TSV 08.06.2022
Rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollosta vakuutusyhtiön vastuun arvioinnin yhteydessä
vakuutusyhtiöt - terveystiedot
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 08.06.2022 |
| Diaarinumero: | 7285/183/18 |
Tietosuojavaltuutetun päätös
Asia
Rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollon yksiköstä vakuutusyhtiön vastuun arvioinnin yhteydessä
Rekisterinpitäjät
Vakuutusyhtiö
Ratkaistavana oleva asia
Terveydenhuollon toimija on saattanut tietosuojavaltuutetun toimiston tietoon 17.8.2018, että rekisterinpitäjä on pyytänyt terveydenhuollon yksiköstä potilaan sairauskertomusmerkintöjä ilman pyynnön perusteen tarkkaa erittelyä. Terveydenhuollon toimijan mukaan rekisterinpitäjä on pyytänyt potilaan koko sairauskertomuksen määrittämältään aikaväliltä viitaten vakuutusyhtiön vastuun selvittämiseen. Pyyntö on tehty seuraavalla tavalla:
’’XX hakee korvausta yhtiöstämme. Asiapapereista ilmenee, että teillä todennäköisesti on sellaisia tietoja vakuutettavan terveydentilasta, jotka voivat vaikuttaa vakuutusyhtiön velvollisuuteen maksaa korvaus. Tämän johdosta pyydän teitä ystävällisesti toimittamaan yhtiölle kopion potilaan sairauskertomuksesta kokonaisuudessaan ajalta [määritelty aikaväli].”
Terveydenhuollon toimija on pyytänyt tietosuojavaltuutetun toimistoa arvioimaan asiaa, sillä toimijan käsityksen mukaan pyynnön perusteella ei ole mahdollista luovuttaa potilastietoja vain siinä laajuudessa kuin korvausasian käsittelyn kannalta olisi välttämätöntä.
Tietosuojavaltuutetun toimisto on ilmi tulleen tapauksen johdosta vuosina 2020 ja 2021 selvittänyt rekisterinpitäjän menettelytapoja tilanteissa, joissa rekisterinpitäjä pyytää rekisteröityjen terveydentilatietoja terveydenhuollon yksiköistä. Tämä päätös koskee rekisterinpitäjän järjestelmällistä ja tällä hetkellä käytössä olevaa toimintatapaa.
Tässä päätöksessä termillä vakuutuksenhakija tarkoitetaan varsinaisen vakuutuksenhakijan lisäksi myös sellaisia henkilöitä, jonka sairauden tai kuoleman varalta vakuutus on tarkoitettu otettavaksi, vaikka he eivät olisi itse vakuutuksenhakijoita.
Tietosuojavaltuutettu arvioi asiaa Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) perusteella. Asiassa on ratkaistavana seuraavat oikeudelliset kysymykset:
1) käsitteleekö rekisterinpitäjä vapaaehtoisten vakuutusten hakemisen yhteydessä rekisteröityjen erityisiin henkilötietoryhmiin kuuluvia terveydentilatietoja yleisen tietosuoja-asetuksen 9 artiklan mukaisesti; ja
2) noudattaako rekisterinpitäjä henkilötietojen käsittelyssä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan sääntelyä tietojen minimoinnista, 5 artiklan 1 kohdan a alakohdan sääntelyä tietojen käsittelyn kohtuullisuudesta sekä 25 artiklan 2 kohdan sääntelyä sisäänrakennetusta ja oletusarvoisesta tietosuojasta siltä osin, kun rekisterinpitäjä pyytää rekisteröityä koskevia terveystietoja terveydenhuollon yksiköstä ja käsittelee saamiaan tietoja vakuutusyhtiön vastuun selvittämiseksi.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjältä on pyydetty asiassa selvitystä 10.9.2020 ja 2.12.2020 päivätyillä selvityspyynnöillä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 9.10.2020 ja 13.1.2021.
Vakuutusyhtiön vastuun kartoittamista koskeva prosessi
Rekisterinpitäjältä pyydettiin selvitystä siitä, millä käsittelyperusteella ja mitä käyttötarkoitusta varten rekisterinpitäjä käsittelee rekisteröityä koskevia terveydenhuollon yksiköstä pyydettäviä tietoja. Lisäksi rekisterinpitäjää pyydettiin kertomaan, minkälainen on rekisterinpitäjän vakuutussopimuksen täytäntöönpanoa edeltävä käsittelyprosessi.
Rekisterinpitäjä kertoo, että tietosuojavaltuutetun toimistolle tehdyssä ilmoituksessa mainittu potilaskertomuskopiota koskeva pyyntö on liittynyt rekisterinpitäjän tarjoamaan vakuutukseen.
Rekisterinpitäjän mukaan vakuutusyhtiöllä on oikeus käsitellä terveydentilaa koskevia tietoja vastuunsa selvittämiseksi. Vakuutusyhtiön tulee kartoittaa ennen henki- tai terveysvakuutuksen myöntämistä kunkin asiakkaan terveydentila ja sen perusteella arvioida vakuutusyhtiön riski, vakuutuksen hinta ja mahdolliset rajoittavat ehdot riskivakuutukselle. Lisäksi asiakkaan hakiessa vakuutuskorvausta on vakuutusyhtiön velvollisuus selvittää vakuutusyhtiön vastuu eli vakuutetun oikeus vakuutussopimuksen mukaiseen vakuutuskorvaukseen. Vakuutuksenottajaa sitoo vakuutussopimuslain (543/1994) 22 §:n mukainen tiedonantovelvollisuus vakuutussopimusta solmittaessa sekä lain 69 §:n mukainen velvollisuus antaa selvityksiä korvauksen hakemisen yhteydessä. Rekisterinpitäjän mukaan vakuutustoiminnan perusluonne on hallittua riskin ottamista. Vakuutusyhtiöitä koskeva lainsäädäntö perustuu vakuutettujen etujen turvaamiseen. Tältä osin rekisterinpitäjä on viitannut vakuutus- ja jälleenvakuutustoiminnan aloittamisesta ja harjoittamisesta annettuun direktiiviin 2009/138/EY (Solvenssi II) ja vakuutusyhtiölakiin (521/2008).
Rekisterinpitäjä toteaa selvityksessä, että se käsittelee asiakkaidensa henkilötietoja vakuutussopimuksen täytäntöön panemiseksi (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta). Rekisteröidyn terveydentilaa koskevien henkilötietojen käsittely vakuutusyhtiön vastuun selvittämiseksi on rekisterinpitäjän näkemyksen mukaan sallittua tietosuojalain 6 §:n 1 momentin 1 kohdan nojalla.
Rekisterinpitäjä kertoo, että rekisteröity antaa vakuutushakemuksen yhteydessä täytettävässä terveysselvityksessä rekisterinpitäjälle valtuutuksen pyytää ja saada rekisteröidyn terveydentilaa koskevia tietoja suoraan terveydenhuollon yksiköistä. Rekisteröity antaa rekisterinpitäjälle edellä mainitun valtuutuksen vakuutuksenottajan tiedonantovelvoitteen toteuttamiseksi, vakuutusyhtiön vastuun selvittämiseksi ja asiakkaan vaivan vähentämiseksi sekä muun muassa asiakkaan vakuutusasian käsittelyn nopeuttamiseksi. Vakuutusyhtiön tiedonsaantioikeus suhteessa kolmanteen, kuten terveydenhuollon yksiköihin, perustuu vakuutusyhtiön ja vakuutuksenottajan tekemään sopimukseen, sen sisältämään valtuutukseen sekä vakuutussopimuslakiin.
Rekisterinpitäjä pyytää terveysselvityksen yhteydessä vakuutuksenhakijalta valtuutuksen seuraavalla tavalla tietojen hankkimiseen terveydenhuollon yksiköistä:
’’Valtuutan [rekisterinpitäjän] pyytämään tämän hakemuksen ja mahdollisen korvausasian käsittelemistä varten tarpeellisia terveydentilaani koskevia henkilötietoja minua tutkineilta ja hoitaneilta lääkäreiltä, sairaaloista, terveyskeskuksista, neuvoloista, työterveydenhuollon yksiköistä, mielenterveystoimistoista, yksityisistä sairaanhoitolaitoksista ja sosiaalihuollon yksiköiltä sekä toisilta vakuutusyhtiöiltä ja vakuutus- ja eläkelaitoksilta. Tarvittavien tietojen hankkimiseksi [rekisterinpitäjä] voi luovuttaa edellä mainituille tahoille terveydentilaani ja vakuutustani koskevia yksilöityjä tietoja. Kansaneläkelaitoksen tiedoista valtuutukseni koskee vain korvausasian käsittelemiseksi tarvittavia tietoja.’’
Rekisterinpitäjä tutkii terveydenhuollon yksiköstä pyydetyistä rekisteröidyn terveystiedoista, että ovatko vakuutuksenottajat antaneet vakuutushakemuksen yhteydessä täyttämissään terveysselvityksissä oikeat ja täydelliset tiedot terveydentilastaan. Rekisterinpitäjän on tärkeää tutkia tiedot vastuunsa selvittämiseksi sekä poissulkeakseen mahdollisen vakuutusvilpin. Tältä osin rekisterinpitäjä on viitannut vakuutussopimuslain 22 §, 24 §, 69 § ja 72 §:n säädöksiin.
Rekisterinpitäjän pyytämistä tiedoista
Rekisterinpitäjältä pyydettiin selvitystä siitä, mitkä tiedot se pyytää käyttöönsä vakuutussopimuksiin liittyvissä terveydenhuollon yksiköille lähetettävissä rekisteröityä koskevissa tietopyynnöissä. Lisäksi rekisterinpitäjältä pyydettiin selvitystä siitä, miten rekisterinpitäjä varmistaa, ettei se käsittele kunkin asiakkaan kohdalla käyttötarkoituksen kannalta tarpeettomia tietoja. Rekisterinpitäjää pyydettiin myös kertomaan, miten se toimii, jos rekisterinpitäjälle on toimitettu sellaista tietoa, jolla ei ole merkitystä vakuutussopimuksen täytäntöönpanon kannalta.
Rekisterinpitäjä kertoo, että se pyrkii tarjoamaan asiakkaille mahdollisimman vaivattoman tavan hankkia vakuutus ja minimoimaan tilanteet, joissa asiakkaan tietoja pyydetään terveydenhuollon yksiköstä. Kaikissa tapauksissa rekisteröityä koskevia lisätietoja ei tarvitse pyytää terveydenhuollon yksiköistä. [...]. Jos asiakas ei voi allekirjoittaa suppeaa terveysselvitystä, siirrytään laajan terveysselvityksen käyttöön. Laajassa terveysselvityksessä toimintatavan periaate on, että etukäteiskysymykset asetetaan niin, että ne ottavat huomioon mahdollisimman paljon ja mahdollisimman tarkasti sellaisia lääketieteellisiä seikkoja, joiden perusteella päätös voidaan tehdä ja vakuutuksesta vakuutusyhtiölle syntyvä riski joko hyväksyä tai hylätä vakuutusyhtiössä. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle jäljennökset käyttämästään suppeasta ja laajasta terveysselvityksestä.
Rekisterinpitäjä on kertonut, että terveysselvityksiä käsitellessään vastuunvalinnan käsittelijä on tapauskohtaisesti yhteydessä terveydenhuollon yksikköön lisätietojen saamiseksi. Yhtäältä rekisterinpitäjä on todennut, että tietopyynnöt eivät ole aina samanlaisia, vaan niitä muokataan tapaukseen sopiviksi. Lisätietopyyntö voi olla yksilöity koskien tarkennuksia tiettyyn sairauteen tai aiheeseen ja koskea lääkärinlausuntoa tai kopiota sairauskertomuksesta. Tietopyynnön sisältö terveydenhuollon yksikölle perustuu siihen, millaista vakuutussopimusta ja vakuutusturvaa asiakas on hakemassa. Ajanjakso, jolta tietoja pyydetään, määräytyy asiantuntijan arvion pohjalta. Vakuutustuotteissa on eroja ja jokaisesta turvasta korvataan ainoastaan sen ehtojen mukaisia vakuutustapahtumia, kuten kuolema ja vakava sairaus. Lisäksi vastuuta selvittäessä tulee tunnistaa vakuutussopimukselle asetettavat rajoitusehdot. Tietopyyntöjen sisältö perustuu siis rekisterinpitäjän riskienhallintaan, vastuunvalintaan ja lääketieteelliseen arvioon.
Toisaalta rekisterinpitäjä on todennut, että sitä sitoo vakuutusyhtiölain 31 luvun 2 §:n mukainen salassapitovelvollisuus eikä rekisterinpitäjä tästä syystä voi eritellä tietojen saannin perustetta terveydenhuollon yksikköön tarkemmin, kuin miten tietosuojavaltuutetun toimistolle ilmi tulleessa tapauksessa on eritelty. Rekisterinpitäjän arvioidessa vakuutussopimuksen täytäntöönpanon edellytyksiä se tarvitsee päätöksentekoa varten tiedot vakuutetun iästä ja terveydentilasta. Rekisterinpitäjä pyytää vakuutuspäätöksen tekemiseksi käyttöönsä sairauskertomukset, jotka sisältävät myös laboratoriotutkimukset ja diagnoosit. […]. Rekisterinpitäjän mukaan se tarvitsee määritellyltä ajalta haettavaan turvaan liittyvät oleelliset terveystiedot. […].
Rekisterinpitäjän mukaan terveydenhuollon yksikössä potilasta hoitavan lääkärin tekemä arvio rekisteröidyn terveydentilasta ei toteuta vakuutuksenottajalle säädettyä tiedonantovelvollisuutta täysimittaisesti. Potilasta hoitava lääkäri ei voi tehdä arviota vakuutusyhtiön vastuusta vakuutusyhtiön puolesta, sillä vastuun arviointi edellyttää vakuutussopimuksen, sen ehtojen ja vakuutuslainsäädännön sekä ratkaisukäytännön tuntemista. Vakuutusyhtiössä vastuun selvittämistä hoitavat vastuunvalinnan asiantuntijat, korvauskäsittelijät ja vakuutuslääkärit sekä muut vakuutusalan asiantuntijat.
Rekisterinpitäjä toteaa lisäksi, että jos rekisterinpitäjän valtuutusmenettelyä ei olisi, rekisteröidyn tulisi pyytää terveydenhuollon yksiköstä vakuutushakemuksen yhteydessä tarvittavat tiedot itse ja toimittaa ne rekisterinpitäjälle. Rekisterinpitäjän mukaan terveydenhuollon yksikön tulee rekisteröidyn valtuutuksen perusteella antaa rekisterinpitäjälle samat tiedot, kuin se antaisi rekisteröidylle. Rekisteröidyn allekirjoittaman valtuutuksen nojalla rekisterinpitäjä pyytää terveystiedot rekisteröidyn puolesta yleisen tietosuoja-asetuksen 15 artiklan mukaisia rekisteröidyn oikeuksia käyttäen. Jos tietoja ei annettaisi valtuutuksen perusteella terveydenhuollon yksiköstä rekisterinpitäjälle, tulee ne antaa joka tapauksessa asiakkaalle itselleen. Rekisteröity on velvollinen vakuutussopimuslain 22 §:n mukaisesti antamaan oikeat ja täydelliset vastaukset vakuutusyhtiön esittämiin kysymyksiin jo vakuutusta hakiessaan sekä vakuutuskauden aikana ilman aiheetonta viivytystä oikaisemaan vakuutusyhtiölle antamansa, vääriksi tai puutteellisiksi havaitsemansa tiedot.
Lisäksi rekisterinpitäjä toteaa, että yleisen tietosuoja-asetuksen 16 artiklan nojalla rekisteröidyllä on oikeus vaatia terveydenhuollon yksikköä oikaisemaan rekisteröityä koskevat epätarkat ja virheelliset tiedot, mikäli terveydentilatietoja olisi etukäteen terveydenhuollon yksikössä käsitelty niin, ettei vakuutusyhtiö pysty selvittämään vastuutaan ja rekisteröity ei pystyisi noudattamaan vakuutussopimuslain mukaista tiedonantovelvollisuuttaan suoraan valtuutuksen avulla.
Lähtökohtana asiakkaan terveydentilatietojen arvioinnissa on lääketieteellinen todennäköisyysarviointi terveydentilan vaikutuksesta vakuutustapahtuman todennäköisyyteen. Rekisterinpitäjän vastuun selvittäminen perustuu rekisterinpitäjän ja jälleenvakuuttajan vastuunvalinnan ohjeisiin. Vastuun selvittämistä ohjaa vakuutusyhtiötä velvoittava lainsäädäntö, erityisesti vakuutus- ja tietosuojalainsäädäntö, hyvä vakuutustapa ja lääketiede.
Tietopyynnöissä ei rekisterinpitäjän näkemyksen mukaan pyydetä käyttötarkoituksen eli sopimuksenmukaisen vastuun selvittämisen kannalta tarpeettomia tietoja. Rekisterinpitäjän tulee vastuunsa selvittämiseksi varmistaa se, ettei vakuutuksenottaja ole jättänyt olennaisia terveydentilaansa koskevia tietoja antamatta terveysselvityksessä. Rekisterinpitäjä kertoo, että se ei myöskään tästä syystä pysty erittelemään etukäteen, mitkä tiedot ovat sen vastuun selvittämiseksi ja vakuutuksenottajan tiedonantovelvollisuuden varmistamiseksi tarpeellisia.
Rekisterinpitäjä kertoo myös, että jos terveydenhuollon yksikkö toimittaa rekisterinpitäjälle sellaista tietoa, joka arvioidaan vastuunvalinnassa ilmeisen merkityksettömäksi vakuutussopimuksen täytäntöönpanon kannalta, lähetetään saadut tiedot takaisin huomautuksella, että lähetetyt tiedot ovat merkityksettömiä ja tiedot poistetaan. Tarvittaessa rekisterinpitäjä tekee tietosuojaloukkauksesta ilmoituksen prosessin mukaisesti. Rekisterinpitäjä on listannut yhteenvetona seuraavia seikkoja, jotka tukevat sen toteuttaman henkilötietojen käsittelyn minimointia:
- Pyydetään vain tarpeellista tietoa
- Käytössä on tietosuojaloukkausten käsittelyn prosessi esimerkiksi siinä tapauksessa, jos saadaan väärän henkilön tietoja, tai tietoja lähetetään väärällä jakelulla
- Käytössä on rajatut pääsyoikeudet terveystietoon mukaan lukien prosessi laajojen terveysselvitysten käsittelylle
- Toteutetaan laaduntarkkailua vastuunvalinnan prosessissa
- Tietoturva ja tietosuoja on huomioitu osana rekisterinpitäjien prosesseja
- Henkilötietojen säilytysajoista huolehditaan
Terveydentilaa koskevien tietojen laajamittainen systemaattinen poistaminen ennen mahdollista korvauskäsittelyprosessia vaarantaisi rekisterinpitäjän näkemyksen mukaan asiakkaan oikeusturvaa. Vakuutusyhtiöiden tulee ennen vakuutusyhtiön vastuun alkamista pystyä rajaamaan vakuutusyhtiön vastuu oikeasuhtaisesti. Jos terveydentilaa koskevia tietoja ei saada tarpeeksi kattavasti oikea-aikaisesti vakuutusyhtiön vastuunvalinnan käyttöön, on sillä vaikutus vakuutettavan asiakkaan turvan kattavuuteen ja tämä ilmenee vasta jälkikäteen korvaustilanteessa tapahtuvassa käsittelyssä. Tällöin vakuutuksen ottamisen tarkoitus ei asiakkaan kannalta toteudu. Jos vakuutusyhtiö ei pysty perimään asiakkaalta riskiin oikein suhteutettua hintaa, tämä voisi rekisterinpitäjän näkemyksen mukaan vaikuttaa negatiivisesti asiakkaisiin siten, että vakuutusmaksuja saatettaisiin joutua nostamaan. Vakuutusyhtiön tulee myös toimia yhdenvertaisesti asiakkaita kohtaan, joten korvauslinjan on oltava yhdenmukainen ja hyvän vakuutustavan mukainen.
Tietosuojavaltuutetun päätös ja perustelut
1. Erityisiin henkilötietoryhmiin kuuluvien terveydentilatietojen käsittelyn lainmukaisuus
Päätös
Jäljempänä tarkemmin esitetyillä perusteilla tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei voi tietosuojalain 6 §:n 1 momentin 1 kohdassa säädetyn nojalla käsitellä vapaaehtoisen vakuutuksen hakijan terveydentilatietoja tai sen henkilön terveydentilatietoja, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa. Tästä syystä rekisterinpitäjä ei voi myöskään pyytää vakuutuksen hakemisvaiheessa näiden henkilöiden terveydentilatietoja terveydenhuollon yksiköstä tietosuojalain 6 §:n 1 momentin 1 kohdan säännöksen nojalla.
Jäljempänä esitetyn tarkemman arvioinnin perusteella rekisterinpitäjän toteuttama vapaaehtoisen vakuutuksen hakijan erityisten henkilötietoryhmien käsittely ei ole yleisen tietosuoja-asetuksen 9 artiklan mukaista. Tästä syystä tietosuojavaltuutettu määrää rekisterinpitäjän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla saattamaan käsittelytoimet yleisen tietosuoja-asetuksen 9 artiklan säännösten mukaisiksi, kun rekisterinpitäjä käsittelee vapaaehtoisen vakuutuksen hakijan terveydentilatietoja tai sen henkilön terveydentilatietoja, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa.
Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen, mutta määrää toimittamaan 29.7.2022 mennessä tietosuojavaltuutetun toimistolle selvityksen siitä, mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt päätöksen johdosta, ellei se hae muutosta tähän päätökseen.
Sovellettavasta lainsäädännöstä
Euroopan parlamentin ja neuvoston yleinen tietosuoja-asetus on jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki.
Lähtökohtaisesti yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan nojalla terveyttä koskevien tietojen käsittely on kiellettyä. Käsittely on kuitenkin sallittua, jos jokin yleisen tietosuoja-asetuksen 6 artiklan mukaisista käsittelyn edellytyksistä täyttyy ja jos sen lisäksi myös jokin 9 artiklassa mainituista erityisistä käsittelyn perusteista täyttyy.
Tietosuojalain 6 §:n 1 momentin 1 kohdan mukaisesti tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.
Vakuutussopimuslakia sovelletaan 1 §:n mukaan muuhun vakuutukseen kuin lakisääteiseen vakuutukseen. Vakuutussopimuslain 2 §:n 1 momentin 4 kohdan mukaisesti vakuutuksenottajalla tarkoitetaan sitä, joka on tehnyt vakuutuksenantajan kanssa vakuutussopimuksen ja 5 kohdan mukaisesti vakuutetulla sitä, joka on henkilövakuutuksen kohteena.
Perustelut
Käsiteltävänä olevassa tapauksessa kysymys on vapaaehtoisesta vakuutuksesta. Vakuutussopimuslaki asettaa sopimuksille yleiset puitteet, mutta vakuutusturvan laajuus ja monet ehtojen yksityiskohdat ovat vakuutusyhtiökohtaisia.
Rekisterinpitäjä kartoittaa ennen vakuutussopimuksen solmimista tehtävässä vastuunvalinnassa vakuutuksenhakijan terveydentilaa vakuutuksenhakijan terveysselvityksessä antamien tietojen sekä terveydenhuollon yksiköstä pyydettyjen sairauskertomustietojen perusteella. Rekisterinpitäjä on todennut, että se käsittelee tietoja vakuutussopimuksen täytäntöön panemiseksi (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta) Rekisterinpitäjä katsoo, että vakuutuksenhakijan terveydentilaa koskevien henkilötietojen käsittely vakuutusyhtiössä on sallittua tietosuojalain 6 §:n 1 kohdan 1 momentissa säädetyn nojalla.
Tietosuojalain 6 §:n 1 momentin 1 kohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi. Kyseinen säännös on annettu yleisen tietosuoja-asetuksen kansallisen liikkumavaran nojalla ja perustuu yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan. Tietosuojalain esitöissä todetaan, että vakuutuslaitoksia koskevan yksityiskohtaisen sääntelyn yhdessä vakuutustoiminnan luvanvaraisuuden ja vastuunselvittämiseen rajoitetun käsittelyoikeuden kanssa voidaan katsoa osaltaan muodostavan asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Ennen tietosuojalain säätämistä voimassa olleen henkilötietolain 11 §:n mukaan arkaluonteisten henkilötietojen käsittely on kielletty ja arkaluonteisina tietoina pidettiin muun muassa henkilötietoja, jotka kuvaavat henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia. Henkilötietolain 12 §:n mukaan tämä ei kuitenkaan estänyt vakuutuslaitosta käsittelemästä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista. Nykyisin voimassa olevan tietosuojalain säädös vastaa siis aiemmin voimassa olleessa henkilötietolaissa säädettyä.
Vakuutussopimuslain 2 §:n 1 momentin 4 kohdan mukaan vakuutuksenottajalla tarkoitetaan sitä, joka on tehnyt vakuutuksenantajan kanssa vakuutussopimuksen. Vakuutussopimuslain 2 §:n 1 momentin 5 kohdan mukaan vakuutetulla tarkoitetaan sitä, joka on henkilövakuutuksen kohteena. Vakuutussopimuslain esitöiden mukaan henkivakuutuksen vakuutettu on henkilö, jonka kuoleman tai elämisen varalta vakuutus on otettu. Tapaturmavakuutuksen vakuutettu on henkilö, jonka tapaturmaisen loukkaantumisen tai kuoleman varalta vakuutus on otettu.
Tietosuojavaltuutettu kiinnittää huomiota siihen, että tietosuojalain 6 § 1 momentin 1 kohdan mukainen sääntely on rajattu ainoastaan vakuutetun ja korvauksenhakijan terveydentilaa, sairautta tai vammaisuutta koskevien tietojen käsittelyyn. Vakuutuksen hakemusvaiheessa vakuutussopimusta ei ole vielä solmittu.
Terveydenhuollon yksiköstä pyydettävistä tiedoista
Henkilötietoja tulee käsitellä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohta). Kohtuullisuus on henkilötietojen käsittelyä koskeva yleisperiaate, joka edellyttää muun muassa sitä, ettei henkilötietoja käsitellä rekisteröidyn kannalta odottamattomalla tai harhaanjohtavalla tavalla. Rekisteröidyille on taattava mahdollisimman suuri itsemääräämisoikeus omien henkilötietojensa käytön määrittämisessä. Tietosuojalainsäädännön tärkeimpänä tarkoituksena on, että rekisteröidyillä säilyy hallinta omiin henkilötietoihinsa. Näin ollen tietojen käsittelyssä tulee huomioida se, että minkälainen käsittely on rekisteröityjen odotusten mukaista.
Rekisterinpitäjän terveydenhuollosta pyytämissä tiedoissa on kysymys hoitosuhteen aikana kerätyistä rekisteröityjen terveystiedoista, joissa lähtökohtana on ollut hoitosuhteen luottamuksellisuus rekisteröidyn ja terveydenhuollon yksikön välillä. Potilaan asemasta ja oikeuksista annetun lain (785/1992, potilaslaki) 12 §:n mukaisesti terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Hoitosuhteen aikana kerätyt tiedot eivät tietosuojavaltuutetun käsityksen mukaan välttämättä rajoitu pelkästään terveyttä koskeviin tietoihin. Tiedoista saattaa ilmetä esimerkiksi etnistä alkuperää, uskonnollista vakaumusta tai seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja. Hoitosuhteen aikana rekisteröity on luovuttanut tiedot saadakseen terveydentilansa edellyttämän hoidon. Tiedot voivat olla erityisen arkaluonteisia, ja niiden käsittely voi asiayhteydestä riippuen aiheuttaa merkittäviä riskejä rekisteröityjen yksityiselämän suojalle ja mahdollisesti muille perusoikeuksille ja -vapauksille.
Terveydenhuollon ja sairaanhoidon järjestäjän velvollisuudesta potilasasiakirjojen salassapitoon on säädetty useissa yhteyksissä. Potilaslain 13 §:ssä lähtökohta on, että potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. Potilaslain 13 §:n 2 momentin mukaan terveydenhuollon ammattihenkilö ei saa ilman potilaan kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Potilaslain 13 §:n 3 momentin mukaan tietojen luovuttaminen on sallittua potilaan suostumuksen lisäksi ainoastaan rajoitetuissa tilanteissa, kuten potilaan tutkimuksen ja hoidon tarpeellisuuteen tai nimenomaiseen lain säännökseen perustuen. Potilasasiakirjojen käsittelyyn liittyy siis vahva potilaan yksityisyyden kunnioittamisen ja suojan tarve.
Edellä esitetyistä syistä tietosuojavaltuutettu katsoo, että tietosuojalain 6 §:n 1 momentin 1 kohdan säännöstä koskien vakuutetun ja korvauksenhakijan terveystietojen käsittelyä vakuutustoiminnassa ei voida laajentaa vakuutuksen hakemisvaiheessa vakuutuksenhakijana olevaan rekisteröityyn. Rekisteröityjen on voitava luottaa tietosuojalain sananmukaiseen sääntelyyn vakuutuksen hakemistilanteessa. Sananmukaisen sääntelyn vastainen erityisiin henkilötietoryhmiin kuuluvien terveydentilatietojen käsittely ei ole rekisteröityjen kohtuullisten odotusten mukaista. Potilasasiakirjoihin liittyvän vahvan yksityisyyden suojan tarpeen vuoksi ei ole myöskään mahdollista, että tietoja käsiteltäisiin sananmukaisen sääntelyn vastaisesti.
Näin ollen tietosuojavaltuutettu katsoo, että vakuutuksenhakijan terveystietojen käsittelyyn ja terveystietojen pyytämiseen terveydenhuollon yksiköstä ei ole mahdollista soveltaa tietosuojalain 6 §:n 1 momentin 1 kohdan säännöstä.
Suostumuksesta erityisten henkilötietoryhmien käsittelyperusteena
Vaikka tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen rekisterinpitäjälle annetun määräyksen johdosta, tietosuojavaltuutettu haluaa tuoda tässä yhteydessä ilmi, että tietosuojavaltuutetun näkemyksen mukaan rekisterinpitäjän olisi mahdollista käsitellä vakuutuksenhakijoiden terveydentilatietoja ennen vakuutussopimuksen solmimista suostumukseen perustuen. Tietosuojavaltuutettu avaa näkemystään tarkemmin alla.
Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaisesti erityisten henkilötietoryhmien käsittelykieltoa ei sovelleta, jos rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten. Yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaisesti rekisteröidyn ”suostumuksella” tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.
Yleisen tietosuoja-asetuksen 7 artiklassa on säädetty suostumuksen edellytyksistä. 7 artiklan 4 kohdan mukaisesti arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.
Euroopan tietosuojaneuvosto on antanut suuntaviivat 05/2020 yleisen tietosuoja-asetuksen mukaisesta suostumuksesta. Suuntaviivoissa on todettu, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa, jossa on säädetty erityisistä poikkeuksista käsitellä erityisiä henkilötietoryhmiä yleisestä käsittelykiellosta huolimatta, tarvetta sopimuksen täytäntöönpanemiseksi ei ole säädetty tällaiseksi poikkeukseksi. Tältä osin rekisterinpitäjien olisi selvitettävä, voisiko tällaiseen tilanteeseen soveltua jokin 9 artiklan 2 kohdan b – j alakohdissa säädetyistä erityisistä poikkeuksista. Jos yksikään b – j alakohdassa säädetyistä poikkeuksista ei sovellu tilanteeseen, nimenomaisen suostumuksen hankkiminen yleisessä tietosuoja-asetuksessa säädettyjen pätevää suostumusta koskevien edellytysten mukaisesti on ainoa mahdollinen lainmukainen poikkeus, jonka perusteella rekisterinpitäjä voisi käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja.
Suuntaviivoissa on viitattu esimerkkinä tilanteeseen, jossa asiakas varaa lennon ja pyytää tässä yhteydessä lentoyhtiöltä matkustusapua lentokoneeseen siirtymisessä. Lentoyhtiö pyytää tällöin asiakasta toimittamaan lentoyhtiölle tietoja terveydentilastaan, jotta lentoyhtiö voi tunnistaa minkälainen avuntarve asiakkaalla on järjestääkseen asiakkaalle asianmukaiset palvelut. Tässä yhteydessä lentoyhtiö pyytää nimenomaista suostumusta kyseisen asiakkaan terveystietojen käsittelyyn avun järjestämistä varten. Tietosuojaneuvosto on todennut tämän esimerkkitilanteen osalta, että koska tiedot ovat tarpeen pyydetyn palvelun suorittamiseksi, yleisen tietosuoja-asetuksen 7 artiklan 4 kohtaa ei sovelleta.
Toisaalta tietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota myös siihen, että tietosuoja-asetuksen 7 artiklan 4 kohdan ja johdannon 43 kappaleen mukaisesti ei ole toivottavaa edellyttää sopimuksen täytäntöönpanon yhteydessä, että rekisteröidyn tulee antaa suostumuksensa sellaiseen henkilötietojen käsittelyyn, joka ei ole tarpeen kyseisen sopimuksen täytäntöön panemiseksi. Jos suostumus annetaan tällaisessa tilanteessa, sitä ei katsota vapaaehtoisesti annetuksi. Jäljempänä tietosuojavaltuutetun toisessa päätöksessä käsitellään sitä, että minkälainen henkilötietojen käsittely vakuutusyhtiön vastuun selvittämiseksi on yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohdan sekä 25 artiklan 2 kohdan mukaista.
Tietosuojavaltuutettu kiinnittää huomiota myös siihen, että yleisen tietosuoja-asetuksen 7 artiklan 3 kohdan mukaisesti rekisteröidyllä on oltava oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.
Rekisterinpitäjän pyytämästä valtuutuksesta
Tietosuojavaltuutettu arvioi myös rekisterinpitäjän nykyistä toimintatapaa, jossa rekisterinpitäjä pyytää terveysselvityskaavakkeen yhteydessä rekisteröidyn valtuutuksen terveystietojen pyytämiseen terveydenhuollon yksiköistä.
Rekisterinpitäjän toimittamien tietojen perusteella se pyytää kaikkien vakuutushakemusten yhteydessä rekisteröidyltä valtuutuksen tietojen pyytämiseen terveydenhuollon yksiköstä, mikäli vakuutussopimuksen solmiminen edellyttää lääketieteellistä vastuunvalintaa. Rekisterinpitäjä toimii näin siitäkin huolimatta, että kaikissa tapauksissa rekisterinpitäjä ei pyydä vakuutuksenhakijan terveystietoja terveydenhuollon yksiköstä. Rekisteröidyt allekirjoittavat hakemusvaiheessa valtuutuksen siihen, että terveydenhuollon yksiköt saavat antaa vakuutushakemuksen ja mahdollisen korvausasian käsittelemistä varten tarpeellisia rekisteröidyn terveydentilaa koskevia henkilötietoja rekisterinpitäjälle.
Tietosuoja-asetuksen johdanto-osan 43 kappaleessa täsmennetään, että suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa. Euroopan tietosuojaneuvoston suuntaviivoissa on todettu, että jos suostumus hankitaan täysin yleisen tietosuoja-asetuksen mukaisesti, kyseessä on väline, jonka avulla rekisteröidyt voivat valvoa, käsitelläänkö heidän henkilötietojaan vai ei. Ohjeiden mukaisesti ’’yksilöityyn’’ suostumukseen liittyvillä edellytyksillä pyritään varmistamaan rekisteröidylle tietynasteinen valvonta ja läpinäkyvyys. Yksilöidyn suostumuksen edellytyksiä ovat, että rekisterinpitäjä noudattaa tarkkuutta suostumusta koskevissa pyynnöissä. Rekisterinpitäjän on selostettava kussakin erillisessä suostumuksen antamista koskevassa pyynnössään tarkasti, mitä tietoja kutakin tarkoitusta varten käsitellään, jotta rekisteröity olisi selvillä eri vaihtoehdoista ja niiden vaikutuksista. Ohjeiden mukaisesti pätevän tietoisen suostumuksen hankkiminen edellyttää, että rekisteröityä tiedotetaan siitä, että mitä tietoja kerätään ja käytetään.
Tietosuojavaltuutetun näkemyksen mukaan rekisterinpitäjän käyttämä nykymuotoinen valtuutus koskee ennalta määrittelemätöntä joukkoa rekisteröidystä talletettuja terveystietoja eri terveydenhuollon yksiköiden potilasrekistereissä. Viitaten tietosuoja-asetuksen sääntelyyn ja sen nojalla annettuun Euroopan tietosuojaneuvoston ohjeistukseen, tietosuojavaltuutettu katsoo, että rekisteröidyltä pyydettävä suostumus ei ole riittävällä tavalla yksilöity ja suostumuspyynnössä ei noudateta sellaista tarkkuutta, jotta vakuutuksenhakijat voisivat valvoa, että käsitelläänkö heidän henkilötietojaan vai ei, ja mitä tietoja kutakin tarkoitusta varten käsitellään.
Näin ollen tietosuojavaltuutettu katsoo, että terveysselvityksen yhteydessä rekisterinpitäjän pyytämä yleisluontoinen valtuutus tietojen pyytämiseen eri terveydenhuollon yksiköistä vakuutusasian käsittelyä varten ei riitä täyttämään yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaista edellytystä erityisiä henkilötietoryhmiä koskevasta käsittelystä.
Edustamisvaltakirja omien tietojen tarkastusoikeuden käyttämistä varten
Tietosuojavaltuutettu arvioi myös rekisterinpitäjän lausumaa, jonka mukaisesti rekisterinpitäjä voi valtuutuksen nojalla toimia terveydentilaa koskevien tietojen pyytämisessä tietosuoja-asetuksen 15 artiklassa tarkoitettua rekisteröidyn omien tietojen tarkastusoikeutta käyttäen rekisteröidyn puolesta.
Tietosuoja-asetuksessa ei säädetä edustajan käytöstä rekisteröidyn oikeuksien käyttämistä koskevissa asioissa. Rekisterinpitäjä on kuitenkin kaikessa henkilötietojen käsittelyssä velvollinen noudattamaan yleisessä tietosuoja-asetuksessa säädettyä ja 5 artiklan mukaisia henkilötietojen käsittelyä koskevia periaatteita.
Tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjä pyytää terveydenhuollon yksiköiltä rekisteröityjen terveystietoja vakuutusyhtiön vastuun ja riskin selvittämistä koskevaan käyttötarkoitukseen. Mikäli rekisterinpitäjä toimisi rekisteröidyn edustajana omien tietojen tarkastusoikeutta koskevassa asiassa rekisteröidyn allekirjoittaman valtakirjan perusteella, tällöin rekisteröidyn omien tietojen tarkastusoikeus olisi myös henkilötietojen käsittelyn tarkoitus. Omien tietojen tarkastusoikeuden tarkoituksena on muun muassa käsittelyn lainmukaisuuden ja tietojen paikkansapitävyyden tarkastaminen. Mikäli valtakirjan nojalla toimiva rekisteröidyn edustaja ryhtyy käsittelemään edustajana haltuunsa saamiaan tietoja omien etujensa toteutumisen varmistamiseen, kuten vakuutussopimuslaissa määritellyn vilpin mahdollisuuden poissulkeakseen, kysymys on tällöin uudesta käyttötarkoituksesta. Tällainen menettelytapa on siten yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan käyttötarkoitussidonnaisuuden periaatteen vastainen.
Tietosuojavaltuutettu kiinnittää rekisterinpitäjän lausuman osalta huomiota myös apulaistietosuojavaltuutetun ratkaisuun 7635/162/21, jossa on todettu rekisteröidyn tarkastusoikeuden osalta, että rekisteröidyllä on mahdollisuus käyttää tätä oikeutta, jotta hän voi itse pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Päätöksessä todettiin, että viranomainen ei voinut edellyttää rekisteröityä toimittamaan itselleen rekisteröidyn tarkastusoikeuden käytön perusteella saamia tietoja, eikä siten käyttää rekisteröidyn tarkastusoikeutta viranomaisen tiedonhankkimisen välineenä.
Lisäksi tietosuojavaltuutettu kiinnittää huomiota siihen, että tietojen käsittelyn on oltava ymmärrettävää, eli rekisteröidyllä on oltava asianmukainen käsitys siitä, mitä hän voi odottaa omien henkilötietojensa käsittelyltä. Rekisteröidyn kannalta ei ole läpinäkyvää tai ymmärrettävää, että rekisterinpitäjän käyttämässä nykymuotoisessa valtuutuksessa on kysymys edustamisvaltakirjan allekirjoittamisesta rekisteröidyn omien tietojen tarkastusoikeuden käyttämistä varten.
Tietosuojavaltuutettu toteaa, että vakuutussopimukseen liittyvän terveysselvityksen yhteydessä allekirjoitettavassa valtuutuksessa ei voi olla kysymys siitä, että rekisteröity valtuuttaa rekisterinpitäjän käyttämään puolestaan yleisen tietosuoja-asetuksen 15 artiklan mukaista omien tietojen tarkastusoikeutta.
2. Tietojen minimointi, käsittelyn kohtuullisuus sekä sisäänrakennettu ja oletusarvoinen tietosuoja
Päätös
Jäljempänä tarkemmin esitetyillä perusteilla rekisterinpitäjän toimintatapa on tietosuojavaltuutetun näkemyksen mukaan yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohdan sekä 25 artiklan 2 kohdan vastainen, kun rekisterinpitäjä pyytää rekisteröidyn terveydentilaa koskevia tietoja terveydenhuollon yksiköstä ja käsittelee saamiaan tietoja vakuutusyhtiön vastuun selvittämiseksi. Tästä syystä tietosuojavaltuutettu määrää rekisterinpitäjän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla saattamaan henkilötietojen käsittelytoimet yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohdan sekä 25 artiklan 2 kohdan mukaisiksi.
Rekisterinpitäjän on tämän määräyksen perusteella yksilöitävä terveydenhuollon yksikölle esitettävässä rekisteröidyn terveydentilatietoja koskevassa pyynnössä pyydettävä tieto koskemaan tiettyä asiaa, tapausta, sairautta tai oiretta, jolla on tosiasiallista merkitystä rekisterinpitäjän vastuun arvioimisessa. Rekisterinpitäjän tulee myös arvioida, miltä ajanjaksolta rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollon yksiköstä on tarpeellista rekisterinpitäjän vastuun selvittämiseksi ja tämän perusteella rajata, miltä ajanjaksolta rekisteröidyn terveydentilatietoja pyydetään terveydenhuollon yksiköstä.
Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen, mutta määrää toimittamaan 29.7.2022 mennessä tietosuojavaltuutetun toimistolle selvityksen siitä, mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt päätöksen johdosta, ellei se hae muutosta tähän päätökseen.
Jäljempänä tarkemmin esitetyillä perusteilla tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen, koska rekisterinpitäjän toteuttamat henkilötietojen käsittelytoimet ovat olleet yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohdan sekä 25 artiklan 2 kohdan vastaisia rekisterinpitäjän pyytäessä rekisteröidyn terveydentilaa koskevia tietoja terveydenhuollon yksiköstä ja rekisterinpitäjän käsitellessä saamiaan tietoja.
Sovellettavasta lainsäädännöstä
Vakuutussopimuslain 22 §:n mukaan vakuutuksenottajan ja vakuutetun tulee ennen vakuutuksen myöntämistä antaa oikeat ja täydelliset vastaukset vakuutuksenantajan esittämiin kysymyksiin, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutuksenottajan ja vakuutetun tulee lisäksi vakuutuskauden aikana ilman aiheetonta viivytystä oikaista vakuutuksenantajalle antamansa, vääriksi tai puutteellisiksi havaitsemansa tiedot.
Vakuutussopimuslain 37 §:n mukaan vakuutusehdoissa voidaan vakuutuksesta korvattavan sairauden tai vamman aiheuttamien seurausten osalta rajoittaa vakuutuksenantajan vastuuta sillä perusteella, että sairaus tai vamma oli olemassa jo vakuutusta haettaessa ja rajoitus perustuu vakuutuksenantajan ennen vakuutuksen myöntämistä hankkimiin tietoihin vakuutetun terveydentilasta.
Vakuutussopimuslain 69 §:n mukaan korvauksen hakijan on annettava vakuutuksenantajalle sellaiset asiakirjat ja tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi ja joita häneltä kohtuudella voidaan vaatia ottaen myös huomioon vakuutuksenantajan mahdollisuudet hankkia selvitys.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan käsiteltävien henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”).
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’’).
Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjällä on velvollisuus toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
Perustelut
Rekisterinpitäjä pyytää vapaaehtoisen vakuutuksen hakijan terveydentilatietoja terveydenhuollon yksiköstä vakuutussopimuslain mukaisen vastuunsa selvittämiseksi. Rekisterinpitäjä on kertonut, että vakuutuksen hakemisvaiheessa se pyytää tietoja ensisijaisesti vakuutuksenhakijalta itseltään ja pyrkii minimoimaan tilanteet, joissa rekisterinpitäjän täytyy pyytää vakuutuksenhakijan tietoja terveydenhuollon yksiköstä.
Rekisterinpitäjä on todennut, että joissain tapauksissa lisätietopyyntö terveydenhuollon yksikölle voi olla yksilöity tiettyyn sairauteen tai aiheeseen ja, että tietoja pyydetään asiantuntijan arvion perusteella määritellyltä ajanjaksolta. Tästä huolimatta rekisterinpitäjä on kuitenkin todennut, että niissä tapauksissa, joissa rekisterinpitäjä tekee pyynnön terveydenhuollon yksikölle, rekisterinpitäjä pyytää käyttöönsä vakuutuksenhakijaa koskevan sairauskertomuksen määritellyltä ajalta. Lisäksi rekisterinpitäjä on kertonut, että sillä on oikeus varmistaa, ettei rekisteröity ole jättänyt olennaisia terveydentilaansa koskevia tietoja antamatta terveysselvityksessä. Tästä syystä rekisterinpitäjä ei pysty etukäteen määriteltyä ajanjaksoa tarkemmin erittelemään terveydenhuollon yksikölle lähetettävään pyyntöönsä, että mitkä rekisteröityä koskeva tiedot rekisterinpitäjän on tarpeen saada.
Rekisterinpitäjän mukaan potilasta hoitavan lääkärin laatima arvio rekisteröidyn terveydentilasta ei myöskään ole riittävä vakuutusyhtiön vastuun selvittämiseksi, sillä vastuun arviointi edellyttää vakuutussopimuksen, vakuutuslainsäädännön ja ratkaisukäytännön tuntemista. Rekisterinpitäjän mukaan se tarvitsee terveydenhuollon yksiköstä rekisteröityä koskevia tietoja myös sulkeakseen pois mahdollisen vakuutusvilpin. Rekisterinpitäjä on todennut, että sen tulee voida arvioida vastuutaan oikea-aikaisesti ennen vakuutussopimuksen solmimista, jotta rajoitukset vakuutusturvan kattavuuteen eivät ilmene vakuutuksenottajalle vasta jälkikäteen korvaustilanteessa tapahtuvassa käsittelyssä.
Rekisterinpitäjän antaman selvityksen perusteella vaikuttaisi siltä, että jos rekisterinpitäjä päättää tehdä tietopyynnön terveydenhuollon yksikköön, joissain tapauksissa rekisterinpitäjä yksilöi terveydenhuollon yksikköön lähetettävän lisätietopyynnön. Tästä huolimatta tietosuojavaltuutetun toimistolle ilmi tulleen tapauksen ja annetun selvityksen mukaan rekisterinpitäjän organisaatiossa käytössä olevana toimintatapana on myös rekisteröidyn koko sairauskertomuksen pyytäminen määritellyltä ajalta.
Tietosuojavaltuutettu arvioi rekisterinpitäjän toimintatapaa edellä avattujen vakuutussopimuslain ja tietosuoja-asetuksen säännösten nojalla.
Yleisen tietosuoja-asetuksen johdannon 27 kappaleen mukaisesti tietosuoja-asetusta ei sovelleta kuolleita henkilöitä koskeviin tietoihin. Tästä syystä tietosuojavaltuutettu ei arvioi tässä päätöksessä kuolleiden henkilöiden terveystietojen käsittelyä tietosuoja-asetuksen perusteella.
Rekisterinpitäjän toimintatapaa arvioidessa huomiota on kiinnitettävä ensiksi siihen, että vakuutussopimuslain 22 §:n nojalla vakuutuksenhakijan tiedonantovelvollisuus on rajattu tietoihin, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutussopimuslain esitöissä on täsmennetty, että vakuutuksenottajan tiedonantovelvollisuus koskee ainoastaan seikkoja, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Oikeuskirjallisuudessa on todettu, että vakuutusyhtiön tiedustelemien seikkojen tulee kokemusperäisesti liittyä kiinteästi vakuutuksenantajan riskinarviointiin. Samassa yhteydessä on todettu, että sellaiset tiedot, jotka eivät erillisinä ole merkityksellisiä, voivat yhdessä muodostaa riskin arvioinnin kannalta merkityksellisen kokonaisuuden. Esimerkiksi vähäisistä sairauksista on kysyttäessä kerrottava, vaikka tiedonantovelvollinen pitäisi tietoja vakuutuksenantajan vastuun kannalta merkityksettöminä.
Myös korvauksen hakemisen yhteydessä vakuutuksenantajalle on vakuutussopimuslain 69 §:n nojalla annettava tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi. Korvauksen hakemisen osalta vakuutussopimuslain esitöissä on täsmennetty, että vastuun selvittämiseksi tarpeellisia asiakirjoja ja tietoja ovat esimerkiksi ne, joiden avulla voidaan todeta, onko vakuutustapahtuma sattunut ja kuinka suuri vahinko on syntynyt. Korvauksenhakijan selvitysvelvollisuus koskee myös hänelle epäedullisia seikkoja. Korvauksenhakija ei esimerkiksi henkilövakuutuksessa saa jättää tarpeellista lääkärintodistusta toimittamatta, vaikka siitä ilmenisi tiedonantovelvollisuuden laiminlyönti.
Edellä esitettyjä vakuutussopimuslain säännöksiä tulee arvioida yhdessä tietojen minimointia sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevan sääntelyn kanssa. Tietojen minimoinnin periaatetta (yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohta) on täsmennetty yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 39, jonka mukaan henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin. Lisäksi tietosuojavaltuutettu kiinnittää huomiota Euroopan tietosuojaneuvoston sisäänrakennettua ja oletusarvoista tietosuojaa koskeviin ohjeisiin, joiden mukaan tietojen minimoinnin periaatteen keskeisiä tekijöitä ovat muun muassa:
- Käsittelyn välttäminen – vältetään käyttämästä henkilötietoja ollenkaan, jos se on mahdollista kunkin tarkoituksen yhteydessä.
- Käsittelyn rajoittaminen – rajoitetaan kerättävien henkilötietojen määrä vain siihen, mikä on tarpeen tarkoituksen kannalta.
- Käsiteltävien tietojen olennaisuus – henkilötietojen on oltava kyseisen käsittelyn kannalta olennaisia, ja rekisterinpitäjän on voitava osoittaa olennaisuus.
- Käsiteltävien tietojen tarpeellisuus – jokaisen henkilötietoryhmän on oltava tarpeen määritetyissä tarkoituksissa, ja niitä on käsiteltävä vain, jos tarkoitusta ei voida täyttää muilla keinoilla.
Euroopan tietosuojaneuvoston ohjeiden mukaan henkilötietojen käsittelyn perusedellytyksenä on tietosuojan sisällyttäminen käsittelytoimiin jo oletusarvoisesti. Rekisterinpitäjän velvollisuutena on määritellä ennalta mitä tiettyä, nimenomaista ja laillista tarkoitusta varten tietoja käsitellään. Omaksuttujen toimintatapojen tulee olla jo oletusarvoisesti sellaisia, että rekisterinpitäjä käsittelee vain sellaisia henkilötietoja, jotka ovat tarpeen kunkin nimenomaisen käsittelytarkoituksen kannalta.
Edellä esitetyistä syistä tietosuojavaltuutettu katsoo, että vakuutussopimuslain ja tietosuoja-asetuksen sääntelyn nojalla rekisterinpitäjän tulee kaikissa tapauksissa yksilöidä terveydenhuollon yksikölle tehtävässä rekisteröidyn terveydentilatietoja koskevassa pyynnössä, että mitä asiaa koskevia tietoja ja miltä aikaväliltä koskevia tietoja rekisterinpitäjä pyytää käyttöönsä. Tämä tarkoittaa, että rekisterinpitäjän on rajattava pyydettävä tieto koskemaan tiettyä asiaa, tapausta, sairautta tai oiretta, jolla on tosiasiallista merkitystä rekisterinpitäjän vastuun arvioimissa. Rekisterinpitäjän tulee myös arvioida, miltä ajanjaksolta rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollon yksiköstä on tarpeellista rekisterinpitäjän vastuun selvittämiseksi ja tämän perusteella rajata, miltä ajanjaksolta rekisteröidyn terveydentilatietoja pyydetään terveydenhuollon yksiköstä. Rekisterinpitäjän tulee jo lähetettävässä pyynnössä rajata pyydettävät tiedot vain tarpeellisiin tietoihin siten, että rekisterinpitäjä pystyy myös osoittamaan, että se pyytää terveydenhuollon yksiköstä vain sellaisia rekisteröidyn terveydentilatietoja, jotka ovat tarpeellisia rekisterinpitäjän vastuun selvittämistä koskevissa arvioinneissa.
Terveydenhuollon yksiköistä pyydettävien potilasasiakirjojen käsittelyyn liittyy vahva potilaan yksityisyyden kunnioittamisen ja suojan tarve, ja tästä on säädetty muun muassa potilaslain 13 §:ssä. Pahimmassa tapauksessa nyt kysymyksessä olevien tietojen käsittelyyn voi liittyä riski esimerkiksi rekisteröidyn nöyryyttämiseen tai perheen yksityiselämää koskevien tietojen leviämiseen. Lähtökohtana potilasasiakirjojen käsittelyssä on pidettävä sitä, että rekisteröity voi ja on voinut hoitosuhteen aikana odottaa, että terveystietoja käsitellään rekisteröidyn yksityisyyttä kunnioittaen.
Rekisteröity on saattanut asioida terveydenhuollon yksikössä monista eri syistä, eivätkä kaikki rekisteröidystä terveydenhuollon yksikössä kerätyt tiedot välttämättä ole merkityksellisiä vakuutusyhtiön vastuun arvioimisen kannalta vakuutusta haettaessa tai kun arvioidaan vakuutuskorvauksen maksamisen edellytyksiä. Tietosuojavaltuutettu katsoo, että olisi tietojen minimointiperiaatteen sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevan sääntelyn vastaista, että rekisterinpitäjä pyytäisi käyttöönsä tietyltä aikaväliltä kaikki terveydenhuollon yksikön keräämät rekisteröityä koskevat tiedot, esimerkiksi sairauskertomuskopiot ja testitulokset. Tämä johtaisi siihen, että oletusarvoisesti rekisterinpitäjä käsittelisi vastuunarvioimisprosessissa mahdollisesti myös sellaista tietoa, joka ei ole merkityksellistä vastuun arvioimisen kannalta ja on näin ollen tarpeetonta tietojen käyttötarkoituksen kannalta.
Henkilötietojen käsittelyn kohtuullisuus (yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohta) on yleisperiaate, joka edellyttää muun muassa sitä, ettei henkilötietoja saa käsitellä rekisteröidyn kannalta perusteettoman haitallisella tavalla ja henkilötietojen käsittelyn on vastattava rekisteröityjen kohtuullisia odotuksia. Rekisterinpitäjän tulee kunnioittaa rekisteröityjen perusoikeuksia ja toteuttaa asianmukaisia toimenpiteitä oikeuksien kunnioittamiseksi. Rekisterinpitäjän velvollisuutena on huomioida se, minkälainen käsittely on rekisteröityjen kohtuullisten odotusten mukaista. Tietosuojavaltuutettu katsoo, että terveydenhuollon yksiköissä muodostettuihin terveydentilatietoihin liittyvän vakavuudeltaan suuren riskin vuoksi oletusarvoinen tietojen tarpeettoman laaja käsittely olisi rekisteröityjen kannalta kohtuutonta. Ei ole kohtuullista, että rekisterinpitäjä saisi vastuunarvioimisprosessin perusteella pääsyn tarpeettoman laajasti tai jopa rajattomasti rekisteröidyn terveydentilatietoihin. Ei ole myöskään riittävää, että rekisterinpitäjä vasta tiedot saatuaan arvioi kerättyjen tietojen tarpeellisuuden ja poistaa tarpeettomat terveydentilatiedot.
Tietosuojavaltuutettu katsoo, että rekisterinpitäjän velvollisuus yksilöidä terveydenhuollon yksikölle lähetettävä pyyntö tiettyyn asiaan, sairauteen tai oireeseen ei supista rekisterinpitäjän oikeutta saada riittävät tiedot rekisteröidyn terveydentilasta rekisterinpitäjän vastuun arvioimista varten. Rekisterinpitäjän on mahdollista pyytää vakuutusyhtiön vastuun arviointia varten tarvittavia tietoja suoraan rekisteröidyltä. Tiedonannosta on säädetty vakuutussopimuslain 22 §:ssä selkeä nimenomainen velvollisuus. Lisäksi huomionarvoista on, että jos vakuutuksenottaja tai vakuutettu havaitsee antaneensa virheellisiä tai puutteellisia tietoja vakuutuksenantajalle, tämän on myös ilman aiheetonta viivytystä oikaistava tiedot. Vakuutuksenottajan tai vakuutetun tiedonantovelvollisuuden laiminlyönnistä on myös säädetty seuraamuksia. Vastaavasti vakuutuskorvauksen hakemisen yhteydessä korvauksenhakijalle on säädetty selkeä velvollisuus antaa vakuutuksenantajalle sellaiset asiakirjat ja tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi.
Ei ole hyväksyttävää, että rekisterinpitäjän tarve varmistua mahdollisen vakuutusvilpin poissulkemisesta mahdollistaisi sen, että rekisterinpitäjällä olisi rajaamaton pääsy rekisteröidyn terveydenhuollon yksiköissä muodostettuihin ja kerättyihin terveystietoihin.
Tietosuojavaltuutettu kiinnittää huomiota myös Suomen Lääkäriliiton 25.9.2009 (tarkistettu 2.5.2016) antamaan suositukseen potilastietojen luovuttamisesta vakuutusyhtiöille. Suomen Lääkäriliitto suosittelee potilaan terveydentilaa koskevien tietojen luovuttamista lausunnon muodossa, ellei erityislainsäädännössä erikseen ole menettelystä toisin säädetty. Myös tietosuojavaltuutettu katsoo perustelluksi, että tiedot tulee pyytää ja luovuttaa ensisijaisesti lausunnon muodossa. Tällainen toimintatapa on henkilötietojen minimointiperiaatteen mukainen ja suojaa potilaan yksityisyyttä esimerkiksi tilanteessa, jossa käyntikirjauksiin sisältyy muitakin kuin selkeästi vakuutusyhtiön vastuun arvioinnin kannalta tarpeellisia tietoja.
Seuraamusarviointi
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt ratkaisussa dnro 4431/161/21 Liikennevakuutuskeskukselle seuraamusmaksun tietosuojasääntelyn rikkomisesta potilasasiakirjamerkintöjen käsittelytoimissa korvausasioiden yhteydessä. Tietosuojavaltuutettu arvioi myös nyt ratkaistavana olevassa asiassa perusteita määrätä rekisterinpitäjälle yleisen tietosuoja-asetuksen yleisen tietosuoja-asetuksen 83 artiklan mukainen hallinnollinen seuraamusmaksu.
Kun kyse on henkilötietojen käsittelyä koskevien periaatteiden rikkomisesta (yleisen tietosuoja-asetuksen 5 artikla), hallinnollinen seuraamusmaksu voi olla enimmillään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Hallinnollisen sakon määräämistä on arvioitava yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaisten edellytysten valossa. Kyseistä artiklaa täsmentää asetuksen johdanto-osan kohta 148, jonka mukaan valvontaviranomaisen olisi määrättävä asetuksen säännösten rikkomisesta seuraamuksia, kuten hallinnollisia seuraamusmaksuja, sen määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta. Jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan seuraamusmaksun sijasta antaa huomautus.
Nyt ratkaistavana olevassa asiassa rekisterinpitäjä on yhtäältä kertonut, että jos rekisterinpitäjä päättää tehdä tietopyynnön terveydenhuollon yksikköön, joissain tapauksissa rekisterinpitäjä yksilöi terveydenhuollon yksikköön lähetettävän lisätietopyynnön ja määrittää pyydettävien tietojen ajanjakson asiantuntijan arvion pohjalta. Toisaalta tietosuojavaltuutetun toimistolle ilmi tulleesta tapauksesta ja rekisterinpitäjän antamasta selvityksestä on käynyt ilmi, että rekisterinpitäjän organisaatiossa käytössä olevana toimintatapana on pyytää terveydenhuollon yksiköstä rekisteröidyn koko sairauskertomus määritellyltä ajalta. Rekisterinpitäjä on myös todennut, että sillä on näkemyksensä mukaan oikeus saada terveydenhuollon yksiköstä samat tiedot, kuin rekisteröidyllä olisi oikeus saada yleisen tietosuoja-asetuksen 15 artiklan omien tietojen tarkastusoikeuden nojalla, jotta se voi tutkia, ovatko vakuutuksenottajat antaneet vakuutushakemuksen yhteydessä täyttämissään terveysselvityksissä oikeat ja täydelliset tiedot terveydentilastaan.
Nyt ratkaistavan asian seuraamusarvioinnissa huomionarvoista on, että rekisterinpitäjä on käsitellyt tarpeettoman laajasti rekisteröityjen terveystietoja niissä tapauksissa, joissa rekisterinpitäjä on pyytänyt rekisteröityä koskevan sairauskertomuksen kokonaisuudessaan tietyltä aikaväliltä terveydenhuollon yksiköstä. Tietosuojavaltuutetun näkemyksen mukaan käsittelytoimet ovat olleet tietojen minimointiperiaatteen sekä sisäänrakennettua ja oletusarvoista tietosuojaa koskevan sääntelyn vastaisia, sillä rekisterinpitäjä ei ole rajoittanut kerättävien henkilötietojen määrää vain siihen, mikä on tarpeen tarkoituksen kannalta. Koska kysymys on erityisiin henkilötietoryhmiin kuuluvista terveydenhuollon yksiköissä muodostetuista rekisteröityjen terveydentilatiedoista, käsittely on ollut omiaan aiheuttamaan perusteettoman suuren riskin rekisteröityjen yksityiselämän suojalle. Tästä syystä seuraamusarvioinnissa on huomioitava myös, että käsittely ei ole ollut kohtuullista rekisteröityjä kohtaan.
Toisaalta seuraamusarvioinnissa on kuitenkin huomioitava, että rekisterinpitäjän selvityksen mukaan joissain tapauksissa rekisterinpitäjä yksilöi terveydenhuollon yksikköön lähetettävän lisätietopyynnön, joskaan rekisterinpitäjä ei ole tarkemmin selvittänyt, että kuinka suuri osa näistä pyynnöistä terveydenhuollon yksiköille on tosiasiallisesti lähetetty yksilöitynä tiettyyn sairauteen tai aiheeseen.
Tietosuojavaltuutetun toimiston ratkaisussa dnro 4431/161/21 on arvioitu tiedonsaantioikeutta liikennevakuutuslain (460/2016) 82 §:n perusteella. Liikennevakuutuslain 82 §:n 3 momentin mukaisesti vakuutusyhtiön tiedonsaantioikeus edellyttää, että tiedot ovat välttämättömiä käsiteltävänä olevan vakuutus- tai korvausasian ratkaisemista varten tai muuten välttämättömiä tässä laissa säädettyjen tehtävien hoitamiseksi. Vakuutussopimuslain 22 §:n nojalla tiedonantovelvollisuus koskee tietoja, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutussopimuslain 69 §:n nojalla korvauksenhakijan on annettava vakuutuksenantajalle sellaiset asiakirjat ja tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi. Oikeuskirjallisuudessa on todettu, että vakuutusyhtiön tiedustelemien seikkojen tulee kokemusperäisesti liittyä kiinteästi vakuutuksenantajan riskinarviointiin. Samassa yhteydessä on todettu, että sellaiset tiedot, jotka eivät erillisinä ole merkityksellisiä, voivat yhdessä muodostaa riskin arvioinnin kannalta merkityksellisen kokonaisuuden.
Edellä esitetyn perusteella vakuutussopimuslain sanamuodon voidaan arvioida jättävän jossain määrin enemmän tulkinnanvaraa kuin liikennevakuutuslain. Tästä huolimatta tietosuojavaltuutetun käsityksen mukaan on ilmeistä, että vakuutussopimuslaki ei mahdollista vakuutusyhtiölle rajaamatonta pääsyä potilastietoihin vakuutusyhtiön vastuun selvittämisen johdosta, eikä vakuutussopimuslain nojalla ole mahdollista arvioida sellaisen menettelytavan olevan hyväksyttävää, jossa vakuutusyhtiö pyytäisi terveydenhuollon yksiköstä rekisteröidyn koko sairauskertomuksen joltakin aikaväliltä. Vakuutussopimuslain sääntelyn perusteella rekisteröidyllä on perusteltu syy odottaa, että vakuutusyhtiö käsittelee vain vakuutusasian kannalta tarpeellisia ja rajattuja rekisteröidyn terveydentilatietoja. Ottaen huomioon terveydenhuollon yksiköissä muodostettujen potilasasiakirjojen käsittelyyn liittyvän merkittävän riskin potilaan yksityisyyden suojalle, rekisterinpitäjän toimintatapa pyytää koko sairauskertomus tietyltä aikaväliltä on ollut moitittavaa. Vaikka rekisterinpitäjän toimintatapa on moitittava, tietosuojavaltuutettu ottaa kuitenkin seuraamusarvioinnissa huomioon, että vakuutussopimuslaissa ei ole asetettu kuitenkaan yhtä korkeita välttämättömyyskriteereitä tietojen saannille kuin liikennevakuutuslaissa.
Seuraamusarvioinnissa on huomioitava myös se, että tietosuojavaltuutetulla ei ole tässä päätöksessä mainitun ilmi tulleen tapauksen lisäksi tietoa rekisterinpitäjän aiemmista vastaavista rikkomisista.
Edellä esitetyn nojalla kokonaisarvioinnin perusteella tässä tapauksessa on tietosuojavaltuutetun näkemyksen mukaan tarkoituksenmukaisinta pyrkiä ensisijaisesti rekisterinpitäjän toiminnan muuttamiseen lainmukaiseksi. Näin ollen tietosuojavaltuutettu katsoo yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan huomautuksen olevan seuraamusmaksua oikeasuhtaisempi seuraamus nyt ratkaistavana olevassa tapauksessa.
Sovelletut lainkohdat
Yleinen tietosuoja-asetus
5 artikla 1 kohta a, b ja c alakohta
7 artikla
9 artikla
25 artikla 2 kohta
58 artikla
83 artikla
Tietosuojalaki
6 § 1 momentti 1 kohta
Vakuutussopimuslaki
1 §, 2 §, 22 §, 37 § ja 69 §
Laki potilaan asemasta ja oikeuksista
12 § ja 13 §
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös ei ole lainvoimainen.