TSV 08.06.2022
Rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollosta vakuutusyhtiön vastuun arvioinnin yhteydessä
vakutuusyhtiöt - terveystiedot
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 08.06.2022 |
| Diaarinumero: | 3216/452/17 |
Tietosuojavaltuutetun päätös
Asia
Rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollon yksiköstä vakuutusyhtiön vastuun arvioinnin yhteydessä
Rekisterinpitäjä
Vakuutusyhtiö
Ratkaistavana oleva asia
Rekisteröity on saattanut tietosuojavaltuutetun toimiston tietoon 17.10.2017, että rekisterinpitäjä on pyytänyt tarjoamansa vakuutuksen hakemisen yhteydessä laajasti rekisteröidyn potilastietoja terveydenhuollon yksiköstä.
Rekisterinpitäjä oli pyytänyt vakuutushakemuksen terveystietokaavakkeella rekisteröidyn suostumusta siihen, että eri terveydenhuollon yksiköt saavat luovuttaa rekisteröidyn potilastietoja rekisterinpitäjälle. Rekisteröity oli myöhemmin perunut vakuutushakemuksensa ja saanut selville Omakanta-palvelusta, että rekisterinpitäjä oli pyytänyt rekisteröidyn valtuutuksen nojalla kaikkia rekisteröidyn terveystietoja terveyskeskuksesta. Tietoja ei ollut kuitenkaan luovutettu terveyskeskuksen toimesta rekisterinpitäjälle.
Rekisteröity on pyytänyt tietosuojavaltuutetun toimistoa arvioimaan asiaa, sillä rekisteröidyn näkemyksen mukaan ei ole asianmukaista, että vakuutushakemuksen terveystietokaavakkeessa rekisterinpitäjälle annettava valtuutus tarkoittaa näin laajaa pääsyä rekisteröidyn terveystietoihin.
Tietosuojavaltuutetun toimisto on ilmi tulleen tapauksen johdosta vuosina 2020 ja 2021 selvittänyt rekisterinpitäjän menettelytapoja tilanteissa, joissa rekisterinpitäjä pyytää rekisteröityjen terveydentilatietoja terveydenhuollon yksiköistä. Tämä päätös koskee rekisterinpitäjän järjestelmällistä ja tällä hetkellä käytössä olevaa toimintatapaa.
Tässä päätöksessä termillä vakuutuksenhakija tarkoitetaan varsinaisen vakuutuksenhakijan lisäksi myös sellaisia henkilöitä, jonka sairauden tai kuoleman varalta vakuutus on tarkoitus otettavaksi, vaikka he eivät olisi itse vakuutuksenhakijoita.
Tietosuojavaltuutettu arvioi asiaa Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) perusteella. Asiassa on ratkaistavana seuraavat oikeudelliset kysymykset:
1) käsitteleekö rekisterinpitäjä vapaaehtoisten vakuutusten hakemisen yhteydessä rekisteröityjen erityisiin henkilötietoryhmiin kuuluvia terveydentilatietoja yleisen tietosuoja-asetuksen 9 artiklan mukaisesti; ja
2) noudattaako rekisterinpitäjä henkilötietojen käsittelyssä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan sääntelyä tietojen minimoinnista, 5 artiklan 1 kohdan a alakohdan sääntelyä tietojen käsittelyn kohtuullisuudesta sekä 25 artiklan 2 kohdan sääntelyä sisäänrakennetusta ja oletusarvoisesta tietosuojasta siltä osin, kun rekisterinpitäjä pyytää rekisteröityä koskevia terveystietoja terveydenhuollon yksiköstä ja käsittelee saamiaan tietoja vakuutusyhtiön vastuun selvittämiseksi.
Kun edellä esitetty rekisterinpitäjää koskeva ilmoitus on tehty tietosuojavaltuutetun toimistolle, henkilötietojen käsittelyä sääntelevänä yleislakina on sovellettu henkilötietolakia (523/1999). Yleistä tietosuoja-asetusta on sovellettu 25.5.2018 alkaen ja henkilötietolaki on kumottu tietosuoja-asetusta täsmentävällä tietosuojalailla, joka on tullut voimaan 1.1.2019. Koska tässä päätöksessä arvioinnin kohteena on rekisterinpitäjän vuosina 2020 ja 2021 toteuttama yleinen ja edelleen käytössä oleva toimintatapa, eikä arvioinnin kohteena ole rekisterinpitäjän ennen yleisen tietosuoja-asetuksen voimaantuloa toteuttama henkilötietojen käsittely, sovelletaan asiaan yleistä tietosuoja-asetusta.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjältä on pyydetty asiassa selvitystä 26.8.2020 ja 2.12.2020 päivätyillä selvityspyynnöillä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 30.9.2020 ja 13.1.2021.
Vakuutusyhtiön vastuun kartoittamista koskeva prosessi
Rekisterinpitäjältä pyydettiin selvitystä siitä, millä käsittelyperusteella ja mitä käyttötarkoitusta varten rekisterinpitäjä käsittelee rekisteröityä koskevia terveydenhuollon yksiköstä pyydettäviä tietoja. Lisäksi rekisterinpitäjää pyydettiin kertomaan, minkälainen on rekisterinpitäjän vakuutussopimuksen täytäntöönpanoa edeltävä käsittelyprosessi.
Rekisterinpitäjän mukaan tietosuojavaltuutetun toimistolle ilmi tulleessa tapauksessa mainitussa vakuutuksessa kysymys on vapaaehtoisesta vakuutuksesta, johon kuuluu aina kuolemanvaravakuutus sekä valinnaisesti vakuutukset muun muassa työkyvyttömyyden tai vakavan sairauden varalta.
Henkilövakuutuksissa tarpeellisten terveydentilatietojen saaminen vakuutushakemuksen yhteydessä vastuunvalintaa varten on rekisterinpitäjän mukaan välttämätöntä, sillä vakuutuksesta maksettavat korvaukset on määritelty henkilölle sattuvien vakuutustapahtumien kautta. Myös vakuutussopimuslain (543/1994) 37 §:n mukaiset rekisterinpitäjän vastuunrajoitukset voivat perustua vain näihin tietoihin.
Rekisterinpitäjän mukaan henkilövakuutuksissa vakuutetun ikä ja terveydentila vaikuttavat vakuutusturvan laajuuteen ja vakuutusmaksun suuruuteen. Ikää ja terveydentilaa koskevien tietojen perusteella voidaan päätyä myös siihen, että vakuutusta ei voida myöntää lainkaan. Vakuutusyhtiöllä ei ole edellytyksiä harjoittaa vakuutusliiketoimintaa sellaisten riskien vakuuttamiseksi, joiden osalta se ei voi käsitellä vastuunvalinnan kannalta välttämättömiä tietoja. Rekisterinpitäjä ei voi vakuuttaa sairauksia, jotka vakuutetulla on ollut jo vakuutusta haettaessa. Rekisterinpitäjällä on myös oikeus kieltäytyä sopimuksen tekemisestä vakuutuksenhakijan terveydentilasta johtuen, tai jos vakuutuksenhakija kieltäytyy antamasta terveysselvitystä ja valtuutusta terveydentilatietojen saamiseksi.
Rekisterinpitäjä toteaa selvityksessä, että se käsittelee rekisteröityjä koskevia terveydentilatietoja sopimuksen täytäntöön panemiseksi (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta). Rekisteröidyn terveydentilaa koskevien henkilötietojen käsittely on rekisterinpitäjän näkemyksen mukaan sallittua tietosuojalain 6 §:n 1 momentin 1 kohdan nojalla vakuutusyhtiön vastuun selvittämiseksi.
Rekisterinpitäjä kertoo, että sellaisissa rekisterinpitäjän tarjoamissa vakuutuksissa, joissa vakuutussopimuksen solmiminen edellyttää lääketieteellistä vastuunvalintaa, vakuutuksenhakijan vakuutushakemukseen kuuluu terveysselvityksen täyttäminen. Tässä yhteydessä vakuutuksenhakija antaa rekisterinpitäjälle valtuutuksen pyytää vakuutuksenhakijan terveydentilatietoja terveydenhuollon yksiköistä. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle jäljennökset vakuutushakemuksen yhteydessä käyttämästään suppeasta ja laajasta terveysselvityksestä.
Rekisterinpitäjä pyytää terveysselvityksen yhteydessä vakuutuksenhakijalta valtuutuksen tietojen pyytämiseen terveydenhuollon yksiköistä (nk. hoitolaitosvaltuutuksen) seuraavalla tavalla:
’’Ilmoitan suostuvani siihen, että minua tutkineet ja hoitaneet lääkärit, sairaalat, terveyskeskukset, neuvolat, työterveyshuollon yksiköt, mielenterveystoimistot ja yksityiset sairaanhoitolaitokset sekä toiset vakuutusyhtiöt ja vakuutus- ja eläkelaitokset antavat tämän hakemuksen ja mahdollisen korvausasian käsittelemistä varten tarpeellisia terveydentilaani koskevia henkilötietoja [rekisterinpitäjälle]. Tarvittavien tietojen hankkimiseksi [rekisterinpitäjä] voi luovuttaa edellä mainituille tahoille terveydentilaani ja vakuutustani koskevia yksilöityjä tietoja. Kansaneläkelaitoksessa olevien tietojen osalta suostumukseni koskee vain korvausasian käsittelemiseksi tarvittavia tietoja.’’
Nyt kysymyksessä oleva vakuutus on vapaaehtoinen vakuutus, jonka vakuutuksenottaja voi lain mukaan irtisanoa milloin tahansa. Jos vakuutus myönnetään, se tulee voimaan hakemuksen jättämispäivästä. Tämän vuoksi, jos vakuutuksenhakija peruu vakuutuksen hakemisvaiheessa, peruutus on tehtävä kirjallisesti. Terveysselvitys hoitolaitosvaltuutuksineen on osa vakuutushakemusta, joten valtuutus lakkaa samalla, kun vakuutuksenhakija peruuttaa hakemuksen.
Rekisterinpitäjä on lisäksi todennut, että vakuutuksenantajalla on ennen sopimuksen tekemistä laaja vakuutussopimuslain mukainen tiedonantovelvollisuus vakuutuksen sisällöstä ja tarkoituksesta. Rekisterinpitäjän myyntimallin mukaan myyjä käy läpi asiakkaan kanssa henkivakuutuksen hakemiseen liittyvän prosessin, mukaan lukien terveysselvityksen täyttämisen ja hoitolaitosvaltuutuksen. Osana tiedonantovelvollisuuden täyttämistä asiakas saa muun muassa vakuutusta koskevan tuoteselosteen ja ehdot. Tuoteselosteella kerrotaan, että vakuutusratkaisun tekemiseksi rekisterinpitäjä tarvitsee aina hakemuksen lisäksi tietoa vakuutuksenhakijan terveydentilasta, ja että rekisterinpitäjä saa henkilötietoja asiakkaalta itseltään, hänen valtuuttamiltaan tahoilta ja julkisista rekistereistä. Vakuutusehtojen mukaan vakuutus perustuu vakuutuksenhakijan antamiin tietoihin vakuutuksenhakijan terveydentilasta.
Rekisterinpitäjän pyytämistä tiedoista
Rekisterinpitäjältä pyydettiin selvitystä siitä, mitkä tiedot se pyytää käyttöönsä vakuutussopimuksiin liittyvissä terveydenhuollon yksiköille lähetettävissä rekisteröityä koskevissa tietopyynnöissä. Lisäksi rekisterinpitäjältä pyydettiin selvitystä siitä, miten rekisterinpitäjä varmistaa, ettei se käsittele kunkin asiakkaan kohdalla käyttötarkoituksen kannalta tarpeettomia tietoja. Rekisterinpitäjää pyydettiin myös kertomaan, miten se toimii, jos rekisterinpitäjälle on toimitettu sellaista tietoa, jolla ei ole merkitystä vakuutussopimuksen täytäntöönpanon kannalta.
Rekisterinpitäjä on todennut, että vakuutuksenantaja tarvitsee laajasti tietoa asiakkaasta ennen vakuutussopimuksen solmimista. Tarpeelliset tiedot riippuvat vakuutustuotteesta. Esimerkiksi vakuutussopimuslaki edellyttää tiettyjen tietojen keräämistä asiakkaalta jo ennen vakuutuksen tarjoamista ja laki rahanpesun ja terrorismin rahoittamisen estämisestä (444/2017) edellyttää lakisääteisten tietojen keräämistä muun muassa asiakkaan tuntemista ja tunnistamista varten.
Rekisterinpitäjällä on vastuunvalintaperiaatteet, joissa on määritelty vakuutettavat riskit ja ehdot, joilla vakuutetaan. Rekisterinpitäjän organisaatiossa vakuutushakemuksia koskevat päätökset tehdään perustuen sen omiin ratkaisuohjeisiin, jotka perustuvat määriteltyihin vastuunvalintaperiaatteisiin. […].
Jos vakuutussopimuksen täytäntöönpano edellyttää, että vakuutuksenhakija antaa terveysselvityksen, terveysselvityksessä kerättävien tietojen laajuus riippuu haettavasta vakuutusturvasta ja sen tasosta. Terveysselvityksessä pyydetään rekisterinpitäjän mukaan vain vakuutussopimuksen täytäntöönpanon kannalta merkityksellisiä terveydentilatietoja. Jos pelkän vakuutushakemuksen ja terveysselvityksen perusteella ei voida tehdä hakemusta koskevaa päätöstä, hakemuksen käsittelijä arvioi rekisterinpitäjän ratkaisuohjeiden avulla, mitä lisätietoja tarvitaan. Lisätietoja pyydetään joko vakuutuksenhakijalta tai terveydenhuollon yksiköistä.
Tietoja terveydenhuollon yksiköistä pyydetään tapauskohtaisen harkinnan perusteella vakuutushakemusvaiheessa vain, jos se on tarpeellista hakemuksen käsittelyn yhteydessä tehtävän lääketieteellisen vastuunvalinnan kannalta. Jos vakuutuksenhakijan terveysselvityksessä antamat vastaukset ovat vastuunvalinnan näkökulmasta riittävät, hoitolaitostiedustelua ei tehdä, vaan vastuunvalinta voidaan tehdä vakuutuksenhakijan antamien tietojen perusteella. […].
Jos terveysselvityksen yhteydessä on tarpeellista tehdä tietopyyntö terveydenhuollon yksikköön, rajataan pyydettävät tiedot koskemaan vain vakuutushakemuksen käsittelyä varten tarpeellisiin terveydentilatietoihin. Tietopyynnöt rajataan rekisterinpitäjän määrittelemällä tavalla. Tällöin hoitolaitostiedusteluissa pyydetään yksilöityä sairautta koskevat kopiot sairauskertomuksista tai lääkärinlausunnoista, joista ilmenevät sairauden, oireiden, tutkimusten tai toimenpiteiden esitiedot sekä mahdolliset aikaisemmat käyntikerrat ja tutkimustulokset. Tiedot pyydetään pääsääntöisesti määritellyltä aikaväliltä.
Tietopyyntö tehdään seuraavalla tavalla:
”Henkilö X, on […] ollut tutkittavana tai hoidettavana hoitolaitoksessanne sairauden Y vuoksi. Vakuutushakemuksen käsittelyä varten pyydämme teitä toimittamaan meille kopiot sairauskertomuksista tai lääkärinlausunnot, joista ilmenevät edellä mainittujen sairauksien, oireiden, tutkimusten tai toimenpiteiden esitiedot sekä mahdolliset aikaisemmat käyntikerrat ja tutkimustulokset. Edellä mainittuja tietoja pyydämme [määritellyltä aikaväliltä].’’
Poikkeuksellisissa tapauksissa, joissa haettava suuri vakuutusmäärä ylittää ennalta määritellyt vakuutusmäärärajat, edellyttää rekisterinpitäjä vakuutuksenhakijan lääkärintarkastusta.
Rekisterinpitäjä kertoo, että tietosuojavaltuutetun toimistolle asian vireille saattaneen rekisteröidyn asiassa tiedot on pyydetty toimittamaan […] ja tiedustelu on koskenut kaikkia terveydenhuollon yksikössä tehtyjä käyntejä, mutta rekisterinpitäjän toimintamallin mukaisesti tiedot olisi pitänyt pyytää yksilöidysti kustakin vastuunvalintaan vaikuttavasta sairaudesta, eikä kaikkia käyntejä koskevia tietoja.
Rekisterinpitäjä on todennut, että vakuutuksenhakijan terveydentilan selvittämisessä vakuutussopimusta varten on aina kyse kokonaisuudesta, jonka perusteella arvioidaan, voidaanko vakuutuksenhakija terveydentilansa puolesta vakuuttaa haetulla vakuutusturvalla. Tämän vuoksi harvoin syntyy tilanteita, joissa rekisteröidyltä tai terveydenhuollon yksiköstä saadut terveydentilatiedot eivät olisi merkityksellisiä sopimuksen kannalta. Tästä huolimatta on mahdollista, että jälkikäteen tarkasteltuna rekisterinpitäjän järjestelmiin olisi yksittäistapauksessa päässyt sopimuksen kannalta ylimääräistä tietoa, jota ei ole havaittu vakuutushakemuksen käsittelyn yhteydessä.
Rekisterinpitäjä on myös tuonut ilmi, että vakuutuksenottajan vakuutussopimuslain 22 §:n mukaisen tiedonantovelvollisuuden ja siihen liittyvän laiminlyöntiä koskevan sääntelyn johdosta vakuutuksenhakijat haluavat usein itse antaa mahdollisimman laajasti tietoa terveydentilastaan.
Tietosuojavaltuutetun päätös ja perustelut
1. Erityisiin henkilötietoryhmiin kuuluvien terveydentilatietojen käsittelyn lainmukaisuus
Päätös
Jäljempänä tarkemmin esitetyillä perusteilla tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei voi tietosuojalain 6 §:n 1 momentin 1 kohdassa säädetyn nojalla käsitellä vapaaehtoisen vakuutuksen hakijan terveydentilatietoja tai sen henkilön terveydentilatietoja, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa. Tästä syystä rekisterinpitäjä ei voi myöskään pyytää vakuutuksen hakemisvaiheessa näiden henkilöiden terveydentilatietoja terveydenhuollon yksiköstä tietosuojalain 6 §:n 1 momentin 1 kohdan säännöksen nojalla.
Jäljempänä esitetyn tarkemman arvioinnin perusteella rekisterinpitäjän toteuttama vapaaehtoisen vakuutuksen hakijan erityisten henkilötietoryhmien käsittely ei ole yleisen tietosuoja-asetuksen 9 artiklan mukaista. Tästä syystä tietosuojavaltuutettu määrää rekisterinpitäjän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla saattamaan käsittelytoimet yleisen tietosuoja-asetuksen 9 artiklan säännösten mukaisiksi, kun rekisterinpitäjä käsittelee vapaaehtoisen vakuutuksen hakijan terveydentilatietoja tai sen henkilön terveydentilatietoja, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa.
Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen, mutta määrää toimittamaan 29.7.2022 mennessä tietosuojavaltuutetun toimistolle selvityksen siitä, mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt päätöksen johdosta, ellei se hae muutosta tähän päätökseen.
Sovellettavasta lainsäädännöstä
Euroopan parlamentin ja neuvoston yleinen tietosuoja-asetus on jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki.
Lähtökohtaisesti yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan nojalla terveyttä koskevien tietojen käsittely on kiellettyä. Käsittely on kuitenkin sallittua, jos jokin yleisen tietosuoja-asetuksen 6 artiklan mukaisista käsittelyn edellytyksistä täyttyy ja jos sen lisäksi myös jokin 9 artiklassa mainituista erityisistä käsittelyn perusteista täyttyy.
Tietosuojalain 6 §:n 1 momentin 1 kohdan mukaisesti tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.
Vakuutussopimuslakia sovelletaan 1 §:n mukaan muuhun vakuutukseen kuin lakisääteiseen vakuutukseen. Vakuutussopimuslain 2 §:n 1 momentin 4 kohdan mukaisesti vakuutuksenottajalla tarkoitetaan sitä, joka on tehnyt vakuutuksenantajan kanssa vakuutussopimuksen ja 5 kohdan mukaisesti vakuutetulla sitä, joka on henkilövakuutuksen kohteena.
Perustelut
Käsiteltävänä olevassa tapauksessa kysymys on vapaaehtoisesta vakuutuksesta. Vakuutussopimuslaki asettaa sopimuksille yleiset puitteet, mutta vakuutusturvan laajuus ja monet ehtojen yksityiskohdat ovat vakuutusyhtiökohtaisia.
Rekisterinpitäjä kartoittaa ennen vakuutussopimuksen solmimista tehtävässä vastuunvalinnassa vakuutuksenhakijan terveydentilaa vakuutuksenhakijan terveysselvityksessä antamien tietojen sekä terveydenhuollon yksiköstä pyydettyjen sairauskertomus- ja lääkärinlausuntokopioiden perusteella. Rekisterinpitäjä on todennut, että se käsittelee tietoja vakuutussopimuksen täytäntöön panemiseksi (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta). Rekisterinpitäjä katsoo, että vakuutuksenhakijan terveydentilaa koskevien henkilötietojen käsittely vakuutusyhtiössä on sallittua tietosuojalain 6 §:n 1 momentin 1 kohdassa säädetyn nojalla.
Tietosuojalain 6 §:n 1 momentin 1 kohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi. Kyseinen säännös on annettu yleisen tietosuoja-asetuksen kansallisen liikkumavaran nojalla ja perustuu yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan. Tietosuojalain esitöissä todetaan, että vakuutuslaitoksia koskevan yksityiskohtaisen sääntelyn yhdessä vakuutustoiminnan luvanvaraisuuden ja vastuunselvittämiseen rajoitetun käsittelyoikeuden kanssa voidaan katsoa osaltaan muodostavan asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Ennen tietosuojalain säätämistä voimassa olleen henkilötietolain 11 §:n mukaan arkaluonteisten henkilötietojen käsittely on kielletty ja arkaluonteisina tietoina pidettiin muun muassa henkilötietoja, jotka kuvaavat henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia. Henkilötietolain 12 §:n mukaan tämä ei kuitenkaan estänyt vakuutuslaitosta käsittelemästä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista. Nykyisin voimassa olevan tietosuojalain säädös vastaa siis aiemmin voimassa olleessa henkilötietolaissa säädettyä.
Vakuutussopimuslain 2 §:n 1 momentin 4 kohdan mukaan vakuutuksenottajalla tarkoitetaan sitä, joka on tehnyt vakuutuksenantajan kanssa vakuutussopimuksen. Vakuutussopimuslain 2 §:n 1 momentin 5 kohdan mukaan vakuutetulla tarkoitetaan sitä, joka on henkilövakuutuksen kohteena. Vakuutussopimuslain esitöiden mukaan henkivakuutuksen vakuutettu on henkilö, jonka kuoleman tai elämisen varalta vakuutus on otettu. Tapaturmavakuutuksen vakuutettu on henkilö, jonka tapaturmaisen loukkaantumisen tai kuoleman varalta vakuutus on otettu.
Tietosuojavaltuutettu kiinnittää huomiota siihen, että tietosuojalain 6 § 1 momentin 1 kohdan mukainen sääntely on rajattu ainoastaan vakuutetun ja korvauksenhakijan terveydentilaa, sairautta tai vammaisuutta koskevien tietojen käsittelyyn. Vakuutuksen hakemusvaiheessa vakuutussopimusta ei ole vielä solmittu.
Terveydenhuollon yksiköstä pyydettävistä tiedoista
Henkilötietoja tulee käsitellä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohta). Kohtuullisuus on henkilötietojen käsittelyä koskeva yleisperiaate, joka edellyttää muun muassa sitä, ettei henkilötietoja käsitellä rekisteröidyn kannalta odottamattomalla tai harhaanjohtavalla tavalla. Rekisteröidyille on taattava mahdollisimman suuri itsemääräämisoikeus omien henkilötietojensa käytön määrittämisessä. Tietosuojalainsäädännön tärkeimpänä tarkoituksena on, että rekisteröidyillä säilyy hallinta omiin henkilötietoihinsa. Näin ollen tietojen käsittelyssä tulee huomioida se, minkälainen käsittely on rekisteröityjen odotusten mukaista.
Rekisterinpitäjän terveydenhuollosta pyytämissä tiedoissa on kysymys hoitosuhteen aikana kerätyistä rekisteröityjen terveystiedoista, joissa lähtökohtana on ollut hoitosuhteen luottamuksellisuus rekisteröidyn ja terveydenhuollon yksikön välillä. Potilaan asemasta ja oikeuksista annetun lain (785/1992, potilaslaki) 12 §:n mukaisesti terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Hoitosuhteen aikana kerätyt tiedot eivät tietosuojavaltuutetun käsityksen mukaan välttämättä rajoitu pelkästään terveyttä koskeviin tietoihin. Tiedoista saattaa ilmetä esimerkiksi etnistä alkuperää, uskonnollista vakaumusta tai seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja. Hoitosuhteen aikana rekisteröity on luovuttanut tiedot saadakseen terveydentilansa edellyttämän hoidon. Tiedot voivat olla erityisen arkaluonteisia, ja niiden käsittely voi asiayhteydestä riippuen aiheuttaa merkittäviä riskejä rekisteröityjen yksityiselämän suojalle ja mahdollisesti muille perusoikeuksille ja -vapauksille.
Terveydenhuollon ja sairaanhoidon järjestäjän velvollisuudesta potilasasiakirjojen salassapitoon on säädetty useissa yhteyksissä. Potilaslain 13 §:ssä lähtökohta on, että potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. Potilaslain 13 §:n 2 momentin mukaan terveydenhuollon ammattihenkilö ei saa ilman potilaan kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Potilaslain 13 §:n 3 momentin mukaan tietojen luovuttaminen on sallittua potilaan suostumuksen lisäksi ainoastaan rajoitetuissa tilanteissa, kuten potilaan tutkimuksen ja hoidon tarpeellisuuteen tai nimenomaiseen lain säännökseen perustuen. Potilasasiakirjojen käsittelyyn liittyy siis vahva potilaan yksityisyyden kunnioittamisen ja suojan tarve.
Edellä esitetyistä syistä tietosuojavaltuutettu katsoo, että tietosuojalain 6 §:n 1 momentin 1 kohdan säännöstä koskien vakuutetun ja korvauksenhakijan terveystietojen käsittelyä vakuutustoiminnassa ei voida laajentaa vakuutuksen hakemisvaiheessa vakuutuksenhakijana olevaan rekisteröityyn. Rekisteröityjen on voitava luottaa tietosuojalain sananmukaiseen sääntelyyn vakuutuksen hakemistilanteessa. Sananmukaisen sääntelyn vastainen erityisiin henkilötietoryhmiin kuuluvien terveydentilatietojen käsittely ei ole rekisteröityjen kohtuullisten odotusten mukaista. Potilasasiakirjoihin liittyvän vahvan yksityisyyden suojan tarpeen vuoksi ei ole myöskään mahdollista, että tietoja käsiteltäisiin sananmukaisen sääntelyn vastaisesti.
Näin ollen tietosuojavaltuutettu katsoo, että vakuutuksenhakijan terveystietojen käsittelyyn ja terveystietojen pyytämiseen terveydenhuollon yksiköstä ei ole mahdollista soveltaa tietosuojalain 6 §:n 1 momentin 1 kohdan säännöstä.
Suostumuksesta erityisten henkilötietoryhmien käsittelyperusteena
Vaikka tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen rekisterinpitäjälle annetun määräyksen johdosta, tietosuojavaltuutettu haluaa tuoda tässä yhteydessä ilmi, että tietosuojavaltuutetun näkemyksen mukaan rekisterinpitäjän olisi mahdollista käsitellä vakuutuksenhakijoiden terveydentilatietoja ennen vakuutussopimuksen solmimista suostumukseen perustuen. Tietosuojavaltuutettu avaa näkemystään tarkemmin alla.
Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaisesti erityisten henkilötietoryhmien käsittelykieltoa ei sovelleta, jos rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten. Yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaisesti rekisteröidyn ”suostumuksella” tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.
Yleisen tietosuoja-asetuksen 7 artiklassa on säädetty suostumuksen edellytyksistä. 7 artiklan 4 kohdan mukaisesti arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.
Euroopan tietosuojaneuvosto on antanut suuntaviivat 05/2020 yleisen tietosuoja-asetuksen mukaisesta suostumuksesta. Suuntaviivoissa on todettu, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa, jossa on säädetty erityisistä poikkeuksista käsitellä erityisiä henkilötietoryhmiä yleisestä käsittelykiellosta huolimatta, tarvetta sopimuksen täytäntöönpanemiseksi ei ole säädetty tällaiseksi poikkeukseksi. Tältä osin rekisterinpitäjien olisi selvitettävä, voisiko tällaiseen tilanteeseen soveltua jokin 9 artiklan 2 kohdan b – j alakohdissa säädetyistä erityisistä poikkeuksista. Jos yksikään b – j alakohdassa säädetyistä poikkeuksista ei sovellu tilanteeseen, nimenomaisen suostumuksen hankkiminen yleisessä tietosuoja-asetuksessa säädettyjen pätevää suostumusta koskevien edellytysten mukaisesti on ainoa mahdollinen lainmukainen poikkeus, jonka perusteella rekisterinpitäjä voisi käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja.
Suuntaviivoissa on viitattu esimerkkinä tilanteeseen, jossa asiakas varaa lennon ja pyytää tässä yhteydessä lentoyhtiöltä matkustusapua lentokoneeseen siirtymisessä. Lentoyhtiö pyytää tällöin asiakasta toimittamaan lentoyhtiölle tietoja terveydentilastaan, jotta lentoyhtiö voi tunnistaa minkälainen avuntarve asiakkaalla on järjestääkseen asiakkaalle asianmukaiset palvelut. Tässä yhteydessä lentoyhtiö pyytää nimenomaista suostumusta kyseisen asiakkaan terveystietojen käsittelyyn avun järjestämistä varten. Tietosuojaneuvosto on todennut tämän esimerkkitilanteen osalta, että koska tiedot ovat tarpeen pyydetyn palvelun suorittamiseksi, yleisen tietosuoja-asetuksen 7 artiklan 4 kohtaa ei sovelleta.
Toisaalta tietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota myös siihen, että tietosuoja-asetuksen 7 artiklan 4 kohdan ja johdannon 43 kappaleen mukaisesti ei ole toivottavaa edellyttää sopimuksen täytäntöönpanon yhteydessä, että rekisteröidyn tulee antaa suostumuksensa sellaiseen henkilötietojen käsittelyyn, joka ei ole tarpeen kyseisen sopimuksen täytäntöön panemiseksi. Jos suostumus annetaan tällaisessa tilanteessa, sitä ei katsota vapaaehtoisesti annetuksi. Jäljempänä tietosuojavaltuutetun toisessa päätöksessä käsitellään sitä, että minkälainen henkilötietojen käsittely vakuutusyhtiön vastuun selvittämiseksi on yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohdan sekä 25 artiklan 2 kohdan mukaista.
Tietosuojavaltuutettu kiinnittää huomiota myös siihen, että yleisen tietosuoja-asetuksen 7 artiklan 3 kohdan mukaisesti rekisteröidyllä on oltava oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.
Rekisterinpitäjän pyytämästä valtuutuksesta
Tietosuojavaltuutettu arvioi myös rekisterinpitäjän nykyistä toimintatapaa, jossa rekisterinpitäjä pyytää terveysselvityskaavakkeen yhteydessä rekisteröidyn valtuutuksen terveystietojen pyytämiseen terveydenhuollon yksiköistä.
Rekisterinpitäjän toimittamien tietojen perusteella se pyytää kaikkien vakuutushakemusten yhteydessä rekisteröidyltä valtuutuksen tietojen pyytämiseen terveydenhuollon yksiköstä, mikäli vakuutussopimuksen solmiminen edellyttää lääketieteellistä vastuunvalintaa. Rekisterinpitäjä toimii näin siitäkin huolimatta, että kaikissa tapauksissa rekisterinpitäjä ei pyydä vakuutuksenhakijan terveystietoja terveydenhuollon yksiköstä. Rekisteröidyt allekirjoittavat hakemusvaiheessa valtuutuksen siihen, että terveydenhuollon yksiköt saavat antaa vakuutushakemuksen ja mahdollisen korvausasian käsittelemistä varten tarpeellisia rekisteröidyn terveydentilaa koskevia henkilötietoja rekisterinpitäjälle.
Tietosuoja-asetuksen johdanto-osan 43 kappaleessa täsmennetään, että suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa. Euroopan tietosuojaneuvoston suuntaviivoissa on todettu, että jos suostumus hankitaan täysin yleisen tietosuoja-asetuksen mukaisesti, kyseessä on väline, jonka avulla rekisteröidyt voivat valvoa, käsitelläänkö heidän henkilötietojaan vai ei. Ohjeiden mukaisesti ’’yksilöityyn’’ suostumukseen liittyvillä edellytyksillä pyritään varmistamaan rekisteröidylle tietynasteinen valvonta ja läpinäkyvyys. Yksilöidyn suostumuksen edellytyksiä ovat, että rekisterinpitäjä noudattaa tarkkuutta suostumusta koskevissa pyynnöissä. Rekisterinpitäjän on selostettava kussakin erillisessä suostumuksen antamista koskevassa pyynnössään tarkasti, mitä tietoja kutakin tarkoitusta varten käsitellään, jotta rekisteröity olisi selvillä eri vaihtoehdoista ja niiden vaikutuksista. Ohjeiden mukaisesti pätevän tietoisen suostumuksen hankkiminen edellyttää, että rekisteröityä tiedotetaan siitä, että mitä tietoja kerätään ja käytetään.
Tietosuojavaltuutetun näkemyksen mukaan rekisterinpitäjän käyttämä nykymuotoinen valtuutus koskee ennalta määrittelemätöntä joukkoa rekisteröidystä talletettuja terveystietoja eri terveydenhuollon yksiköiden potilasrekistereissä. Viitaten tietosuoja-asetuksen sääntelyyn ja sen nojalla annettuun Euroopan tietosuojaneuvoston ohjeistukseen, tietosuojavaltuutettu katsoo, että rekisteröidyltä pyydettävä suostumus ei ole riittävällä tavalla yksilöity ja suostumuspyynnössä ei noudateta sellaista tarkkuutta, jotta vakuutuksenhakijat voisivat valvoa, että käsitelläänkö heidän henkilötietojaan vai ei, ja mitä tietoja kutakin tarkoitusta varten käsitellään.
Näin ollen tietosuojavaltuutettu katsoo, että terveysselvityksen yhteydessä rekisterinpitäjän pyytämä yleisluontoinen valtuutus tietojen pyytämiseen eri terveydenhuollon yksiköistä vakuutusasian käsittelyä varten ei riitä täyttämään yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaista edellytystä erityisiä henkilötietoryhmiä koskevasta käsittelystä.
2. Tietojen minimointi, käsittelyn kohtuullisuus sekä sisäänrakennettu ja oletusarvoinen tietosuoja
Päätös
Jäljempänä tarkemmin esitetyillä perusteilla tietosuojavaltuutettu määrää rekisterinpitäjän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla saattamaan henkilötietojen käsittelytoimet yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohdan sekä 25 artiklan 2 kohdan mukaisiksi, kun rekisterinpitäjä pyytää rekisteröidyn terveydentilaa koskevia tietoja terveydenhuollon yksiköstä ja käsittelee saamiaan tietoja vakuutusyhtiön vastuun selvittämiseksi.
Kun rekisterinpitäjän pyytää terveydenhuollon yksiköstä rekisteröidyn terveydentilatietoja, tämän määräyksen perusteella rekisterinpitäjän tulee arvioida, miltä ajanjaksolta rekisteröidyn terveydentilatietojen pyytäminen on tarpeellista rekisterinpitäjän vastuun selvittämiseksi ja arvioinnin perusteella rajata, miltä ajanjaksolta rekisteröidyn terveydentilatietoja pyydetään terveydenhuollon yksiköstä.
Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen, mutta määrää toimittamaan 29.7.2022 mennessä tietosuojavaltuutetun toimistolle selvityksen siitä, mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt päätöksen johdosta, ellei se hae muutosta tähän päätökseen.
Sovellettavasta lainsäädännöstä
Vakuutussopimuslain 22 §:n mukaan vakuutuksenottajan ja vakuutetun tulee ennen vakuutuksen myöntämistä antaa oikeat ja täydelliset vastaukset vakuutuksenantajan esittämiin kysymyksiin, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutuksenottajan ja vakuutetun tulee lisäksi vakuutuskauden aikana ilman aiheetonta viivytystä oikaista vakuutuksenantajalle antamansa, vääriksi tai puutteellisiksi havaitsemansa tiedot.
Vakuutussopimuslain 37 §:n mukaan vakuutusehdoissa voidaan vakuutuksesta korvattavan sairauden tai vamman aiheuttamien seurausten osalta rajoittaa vakuutuksenantajan vastuuta sillä perusteella, että sairaus tai vamma oli olemassa jo vakuutusta haettaessa ja rajoitus perustuu vakuutuksenantajan ennen vakuutuksen myöntämistä hankkimiin tietoihin vakuutetun terveydentilasta.
Vakuutussopimuslain 69 §:n mukaan korvauksen hakijan on annettava vakuutuksenantajalle sellaiset asiakirjat ja tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi ja joita häneltä kohtuudella voidaan vaatia ottaen myös huomioon vakuutuksenantajan mahdollisuudet hankkia selvitys.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan käsiteltävien henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”).
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’’).
Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjällä on velvollisuus toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
Perustelut
Rekisterinpitäjä pyytää vapaaehtoisen vakuutuksen hakijan terveydentilatietoja terveydenhuollon yksiköstä vakuutussopimuslain mukaisen vastuunsa selvittämiseksi. Rekisterinpitäjä on kertonut, että tietoja pyydetään terveydenhuollon yksiköstä tapauskohtaisen harkinnan perusteella hakemusvaiheessa vain, jos se on tarpeellista hakemuksen käsittelyn yhteydessä tehtävän lääketieteellisen vastuunvalinnan kannalta. Jos rekisteröidyn terveysselvityksellä antamat vastaukset ovat vastuunvalinnan näkökulmasta riittävät, tietopyyntöä terveydenhuollon yksikköön ei tehdä, vaan vastuunvalinta voidaan tehdä rekisteröidyn antamien tietojen perusteella.
Rekisterinpitäjän antaman selvityksen mukaan, jos vakuutushakemuksen käsittelyn yhteydessä on tarpeen pyytää tietoja terveydenhuollon yksiköstä, rajataan tietopyynnöt määritellyllä perusteella. Tietopyynnöissä pyydetään kopiot yksilöityä sairautta tai oiretta koskevista sairauskertomuksista tai lääkärinlausunnoista, joista ilmenevät sairauden, oireiden, tutkimusten tai toimenpiteiden esitiedot sekä mahdolliset aikaisemmat käyntikerrat ja tutkimustulokset. Tiedot pyydetään pääsääntöisesti määritellyltä aikaväliltä. Rekisterinpitäjän tietosuojavaltuutetun toimistolle toimittamassa esimerkkitapauksen tietopyyntölomakkeessa todetaan, että ’’edellä mainittuja tietoja pyydämme [xx aikaväliltä].’’
Tietosuojavaltuutettu arvioi rekisterinpitäjän toimintatapaa edellä avattujen vakuutussopimuslain ja tietosuoja-asetuksen säännösten nojalla.
Yleisen tietosuoja-asetuksen johdannon 27 kappaleen mukaisesti tietosuoja-asetusta ei sovelleta kuolleita henkilöitä koskeviin tietoihin. Tästä syystä tietosuojavaltuutettu ei arvioi tässä päätöksessä kuolleiden henkilöiden terveystietojen käsittelyä tietosuoja-asetuksen perusteella.
Rekisterinpitäjän toimintatapaa arvioidessa huomiota on kiinnitettävä ensiksi siihen, että vakuutussopimuslain 22 §:n nojalla vakuutuksenhakijan tiedonantovelvollisuus on rajattu tietoihin, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutussopimuslain esitöissä on täsmennetty, että vakuutuksenottajan tiedonantovelvollisuus koskee ainoastaan seikkoja, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Oikeuskirjallisuudessa on todettu, että vakuutusyhtiön tiedustelemien seikkojen tulee kokemusperäisesti liittyä kiinteästi vakuutuksenantajan riskinarviointiin. Samassa yhteydessä on todettu, että sellaiset tiedot, jotka eivät erillisinä ole merkityksellisiä, voivat yhdessä muodostaa riskin arvioinnin kannalta merkityksellisen kokonaisuuden. Esimerkiksi vähäisistä sairauksista on kysyttäessä kerrottava, vaikka tiedonantovelvollinen pitäisi tietoja vakuutuksenantajan vastuun kannalta merkityksettöminä.
Myös korvauksen hakemisen yhteydessä vakuutuksenantajalle on vakuutussopimuslain 69 §:n nojalla annettava tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi. Korvauksen hakemisen osalta vakuutussopimuslain esitöissä on täsmennetty, että vastuun selvittämiseksi tarpeellisia asiakirjoja ja tietoja ovat esimerkiksi ne, joiden avulla voidaan todeta, onko vakuutustapahtuma sattunut ja kuinka suuri vahinko on syntynyt. Korvauksenhakijan selvitysvelvollisuus koskee myös hänelle epäedullisia seikkoja. Korvauksenhakija ei esimerkiksi henkilövakuutuksessa saa jättää tarpeellista lääkärintodistusta toimittamatta, vaikka siitä ilmenisi tiedonantovelvollisuuden laiminlyönti.
Edellä esitettyjä vakuutussopimuslain säännöksiä tulee arvioida yhdessä tietojen minimointia sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevan sääntelyn kanssa. Tietojen minimoinnin periaatetta (yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohta) on täsmennetty yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 39, jonka mukaan henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin. Lisäksi tietosuojavaltuutettu kiinnittää huomiota Euroopan tietosuojaneuvoston sisäänrakennettua ja oletusarvoista tietosuojaa koskeviin ohjeisiin, joiden mukaan tietojen minimoinnin periaatteen keskeisiä tekijöitä ovat muun muassa:
- Käsittelyn välttäminen – vältetään käyttämästä henkilötietoja ollenkaan, jos se on mahdollista kunkin tarkoituksen yhteydessä.
- Käsittelyn rajoittaminen – rajoitetaan kerättävien henkilötietojen määrä vain siihen, mikä on tarpeen tarkoituksen kannalta.
- Käsiteltävien tietojen olennaisuus – henkilötietojen on oltava kyseisen käsittelyn kannalta olennaisia, ja rekisterinpitäjän on voitava osoittaa olennaisuus.
- Käsiteltävien tietojen tarpeellisuus – jokaisen henkilötietoryhmän on oltava tarpeen määritetyissä tarkoituksissa, ja niitä on käsiteltävä vain, jos tarkoitusta ei voida täyttää muilla keinoilla.
Euroopan tietosuojaneuvoston ohjeiden mukaan henkilötietojen käsittelyn perusedellytyksenä on tietosuojan sisällyttäminen käsittelytoimiin jo oletusarvoisesti. Rekisterinpitäjän velvollisuutena on määritellä ennalta mitä tiettyä, nimenomaista ja laillista tarkoitusta varten tietoja käsitellään. Omaksuttujen toimintatapojen tulee olla jo oletusarvoisesti sellaisia, että rekisterinpitäjä käsittelee vain sellaisia henkilötietoja, jotka ovat tarpeen kunkin nimenomaisen käsittelytarkoituksen kannalta.
Edellä esitetyistä syistä tietosuojavaltuutettu katsoo, että vakuutussopimuslain ja tietosuoja-asetuksen sääntelyn nojalla rekisterinpitäjän tulee kaikissa tapauksissa yksilöidä terveydenhuollon yksikölle tehtävässä rekisteröidyn terveydentilatietoja koskevassa pyynnössä, että mitä asiaa koskevia tietoja ja miltä aikaväliltä koskevia tietoja rekisterinpitäjä pyytää käyttöönsä. Tämä tarkoittaa, että rekisterinpitäjän on rajattava pyydettävä tieto koskemaan tiettyä asiaa, tapausta, sairautta tai oiretta, jolla on tosiasiallista merkitystä rekisterinpitäjän vastuun arvioimissa. Rekisterinpitäjän tulee myös arvioida, miltä ajanjaksolta rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollon yksiköstä on tarpeellista rekisterinpitäjän vastuun selvittämiseksi ja tämän perusteella rajata, miltä ajanjaksolta rekisteröidyn terveydentilatietoja pyydetään terveydenhuollon yksiköstä. Rekisterinpitäjän tulee jo lähetettävässä pyynnössä rajata pyydettävät tiedot vain tarpeellisiin tietoihin siten, että rekisterinpitäjä pystyy myös osoittamaan, että se pyytää terveydenhuollon yksiköstä vain sellaisia rekisteröidyn terveydentilatietoja, jotka ovat tarpeellisia rekisterinpitäjän vastuun selvittämistä koskevissa arvioinneissa.
Terveydenhuollon yksiköistä pyydettävien potilasasiakirjojen käsittelyyn liittyy vahva potilaan yksityisyyden kunnioittamisen ja suojan tarve, ja tästä on säädetty muun muassa potilaslain 13 §:ssä. Pahimmassa tapauksessa nyt kysymyksessä olevien tietojen käsittelyyn voi liittyä riski esimerkiksi rekisteröidyn nöyryyttämiseen tai perheen yksityiselämää koskevien tietojen leviämiseen. Lähtökohtana potilasasiakirjojen käsittelyssä on pidettävä sitä, että rekisteröity voi ja on voinut hoitosuhteen aikana odottaa, että terveystietoja käsitellään rekisteröidyn yksityisyyttä kunnioittaen. Rekisteröity on saattanut asioida terveydenhuollon yksikössä monista eri syistä, eivätkä kaikki rekisteröidystä terveydenhuollon yksikössä kerätyt tiedot välttämättä ole merkityksellisiä vakuutusyhtiön vastuun arvioimisen kannalta vakuutusta haettaessa tai kun arvioidaan vakuutuskorvauksen maksamisen edellytyksiä.
Henkilötietojen käsittelyn kohtuullisuus (yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohta) on yleisperiaate, joka edellyttää muun muassa sitä, ettei henkilötietoja saa käsitellä rekisteröidyn kannalta perusteettoman haitallisella tavalla ja henkilötietojen käsittelyn on vastattava rekisteröityjen kohtuullisia odotuksia. Rekisterinpitäjän tulee kunnioittaa rekisteröityjen perusoikeuksia ja toteuttaa asianmukaisia toimenpiteitä oikeuksien kunnioittamiseksi. Rekisterinpitäjän velvollisuutena on huomioida se, minkälainen käsittely on rekisteröityjen kohtuullisten odotusten mukaista. Tietosuojavaltuutettu katsoo, että terveydenhuollon yksiköissä muodostettuihin terveydentilatietoihin liittyvän vakavuudeltaan suuren riskin vuoksi oletusarvoinen tietojen tarpeettoman laaja käsittely olisi rekisteröityjen kannalta kohtuutonta. Ei ole kohtuullista, että rekisterinpitäjä saisi vastuunarvioimisprosessin perusteella pääsyn tarpeettoman laajasti rajattomasti rekisteröidyn terveydentilatietoihin.
Nyt ratkaistavana olevassa asiassa rekisterinpitäjä on kertonut, että sen toimintamallina on vakuutuksen hakemisvaiheessa rajata tietopyynnöt määritellyllä perusteella. Tietopyynnöissä rekisterinpitäjä pyytää kopiot yksilöityä sairautta tai oiretta koskevista sairauskertomuksista tai lääkärinlausunnoista terveydenhuollon yksiköltä. Annetuissa selvityksissä ilmi tulleiden seikkojen perusteella tietosuojavaltuutettu ei katso tarpeelliseksi käyttää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia lähetettävien tietopyyntöjen sairauteen tai oireeseen liittyvän rajaamisen osalta.
Tietosuojavaltuutettu kiinnittää kuitenkin huomiota siihen, että rekisterinpitäjän toimintatapana on pyytää terveydentilatiedot pääsääntöisesti määritellyltä aikaväliltä. Tietosuojavaltuutettu katsoo, että vakuutussopimuslain ja tietosuoja-asetuksen säännösten nojalla rekisterinpitäjän on tehtävä ajanjaksoa koskeva arviointi sen lisäksi, että rekisterinpitäjä yksilöi terveydenhuollon yksikölle esitettävän pyynnön koskemaan tiettyä asiaa, tapausta, sairautta tai oiretta, jolla on tosiasiallista merkitystä rekisterinpitäjän vastuun arvioimisessa.
Tietosuojavaltuutettu kiinnittää huomiota myös Suomen Lääkäriliiton 25.9.2009 (tarkistettu 2.5.2016) antamaan suositukseen potilastietojen luovuttamisesta vakuutusyhtiöille. Suomen Lääkäriliitto suosittelee potilaan terveydentilaa koskevien tietojen luovuttamista lausunnon muodossa, ellei erityislainsäädännössä erikseen ole menettelystä toisin säädetty. Myös tietosuojavaltuutettu katsoo perustelluksi, että tiedot tulee pyytää ja luovuttaa ensisijaisesti lausunnon muodossa. Tällainen toimintatapa on henkilötietojen minimointiperiaatteen mukainen ja suojaa potilaan yksityisyyttä esimerkiksi tilanteessa, jossa käyntikirjauksiin sisältyy muitakin kuin selkeästi vakuutusyhtiön vastuun arvioinnin kannalta tarpeellisia tietoja.
Seuraamusarviointi
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt ratkaisussa dnro 4431/161/21 Liikennevakuutuskeskukselle seuraamusmaksun tietosuojasääntelyn rikkomisesta potilasasiakirjamerkintöjen käsittelytoimissa korvausasioiden yhteydessä. Tietosuojavaltuutettu arvioi myös nyt ratkaistavana olevassa asiassa, että onko rekisterinpitäjälle tarpeen määrätä seuraamus.
Tietosuojavaltuutettu kiinnittää seuraamusarvioinnissa huomioita siihen, että annettujen selvitysten perusteella tietosuojavaltuutetun on ollut tarpeen puuttua korjaavin toimivaltuuksin rekisterinpitäjän menettelytapaan ainoastaan tietopyyntöjen ajanjakson rajaamisen osalta.
Lisäksi tietosuojavaltuutettu kiinnittää huomiota siihen, että tietosuojavaltuutetun toimiston ratkaisussa dnro 4431/161/21 on arvioitu tiedonsaantioikeutta liikennevakuutuslain (460/2016) 82 §:n perusteella. Liikennevakuutuslain 82 §:n 3 momentin mukaisesti vakuutusyhtiön tiedonsaantioikeus edellyttää, että tiedot ovat välttämättömiä käsiteltävänä olevan vakuutus- tai korvausasian ratkaisemista varten tai muuten välttämättömiä tässä laissa säädettyjen tehtävien hoitamiseksi. Vakuutussopimuslain 22 §:n nojalla tiedonantovelvollisuus koskee tietoja, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutussopimuslain 69 §:n nojalla korvauksenhakijan on annettava vakuutuksenantajalle sellaiset asiakirjat ja tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi. Oikeuskirjallisuudessa on todettu, että vakuutusyhtiön tiedustelemien seikkojen tulee kokemusperäisesti liittyä kiinteästi vakuutuksenantajan riskinarviointiin. Samassa yhteydessä on todettu, että sellaiset tiedot, jotka eivät erillisinä ole merkityksellisiä, voivat yhdessä muodostaa riskin arvioinnin kannalta merkityksellisen kokonaisuuden.
Edellä esitetyn perusteella vakuutussopimuslain sanamuodon voidaan arvioida jättävän jossain määrin enemmän tulkinnanvaraa kuin liikennevakuutuslain. Tästä huolimatta vakuutussopimuslain sääntelyn perusteella rekisteröidyllä on tietosuojavaltuutetun käsityksen mukaan perusteltu syy odottaa, että vakuutusyhtiö käsittelee vain vakuutusasian kannalta tarpeellisia ja rajattuja rekisteröidyn terveydentilatietoja.
Tietosuojavaltuutettu ottaa seuraamusarvioinnissa huomioon, että nyt ratkaistavana olevassa tapauksessa korjaavia toimivaltuuksia on ollut tarpeen käyttää merkittävästi vähäisemmässä määrin kuin ratkaisussa dnro 4431/161/21. Lisäksi tietosuojavaltuutettu ottaa rekisterinpitäjän menettelytapaa arvioitaessa huomioon, että vakuutussopimuslaissa ei ole asetettu yhtä korkeita välttämättömyyskriteereitä tietojen saannille kuin liikennevakuutuslaissa.
Kokonaisarvioinnin perusteella tässä tapauksessa tarkoituksenmukaisinta pyrkiä rekisterinpitäjän toiminnan muuttamiseen kaikilta osin lainmukaiseksi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla. Tietosuojavaltuutetun näkemyksen mukaan rekisterinpitäjälle ei ole tarpeen määrätä huomautusta.
Sovelletut lainkohdat
Yleinen tietosuoja-asetus
5 artikla 1 kohta a ja c alakohta
7 artikla
9 artikla
25 artikla 2 kohta
58 artikla
Tietosuojalaki
6 § 1 momentti 1 kohta
Vakuutussopimuslaki
1 §, 2 §, 22 §, 37 § ja 69 §
Laki potilaan asemasta ja oikeuksista
12 § ja 13 §
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös ei ole lainvoimainen.