaukset. Asiantuntijaryhmässä on oltava tekoälyn, data-analytiikan, tietoturvan, tietosuojan, alan tutkimuksen, tilastotieteen ja tilastotoimen asiantuntija sekä Tietolupaviranomaisen edustaja. Sosiaali- ja terveysministe-riön asetuksella voidaan säätää tarkemmin asiantuntijaryhmän tehtävistä sekä sen jäsenten määrästä ja kelpoisuusehdoista.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_13">
                    <num>13 §</num>
                    <heading>Neuvontapalvelu</heading>
                    <hcontainer name="omission"/>
                    <subsection>
                        <content>
                            <p>Sen lisäksi, mitä 1 momentissa säädetään, Tietolupaviranomaisen on järjestettävä neuvontapalvelu, joka koskee tietoluvan myöntämisedellytyksiä, tietopyyntöjen hyväksymisedellytyksiä, Tietolupaviranomaisen palvelujen sisältöä ja merkitystä sekä 14 §:n 4 momentissa tarkoitettuja valmisaineistoja.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_14">
                    <num>14 §</num>
                    <heading>Tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelu</heading>
                    <subsection eId="sec_14__subsec_1">
                        <content>
                            <p>Kun Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan myönteisen päätöksen, Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio kokoaa, tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoaineiston luvansaajan käsiteltäväksi taikka tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_14__subsec_2">
                        <content>
                            <p>Tietolupaviranomaisen ja 6 §:ssä tarkoitettujen organisaatioiden on säilytettävä kuvaus luovuttamiensa tietoaineistojen ja aggregoitujen tilastotietojen muodostamisesta, käyttämistään pseudonymisointi- ja anonymisointimenetelmistä sekä luovutetuista lopputuloksista.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_14__subsec_3">
                        <content>
                            <p>Jos henkilötietoja luovutetaan usean eri tiedonhyödyntämissuunnitelman perusteella pseudonymisoituna, tiedot on pseudonymisoitava jokaista luovutusta varten eri tunnisteella.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_14__subsec_4">
                        <content>
                            <p>Tietolupaviranomainen saa muodostaa valmisaineistoja 6 §:ssä tarkoitettujen organisaatioiden tiedoista. Tietolupaviranomainen saa poimia tietoluvan myöntämiseksi tarvittavat ja myönnetyn tietoluvan tai tietopyyntöä koskevan päätöksen mukaiset tiedot valmisaineistoista.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_16">
                    <num>16 §</num>
                    <heading>Tietolupaviranomaisen asiointipalvelu </heading>
                    <subsection eId="sec_16__subsec_1">
                        <content>
                            <p>Tietolupaviranomainen ylläpitää yksin tai yhdessä muiden viranomaisten kanssa asiointipalvelua, jonka välityksellä tietolupahakemus tai tietopyyntö on toimitettava sille.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_16__subsec_2">
                        <content>
                            <p>Keskeiset Tietolupaviranomaisen selvitys- ja täydennyspyynnöt sekä keskeiset hakijan laatimat selvitykset ja täydennykset sekä hakemusta koskevat muutokset toimitetaan asiointipalvelun välityksellä. Lupapäätös annetaan hakijalle tiedoksi asiointipalvelun välityksellä.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_16__subsec_3">
                        <content>
                            <p>Jos tietojen käytön edellytykseksi on säädetty tiedonhyödyntämissuunnitelman eettinen ennakkoarviointi, myös eettinen arviointi saatetaan vireille ja lausunto toimitetaan asiointipalvelun välityksellä.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_17">
                    <num>17 §</num>
                    <heading>Tietoturvallinen siirtopalvelu</heading>
                    <subsection eId="sec_17__subsec_1">
                        <content>
                            <p>Tietolupaviranomainen ylläpitää tietoturvallista siirtopalvelua tietolupahakemuksen ja tietopyynnön käsittelyssä tarvittavien tietojen sekä myönnetyn tietoluvan mukaisten tietojen luovuttamiseksi. Tietoturvallisen siirtopalvelun välityksellä saa tässä laissa säädetyin edellytyksin luovuttaa henkilötietoja Tietolupaviranomaisen ja muiden 6 §:ssä tarkoitettujen organisaatioiden välillä, 6 §:ssä tarkoitettujen organisaatioiden välillä, Tietolupaviranomaisen ja yksityisten sosiaali- ja terveydenhuollon palvelunantajien välillä, luvanhakijan ja Tietolupaviranomaisen sekä luvanhakijan ja 6 §:ssä tarkoitettujen organisaatioiden välillä.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_17__subsec_2">
                        <content>
                            <p>Kun henkilötietoja välitetään tietoturvallisen siirtopalvelun välityksellä, niiden eheys ja alkuperä on varmistettava sähköisellä allekirjoituksella. Organisaation ja tietoteknisten laitteiden lähettämien tietojen eheys ja alkuperä on varmistettava käyttämällä luotettavuudeltaan vastaavaa tekniikkaa kuin luonnollisen henkilön sähköisessä allekirjoituksessa. Tietoturvallisen siirtopalvelun käyttäjät on tunnistettava vahvasti, kun heille luovutetaan henkilötietoja. Kehittyneestä sähköisestä allekirjoituksesta ja vahvasta sähköisestä tunnistamisesta säädetään sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 910/2014 sekä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009).</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_17__subsec_3">
                        <content>
                            <p>Tietolupaviranomaisen on luotava tarvittavat rajapinnat tietoturvallisen siirtopalvelun yhteentoimivuutta varten ja huolehdittava siitä, että tiedonsiirto voidaan tehdä yleisesti käytössä olevien teknologioiden avulla.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_20">
                    <num>20 §</num>
                    <heading>Tietoturvallinen käyttöympäristö</heading>
                    <subsection eId="sec_20__subsec_1">
                        <content>
                            <p>Tietolupaviranomaisen tai muun 6 §:ssä tarkoitetun organisaation tämän lain nojalla luovuttamien tietojen tietoturvallinen, luvan mukainen käsittely toteutetaan tietoturvallisessa käyttöympäristössä. Tietolupaviranomainen järjestää yksin tai yhdessä muiden viranomaisten kanssa tietoturvallista käyttöympäristöä koskevan palvelun. Tietoturvallisia käyttöympäristöjä koskevia palveluita voivat tarjota myös muut organisaatiot. </p>
                        </content>
                    </subsection>
                    <subsection eId="sec_20__subsec_2">
                        <content>
                            <p>Käsittelyn on oltava mahdollista teknisesti erilaisin tavoin ja käyttöympäristöön on oltava pääsy eri paikoista. Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on arvioitava luovutettavien tietojen arkaluontoisuuden tasoa ja huomioitava tämä tietolupapäätöksessä tietoturvallisen käyttöympäristön käytölle asetettavissa vaatimuksissa.</p>
                        </content>
                    </subsection>
                    <subsection eId="sec_20__subsec_3">
                        <content>
                            <p>Tietolupaviranomaisen tietoturvallisen käyttöympäristön ja muiden tietoturvallisten käyttöympäristöjen tulee täyttää 2 momentissa ja 21–29 §:ssä säädetyt edellytykset.</p>
                        </content>
                    </subsection>
                </section>
                <section eId="sec_23">
                    <num>23 §</num>
                    <heading>Tietoturvallisen käyttöympäristön suojaaminen</heading>
                    <subsection eId="sec_23__subsec_1">
                        <content>
                            <p>Tietoturvallinen käyttöympäristö on suojattava noudattaen, mitä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 4 luvussa säädetään.</p>
                        </content>
                    </subsection>
                    <hcontainer name="omission"/>
                </section>
                <chapter eId="chp_4">
                    <num>4 luku</num>
                    <heading>Henkilötietojen toissijaisen käytön perusteet ja edellytykset</heading>
                    <crossHeading eId="chp_4__crossHeading">Toissijaisen käytön yleiset perusteet</crossHeading>
                    <section eId="chp_4__sec_36">
                        <num>36 §</num>
                        <heading>Tietolupaviranomaisen oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Edellä 1 momentissa tarkoitetut tiedot luovutetaan Tietolupaviranomaisen käyttöön tietoturvallisen siirtopalvelun välityksellä.</p>
                            </content>
                        </subsection>
                        <subsection>
                            <content>
                                <p>Tietolupaviranomainen voi salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä poimia tietoluvan mukaiset tiedot tietoturvallisen siirtopalvelun välityksellä sellaisista 1 momentissa tarkoitettujen rekisterinpitäjien tiedoista ja tietovarannoista, joista se on rekistereiden ja tietovarantojen sisältö ja tekninen toteutus huomioon ottaen mahdollista ja tarkoituksenmukaista.</p>
                            </content>
                        </subsection>
                        <hcontainer name="omission"/>
                    </section>
                    <section eId="chp_4__sec_36a">
                        <num>36 a §</num>
                        <heading>Tietoaineistojen kokoajan oikeus saada ja käsitellä tietoja salassapitovelvoitteiden estämättä</heading>
                        <subsection eId="chp_4__sec_36a__subsec_1">
                            <intro eId="chp_4__sec_36a__subsec_1__intro">
                                <p>Jos 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio on 51 §:ssä tarkoitetulla tavalla valittu usean organisaation tietoaineistojen kokoajaksi, sillä on salassapitovelvoitteiden ja muiden tietojen käyttöä koskevien rajoitusten estämättä oikeus pyynnöstä saada 6 §:ssä tarkoitetuilta rekisterinpitäjiltä seuraavat tässä laissa säädettyjen tehtävien hoitamiseksi välttämättömät tiedot:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_36a__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>tietoluvassa tarkoitetut tiedot tietojen kokoamiseksi, yhdistelemiseksi ja esikäsittelemiseksi sekä luovuttamiseksi luvansaajan käsiteltäväksi;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_36a__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>tiedot sen arvioimiseksi, onko tietolupahakemuksessa tarkoitetut tiedot mahdollista anonymisoida tai onko 45 §:ssä tarkoitetuista tiedoista mahdollista tuottaa aggregoitua tilastotietoa; sekä</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_36a__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>aggregoidun tilastotiedon tuottamista varten tarvittavat tiedot.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4__sec_36a__subsec_2">
                            <content>
                                <p>Edellä 1 momentissa tarkoitetut tiedot luovutetaan tietoaineistojen kokoajan käyttöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_36a__subsec_3">
                            <content>
                                <p>Tietoaineistojen kokoaja on tässä pykälässä tarkoitetuin tavoin saamiensa tietojen rekisterinpitäjä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_37">
                        <num>37 §</num>
                        <heading>Kehittämis- ja innovaatiotoiminta</heading>
                        <subsection eId="chp_4__sec_37__subsec_1">
                            <content>
                                <p>Tietolupaviranomainen ja 6 §:ssä tarkoitettu organisaatio saa salassapitovelvoitteiden estämättä tuottaa tietopyynnön perusteella yksittäistapauksessa asiakastietoihin sekä muihin 6 §:ssä tarkoitettujen organisaatioiden henkilötietoihin perustuvat aggregoidut tilastotiedot kehittämis- ja innovaatiotoimintaan, jota toteutetaan muutoin kuin tieteellisenä tutkimuksena.</p>
                            </content>
                        </subsection>
                        <hcontainer name="omission"/>
                    </section>
                    <section eId="chp_4__sec_42">
                        <num>42 §</num>
                        <heading>Sosiaali- ja terveydenhuollon viranomaisohjaus ja -valvonta</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Edellä 2 momentissa tarkoitetut tiedot luovutetaan valvontaviranomaiselle tietoturvallisen siirtopalvelun välityksellä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_43">
                        <num>43 §</num>
                        <heading>Tietoluvan myöntämisen yleiset perusteet</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Jos Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio toteaa tietolupahakemuksen perusteella, että tietoluvan sijaan asia voidaan käsitellä tietopyyntönä, Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on otettava yhteys luvanhakijaan ja esitettävä, että asia käsitellään tietopyyntönä. Jos luvanhakija vaatii asian käsittelyä tietolupahakemuksena, Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on tehtävä asiaa koskeva päätös.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_45">
                        <num>45 §</num>
                        <heading>Tietopyynnön käsittely</heading>
                        <subsection eId="chp_4__sec_45__subsec_1">
                            <content>
                                <p>Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio päättää, onko tietopyyntö 2 §:ssä säädettyjen käyttötarkoitusten ja tietopyynnölle säädettyjen vaatimusten mukainen.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_45__subsec_2">
                            <content>
                                <p>Päätöstä tehdessään Tietolupaviranomaisen ja 6 §:ssä tarkoitetun organisaation on arvioitava tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan ja 86 artiklan nojalla sekä ottaen huomioon 8 §:ssä tarkoitetun asiantuntijaryhmän periaatelinjaukset, onko pyytäjän esittämistä rekisteritiedoista mahdollista muodostaa tietopyynnössä tarkoitettu aggregoitu tilastotieto.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_45__subsec_3">
                            <content>
                                <p>Jos tietoja pyydetään tieteellistä tutkimusta varten ja pyyntö koskee tilastoviranomaisen tilastotarkoituksiin keräämiä tietoja, käsitellään tietopyyntö kuitenkin noudattaen, mitä 7 §:ssä ja 51 §:n 3 momentissa säädetään.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_46">
                        <num>46 §</num>
                        <heading>Tietolupahakemuksen ja tietopyynnön toimittaminen Tietolupaviranomaiselle</heading>
                        <subsection eId="chp_4__sec_46__subsec_1">
                            <content>
                                <p>Tietopyyntö sekä tietolupahakemus on toimitettava Tietolupaviranomaiselle asiointipalvelun välityksellä. Jos hakija täydentää hakemustaan, myös täydennys on toimitettava Tietolupaviranomaiselle asiointipalvelun välityksellä. Lupahakemukseen ja aggregoituja tilastotietoja koskevaan tietopyyntöön on liitettävä tiedonhyödyntämissuunnitelma.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_46__subsec_2">
                            <content>
                                <p>Tietolupaviranomainen antaa määräykset tietolupahakemuksen, tiedonhyödyntämissuunnitelman, tietopyynnön sekä tietolupa- ja tietopyyntöpäätöksen tietosisällöistä ja tietorakenteista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_47">
                        <num>47 §</num>
                        <heading>Tietolupakäsittelyn määräajat</heading>
                        <subsection eId="chp_4__sec_47__subsec_1">
                            <content>
                                <p>Päätös tietolupahakemukseen on annettava viipymättä, kuitenkin viimeistään 3 kuukauden kuluessa siitä, kun lupahakemus on saapunut täydellisenä organisaatiolle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_47__subsec_2">
                            <content>
                                <p>Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio voi painavasta syystä päättää, että tietolupahakemuksen käsittelyaikaa jatketaan enintään 3 kuukautta, jos hakemuksen ja siihen liittyvän tiedonhyödyntämissuunnitelman käsittely edellyttää poikkeuksellisen laajaa ja usean eri rekisterinpitäjän tietojen käsittelyä taikka erityisen vaativaa harkintaa. Tietolupaviranomaisen tai 6 §:ssä tarkoitetun organisaation on annettava luvan hakijalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa lupapäätös annetaan.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_47__subsec_3">
                            <content>
                                <p>Jos tietolupapäätöksestä vastaava organisaatio pyytää 6 a §:n 5 momentissa tarkoitettua lausuntoa tietosuojavaltuutetulta, tietolupapäätöksestä vastaavan organisaation määräaika hakemuksen käsittelylle keskeytyy, kunnes lausunto on saapunut.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_47__subsec_4">
                            <content>
                                <p>Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava Tietolupaviranomaiselle tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 15 arkipäivän kuluessa pyynnön saapumisesta. Jos hakijan hakemuksensa tai pyyntönsä tueksi esittämä selvitys on riittämätön, rekisterinpitäjän on ilmoitettava viipymättä Tietolupaviranomaiselle ja hakijalle, mitä lisäselvitystä edellytetään. Tietolupahakemuksen tai tietopyynnön käsittelyssä tarvittavat tiedot on tällöin toimitettava Tietolupaviranomaiselle 15 arkipäivän kuluessa siitä, kun hakijalta saadut lisäselvitykset ovat riittäviä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_48">
                        <num>48 §</num>
                        <heading>Tietojen luovutuksia koskevat määräajat</heading>
                        <subsection eId="chp_4__sec_48__subsec_1">
                            <content>
                                <p>Edellä 6 §:ssä tarkoitetun rekisterinpitäjän sekä yksityisen sosiaali- tai terveydenhuollon palvelunantajan on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot Tietolupaviranomaisen pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun Tietolupaviranomainen on tehnyt päätöksen siitä, että tiedot saa luovuttaa hakijalle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_2">
                            <content>
                                <p>Edellä 6 §:ssä tarkoitetun rekisterinpitäjän on luovutettava myönnetyn tietoluvan mukaiset rekisteritiedot tai tietopyynnön käsittelyssä tarvittavat tiedot 51 §:ssä tarkoitetun tietoaineistojen kokoajan pyynnöstä viivytyksettä, kuitenkin viimeistään 30 arkipäivän kuluessa siitä, kun organisaatiot ovat tehneet päätöksen siitä, että tiedot saa luovuttaa hakijalle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_3">
                            <content>
                                <p>Jos hakijan tietojen luovuttamisen tueksi esittämä selvitys on riittämätön, Tietolupaviranomaisen tai tietoaineistojen kokoajan on ilmoitettava viipymättä hakijalle, mitä lisäselvitystä edellytetään. Pyydetyt tiedot on tällöin toimitettava hakijalle 30 arkipäivän kuluessa lisäselvityksen vastaanottamisesta, jos luovutuksen edellytyksistä voidaan varmistua toimitetun lisäselvityksen perusteella.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_4">
                            <content>
                                <p>Jos tietojen luovuttaminen Tietolupaviranomaiselle tai tietoaineistojen kokoajalle ei ole mahdollista 1 momentissa säädetyssä määräajassa, rekisterinpitäjän on ilmoitettava viivästyksestä, sen syystä ja tietojen luovutukseen tarvittavasta määräajan pidennyksestä ennen määräajan päättymistä. Tietolupaviranomaisen tai tietoaineistojen kokoajan on asetettava perustellusta syystä luovutukselle uusi määräaika.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_5">
                            <content>
                                <p>Tietolupaviranomaisen tai tietoaineistojen kokoajan on luovutettava luvansaajalle tietoluvan perusteella kokoamansa ja yhdistelemänsä tiedot viipymättä, kuitenkin viimeistään 60 arkipäivän kuluessa luvan myöntämisestä.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_48__subsec_6">
                            <content>
                                <p>Tietolupaviranomainen tai tietoaineistojen kokoaja voi painavasta syystä pidentää luovutuksen määräaikaa, jos tietojen luovuttaminen edellyttää poikkeuksellisen laajaa ja usean eri rekisterinpitäjän tietojen käsittelyä tai erityisen vaativaa tietojen yhdistelyä. Tietolupaviranomaisen tai tietoaineistojen kokoajan on annettava luvan saajalle tieto määräajan pidentämisestä ja sen perusteesta sekä uudesta määräajasta, jonka kuluessa tiedot luovutetaan.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_49">
                        <num>49 §</num>
                        <heading>Tietolupaa ja tietopyyntöä koskevasta päätöksestä perittävät maksut</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Tietoluvasta ja tietopyyntöä koskevasta päätöksestä perittävien maksujen tulee olla läpinäkyviä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_50">
                        <num>50 §</num>
                        <heading>Palveluista perittävät korvaukset</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Korvaukset, jotka koskevat tietolupaan ja tietopyyntöä koskevaan päätökseen perustuvien tietojen poimintaa ja toimittamista muista kuin Tietolupaviranomaisen omista tietovarannoista, määräytyvät kutakin tiedot toimittanutta rekisterinpitäjää koskevien säännösten mukaisesti.</p>
                            </content>
                        </subsection>
                        <subsection>
                            <content>
                                <p>Tietolupaviranomaisen korvausten määräytymisen perusteista säädetään valtion maksuperustelaissa. </p>
                            </content>
                        </subsection>
                        <hcontainer name="omission"/>
                    </section>
                    <section eId="chp_4__sec_51">
                        <num>51 §</num>
                        <heading>Tietoaineistojen kokoaminen tietoluvan myöntämisen tai tietopyyntöpäätöksen jälkeen</heading>
                        <subsection eId="chp_4__sec_51__subsec_1">
                            <content>
                                <p>Jos Tietolupaviranomainen on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan päätöksen, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51__subsec_2">
                            <content>
                                <p>Jos kukin 6 §:ssä tarkoitettu organisaatio on myöntänyt tietoluvan tai tehnyt tietopyyntöä koskevan päätöksen omien tietoaineistojensa osalta tietolupahakemuksessa tai tietopyynnössä, joka koskee usean organisaation tietoja, usean organisaation tietoaineistot kokoaa joko Tietolupaviranomainen tai jokin hakemuksen tai pyynnön kohteena oleva 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio. Päätöksen siitä, mikä edellä tarkoitettu organisaatio kokoaa tietoaineistot, tekevät tietolupahakemuksen tai tietopyynnön kohteena olevat organisaatiot yhteistyössä perustuen organisaatioiden resursseihin ja käytettävissä olevaan asiantuntemukseen. Edellä 6 §:n 2, 3, 5, 7 tai 8 kohdassa tarkoitettu organisaatio voi ilmoittaa, että se ei ole käytettävissä kyseiseen tehtävään. Jos organisaatiot eivät pääse yhteisymmärrykseen siitä, mikä organisaatio kokoaa tietoaineistot, tietoaineistot kokoaa Tietolupaviranomainen. Tietoaineistojen kokoaja myös tarvittaessa yhdistelee
ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51__subsec_3">
                            <content>
                                <p>Jos käyttötarkoitukseen tarvitaan myös Tilastokeskuksen tai Terveyden ja hyvinvoinnin laitoksen tilastoviranomaisena tilastotarkoitusta varten kokoamia tietoja, tilastoviranomainen yhdistelee sekä tarvittaessa esikäsittelee ja pseudonymisoi tai anonymisoi luovutettavat tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Jos käyttötarkoitukseen tarvitaan molempien tilastoviranomaisten tietoja, viranomaiset sopivat keskenään, kumpi yhdistelee ja pseudonymisoi tai anonymisoi tiedot. Tiedot voidaan tämän jälkeen luovuttaa tietoturvallisen siirtopalvelun välityksellä saajan käsiteltäväksi tietojen luonteesta ja määrästä riippuen joko Tilastokeskuksen tai Tietolupaviranomaisen tietoturvalliseen käyttöympäristöön tai muuhun tietoturvalliseen käyttöympäristöön.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_51a">
                        <num>51 a §</num>
                        <heading>Tietoaineistojen käsittely yksittäisessä organisaatiossa</heading>
                        <subsection eId="chp_4__sec_51a__subsec_1">
                            <content>
                                <p>Jos hakija ilmoittaa tietolupahakemuksessa tai tietopyynnössä, joka koskee usean 6 §:ssä tarkoitetun organisaation tietoja, että usean organisaation tietoaineistoja ei ole tarpeen yhdistellä, jokainen hakemuksessa tai tietopyynnössä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi omat tietoaineistonsa tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon. Organisaatiot voivat käyttää pseudonymisoinnissa Tietolupaviranomaisen luomaa pseudonymisointiavainta.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51a__subsec_2">
                            <content>
                                <p>Jos hakemus tai tietopyyntö on koskenut vain organisaation omia tietoaineistoja, tietoluvan myöntänyt tai tietopyyntöpäätöksen tehnyt 6 §:ssä tarkoitettu organisaatio kokoaa, esikäsittelee ja pseudonymisoi tai anonymisoi tiedot tai tuottaa tietopyynnössä tarkoitetun aggregoidun tilastotiedon.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51a__subsec_3">
                            <content>
                                <p>Organisaatio voi luovuttaa toimivallan tässä pykälässä tarkoitettuun tietoaineistojen käsittelyyn omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_51b">
                        <num>51 b §</num>
                        <heading>Tietoaineistojen luovutus tietoturvalliseen käyttöympäristöön</heading>
                        <subsection eId="chp_4__sec_51b__subsec_1">
                            <content>
                                <p>Muissa kuin 51 c ja 51 d §:ssä tarkoitetuissa tilanteissa tietolupaan perustuva tietoaineisto luovutetaan luvansaajan käsiteltäväksi 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön tietoturvallisen siirtopalvelun tai muun tietoturvallisen palvelun välityksellä, ellei siitä ole muodostettu aggregoitua tilastotietoa.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51b__subsec_2">
                            <content>
                                <p>Käyttöympäristön palveluntarjoajan on varmistettava ennen yhteyden avaamista luvansaajalle, että luvansaaja täyttää tietoluvassa asetetut vaatimukset.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_51c">
                        <num>51 c §</num>
                        <heading>Tietoaineistojen luovutus muuhun turvalliseen käyttöympäristöön</heading>
                        <subsection eId="chp_4__sec_51c__subsec_1">
                            <intro eId="chp_4__sec_51c__subsec_1__intro">
                                <p>Tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan, jossa tietoaineisto voidaan luovuttaa muuhun turvalliseen käyttöympäristöön kuin 20 §:ssä tarkoitettuun tietoturvalliseen käyttöympäristöön. Tällainen tietolupa voidaan myöntää, jos:</p>
                            </intro>
                            <paragraph eId="chp_4__sec_51c__subsec_1__para_1">
                                <num>1) </num>
                                <content>
                                    <p>kansalliseen turvallisuuteen kohdistuvat ja muut tietoluvan nojalla luovutettavaan tietoaineistoon kohdistuvat riskit ovat vähäiset;</p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_51c__subsec_1__para_2">
                                <num>2) </num>
                                <content>
                                    <p>yhtenä osallistujana hankkeessa on taho, joka harjoittaa tutkimustoimintaa suomalaisessa tutkimusorganisaatiossa; ja </p>
                                </content>
                            </paragraph>
                            <paragraph eId="chp_4__sec_51c__subsec_1__para_3">
                                <num>3) </num>
                                <content>
                                    <p>tietosuojan ja tietoturvan taso tietoaineiston käsittelyssä on riittävä.</p>
                                </content>
                            </paragraph>
                        </subsection>
                        <subsection eId="chp_4__sec_51c__subsec_2">
                            <content>
                                <p>Hakijan tulee perustella tietolupahakemuksessaan, miksi tietoaineistoa ei ole mahdollista käsitellä 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja antaa kaikki tarvittavat tiedot, jotta Tietolupaviranomainen voi arvioida, täyttyvätkö 1 momentissa säädetyt edellytykset. Tietolupaan voidaan liittää tarkempia tietojen käsittelyä koskevia ehtoja.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51c__subsec_3">
                            <content>
                                <p>Jos Tietolupaviranomainen on myöntänyt 1 momentissa tarkoitetun tietoluvan, se kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä pseudonymisoi tai anonymisoi tietoluvassa yksilöidyt tiedot sekä luovuttaa tuottamansa tietoaineiston luvansaajan käsiteltäväksi muussa turvallisessa käyttöympäristössä kuin 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_51d">
                        <num>51 d §</num>
                        <heading>Anonymisoitujen tietoaineistojen luovutus</heading>
                        <subsection eId="chp_4__sec_51d__subsec_1">
                            <content>
                                <p>Edellä 6 §:ssä tarkoitettu organisaatio voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle, jos tietolupahakemus koskee ainoastaan kyseisen organisaation tietoja. Jos tietolupahakemus koskee useamman kuin yhden 6 §:ssä tarkoitetun organisaation tietoja, Tietolupaviranomainen voi erityisestä syystä myöntää tietoluvan tietojen saamiseen anonymisoidussa muodossa 20 §:ssä tarkoitetun tietoturvallisen käyttöympäristön ulkopuolelle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51d__subsec_2">
                            <content>
                                <p>Edellä 6 §:ssä tarkoitettu organisaatio voi luovuttaa toimivallan antaa tässä pykälässä tarkoitettuja tietolupapäätöksiä omien tietoaineistojensa osalta Tietolupaviranomaiselle toistaiseksi tai määräajaksi. Tietolupaviranomainen tekee tällöin toimivallan luovuttaneen rekisterinpitäjän tietoaineistoja koskevat tietolupia koskevat päätökset. Toimivalta voidaan luovuttaa, jos se on organisaation resurssit ja käytettävissä oleva asiantuntemus huomioiden perusteltua. Jos organisaatio katsoo, että toimivallan siirrolle ei ole enää perusteita, se voi palauttaa toimivallan itselleen ilmoittamalla asiasta Tietolupaviranomaiselle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51d__subsec_3">
                            <content>
                                <p>Edellä 1 momentissa tarkoitetun luvan myöntämisen edellytyksenä on, että tietoaineistoon kohdistuvat riskit ovat vähäiset ja että tietoaineisto on mahdollista anonymisoida luotettavalla tavalla.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_51d__subsec_4">
                            <content>
                                <p>Edellä 6 §:ssä tarkoitettu organisaatio tai Tietolupaviranomainen kokoaa ja tarvittaessa yhdistelee ja esikäsittelee sekä anonymisoi tietoluvassa yksilöidyt tiedot ja luovuttaa tuottamansa anonymisoidun tietoaineiston luvansaajalle.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_52">
                        <num>52 §</num>
                        <heading>Tulosten tuominen ulos tietoturvallisesta käyttöympäristöstä</heading>
                        <subsection eId="chp_4__sec_52__subsec_1">
                            <content>
                                <p>Kun tietoluvan nojalla on luovutettu tietoja käsiteltäviksi 20 §:ssä tarkoitetussa tietoturvallisessa käyttöympäristössä ja niiden pohjalta tuotettuja tuloksia halutaan tuoda ulos tietoturvallisesta käyttöympäristöstä, luvansaaja anonymisoi tietoturvallisesta käyttöympäristöstä ulos otettavat tulokset. Tietolupaviranomainen voi luvansaajan pyynnöstä tuottaa anonymisoidut tulokset ja luovuttaa ne luvansaajalle.</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_52__subsec_2">
                            <content>
                                <p>Jos tulokset on anonymisoinut luvansaaja, sen tulee ilmoittaa Tietolupaviranomaiselle, että se aikoo tuoda tulokset ulos tietoturvallisesta käyttöympäristöstä. Tietolupaviranomainen varmistaa tuotettujen tulosten anonymisoinnin riskiperusteisen arvioinnin perusteella. </p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_52__subsec_3">
                            <content>
                                <p>Tietolupaviranomainen voi antaa tarkempia määräyksiä tulosten anonymisoinnista.</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_58">
                        <num>58 §</num>
                        <heading>Muutoksenhaku</heading>
                        <subsection eId="chp_4__sec_58__subsec_1">
                            <content>
                                <p>Tässä laissa tarkoitettuun tietopyyntöä koskevaan päätökseen sekä tietolupahakemusta ja luvan peruuttamista koskevaan päätökseen, jonka antaa Tietolupaviranomainen tai 6 §:ssä tarkoitettu organisaatio, sekä Lupa- ja valvontaviraston tämän lain nojalla tekemään päätökseen saa vaatia oikaisua. Oikaisuvaatimuksesta säädetään hallintolaissa (434/2003).</p>
                            </content>
                        </subsection>
                        <subsection eId="chp_4__sec_58__subsec_2">
                            <content>
                                <p>Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).</p>
                            </content>
                        </subsection>
                    </section>
                    <section eId="chp_4__sec_60">
                        <num>60 §</num>
                        <heading>Siirtymäsäännökset</heading>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Ennen lain voimaantuloa asianomaisen suostumuksella kerättyjä tietoja saa käyttää ja luovuttaa tämän lain mukaisesti lain 2 §:n 2 momentin 1, 2 ja 7 kohdan mukaisiin käyttötarkoituksiin sen estämättä, mitä 43 §:n 3 momentissa säädetään, jos on ilmeistä, että tietojen tällainen käyttö ja luovutus ei poikkea niistä tarkoituksista, joita varten tiedot on annettu. Tietoluvasta päättävä organisaatio voi edellyttää, että luvanhakija pyytää eettisen arvion lupapäätöksen perusteeksi Terveyden ja hyvinvoinnin laitoksen eettiseltä toimikunnalta.</p>
                            </content>
                        </subsection>
                        <hcontainer name="omission"/>
                        <subsection>
                            <content>
                                <p>Tämän lain 14 §:n 1 ja 2 momenttia tietoaineistojen kokoamis-, yhdistämis- ja esikäsittelypalvelusta, pseudonymisoinnista ja anonymisoinnista, 16 §:ää Tietolupaviranomaisen asiointipalvelusta sekä 20 §:n 1 momenttia tietoturvallisesta käyttöympäristöstä sovelletaan 1 päivästä tammikuuta 2020.</p>
                            </content>
                        </subsection>
                        <subsection>
                            <content>
                                <p>Tietolupahakemus ja tietopyyntö on toimitettava 16 §:ssä tarkoitetun asiointipalvelun välityksellä Tietolupaviranomaiselle 1 päivästä huhtikuuta 2020.</p>
                            </content>
                        </subsection>
                    </section>
                </chapter>
            </hcontainer>
            <hcontainer name="entryIntoForceStart"/>
            <hcontainer eId="entryIntoForce" name="entryIntoForce">
                <content>
                    <p>Tämä laki tulee voimaan 1 päivänä toukokuuta 2026. Lain 2 §:n 4 momentti tulee kuitenkin voimaan jo 1 päivänä tammikuuta 2026. </p>
                    <p>Lain 2 §:n 4 momentin voimaantultua sellaiset asiakastiedot sekä muut 6 §:ssä tarkoitettujen organisaatioiden henkilötiedot, joita on tämän lain voimaan tullessa voimassa olleiden säännösten nojalla käsitelty tietoturvallisessa käyttöympäristössä kliinisen lääketutkimuksen, lääketieteellisen tutkimuksen tai lääkinnällisen laitteen kliinisen tutkimuksen tai in vitro -diagnostiikkaan tarkoitetun laitteen suorituskykytutkimuksen toteuttamista varten, saadaan siirtää muuhun käyttöympäristöön, jos kliinisestä lääketutkimuksesta annetun lain 34 §:ssä, lääketieteellisestä tutkimuksesta annetun lain 21 c §:ssä tai lääkinnällisistä laitteista annetun lain 20 a §:ssä säädetyt edellytykset tietojen saamiselle ja tietojen muulle käsittelylle täyttyvät.</p>
                </content>
            </hcontainer>
            <hcontainer finlex:outline="Esityöt ja allekirjoitukset" name="conclusions">
                <hcontainer finlex:outline="Esityöt" name="preliminaryWork">
                    <content>
                        <p>
                            <ref href="/akn/fi/doc/government-proposal/2025/87">HE 87/2025</ref>
                        </p>
                        <p>StVM 15/2025</p>
                        <p>EV 127/2025</p>
                    </content>
                </hcontainer>
                <hcontainer finlex:outline="Allekirjoitukset" name="signatures">
                    <content>
                        <p>Helsingissä 5.12.2025</p>
                        <p>
                            <signature>
                                <role refersTo="">Tasavallan Presidentti</role>
                                <person refersTo="">Alexander Stubb</person>
                            </signature>
                            <signature>
                                <role refersTo="">Sosiaaliturvaministeri</role>
                                <person refersTo="">Sanni Grahn-Laasonen</person>
                            </signature>
                        </p>
                    </content>
                </hcontainer>
            </hcontainer>
        </body>
    </act>
</akomaNtoso>
</Results></AknXmlList>