Edilex-palvelut

Kirjaudu sisään

TSV 09.12.2022

Työntekijän terveystietojen käsittely henkilöstöhallinnon järjestelmässä ja henkilötietojen täsmällisyys

terveystiedot - informointi - tarkastusoikeus

Säädösperusta: EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä: 09.12.2022
Diaarinumero: 8492/163/20

Apulaistietosuojavaltuutetun päätös

Asia

Terveydentilaa koskevien tietojen käsittely työnantajan toimesta, henkilötietojen täsmällisyys, rekisteröityjen informointi, henkilötietojen luovuttaminen poliisille, rekisteröidyn oikeus saada tutustua tietoihin ja käyttäjälokitiedot

Rekisterinpitäjä

Viking Line Oy Abp

Hakijan vaatimukset perusteluineen

1. Kantelija on 26.10.2020 saattanut tietosuojavaltuutetun toimistossa vireille asian, jossa on kysymys rekisterinpitäjän suorittamasta henkilötietojen käsittelystä. Kantelija on esittänyt, että Viking Line Oy Abp olisi pitänyt yllä laajaa, työntekijöiden terveystietoja sisältänyttä rekisteriä. Tämän rekisterin on esitetty pitäneen sisällään sairauspoissaolojen ajanjaksot sekä diagnoositiedot. Kantelija on esittänyt, että hänen kohdallaan tietoja olisi tässä rekisterissä säilytetty 20 vuotta. Kantelija on kertonut tulleensa irtisanotuksi vuonna 2017, mistä huolimatta edellä mainitut kantelijan tiedot on esitetty säilytetyn ainakin vuoteen 2020 asti. Kantelija on lisäksi esittänyt, että hänen kohdallaan tiedot olivat olleet myös osin virheellisiä. Kantelija on niin ikään esittänyt, että näitä tietoja oli käytetty häntä vastaan hänen riitautettuaan irtisanomisensa.

2. Kantelija on kertonut pyytäneensä Viking Line Oy Abp:lta pääsyä omiin henkilötietoihinsa. Kantelija on lisäksi kertonut pyytäneensä mainittuun rekisteriin liittyviä lokitietoja. Lokitietoja ei ole kantelijalle annettu. Kantelijalle oli esitetty useita perusteluja liittyen siihen, miksi työnantajalla on työnantajan esittämän mukaan ollut oikeus tiedot säilyttää. Kantelijalle ei ollut ollut toimitettu tietoja rekisteriin sisältyneestä diagnoosilistauksesta. Lopulta kantelija oli saanut tiedot niin sanotusti kiertoteitse.

3. Vireillesaattamisasiakirjassa on lisäksi esitetty muun muassa, että terveystiedot olisi tallennettu järjestelmään nimeltä MAPS, ja että tätä järjestelmää käyttäisivät kaikki Suomen lipun alla seilaavat alukset. Edelleen on esitetty, että minkä tahansa aluksen sairaanhoitajalla olisi pääsy kenen tahansa alustyöntekijän tietoihin riippumatta siitä, millä aluksella sairaanhoitaja itse työskentelee.

Rekisterinpitäjältä saatu selvitys

Kantelijan rekisterinpitäjälle esittämä pyyntö

4. Kantelija on ainakin 10.1.2020 ja 3.2.2020 esittänyt rekisterinpitäjälle pyynnön saada tutustua tietoihin. Kantelija on toimittanut tietosuojavaltuutetun toimistolle rekisterinpitäjältä muun muassa 1.4.2020 pyyntöönsä saaman vastauksen.

5. Tässä vastauksessa kantelijan on todettu pyytäneen jäljennöksiä sairauslomatodistuksistaan vuosilta 2001–2017. Rekisterinpitäjä on kertonut sillä olevan hallussaan kantelijan sairauslomatodistukset vuodelta 2017 ja yksi sairauslomatodistus vuodelta 2016. Nämä jäljennökset on luvattu kantelijalle toimittaa. Lisäksi rekisterinpitäjän hallussa on kerrottu olevan oikeudenkäynteihin liittyvä materiaali.

6. Edelleen annetussa vastauksessa on esitetty lokitietojen luovuttamisesta säädettävän sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa. Tätä lakia on todettu sovellettavan vain sosiaali- ja terveydenhuollon asiakastietojen sähköiseen käsittelyyn. Viking Line Oy Abp ei esittämänsä mukaan ole tässä laissa tarkoitettu sosiaalihuollon tai terveydenhuollon palvelujen antaja. Näin ollen Viking Line Oy Abp:lla ei näkemyksensä mukaan ole lakiin perustuvaa oikeutta tai velvollisuutta toimittaa kantelijalle sähköisten järjestelmien lokitietoja.

7. Rekisterinpitäjälle esittämässään pyynnössä kantelijan on kerrottu tiedustelleen perustetta sille, että hänen tietojaan oli käsitelty poliisikuulusteluissa. Tämän osalta Viking Line Oy Abp on viitannut yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan f alakohtaan.

8. Kantelijan on kerrottu tiedustelleen myös sitä, miksi Viking Line Oy Abp:lla työskentelevä sairaanhoitaja on antanut tietoja järjestettävästä työterveysneuvottelusta tietyille organisaation työntekijöille. Kysymyksen on todettu liittyvän työterveysneuvottelua koskeviin sähköpostiviesteihin ja työterveysneuvottelun ajankohdasta sopimiseen. Tämän osalta Viking Line Oy Abp on todennut työnantajalla olevan oikeus käsitellä työntekijän henkilötietoja silloin, kun käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden alalla. Edelleen on esitetty, että työntekijän henkilötietoja voidaan käsitellä myös työntekijän työkyvyn arvioimiseksi. Tietoja ovat käsitelleet vain sellaiset henkilöt, jotka ovat tarvinneet tietoja työtehtäviensä hoitamiseen. Lisäksi tässä yhteydessä on todettu, että pääsy työntekijöiden terveydentilaa koskeviin tietoihin on rajattu siten, että tietoja saavat käsitellä vain ne henkilöt, jotka valmistelevat tai tekevät työntekijöitä koskevia päätöksiä taikka panevat tällaisia päätöksiä toimeen.

9. Sairauslomatodistuksia on esitetty säilytettävän niin kauan kuin niitä tarvitaan työsuhteeseen liittyvien oikeuksien ja velvollisuuksien hoitamisessa. Tämän jälkeen tiedot annetun vastauksen mukaan poistetaan. Viking Line Oy Abp:lla ei annetun vastauksen mukaan ole kantelijan sairauslomajäljennöksiä 17 vuoden ajalta. Kantelijan tiedot on todettu kerätyn työnantajan sähköisestä järjestelmästä, jonne on tallennettu tieto työntekijän sairauspoissaolojaksoista. Annetussa vastauksessa on jälleen viitattu yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan b, f ja h alakohtaan.

Tietosuojavaltuutetun toimiston selvityspyyntö

10. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä asiasta. Rekisterinpitäjä on antanut selvityksensä 31.1.2022.

Viking Line Oy Abp:n käytössä olleet, työntekijöiden terveystietoja sisältäneet rekisterit

11. Annetussa selvityksessä on vahvistettu se, että Viking Line Oy Abp on ylläpitänyt kahta sisäiseen käyttöönsä tarkoitettua rekisteriä (MAPS-henkilöstöhallintojärjestelmä ja potilastietojärjestelmä Medakt), jotka ovat sisältäneet muun ohessa työntekijöiden terveystietoja.

12. MAPS-järjestelmän on kerrottu olevan Viking Line Oy Abp:n henkilöstöhallinnon järjestelmä, jonka avulla on hallinnoitu työsuhteita ja hoidettu työnantajan velvoitteita, kuten palkanmaksua.

13. Medaktin puolestaan on kerrottu olevan Viking Line Oy Abp:n aluksilla käytössä oleva sähköinen potilastietojärjestelmä, jonne laivalla työskentelevät Sosiaali- ja terveysalan lupa- ja valvontaviraston (Valviran) hyväksymät sairaanhoitajat kirjaavat merkinnät potilaille tehdyistä hoitotoimenpiteistä ja annetuista lääkkeistä, kuten potilaan asemasta ja oikeuksista annetun lain (785/1992) 12 §:n 1 momentissa edellytetään. Potilaita voivat olla laivoilla sairastuneet matkustajat tai laivan henkilökuntaan kuuluvat. Medakt-potilastietojärjestelmään kirjataan työntekijöiden terveystietoja silloin, kun työntekijä sairastuu aluksessa ollessaan eikä hänen ole mahdollista käyttää maissa olevia työterveyshuollon palveluita.

Viking Line Oy Abp:n käytössä olleiden rekistereiden tietosisältö

14. MAPS-järjestelmä sisältää noin 6 000 rekisteröidyn henkilötietoja. Osa näistä rekisteröidyistä on Viking Line Oy Abp:n nykyisiä ja osa entisiä työntekijöitä. Kaikkien alusten osalta Medakt-järjestelmä on vuoden 2022 alussa sisältänyt noin 19 350 potilaan henkilötietoja (5 600 työntekijän ja 13 750 matkustajan tietoja).

15. MAPS-järjestelmään on tallennettu työsuhteeseen liittyviä tietoja, kuten työntekijöiden nimiä ja yhteystietoja, työsopimusten tilatietoja, pätevyystietoja, käytyihin koulutuksiin liittyviä tietoja sekä palkanmaksuun ja sairaanhoidon kustannuksiin liittyviä tietoja. Työnantaja on merityösopimuslain (756/2011) 2 luvun 12 §:n mukaan velvollinen korvaamaan sairastuneen työntekijän hoidon ja matkakustannukset alukselta kotiin.

16. Lisäksi MAPS-järjestelmä on sisältänyt tiedot työntekijöiden poissaoloista, ml. sairauspoissaoloista ajankohtineen ja ICD-diagnoosikoodeineen, joiden perusteella poissaolon palkallisuus määräytyy. Edelleen on jatkettu toteamalla, että kaikki poissaolot eivät ole työntekijöille palkallisia, mistä johtuen työnantajan on tietyissä määrin käsiteltävä tietoja sairauspoissaolon syistä taatakseen palkanmaksun oikeellisuuden. Koodien lisäksi järjestelmään on sisältynyt myös tiedot diagnooseista selkokielisinä. ICD-diagnoosikoodit ja selkokieliset diagnoositiedot on kuitenkin annetun selvityksen mukaan poistettu järjestelmästä vuosina 2018–2019. Näitä tietoja ei enää järjestelmään sisällytetä. Nyt järjestelmään merkitään ainoastaan tieto sairauspoissaolojaksosta sekä tieto siitä, onko kysymyksessä palkallinen vai palkaton poissaolo taikka esimerkiksi perhevapaa. Viking Line Oy Abp on arvioinut, että diagnoosien kirjaaminen ei järjestelmän käyttötarkoitus huomioon ottaen ole tarpeen.

17. Edellä kuvatun henkilötietojen käsittelyn on esitetty perustuvan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c ja f alakohdassa säädettyyn (rekisterinpitäjän lakisääteinen velvoite ja rekisterinpitäjän oikeutettu etu). Työnantajan lakisääteisten velvoitteiden, kuten palkanmaksun sairausajalta on todettu perustusvan työntekijän asemasta riippuen joko merityösopimuslakiin tai työsopimuslakiin.

18. Medakt-järjestelmään on tallennettu tiedot työntekijöiden syntymäajasta, nimestä ja osoitteesta sekä tiedot työsuhteesta, kuten laivasta ja asemasta. Matkustajille ei annetun selvityksen mukaan luoda järjestelmään samalla tavalla henkilökohtaista profiilia, kuten työntekijöille. Matkustajien tunnistetiedot, kuten nimi ja syntymäaika sen sijaan tallennetaan jokaisen vierailun yhteydessä kirjoitettuun tekstiin. Lisäksi järjestelmään kirjataan tiedot hoidon syystä ja ajankohdasta, tehdyistä toimenpiteistä ja laiva-apteekista annetuista lääkkeistä. Annetun selvityksen mukaan Medakt-järjestelmään tekevät kirjauksia vain laivalla työskentelevät sairaanhoitajat, ja vain heillä on pääsy näihin kirjauksiin.

19. Terveystietoja on kerrottu käsiteltävän yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan sekä 3 kohdan nojalla. Annetussa selvityksessä on lisäksi viitattu tietosuojalain (1050/2018) 6 §:n 1 momentin 4 kohtaan, jonka mukaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta, kun terveydenhuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja käsittelee tässä toiminnassa saamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja. Edelleen on viitattu tietosuojalain esitöihin. Esitöissä on esitetty todetun palveluntarjoajan käsitteenä olevan yleiskäsite, joka kattaa palvelunjärjestäjän ja -tuottajan. Tällaisia on esitetty olevan terveyden- ja sosiaalihuollon toimintayksiköt ja ammattihenkilöt sekä niiden alaisuudessa toimiva avustava henkilöstö. Laivalla toimivien sairaanhoitajien on näin ollen esitetty käsittelevän terveystietoja edellä mainitun poikkeuksen nojalla.

20. Annetussa selvityksessä on viitattu myös laiva-apteekista annettuun lakiin (584/2015). Laivaväen sairaanhoidon ja velvollisuuden tehdä kirjauksia tehdyistä toimenpiteistä on esitetty perustuvan mainittuun säädökseen. Laiva-apteekista annetun lain tarkoituksena on varmistaa laivaväen mahdollisuus saada asianmukaista ensiapua ja sairaanhoitoa aluksella sairastumis- ja tapaturmatapauksissa. Lain 9 §:n mukaan tiettyihin luokkiin kuuluvien alusten laiva-apteekista on pidettävä lääkepäiväkirjaa, johon on tehtävä merkintä kaikista laiva-apteekkiin tehdyistä hankinnoista, henkilöille luovutetuista lääkkeistä ja tehdyistä hoitotoimenpiteistä sekä laiva-apteekista poistetuista lääkkeistä ja hoitotarvikkeista. Henkilöä koskevat tiedot on pidettävä erillään lääkkeitä ja hoitotarvikkeita koskevista tiedoista. Lääkepäiväkirjan merkinnät on tehtävä aluksella käytössä olevalla työkielellä. Lääkepäiväkirjaa on pidettävä siten, että siihen merkityt tiedot säilyvät eheinä ja muuttumattomina. Lääkepäiväkirja on säilytettävä vähintään viisi vuotta siihen tehdystä viimeisestä merkinnästä. Lääkepäiväkirja on säilytettävä laiva-apteekin yhteydessä. Lääkepäiväkirjan sisältämien tietojen salassapitoon sovelletaan, mitä potilaan asemasta ja oikeuksista annetussa laissa (785/1992) säädetään potilasasiakirjoihin sisältyvien tietojen salassapidosta.

Viking Line Oy Abp:n toiminta ja yksityisyyden suojasta työelämässä annetun lain (759/2004) 5 §

21. Annetun selvityksen mukaan rekisterinpitäjä on käsitellyt työntekijän terveydentilaa koskevia tietoja sairausajan palkan tai siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi. Työntekijän sairastuttua työvuorossa aluksella ollessaan, on tieto sairastumisesta merkitty laivasairaanhoitajan toimesta Medakt-potilastietojärjestelmään. Jos sairastuminen on johtanut sairauslomaan, on merkintä tehty MAPS-järjestelmään työntekijän toimitettua sairauslomatodistuksen. Edelleen on todettu sairaanhoitajien olevan osa henkilöstöhallintoa ottaessaan vastaan työntekijöiden sairauspoissaolotodistuksia. Työntekijä voi päättää, toimittaako hän sairauslomatodistuksen laivan sairaanhoitajalle vai maissa sijaitsevalle henkilöstöhallinnon edustajalle.

22. Terveydentilaa koskevia tietoja ovat Viking Line Oy Abp:lla annetun selvityksen mukaan käsitelleet vain ne henkilöt, jotka näiden tietojen perusteella valmistelevat tai tekevät työsuhdetta koskevia päätöksiä taikka panevat tällaisia päätöksiä toimeen. Tällaisina henkilöinä on kerrottu toimivan kaksi henkilöstösihteeriä. Työnantaja on erikseen määritellyt, että näiden henkilöiden tehtäviin kuuluu terveydentilaa koskevien tietojen käsittely. Nämä henkilöt ovat salassapitovelvollisia sekä työsuhteensa aikana että sen jälkeen.

23. Viking Line Oy Abp:n on esitetty säilyttäneen MAPS-järjestelmään tallennetut työntekijän terveydentilatiedot siten, että esimerkiksi palkanlaskijoilla ei ole ollut pääsyä diagnooseihin tai ICD-koodeihin. Palkanlaskijoilla on ainoastaan ollut pääsy tietoon siitä, onko kyseessä palkkaan oikeuttava poissaolo. Edelleen on esitetty, että terveydentilaa koskevia tarpeettomia tietoja on myös poistettu rekisteristä, kuten yksityisyyden suojasta työelämässä annetun lain 5 §:ssä on edellytetty.

24. Medakt-järjestelmän osalta on esitetty, että Viking Line Oy Abp ei ole lainkaan käsitellyt järjestelmään tallennettuja tietoja työnantajana. Vain laivassa toimivilla sairaanhoitajilla on kerrottu olevan pääsy järjestelmään. Järjestelmään tallennettuja tietoja ei ole toimitettu Viking Line Oy Abp:n henkilöstöhallinnolle eikä henkilöstöhallinnossa työskentelevillä ole pääsyä järjestelmään.

Pääsyoikeuksista kysymyksessä oleviin rekistereihin

25. Annetun selvityksen mukaan MAPS-järjestelmän tietoihin on pääsy sellaisilla henkilöstöhallinnon työntekijöillä, joiden työtehtäviin kuuluu järjestelmään kuuluvien tietojen käsittelyä. Käyttöoikeudet on rajattu työtehtävän mukaan siten, että työntekijä pääsee vain sellaisiin tietoihin, joita hän tarvitsee työtehtäviään varten. Henkilöstöhallinnon käyttämässä järjestelmän osassa on pääsy kaikkiin järjestelmään tallennettuihin tietoihin, mutta näihinkin tietoihin pääsyä on annetun selvityksen mukaan rajoitettu henkilöstöhallinnossa työskentelevien henkilöiden työtehtävien edellyttämän tarpeen mukaan. MAPS Sjölöner -järjestelmää käyttävät myös alusten sairaanhoitajat.

26. MAPS Omborddatan puolestaan on kerrottu olevan käytössä aluksilla. Järjestelmää käyttävät työntekijät näkevät vain kysymyksessä olevan aluksen työntekijöiden tiedot. Työntekijöiden pääsy näihin tietoihin on rajoitettu. Esimiehillä ei ole pääsyä kaikkiin alaisiaan koskeviin tietoihin.

27. Edellä esitetyn lisäksi laivasairaanhoitajat ovat kirjanneet tiedon sairauslomasta ja diagnoosista MAPS-järjestelmään, jos sairaus on alkanut aluksella työvuoron aikana ja jos työntekijä on toimittanut sairauspoissaolotodistuksen henkilöstöhallinnolle toimitettavaksi sairaanhoitajan kautta.

28. Medakt-järjestelmään on ollut pääsy aluksilla toimivilla sairaanhoitajilla, jotka ovat hoitaneet laiva-apteekista annetusta laista ja potilaan asemasta ja oikeuksista annetusta laista johtuvia velvoitteita. Muilla henkilöillä ei ole annetun selvityksen mukaan ollut pääsyä järjestelmään. Medakt-järjestelmää ei ole liitetty muihin potilastietojärjestelmiin, kuten Kanta-palveluun. Medakt-järjestelmästä tieto ei siis välity muille terveydenhuollon toimijoille.

29. Lähtökohtaisesti jokaisella henkilökuntaan kuuluvalla on kerrottu olevan oma käyttäjäprofiilinsa Medakt-järjestelmässä. Kun aluksen sairaanhoidossa työskentelee sijainen, käytetään Medaktia laivakohtaisella käyttäjätunnuksella. Sijaisia on ohjeistettu kirjaamaan tekemiinsä merkintöihin oma nimensä. Tieto kirjaajasta on kuitenkin mahdollista saada myöhemmin myös työvuorokirjanpidosta.

30. Laivasairaanhoitajilla on annetun selvityksen mukaan ollut pääsy minkä tahansa Viking Line -aluksen Medakt-tietoihin, sillä sekä sairaanhoitajat että muut työntekijät voivat työskennellä eri aluksilla. Sama sairaanhoitaja ei ole aina työvuorossa, mistä johtuen toisella sairaanhoitajalla voi olla perusteltu tarve jatkaa toisen aloittamaa työtehtävää ja hyödyntää järjestelmässä olevaa tietoa työtehtävän loppuunsaattamiseksi. Sairaanhoitajat eivät kuitenkaan saa käsitellä muita kuin hoitosuhteen kannalta tarpeellisia tietoja. Oikeus tehdä muutoksia järjestelmään on ainoastaan pääkäyttäjillä. Sairaanhoitajat eivät ole pääkäyttäjiä.

Rekisteröityjen informoinnista

31. Nyt kysymyksessä olevan asian myötä on kerrottu ilmenneen, että työntekijöitä ei ole riittävällä tavalla informoitu nyt käsillä olevasta henkilötietojen käsittelystä. Annetun selvityksen mukaan tilanne korjataan pikimmiten. Viking Line Oy Abp tulee informoimaan rekisteröityjä yleisen tietosuoja-asetuksen edellyttämällä tavalla.

Tietojen säilyttämisestä

32. Annetun selvityksen mukaan tieto sairauspoissaolojaksosta ja oikeudesta palkkaan säilytetään MAPS-järjestelmässä kymmenen vuotta poissaolon päättymisestä. Tätä vanhemmat tiedot sairauspoissaolojaksoista ja oikeudesta palkkaan kyseiseltä jaksolta on poistettu. Kaikki ICD-koodit ja diagnoositiedot on kerrottu poistetun MAPS-järjestelmästä vuosien 2018 ja 2019 aikana, eikä tällaisia tietoja enää tallenneta järjestelmään. Viking Line Oy Abp on ottamassa käyttöön uutta järjestelmää. Tässä yhteydessä tietojen säilytysajat tullaan määrittelemään uudelleen.

33. Tiedot Medakt-järjestelmään on tällä hetkellä tallennettu toistaiseksi. Annetun selvityksen mukaan tiedot terveydentilasta tallennetaan, sillä se on katsottu välttämättömäksi terveydentilan seurannassa. Työntekijän vammoihin tai terveysongelmiin liittyviä tietoja voidaan tarvita myöhemmin esimerkiksi vakuutusasioiden tai ammattitautitutkimusten käsittelemiseksi. Medakt-järjestelmä sisältää tietoja vuodesta 2012 lähtien. Säilytysaikoja tullaan arvioimaan uudelleen vuoden 2022 aikana.

Rekisteriin kirjattujen tietojen oikeellisuudesta

34. Rekisteröity on voinut tarkastaa sekä MAPS- että Medakt-järjestelmään tallennetut tiedot. Tietoja on myös tarpeen mukaan päivitetty. Medakt-järjestelmään merkinnän tekevä sairaanhoitaja on puolestaan ollut velvollinen kirjaamaan oikeat tiedot järjestelmään.

Rekistereiden suojaamisesta

35. Viking Line Oy Abp:n sisäinen verkko on suojattu muun muassa palomuurilla ja salasanoin. Aluksilta MAPS-järjestelmään kirjauduttaessa käytetään tehtäväkohtaisia tunnuksia ja salasanoja. Työaikakirjanpito tehdään henkilökohtaisilla tunnuksilla ja salasanoilla. Henkilöstöhallinnossa työskentelevillä on henkilökohtaiset tunnukset ja salasanat MAPS-järjestelmään. Käyttöoikeudet on edellä todetusti rajattu siten, että työntekijä voi käsitellä vain työssään tarvitsemiaan tietoja. MAPS-järjestelmän lokiin tallentuvat tiedot vain järjestelmään tallennetuista muutoksista. Tieto alkuperäisen merkinnän tekijästä ei lokiin tallennu.

36. Medakt-järjestelmään on pääsy vain sairaanhoitajan työtietokoneelta sairaanhoitoon tarkoitetusta hytistä. Kirjautuminen on kolmivaiheinen. Ensimmäisessä vaiheessa hoitajan on kirjauduttava sisään henkilökohtaisella käyttäjätunnuksellaan ja salasanallaan Citrix-palveluun. Toisessa vaiheessa sairaanhoitajalle lähetetään sähköpostitse kertaluontoinen salasana. Tämän jälkeen Medakt-järjestelmä voidaan käynnistää Citrixin kautta. Vielä tämänkin jälkeen Medakt-järjestelmään kirjauduttaessa vaaditaan henkilökohtainen käyttäjätunnus ja salasana. Lisäksi on todettu järjestelmää käyttävien sairaanhoitajien olevan tietoisia siitä, että sairaanhoitajalla on oikeus avata vain sellaisen henkilön potilassuhde, jolla on sairaanhoitajaan potilassuhde. Järjestelmä ei ole yhteydessä mihinkään muuhun terveydenhuollon tietojärjestelmään.

Kantelijaa koskevista rekisterimerkinnöistä

37. Asiaa selvitettäessä on ilmennyt, että vuonna 2001 MAPS-järjestelmään ei ole ollut mahdollista tallentaa kaikkia ICD-koodeja. Käytössä on näin ollen ollut vain osa koodeista. Tämä on puolestaan johtanut siihen, että sairauspoissaoloja on voitu tallentaa järjestelmään muulla koodilla kuin sairauspoissalo on myönnetty. Järjestelmän käyttäjien on kerrottu pyrkineen löytämään lähimmän vastaavan koodin, joka on ollut mahdollista järjestelmään syöttää. Viking Line Abp on tältä osin myöntänyt järjestelmän olleen tietosuojan kannalta ongelmallinen. Järjestelmää on sittemmin tältä osin muutettu.

38. Kantelija on esittänyt, että vuodenvaihteessa 2016–2017 myönnetyn sairauspoissaolon MAPS-järjestelmään syötetty ICD-koodi ei vastaa sairauspoissaolotodistukseen merkittyä koodia. Tähän liittyen rekisterinpitäjä on viitannut kantelijan 3.2.2020 rekisterinpitäjälle osoittamaan tietopyyntöön, jonka liitteenä oli kysymyksessä olevaa ajankohtaa koskien neljä erillistä sairauspoissaolotodistusta. Sairauspoissaolojakson on kerrottu alkaneen tietyllä koodilla, jonka jälkeen se oli vaihtunut toiseen. Annetun selvityksen mukaan Viking Line Oy Abp ei lähtökohtaisesti muuta koodeja jälkikäteen. Tässä tapauksessa on kuitenkin mahdollista, että koodia on muutettu esimerkiksi kantelijan omasta pyynnöstä vastaamaan uuden myönnetyn sairauspoissaolojakson koodia. MAPS-järjestelmään tallennettu ICD-koodi vastaa kolmen neljästä Viking Line Oy Abp:lle toimitetun sairauspoissaolotodistuksen koodia. Viking Line Oy Abp on korostanut, että sairaanhoitajat voivat tehdä kirjauksia järjestelmään myös työntekijöiden pyynnöstä.

39. Annetussa selvityksessä on edelleen korostettu, että Viking Line Oy Abp:llä ei ole ollut rekisterinpitäjänä tai työnantajana intressiä jälkikäteen, ilman rekisteröidyn myötävaikutusta muokata rekisteriin tehtyjä merkintöjä. Edelleen on korostettu, että diagnoositietoja ei ylipäätään enää järjestelmään tallenneta.

40. Edelleen on jatkettu toteamalla, että Medakt-järjestelmässä tallennettua ja allekirjoitettua kirjausta on mahdollista muokata vain heti kirjauksen tallentamisen jälkeen. Jos kirjausta muokataan, se merkitään muokkausta osoittavalla symbolilla. Tästä huolimatta kaikki aiemmat versiot kirjauksesta ovat nähtävissä, eikä niistä voi Medakt-järjestelmästä poistaa. Toisen henkilön tekemiä kirjauksia ei ole lainkaan mahdollista muokata, kuten ei myöskään aiemmin tehtyjä kirjauksia. Kirjaukseen on mahdollista määrittää eri päivämäärä ja kellonaika, mutta todellinen aikaleima jää tästä huolimatta myös näkyviin.

Rekisteritietojen käyttämisestä ja luovuttamisesta

41. MAPS-järjestelmään kirjattuja tietoja on käytetty henkilöstöhallinnon tarkoituksiin, kuten palkanmaksuun ja sen oikeellisuuden varmistamiseen. Medakt-järjestelmä puolestaan on edellä todetusti Viking Line Oy Abp:n aluksilla käytössä oleva sähköinen potilastietojärjestelmä. Rekistereiden tietoja ei annetun selvityksen mukaan ole käytetty muuhun kuin alkuperäiseen käyttötarkoitukseensa.

42. Edellä todetusta huolimatta kantelijan terveystietoja on annetun selvityksen mukaan luovutettu poliisille rikosasian selvittämiseksi. Annetussa selvityksessä on esitetty, että näin ei olisi tullut toimia. Edelleen on jatkettu, että esitutkinnassa lääkäri tai muu terveydenhuollon ammattihenkilö voi olla velvollinen todistamaan muun muassa salassa pidettävistä potilastiedoista silloin, kun kysymyksessä on rikos, josta säädetty ankarin rangaistus on vähintään kuusi vuotta vankeutta. Nyt taustalla olevassa rikosasiassa ei kuitenkaan ole ollut kysymys tällaisesta rikoksesta. Edelleen on jatkettu, että tietoja ei olisi tullut antaa rikostutkintaan ilman potilaan nimenomaista kirjallista suostumusta.

Kantelijan oikeudesta saada tutustua tietoihin

43. Kantelijalle on annetun selvityksen mukaan toimitettu tiedot sairauslomatodistuksista siltä osin, kun tiedot ovat olleet tallessa. Vanhimmat tiedot oli jo ehditty poistaa.

44. Annetussa selvityksessä on viitattu 1.11.2021 kumottuun lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007). Mainitun lain 18 §:n mukaan asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste.

45. Velvollisuuden lokitietojen antamiseen on esitetty koskevan terveydenhuollon palvelujen antajaa, jolla tarkoitetaan potilaan asemasta ja oikeuksista annetun lain 2 §:n 1 momentin 4 kohdassa tarkoitettua terveydenhuollon toimintayksikköä, työterveyshuoltolain (1383/2001) 7 §:n 1 momentin 2 kohdassa tarkoitettua työantajaa sekä itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilöä. Laivoilla, kuten Viking Line Oy Abp:n aluksilla, laivaväen sairaanhoito perustuu lakiin laiva-apteekista. Lakiin laiva-apteekista perustuu myös velvollisuus tehdä kirjauksia tehdyistä hoitotoimenpiteistä. Koska potilaan asemasta ja oikeuksista annetussa laissa ei ole viitattu lakiin laiva-apteekista, on Viking Line Oy Abp annetun selvityksen mukaan tulkinnut lainkohtaa lokitietojen antamisesta siten, että se ei ole laissa tarkoitettu terveydenhuollon palvelujen antaja, eikä lokitietoja näin ollen ole katsottu voitavan antaa. Edelleen on todettu lokitietojen koskevan tietojärjestelmien käyttäjiä, mistä johtuen käsittelyn kohteena olevalle henkilölle niitä ei voida pelkästään yleisen tietosuoja-asetuksen perusteella antaa. Lopuksi rekisterinpitäjän on todettu olleen useamman kerran yhteydessä Sosiaali- ja terveysalan lupa- ja valvontavirasto Valviraan saadakseen vahvistuksen tekemälleen tulkinnalle. Rekisterinpitäjä ei kuitenkaan annetun selvityksen mukaan ole saanut Valviralta vastausta.

Tehdyistä ja tulevista toimenpiteistä

46. Annetun selvityksen mukaan Viking Line Oy Abp on ottamassa käyttöön uutta HR-tietojärjestelmää, jossa voimassa olevan tietosuojalainsäädännön vaatimukset voidaan ottaa huomioon paremmin kuin vanhassa MAPS-järjestelmässä. Uudessa järjestelmässä tullaan painottamaan sisäänrakennettua tietosuojaa muun muassa rajaamalla säilytysaikoja, parantamalla käsittelytietojen lokitusta sekä edellyttämällä henkilötietojen tietoturvallista käsittelyä. Koska koronapandemia on kurittanut erityisen pahasti matkailualaa, kuten Viking Line Oy Abp:n liiketoimintaa, on tämän HR-järjestelmän kehittäminen ja käyttöönotto viivästynyt.

47. Viking Line Oy Abp on vuosina 2020 ja 2021 päivittänyt henkilöstöhallinnon työntekijöiden tietosuojaosaamista tietosuojakoulutuksilla. Tietosuojakoulutukseen panostetaan myös jatkossa. Vuoden 2022 aikana henkilöstöhallinnon rekisterit käydään tarkoin läpi. Tarkoituksena on varmistaa, että rekisterit eivät sisällä vanhaa tai tarpeetonta tietoa. Tässä yhteydessä tietosuojaselosteet ja yhtiön sisäisen intranetin tietosuojaosio päivitetään. Vuoden 2022 aikana henkilökuntaa tullaan myös informoimaan heidän henkilötietojensa käsittelystä.

Hakijan vastine

48. Sen jälkeen, kun Viking Line Oy Abp on antanut asiassa selvityksensä, on selvitys toimitettu kantelijalle. Selvityksen saatuaan kantelija on toimittanut lyhyen vastineen tietosuojavaltuutetun toimistolle samoin kuin myös rekisterinpitäjälle. Kantelija on tässä 9.2.2022 lähettämässään sähköpostiviestissä esittänyt annetun selvityksen sisältävän useita virheellisyyksiä. Kantelija on korostanut osoittaneensa 10.1.2020 lähettämänsä pyynnön saada tutustua tietoihin erikseen nimeämälleen Viking Line Oy Abp:n työntekijälle, sillä kantelijan mukaan tämä nimeltä mainittu henkilö oli toimittanut kantelijan MAPS-järjestelmään tallennettuja diagnoositietoja poliisille 17 vuoden ajalta. Kantelija on niin ikään korostanut, että tätä nimeltä mainittua henkilöä ei ollut varustamossa merkitty viralliseksi terveystietojen käsittelijäksi. Kantelijan mukaan epäselvää on, miten tämä nimeltä mainittu henkilö oli saanut pääsyn näihin tietoihin. Kantelijan kertoman mukaan tämä nimeltä mainittu henkilö ei ollut toimittanut tietoja kantelijalle.

49. Kantelija on viitannut asiassa annettuun selvitykseen, jossa on kerrottu, että MAPS-järjestelmään tallennetut ICD-koodit ja diagnoositiedot oli poistettu järjestelmästä vuosina 2018–2019. Tämä ei kantelijan mukaan pidä paikkaansa. Kantelija on kertonut todistettavasti saaneensa diagnoositietonsa kirjallisesti vuonna 2020.

50. Väite siitä, että MAPS-järjestelmässä tietoja olisi säilytetty vain 10 vuoden ajan on niin ikään kantelijan mukaan virheellinen. Kantelija on viitannut tietosuojavaltuutetun toimistolle toimittamaansa, vuonna 2020 saamaansa jäljennökseen MAPS-järjestelmään kirjatuista diagnoositiedoistaan. Tästä jäljennöksestä käy ilmi, että ensimmäinen kantelijaa koskeva diagnoosimerkintä on vuodelta 1997. Näin ollen tietoja ei kantelijan mukaan ole poistettu 10 vuoden välein.

Täydennys annettuun selvitykseen

51. Viking Line Oy Abp on 10.2.2022 täydentänyt asiassa antamaansa selvitystä. Annetun täydennyksen mukaan annettuun selvitykseen oli jäänyt virheellinen vuosiluku. MAPS-järjestelmästä tiedot on poistettu vuonna 2020, ei siis vuosina 2018–2019.

Hakijan vastine

52. Hakijalle on varattu mahdollisuus antaa asiassa vastine. Hakija on antanut varsinaisen vastineensa 22.2.2022.

53. Annetussa vastineessa on esitetty Viking Line Oy Abp:n ylläpitäneen liian laajaa terveystietorekisteriä ja laiminlyöneen rekisteröityjen informoimisen. Kantelijan näkemyksen mukaan diagnoositietojen kirjaaminen on ollut laitonta. Tietoja on lisäksi ilman laillista perustetta luovutettu kolmansille osapuolille.

Viking Line Oy Abp:n käytössä olleiden rekistereiden tietosisällöstä

54. Kantelija on esittänyt näkemyksenään, että Medakt-järjestelmä on potilastietojärjestelmä, johon sovelletaan lakia laiva-apteekista vain rajoitetusti. Kantelija on esittänyt, että ainoastaan aluksen sairaanhoitajilla ja pääkonttorin henkilöstösihteereillä on pääsy diagnoositietoihin. Kantelija on edelleen esittänyt, että henkilöstösihteerillä tulisi olla pääsy vain lääkärintodistuksen paperiseen versioon. Mikäli sairaanhoitaja on kirjannut MAPS-järjestelmään sekä diagnoositiedon että tiedon siitä, onko kysymyksessä palkallinen vai palkaton sairausloma, ei henkilöstösihteereillä kantelijan mukaan ole mitään syytä MAPS-kirjausten katseluun.

55. Kantelija on edelleen esittänyt, että Medakt-järjestelmään ei tehdä kirjauksia vain aluksella tapahtuvista sairastumisista, vaan järjestelmään kirjataan myös esimerkiksi tietoja sairaanhoitajan ja maissa olevan työntekijän välisistä puhelinkeskusteluista. Kantelija on edelleen esittänyt, että järjestelmään kirjataan myös kenen tahansa maissa olevan lääkärin määräämien reseptilääkkeiden nimet sekä lääkeostoksen hinta. Kantelijan mukaan varustamo lähtökohtaisesti korvaa tällaisten lääkkeiden hankintahinnat työntekijöille. Lääkekorvausta on mahdollista saada 112 vuorokauden ajalta saman sairauden osalta, minkä jälkeen työntekijä itse vastaa lääkekuluistaan. Mainitun ajankohdan jälkeen lääkekirjauksia ei enää tehdä.

56. Reseptilääkkeiden hankintahinnat korvataan työntekijöille kuittia vastaan. Sairaanhoitaja toimittaa työntekijältä saamansa kuitin henkilöstösihteerille. Kantelija on esittänyt, että henkilöstösihteerit voivat käyttää väärin kuiteista ja lääkärintodistuksista saamiaan tietoja. Tästä johtuen osa työntekijöistä ei kantelijan mukaan käytä oikeuttaan lääkekorvauksiin.

57. Kantelijan kertoman mukaan sairaanhoitajien kirjausten osalta Medakt-järjestelmään lähtökohtaisesti tallentuu tieto sairaanhoitajan nimestä ja siitä aluksesta, jolla vastaanottokäynti on tapahtunut. Kantelijan mukaan tällaisetkaan merkinnät eivät aina kaikilta osin pidä paikkaansa. Ajoittain kirjauksia on tehty vääriin aluksiin. Toisinaan aluksen nimi puuttuu kokonaan. Näin ollen kantelijan mukaan jää epäselväksi se, minkä aluksen laiva-apteekkia on käytetty. Mikäli kirjaus on tehty väärään alukseen, tarkoittaa se kantelijan mukaan, että laiva-apteekkien lääkemäärät eivät voi olla laiva-apteekkilain mukaisia ja/tai aluskohtaisia. Kantelijan mukaan tämä estää laiva-apteekista annettujen lääkkeiden inventoinnin. Kantelija on lisäksi esittänyt, että kaikki kirjaukset eivät liity lääkkeistä laiva-apteekkilaissa säädettyyn, vaan osa kirjauksista liittyy terveydenhoitoon yleisemmällä tasolla, esimerkiksi keskusteluihin työn kuormittavuudesta tai työpaikkakiusaamisesta (varhaisen puuttumisen malli).

58. Kantelija on kyseenalaistanut Viking Line Oy Abp:n väittämän siitä, että Medakt-järjestelmään on pääsy vain alusten sairaanhoitajilla. Kantelijan mukaan järjestelmä pitää sisällään myös yksityisten palveluntarjoajien edustajien kirjauksia (esimerkiksi aluksella ajoittain satama-aikana käynyt kiropraktikko/TT-lääkäri). Kantelijan mukaan tällaisilla henkilöillä on ollut pääsy useamman työntekijän tietoihin. Näin ollen kantelija on esittänyt näkemyksenään, että lakia laiva-apteekista ei sovelleta Medakt-kirjauksiin lokitietojen antamisen osalta. Kysymys ei kantelijan mukaan ole pelkästään merellä tapahtuvista toimenpiteistä tai laiva-apteekin lääkkeistä.

Viking Line Oy Abp:n toiminta ja yksityisyyden suojasta työelämässä annetun lain (759/2004) 5 §

59. Kantelija on esittänyt, että työntekijöitä on ainoastaan ohjeistettu toimittamaan sairauslomatodistuksensa sairaanhoitajille, ei henkilöstöhallinnon edustajille. Sairaanhoitaja kirjaa diagnoositiedon MAPS-järjestelmään, jonka jälkeen hän lähettää sairauslomatodistuksen henkilöstöhallintoon nimetylle henkilölle. Kantelija on edelleen jatkanut toteamalla, että työnantajalla on oikeus ottaa kopio tästä alkuperäisestä paperisesta sairauslomatodistuksesta ja säilyttää sitä erillään muista henkilötiedoista ja hävittää se tarpeettomana viimeistään viiden vuoden kuluttua.

Pääsyoikeuksista kysymyksessä oleviin rekistereihin

60. Kantelija on esittänyt, että yhdelläkään palkanlaskijalla tai funktiopäälliköllä ei ole oikeutta saada pääsyä diagnoositietoihin. Palkka lasketaan ilman näitä tietoja. Sairaanhoitaja tekee MAPS-järjestelmään tarvittavat kirjaukset.

Rekisteriin kirjatuista tiedoista

61. Kantelija on esittänyt, että MAPS-järjestelmässä 60 vuorokauden sairauslomasääntöä käytetään väärin. Mikäli työntekijä on sairauslomalla kymmenen vuorokautta kestävän työssäolojaksonsa ja terveenä tätä seuraavan kymmenen vuorokauden jakson ja sairaana jälleen seuraavan kymmenen vuorokautta kestävän työssäolojaksonsa, niin Viking Line Oy Abp kantelijan mukaan tulkitsee työntekijän olleen sairaana myös vapaa-ajallaan, vaikka olemassa ei olisi tätä vapaa-ajan ajanjaksoa koskevaa sairauslomatodistusta. Tällainen tulkinta pätee kantelijan mukaan myös tilanteisiin, joissa työntekijä on ollut sairauslomalla ennen vuosilomaansa ja jälleen heti vuosiloman päätyttyä. Kantelija on epäillyt, että tällaisissa tilanteissa Kansaneläkelaitokselle ei ole ilmoitettu työntekijän olleen sairauslomien välissä terveenä, mistä johtuen varustamo lienee kantelijan mukaan saanut Kansaneläkelaitokselta korvausta myös oikeudettomasti.

62. Edellä mainitulla tavalla toimien työnantaja saa kantelijan mukaan mahdollisimman nopeasti kerrytettyä 60 sairauslomavuorokautta, ja näin myös välttyy uudelta yhdeksän vuorokauden omavastuuajalta.

63. Kantelija on esittänyt, että Medakt-järjestelmän pääkäyttäjä on yksi aluksen sairaanhoitajista. Täten kirjauksia on kantelijan mukaan ollut mahdollista muokata ja poistaa. Kantelija on niin ikään esittänyt, että jokaisella sairaanhoitajalla on ollut mahdollisuus muokata MAPS-järjestelmään kirjattuja diagnoositietoja, milloin ja miten tahansa.

Rekisteröityjen informoinnista

64. Kantelijan mukaan työntekijöitä ei ole millään tavalla informoitu nyt kysymyksessä olevasta laajasta rekisterinpidosta, mistä johtuen työntekijät eivät myöskään esimerkiksi ole voineet tarkastaa taikka pyytää tietojaan oikaistavaksi. Yhtiön intranetistä ei ole ollut löydettävissä minkäänlaista informointia tai ohjeistusta liittyen rekisterinpitäjän suorittamaan työntekijöiden henkilötietojen käsittelyyn.

65. Kantelijan mukaan sairaanhoitajat ovat olleet epätietoisia siitä, miten toimia tilanteessa, jossa työntekijä pyytää saada tutustua tietoihinsa. Henkilöstöpäällikön mukaan tällaiset pyynnöt tulisi osoittaa hänelle. Kantelija on kyseenalaistanut tämän, sillä henkilöstöpäälliköllä ei ole pääsyoikeutta terveystietoja sisältäviin rekistereihin. Kantelija on edelleen jatkanut, että työntekijä ei välttämättä halua, että eräs nimeltä mainittu työntekijä saisi tiedon ylipäätään siitä, että työntekijä on sairaanhoitajan vastaanotolla käynyt. Kantelija on tässä yhteydessä viitannut lakiin potilaan asemasta ja oikeuksista, ja esittänyt, että tieto tällaisesta käynnistä ei ole tarkoitettu tälle nimeltä mainitulle henkilölle. Tätä henkilöä ei kantelijan mukaan ole merkitty terveystietojen käsittelijäksi.

Tietojen säilyttämisestä

66. Kantelija on jälleen korostanut, että väite tietojen kymmenen vuoden säilytysajasta ei pidä paikkaansa. Tietoja on kantelijan mukaan todistettavasti säilytetty yli 20 vuotta. Kantelijan diagnoosilista on tulostettu 6.2.2020, ja se on sisältänyt diagnoositietoja vuodesta 1997 lähtien. Kantelija on kertonut erään entisen työntekijän pyytäneen aluksen sairaanhoitajalta MAPS-järjestelmään tallennettuja tietojaan 10.2.2022. Sairaanhoitaja oli samana päivänä toimittanut tälle työntekijälle tiedot samana päivänä. Nämä tiedot pitivät sisällään tiedot tämän henkilön sairausloma-ajanjaksoista ajalta 1990–2013. Tämä henkilö oli lopettanut työt varustamolla vuonna 2013, mistä huolimatta rekisterissä edelleen säilytettiin tietoja hänen sairausloma-ajanjaksoistaan. Tietoja oli säilytetty tuolloin 32 vuotta. Tällaisella säilytyksellä ei kantelijan mukaan liene palkanmaksuun ja etuuksiin liittyvää tarkoitusta.

Kantelijaa koskevista rekisterimerkinnöistä

67. Kantelija on kertonut, että hän ei ole koskaan pyytänyt diagnoositietojaan muutettavaksi.

Rekisteritietojen käyttämisestä ja luovuttamisesta

68. Kantelija on esittänyt, että sekä Medakt- että MAPS-järjestelmän tietoja olisi käytetty muuhun kuin alkuperäiseen käyttötarkoitukseen. Tietoja on kantelijan mukaan muun muassa urkittu ja luovutettu eteenpäin. Kantelija on maininnut esimerkkinä työtuomioistuimen 19.12.2019 antaman tuomion asiassa R 24/18. Kantelijan mukaan mainitussa asiassa oli kysymys siitä, että työntekijän vuoden 2006 terveystietoja oli käytetty häntä vastaan työtuomioistuimessa vuonna 2019. Työntekijän työsopimus oli päättynyt vuonna 2006 ja jatkunut edelleen vuonna 2013 sekä jälleen päättynyt vuonna 2016. Kantelijan mukaan tämä osoittaa, että Viking Line Oy Abp säilyttää entisten työntekijöiden tietoja varsin laajasti ja tarvittaessa myös käyttää näitä tietoja jälkikäteen työntekijää vastaan.

69. Kantelijan mukaan eräs nimeltä mainittu M/S Amorellan sairaanhoitaja olisi vuonna 2017 vastoin salassapitovelvoitettaan toimittanut kantelijan terveystietoja nimeltä mainitulle henkilöstöpäällikölle, rekisterinpitäjän lakimiehelle ja operatiiviselle johtajalle, mikä kokoonpano sittemmin irtisanoi kantelijan.

Kantelijan oikeudesta saada tutustua tietoihin

70. Koska diagnoositietoja ei ollut poistettu vuosina 2018–2019, olisi kantelijalle voitu toimittaa nämä tiedot vastauksena hänen 10.1.2020 tekemäänsä pyyntöön. Kantelijalle oli ainoastaan toimitettu tiedot hänen sairauslomatodistuksistaan vuosilta 2016–2017.

71. Kantelija on tässä yhteydessä viitannut lakiin laiva-apteekista, ja todennut lain liittyvän pääasiallisesti lääkkeisiin. Laiva-apteekin yhteydessä järjestetään Sosiaali- ja terveysalan lupa- ja valvontaviraston laillistamien sairaanhoitajien vastaanottoa. Näiden sairaanhoitajien on noudatettava lakia potilaan asemasta ja oikeuksista. Kaikki vastaanottokäynnit eivät liity lääkkeisiin, eivätkä kaikki kirjaukset liity merimatkaan.

Lopuksi

72. Kantelija on kertonut työskennelleensä myös Viron lipun alla seilaavalla Viking XPRS aluksella.

Kuuleminen

73. Viking Line Oy Abp:lle on 29.8.2022 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Viking Line Oy Abp:lle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka sen näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä. Viking Line Oy Abp on antanut vastauksensa 13.9.2022.

74. Kuulemiseen annetussa vastauksessa on todettu, että annetussa vastauksessa ei ole otettu kantaa muuhun lainsäädäntöön kuin yleiseen tietosuoja-asetukseen perustuviin väittämiin.

Rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus

75. Annetussa vastauksessa on esitetty, että nyt käsillä olevassa tapauksessa henkilötietoja ei olisi käsitelty rekisteröityjen valvontaan. Vastauksessa on erikseen esitetty, että henkilötietoja ei olisi käsitelty myöskään rekisteröityjen arviointiin, ja että tietojen perusteella ei olisi tehty rekisteröityihin vaikuttavia negatiivisia päätöksiä. Edelleen on esitetty, että terveydentilaan liittyviä tietoja on kerätty sairausloma-ajan palkanmaksua varten, eikä tietoa ole annetun vastauksen mukaan käytetty muuhun tarkoitukseen taikka luovutettu kolmansille tahoille ilman perusteita. Näin ollen tietojen käyttötarkoitus on Viking Line Oy Abp:n mukaan ollut linjassa henkilötietojen alkuperäisen keräämistarkoituksen ja rekisterinpitäjän työnantajaroolin kanssa. Tietoja ei annetun vastauksen mukaan ole missään vaiheessa käytetty muihin tarkoituksiin.

76. Annetussa vastauksessa on lisäksi esitetty, että järjestelmä on ollut käytössä vain Suomen lipun alla seilaavilla laivoilla ja että tässä järjestelmässä on säilytetty ainoastaan Viking Line Oy Abp:n palveluksessa olleiden henkilöiden tietoja. Näin ollen Viking Line Oy Abp on katsonut, että nyt tarkastelun kohteena oleva tietojen käsittely ei ole ollut alueellisesta laajamittaista, vaikka yhtiö toimiinkin matkustajalaivatoiminnastaan johtuen usean valtion alueella.

77. Edelleen on esitetty, että kantelijan esittämään tarkastuspyyntöön vastaaminen diagnoositietojen osalta ja määräajan noudattamiseen liittyvät haasteet ovat kohdistuneet vain kyseiseen kantelijaan, eikä kysymys ole ollut yhtiön yleisestä käytännöstä.

78. Annetussa vastauksessa on korostettu, että nyt käsillä olevassa asiassa tarkoitettu käsittely ei ole johtanut rekisteröityjen syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen, pseudonymisoinnin luvattomaan purkautumiseen tai ole aiheuttanut rekisteröidylle muuta merkittävää taloudellista tai sosiaalista haittaa. Erikseen on todettu, että kantelijan nyt käsillä olevaan asiaan välillisesti liittyvää asiaa on käsitelty myös tuomioistuimessa, ja annetun vastauksen mukaan tuomioistuimessa on todettu, että Viking Line Oy Abp ei ole syyllistynyt toiminnassaan syrjintään.

Rikkomuksen tahallisuus tai tuottamuksellisuus

79. Nyt arvioitavana olevaa henkilötietojen käsittelyä koskevaa rikkomusta erityisesti MAPS-järjestelmässä käsiteltyjen henkilötietojen osalta ei annetun vastauksen mukaan voida pitää tahallisena, sillä annetun vastauksen mukaan tahallisuus edellyttää yleisen tietosuoja-asetuksen tietoista ja tarkoituksellista rikkomista sekä piittaamattomuutta lainsäädännön velvoitteista. Tällaisesta ei annetun vastauksen mukaan ole nyt käsillä olevassa asiassa ollut kysymys, eikä Viking Line Oy Abp asiassa annetun vastauksen mukaan ole tähän liittyen pyrkinyt saavuttamaan taloudellista tai muutakaan etua suhteessa kilpailijoihin. Edelleen on esitetty, että Viking Line Oy Abp ei myöskään aktiivisesti ja tietoisesti ole tehnyt päätöstä siitä, että esimerkiksi henkilöstörekisterissä säilytettäisiin virheellisiä tietoja. Tietopyyntöön on annetun vastauksen mukaan myös pyritty vastaamaan mahdollisimman oikea-aikaisesti.

80. Kysymys on annetun vastauksen mukaan pikemminkin ollut inhimilliseen erehdykseen verrattavasta tilanteesta, jonka seurauksena henkilötietoja sisältänyttä järjestelmää ei ollut päivitetty vastaamaan säilytystarpeita sisällön ja säilytysajan osalta lainsäädännön edellyttämällä tavalla. Vanhojen tietojen säilyttäminen ja niiden mahdollinen virheellisyys ei ollut tullut rekisterinpitäjälle ilmi aikaisemmin muissa yhteyksissä ennen kuin kantelija oli nostanut asian esille. Kun asiantila oli Viking Line Oy Abp:lle ilmennyt, asiaa oli ryhdytty selvittämään ja käytäntöjä oli muutettu.

Rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi

81. Kun Viking Line Oy Abp:n tietoon oli tullut, että työntekijöiden terveydentilaa koskevia tietoja oli säilytetty liian kauan ja että rekisteri oli voinut sisältää myös virheellisiä tietoja, oli yhtiö arvioinut käsittelemiensä tietojen tarpeellisuuden uudelleen ja poistanut työsuhteen kannalta tarpeettomat tiedot. Yhtiö oli arvioinut asiaa kokonaisuutena ja muuttanut toimintatapaansa suhteessa kaikkiin työntekijöihinsä, ei pelkästään suhteessa kantelun tehneeseen rekisteröityyn.

82. Annetussa vastauksessa on lisäksi korostettu, että kantelijan tarkastusoikeutta koskevan pyynnön toteuttaminen oli viivästynyt siitä syystä, että terveydentilatietoja sisältävät tiedot, joita kantelija siis oli nimenomaisesti pyytänyt, oli pyritty toimittamaan kantelijalle sähköpostitse mahdollisimman tietoturvallisesti. Kantelija ei kuitenkaan ollut erinäisistä hänestä johtuvista syistä rekisteröitynyt palveluun, jonka avulla hänet olisi voitu tunnistaa. Tällä tunnistautumismenettelyllä oli pyritty varmistumaan siitä, että terveydentilaa koskevia tietoja ei luovutettaisi oikeudettomasti kolmannelle osapuolelle. Ennen tietojen luovuttamista kantelijan ja Viking Line Oy Abp:n välillä oli käyty pitkällistä sähköpostikirjeenvaihtoa (5.3.2020: Viking Line Oy Abp saa kantelijalta tarkastusoikeuspyynnön; 5.3.2020: Viking Line Oy Abp lähettää kantelijan sähköpostiosoitteeseen tunnistuspalvelun kautta linkin, jossa kantelija voi tunnistautua pankkitunnuksilla ja vahvistaa yhteystietonsa; 5.3.2020: kantelija ilmoittaa Viking Line Oy Abp:n edustajalle, että hän ei löydä lähetettyä linkkiä; 9.3.2020: Viking Line Oy Abp:n edustaja vastaa kantelijalle ja kertoo sähköpostissa olevan lähettäjän nimen; 9.3.2020: kantelija pyytää lähettämään linkin uudelleen; 25.3.2020: kantelija pyytää toistamiseen lähettämään linkin uudelleen; ja 26.3.2020: Viking Line Oy Abp lähettää tunnistuspalvelun linkin uudelleen kantelijan sähköpostiosoitteeseen). Viking Line Oy Abp oli siis pyrkinyt toimittamaan kantelijan pyytämät tiedot hänelle tietoturvallisesti salattuna sähköpostina. Tietojen toimittaminen olisi varmasti ollut mahdollista tehdä nopeammin, mutta tällöin tietoturvasta olisi Viking Line Oy Abp:n mukaan jouduttu tinkimään, mitä yhtiö ei annetun vastauksen mukaan ollut pitänyt vaihtoehtona.

83. Viking Line Oy Abp on katsonut tehneensä parhaansa noudattaakseen yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaista määräaikaa ja näin myös yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädettyä. Viking Line Oy Abp on myöntänyt, että vuodelta 1997 rekisterissä olleen tiedon osalta se oli toiminut virheellisesti, koska ei ollut ollut toimittanut sitä kantelijalle.

84. Viking Line Oy Abp on niin ikään katsonut aktiivisesti selvittäneensä nyt käsillä olevaa asiaa yhteistyössä eri viranomaisten, kuten tietosuojavaltuutetun poliisin ja Valviran kanssa.

Rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet

85. Annetun vastauksen mukaan Viking Line Oy Abp on pyrkinyt henkilötietojen käsittelyssään ottamaan huomioon yleisen tietosuoja-asetuksen 25 artiklan vaatimuksen sisäänrakennetusta ja oletusarvoisesta tietosuojasta sekä 32 artiklan edellyttämät asianmukaiset tekniset ja organisatoriset toimenpiteet käsitelläkseen henkilötietoja mahdollisimman turvallisesti. Kysymyksessä oleviin henkilötietoihin on ollut pääsy vain sellaisilla henkilöillä, joiden työtehtävien kannalta ja joiden työtehtäviin tiedot välittömästi liittyvät ja ovat tarpeellisia. Työntekijöiden terveydentilaa koskevien tietojen käsittely on ollut rajattu työelämän tietosuojalain 5 §:n tarkoittamalla tavalla, eli käyttöoikeuksien hallinnalla on huolehdittu, että tietoja käsittelevät vain siihen oikeutetut henkilöt. Muille henkilöille ei ole myönnetty käyttöoikeuksia kysymyksessä oleviin järjestelmiin. Edelleen annetun vastauksen mukaan eheyden ja luottamuksellisuuden periaatetta on toteutettu muun muassa lokittamalla tietojärjestelmien tapahtumia. Järjestelmien suojatoimia ulkopuoliselta väärinkäytöltä on myös parannettu.

Rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomukset

86. Annetun vastauksen mukaan Viking Line Oy Abp ei aiemmin ole syyllistynyt vastaaviin rikkomuksiin eikä tietosuojaviranomainen ole määrännyt sille 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä.

Yhteistyön määrä valvontaviranomaisen kanssa rikkomuksen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi

87. Edelleen annetun vastauksen mukaan Viking Line Oy Abp on sekä pyrkinyt selvittämään asiaa viranomaisen kanssa että edistänyt uuden, työntekijöiden henkilötietoja sisältävän järjestelmän käyttöönottoa. Vanhan järjestelmän ongelmakohdat on otettu huomioon korvaavan järjestelmän vaatimusmäärittelyssä. Laivalla käytössä olleen järjestelmän lokitietoja koskevan kysymyksen osalta Viking Line Oy Abp on pyrkinyt toistuvasti selvittämään viranomaisen kantaa asiaan saamatta siihen vastausta.

88. Viking Line Oy Abp on noudattanut käsillä olevassa asiassa viranomaisen sille asettamia määräaikoja ja vastannut sille esitettyihin kysymyksiin mahdollisimman avoimesti ja tiivistetysti siten, että kysymyksessä oleva kanteluasia saataisiin selvitettyä viranomaisen puolesta mahdollisimman tehokkaasti.

Lopuksi

89. Viking Line Oy Abp on korostanut, että se ei ole saanut välillistä tai välitöntä taloudellista etua tutkinnan kohteena olevista tapahtumista. Annetun vastauksen mukaan tapahtunut tullee pikemminkin aiheuttamaan sille mainehaitan kautta taloudellisia tappioita.

90. Viking Line Oy Abp:n kokonaisliikevaihto on vuonna 2021 ollut 258 243 347,47 euroa. Yhtiö on tässä yhteydessä korostanut, että matkailuala on kärsinyt pahoin koronan aiheuttamista seurauksista. Viranomaista on seuraamusharkinnassaan pyydetty ottamaan mainittu huomioon.

91. Lopuksi annetussa vastauksessa on esitetty, että hallinnollista seuraamusmaksua ei tule määrätä sellaisista toimista, jotka mahdollisesti ovat olleet vastoin työelämän tietosuojalaissa tai muussa lainsäädännössä kuin yleisessä tietosuoja-asetuksessa säädettyä eikä näitä muuhun lainsäädäntöön perustuvia asioita annetun vastauksen mukaan tule ottaa huomioon seuraamusmaksuharkinnassa koventavina seikkoina.

Rajatylittävyyden arvioinnista

92. Yleisessä tietosuoja-asetuksessa on erikseen säädetty sellaisten asioiden käsittelystä, jotka ovat yleisen tietosuoja-asetuksen 4 artiklan 23 kohdassa määritellyllä tavalla rajatylittäviä. Tällaiset asiat on käsiteltävä yleisen tietosuoja-asetuksen 56 artiklassa ja VII luvussa säädetyllä tavalla toimivaltaisen valvontaviranomaisen toimesta.

93. Viking Line Oy Abp on antamassaan selvityksessä ilmoittanut, että se toimii rekisterinpitäjänä nyt kysymyksessä olevan henkilötietojen käsittelyn osalta. Viking Line Oy Abp:n päätoimipaikka on Suomessa, ja konserniin kuuluvat lisäksi Ruotsiin sijoittautuneet Viking Line Skandinavien AB ja Viking Rederi AB, Viroon sijoittautunut OÜ Viking Line Eesti, Saksaan sijoittautunut Viking Line Finnlandverkehr GmbH sekä Suomeen sijoittautunut Viking Line Buss Ab. Henkilötietoja käsitellään kaikkien edellä mainittujen toimipaikkojen toiminnan yhteydessä. Tietojärjestelmiin on pääsy aluksilta. Alukset seilaavat Suomen, Ruotsin ja Viron aluevesillä sekä kansainvälisillä merialueilla. Aluksia on Suomen, Ruotsin ja Viron lipun alla. Kantelija on työskennellyt ainoastaan Suomen lipun alaisilla aluksilla. Saksan toimipaikassa työskentelee vain yksi henkilö, eikä nyt kysymyksessä olevia rekistereitä käytetä Saksassa eikä Saksassa työskentelevän henkilön tietoja käsitellä näissä rekistereissä.

94. Viking Line Oy Abp:n keskushallinnon sijaintipaikka on Suomessa. Tämän keskushallinnon sijaintipaikan toimipaikan on kerrottu tekevän päätökset nyt käsillä olevasta henkilötietojen käsittelystä. Tällä keskushallinnon sijaintipaikan toimipaikalla on lisäksi kerrottu olevan toimivalta panna nyt käsillä olevaan henkilötietojen käsittelyyn liittyvät päätökset täytäntöön.

95. Tietosuojavaltuutetun toimisto käsittelee asian yleisen tietosuoja-asetuksen 60 artiklassa säädetyn menettelyn mukaisesti yhteistyössä osallistuvien jäsenvaltioiden valvontaviranomaisten kanssa. Nyt kyseessä olevassa asiassa yleisen tietosuoja-asetuksen 4 artiklan 22 kohdan b alakohdan mukaisia osallistuvia valvontaviranomaisia ovat Ruotsin, Norjan ja Viron valvontaviranomaiset, sillä kantelun kohteena oleva käsittely vaikuttaa tai on omiaan vaikuttamaan merkittävästi näissä jäsenvaltioissa oleviin rekisteröityihin.

96. Tämä päätös sisältää kohtia, joihin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla sovelletaan Suomen kansallista lainsäädäntöä. Tietosuojavaltuutetun toimistossa katsotaan, että asiassa on tältä osin kysymys Suomen valvontaviranomaisen toimivaltaan kuuluvasta asiasta, eivätkä tällaiset kohdat kuulu yleisen tietosuoja-asetuksen 60 artiklassa säädetyssä valvontaviranomaisten välisessä yhteistyössä ratkaistaviksi. Tämä päätös sisältää lisäksi kohtia, joihin yleisen tietosuoja-asetuksen 88 artiklan nojalla sovelletaan niin ikään Suomen kansallista lainsäädäntöä.

Asian käsittely yhteistyömenettelyssä

97. Tietosuojavaltuutetun toimisto on johtavana valvontaviranomaisena 21.3.2022 toimittanut yleisen tietosuoja-asetuksen 56 artiklan ja 60 artiklan 3 kohdan mukaisesti asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille samassa yhteydessä, kun Suomen valvontaviranomaisen asema johtavana valvontaviranomaisena on vahvistettu.

98. Tietosuojavaltuutetun ja seuraamuskollegion päätösluonnokset on toimitettu osallistuville valvontaviranomaisille 10.11.2022 yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan mukaisesti.

99. Osallistuvat valvontaviranomaiset eivät ole esittäneet asiassa kommentteja eivätkä vastalauseita. Näin ollen päätösehdotus on hyväksytty. Tietosuojavaltuutetun toimisto tekee asiassa lopullisen päätöksen ja antaa sen tiedoksi rekisterinpitäjän päätoimipaikkaan. Tämän lisäsi tietosuojavaltuutetun toimisto ilmoittaa päätöksestä kantelun tekijälle, muille asianomaisille valvontaviranomaiselle ja tietosuojaneuvostolle.

Sovellettavasta lainsäädännöstä

100. Henkilötietojen käsittelystä säädetään Euroopan parlamentin ja neuvoston yleisessä tietosuoja-asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus). Yleistä tietosuoja-asetusta on sovellettu 25.5.2018 alkaen. Säännös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Rekisteröidyn oikeuksista säädetään yleisen tietosuoja-asetuksen III luvussa. Yleistä tietosuoja-asetusta täsmentää tietosuojalaki (1050/2018).

101. Terveydentilatietojen käsittelystä työpaikoilla säädetään tarkemmin yksityisyyden suojasta työelämässä annetun lain (759/2004, työelämän tietosuojalain) 3 ja 5 §:ssä. Potilastietojen säilyttämisestä ja laatimisesta säädetään potilaan asemasta ja oikeuksista annetun lain (785/1992; potilaslaki) 12 §:ssä sekä sosiaali- ja terveysministeriön potilasasiakirjoista antamassa asetuksessa (298/2009; potilasasiakirja-asetus).

102. Laiva-apteekista annetussa laissa (584/2015) on säädetty toimista, joilla varmistetaan laivaväen mahdollisuus saada asianmukaista ensiapua ja sairaanhoitoa aluksella sairastumis- ja tapaturmatapauksissa.

103. Terveydenhuollon ammattihenkilöistä on säädetty terveydenhuollon ammattihenkilöistä annetussa laissa (559/1994). Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (784/2021, asiakastietolaki) on säädetty sosiaali- ja terveydenhuollon tuottamien asiakastietojen ja asiakkaan itsensä tuottamien hyvinvointitietojen tietoturvallisesta käsittelystä terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa. Merkitystä on myös edellä mainittua lakia edeltävällä sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetulla lailla (159/2007, kumottu 1.11.2021).

Oikeudellinen kysymys

104. Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja edellä mainitun erityissääntelyn pohjalta. Asiaan liittyy seuraavat oikeudelliset kysymykset:

i. Onko Viking Line Oy Abp diagnoositietoja MAPS-järjestelmään tallentaessaan noudattanut työelämän tietosuojalain 5 §:n 4 momentissa säädettyä;

ii. Onko Viking Line Oy Abp työntekijöidensä terveydentilaa koskevia tietoja säilyttäessään noudattanut työelämän tietosuojalain 5 §:n 4 momentissa säädettyä;

iii. Onko Viking Line Oy Abp yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan ja 25 artiklan 1 kohdan mukaisesti toteuttanut kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsiteltävät työntekijöiden terveydentilaa koskevat henkilötiedot olisivat täsmällisiä ja virheettömiä;

iv. Onko Viking Line Oy Abp toimittanut rekisteröidyille yleisen tietosuoja-asetuksen 13 artiklassa säädetyt tiedot silloin, kun henkilötietoja on rekisteröidyiltä saatu;

v. Onko Viking Line Oy Abp noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädettyä luovuttaessaan kantelijan henkilötietoja poliisille;

vi. Onko Viking Line Oy Abp toteuttanut hakijan oikeuden saada pääsy tietoihin yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa ja 15 artiklassa säädetyn mukaisesti; ja

vii. Tuleeko rekisterinpitäjälle antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukainen määräys noudattaa kantelijan pyyntöä saada tutustua käyttäjälokin tietoihin?

Apulaistietosuojavaltuutetun päätös

Päätös

105. Apulaistietosuojavaltuutettu katsoo, että Viking Line Oy Abp ei diagnoositietoja MAPS-järjestelmään tallentaessaan ole noudattanut työelämän tietosuojalain 5 §:n 4 momentissa säädettyä.

106. Apulaistietosuojavaltuutettu katsoo, että Viking Line Oy Abp ei työntekijöidensä terveydentilaa koskevia tietoja MAPS-järjestelmässä säilyttäessään ole noudattanut työelämän tietosuojalain 5 §:n 4 momentissa säädettyä.

107. Apulaistietosuojavaltuutettu katsoo, että peruste potilastietojen käsittelylle Medakt-järjestelmässä on ollut olemassa.

108. Apulaistietosuojavaltuutettu katsoo, että Viking Line Oy Abp ei ole yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan ja 25 artiklan 1 kohdan mukaisesti toteuttanut kaikkia mahdollisia kohtuullisia toimenpiteitä sen varmistamiseksi, että MAPS-järjestelmässä käsiteltävät henkilötiedot olisivat täsmällisiä ja virheettömiä.

109. Apulaistietosuojavaltuutettu katsoo, että Viking Line Oy Abp ei ole noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa ja 13 artiklassa säädettyä.

110. Apulaistietosuojavaltuutettu ei katso olevansa toimivaltainen arvioimaan mahdollisen tietojen luovutusperusteen olemassaoloa poliisille tämän päätöksen perusteluissa mainittua laajemmin.

111. Apulaistietosuojavaltuutettu katsoo, että Viking Line Oy Abp ei kantelijan yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön vastatessaan ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä.

112. Apulaistietosuojavaltuutettu katsoo, että Viking Line Oy Abp ei kantelijan yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön vastatessaan ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädettyä.

113. Apulaistietosuojavaltuutettu ei anna määräystä noudattaa kantelijan pyyntöä tutustua käyttäjälokin tietoihin.

Määräys

114. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa rekisteröityjen informointia koskevat käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaisiksi.

Huomautus

115. Apulaistietosuojavaltuutettu antaa Viking Line Oy Abp:lle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla huomautuksen. Apulaistietosuojavaltuutettu huomauttaa, että rekisterinpitäjän toiminta kantelijan oikeuksien toteuttamiseksi ei ole täyttänyt yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä eikä rekisterinpitäjä ole toteuttanut kantelijan pyyntöä saada tutustua tietoihin yleisen tietosuoja-asetuksen 15 artiklan mukaisesti. Rekisterinpitäjä ei tietojen oikeellisuuteen liittyen ole noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdassa ja 25 artiklan 1 kohdassa säädettyä. Lisäksi rekisterinpitäjä on laiminlyönyt velvollisuutensa informoida rekisteröityjä suorittamastaan henkilötietojen käsittelystä.

116. Apulaistietosuojavaltuutettu niin ikään huomauttaa, että rekisterinpitäjä ei ole työntekijöidensä terveydentilatietoja käsitellessään noudattanut työelämän tietosuojalain 5 §:n 4 momentissa säädettyä. Apulaistietosuojavaltuutettu toteaa rekisterinpitäjän menettelyn olleen tältä osin erityisen moitittavaa. Paitsi että käsittely on ollut vastoin edellä mainitussa säännöksessä säädettyä, on käsittely ollut myös varsin laajamittaista, eikä tämän käsittelyn voida katsoa olevan lyhytaikaista. Ottaen lisäksi huomioon työntekijöiden alisteisen aseman suhteessa työnantajaan, voidaan käsittelyn katsoa muodostavan erityisen suuren riskin.

Perustelut

Työntekijän terveydentilatietojen käsittelystä työpaikalla

Käsillä olevan asian tosiseikoista

117. Asiassa annetun selvityksen mukaan Viking Line Oy Abp on ylläpitänyt henkilöstöhallinnon järjestelmää (MAPS-järjestelmä), jonka avulla on hallinnoitu työsuhteita ja hoidettu työnantajan velvoitteita. MAPS-järjestelmään on tallennettu työsuhteeseen liittyviä tietoja, kuten työntekijöiden nimiä ja yhteystietoja, työsopimusten tilatietoja, pätevyystietoja, käytyihin koulutuksiin liittyviä tietoja sekä palkanmaksuun ja sairaanhoidon kustannuksiin liittyviä tietoja. MAPS-järjestelmä on lisäksi sisältänyt tiedot työntekijöiden poissaoloista, ml. sairauspoissaoloista ajankohtineen ja ICD-diagnoosikoodeineen. Koodien lisäksi järjestelmään on sisältynyt myös tiedot diagnooseista selkokielisinä. ICD-diagnoosikoodit ja selkokieliset diagnoositiedot on kuitenkin asiassa annetun täydennyksen mukaan poistettu järjestelmästä vuonna 2020. Näitä tietoja ei enää järjestelmään sisällytetä. Nyt järjestelmään merkitään ainoastaan tieto sairauspoissaolojaksosta sekä tieto siitä, onko kysymyksessä palkallinen vai palkaton poissaolo taikka esimerkiksi perhevapaa.

Oikeudellinen arviointi

118. Työelämän tietosuojalain 5 §:ssä on säädetty työantajan oikeudesta käsitellä työntekijän terveydentilaa koskevia tietoja. Työnantajalla on oikeus käsitellä työntekijän terveydentilaa koskevia tietoja, jos tiedot on kerätty työntekijältä itseltään tai hänen kirjallisella suostumuksellaan muualta ja tietojen käsittely on tarpeen sairausajan palkan tai siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi taikka sen selvittämiseksi, onko työstä poissaoloon perusteltu syy, taikka jos työntekijä nimenomaisesti haluaa selvitettävän työkykyisyyttään terveydentilaa koskevien tietojen perusteella. Lisäksi työnantajalla on oikeus käsitellä näitä tietoja niissä tilanteissa ja siinä laajuudessa, kuin muualla laissa erikseen säädetään. Työelämän tietosuojalakia edeltäneen säädöksen (laki yksityisyyden suojasta työelämässä (477/2001)) esitöissä on nimenomaisesti todettu, että työnantajalla on sairauspoissaolojen arvioimiseksi oikeus käsitellä työntekijän suostumuksella terveydentilaa koskevia tietoja, esim. lääkärintodistusta tai -lausuntoa diagnoositietoineen.

119. Työntekijän suostumuksesta huolimatta työnantajaa sitoo työelämän tietosuojalain 3 §:ssä säädetty tarpeellisuusvaatimus. Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.

120. Todettakoon, että sairausajan palkanmaksua koskevat käytännöt perustuvat usein työ- ja virkaehtosopimusten määräyksiin. Tällaiset sopimukset pääsääntöisesti edellyttävät, että työntekijä toimittaa työnantajalleen lääkärintodistuksen diagnoositietoineen. Käytännössä sairastumisen uusimistilanteissa palkanmaksuvelvollisuuteen vaikuttaa usein se, onko kysymyksessä saman sairauden uusiutuminen vai eri sairaus. Sairausajan palkanmaksumääräyksiä onkin käytännössä tulkittu siten, että työnantajalle toimitettavassa lääkärintodistuksessa on oltava lääketieteellinen taudin määritys eli diagnoositieto. Käytännössä tämä tarkoittaa sitä, että työnantaja tutkii, onko työntekijä oikeutettu sairauden perusteella sairausajan palkkaan.

121. Työelämän tietosuojalain 5 §:n 4 momentin mukaan työnantajan on säilytettävä hallussaan olevat työntekijän terveydentilaa koskevat tiedot erillään muista keräämistään henkilötiedoista.

122. Apulaistietosuojavaltuutettu katsoo, että työnantajalla on kuitenkin oikeus esimerkiksi henkilöstöhallinnon järjestelmissään käsitellä tietoa siitä, milloin ja kuinka paljon työntekijä on ollut sairauspoissaolojen vuoksi poissa töistä (hyväksyttävä syy, sairasloman palkan maksu). Henkilöstöhallinnon järjestelmän yhteyteen ei kuitenkaan tule tallettaa tietoa sairauspoissaolon syystä, esimerkiksi sairautta, vammaa, niiden laatua tai diagnoositietoa. Työntekijän työantajalle toimittamat lääkärintodistukset tai -lausunnot taikka muut terveydentilatietoja sisältävät asiakirjat tai tallenteet tulee säilyttää erillään muista työntekijää koskevista henkilötiedoista. Tällaisia tietoja voidaan käsitellä vain siinä laajuudessa ja käyttötarkoituksessa kuin työelämän tietosuojalain 5 §:ssä säädetään. Nämä käyttötarkoitukset ovat yleensä erillisiä ja kulloiseenkin työntekijän sairauspoissaolojaksoon liittyviä. Työelämän tietosuojalain säännökset eivät siis mahdollista ja anna työnantajalle oikeutta muodostaa työntekijöistään erillistä terveydentilahenkilörekisteriä, johon kerättäisiin ja talletettaisiin työntekijöiden terveydentilatietoja, kuten diagnoositietoja.

123. Edellä esitettyyn perustuen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei diagnoositietoja MAPS-järjestelmään tallentaessaan ole noudattanut työelämän tietosuojalain 5 §:n 4 momentissa säädettyä. Koska diagnoositiedot on asiassa annetun selvityksen mukaan sittemmin MAPS-järjestelmästä poistettu, ei apulaistietosuojavaltuutettu anna Viking Line Oy Abp:lle tätä koskevaa määräystä.

Työntekijän terveydentilatietojen säilyttämisestä

Käsillä olevan asian tosiseikoista

124. Kantelija on esittänyt, että Viking Line Oy Abp on säilyttänyt hänen terveydentilatietojaan (ml. diagnoositiedot) MAPS-järjestelmässä 20 vuoden ajan.

125. Annetun selvityksen mukaan Viking Line Oy Abp on ylläpitänyt kahta sisäiseen käyttöönsä tarkoitettua rekisteriä (MAPS-henkilöstöhallintojärjestelmä ja potilastietojärjestelmä Medakt), jotka ovat sisältäneet muun ohessa työntekijöiden terveystietoja.

126. MAPS-järjestelmän on kerrottu olevan Viking Line Oy Abp:n henkilöstöhallinnon järjestelmä, jonka avulla on hallinnoitu työsuhteita ja hoidettu työnantajan velvoitteita, kuten palkanmaksua. Medakt-järjestelmän puolestaan on kerrottu olevan Viking Line Oy Abp:n aluksilla käytössä oleva sähköinen potilastietojärjestelmä, jonne laivalla työskentelevät Sosiaali- ja terveysalan lupa- ja valvontaviraston (Valviran) hyväksymät sairaanhoitajat kirjaavat merkinnät potilaille tehdyistä hoitotoimenpiteistä ja annetuista lääkkeistä, kuten potilaan asemasta ja oikeuksista annetun lain (785/1992) 12 §:n 1 momentissa edellytetään. Potilaita voivat olla laivoilla sairastuneet matkustajat tai laivan henkilökuntaan kuuluvat.

127. Annetussa selvityksessä on esitetty sairauslomatodistuksia säilytettävän niin kauan kuin niitä tarvitaan työsuhteeseen liittyvien oikeuksien ja velvollisuuksien hoitamisessa. Edelleen annetun selvityksen mukaan tieto sairauspoissaolojaksosta ja oikeudesta palkkaan säilytetään MAPS-järjestelmässä kymmenen vuotta poissaolon päättymisestä. Kaikki ICD-koodit ja diagnoositiedot on kerrottu poistetun MAPS-järjestelmästä vuonna 2020.

128. Tiedot Medakt-järjestelmään on tällä hetkellä tallennettu toistaiseksi. Annetun selvityksen mukaan tiedot terveydentilasta tallennetaan, sillä se on katsottu välttämättömäksi terveydentilan seurannassa. Työntekijän vammoihin tai terveysongelmiin liittyviä tietoja voidaan tarvita myöhemmin esimerkiksi vakuutusasioiden tai ammattitautitutkimusten käsittelemiseksi. Medakt-järjestelmä sisältää tietoja vuodesta 2012 lähtien.

Oikeudellinen arviointi

129. Työelämän tietosuojalain 5 §:n 4 momentissa säädetysti terveydentilaa koskevat tiedot on poistettava välittömästi sen jälkeen, kun käsittelylle ei ole työelämän tietosuojalain 5 §:n 1 momentissa tarkoitettua perustetta. Kuten edellisen oikeuskysymyksen perusteluissa on todettu, työntekijän työantajalle toimittamien lääkärintodistusten tai -lausuntojen taikka muita terveydentilatietoja sisältävien asiakirjojen tai tallenteiden käyttötarkoitukset ovat yleensä erillisiä ja kulloiseenkin työntekijän sairauspoissaolojaksoon liittyviä. Näin ollen tällaisten tietojen asianmukainen säilytysaika on ylipäätään verrattain lyhyt. Edelleen työelämän tietosuojalain 5 §:n 4 momentissa säädetysti työntekijän terveydentilaa koskevien tietojen käsittelyn perustetta ja tarvetta on arvioitava vähintään viiden vuoden välein.

130. Laiva-apteekista annetun lain 9 §:ssä on säädetty laiva-apteekista pidettävästä lääkepäiväkirjasta. Lainkohdan mukaan lääkepäiväkirjaan on tehtävä merkintä kaikista laiva-apteekkiin tehdyistä hankinnoista, henkilöille luovutetuista lääkkeistä ja tehdyistä hoitotoimenpiteistä sekä laiva-apteekista poistetuista lääkkeistä ja hoitotarvikkeista. Henkilöä koskevat tiedot on pidettävä erillään lääkkeitä ja hoitotarvikkeita koskevista tiedoista. Lääkepäiväkirja on säilytettävä vähintään viisi vuotta siihen tehdystä viimeisestä merkinnästä.

131. Apulaistietosuojavaltuutettu tulkitsee laiva-apteekista annetun lain olevan ennemminkin terveyteen ja turvallisuuteen liittyvä säädös aluksilla tapahtuvan sairaanhoidon parantamiseksi ja seuraamiseksi kuin varsinainen potilastietoja koskeva säädös. Laiva-apteekista annetun lain 1 §:ssä on säädetty lain tarkoituksesta. Laiva-apteekista annetun lain tarkoituksena on varmistaa laivaväen mahdollisuus saada asianmukaista ensiapua ja sairaanhoitoa aluksella sairastumis- ja tapaturmatapauksissa. Säädös velvoittaakin huolehtimaan siitä, että alukselta löytyvät lain säännösten mukaiset lääkkeet ja hoitotarvikkeet. Laiva-apteekista annetun lain 9 § mahdollistaa myös henkilötietojen käsittelyn lääkepäiväkirjassa. Tämän lisäksi silloin, kun hoitotoimenpiteitä suorittaa laiva-apteekista annetun lain 5 § 3 momentissa tarkoitetun tehtävien siirron vuoksi terveydenhuollon ammattihenkilö, on otettava huomioon potilaan asemasta ja oikeuksista annetun lain 12 §:n mukainen terveydenhuollon ammattihenkilön velvollisuus laatia ja säilyttää potilasasiakirjamerkintöjä sekä muu potilastietojen käsittelyä koskeva sääntely.

132. Edellä esitettyyn perustuen apulaistietosuojavaltuutettu katsoo, että Viking Line Oy Abp ei ole asiassa esittänyt mitään sellaista perustetta, jonka nojalla kantelijan tietoja olisi voitu säilyttää MAPS-järjestelmässä 20 vuoden ajan. Viking Line Oy Abp ei liioin ole esittänyt mitään sellaista perustetta, jonka nojalla sen olisi asianmukaista säilyttää työntekijöidensä terveydentilaa koskevia tietoja MAPS-järjestelmässä kymmenen vuotta poissaolon päättymisestä. Rekisterinpitäjä ei työntekijöidensä terveydentilaa koskevia tietoja MAPS-järjestelmässä säilyttäessään ole noudattanut työelämän tietosuojalain 5 §:n 4 momentissa säädettyä. Koska diagnoositiedot on asiassa annetun selvityksen mukaan sittemmin MAPS-järjestelmästä poistettu, ei apulaistietosuojavaltuutettu anna Viking Line Oy Abp:lle tätä koskevaa määräystä.

133. Potilaslain 2 §:n 1 momentin 1 kohdan mukaan potilaalla tarkoitetaan terveyden- ja sairaanhoitopalveluja käyttävää tai muuten niiden kohteena olevaa henkilöä. Lain esitöissä on viitattu potilasvahinkolain vakiintuneeseen tulkintaan, jonka mukaan terveyden- ja sairaanhoidolla tarkoitetaan yksilön terveydentilan määrittämiseksi tai hänen terveytensä palauttamiseksi taikka ylläpitämiseksi tehtäviä toimenpiteitä, joita suorittavat terveydenhuollon ammattihenkilöt tai joita suoritetaan terveydenhuollon toimintayksikössä. Terveydenhuollon ammattihenkilöllä tarkoitetaan henkilöä, joka harjoittaa toimintaansa lakiin perustuvan oikeuden nojalla tai joka on lain nojalla sosiaali- ja terveyshallituksessa (nyk. Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira) rekisteröity. Terveydenhuollon ammattihenkilöistä on tarkemmin säädetty terveydenhuollon ammattihenkilöistä annetussa laissa. Edelleen edellä mainituissa lain esitöissä on jatkettu, että toiminnan laadun ja tarkoituksen sekä hoitoa antavan henkilön koulutuksen perusteella voidaan epäselvissä tapauksissa ratkaista, onko kysymyksessä yksilön terveyden- tai sairaanhoito. Määritelmän mukaista hoitoa on siis myös muissa kuin varsinaisissa terveydenhuollon toimintayksiköissä annettava hoito, jos sitä antaa terveydenhuollon ammattihenkilö. Terveydenhuollon ammattihenkilön esimerkiksi sosiaalihuollon toimintayksiköissä antama terveyden- tai sairaanhoito sekä apteekkien farmaseuttisten ammattihenkilöiden palvelut kuuluvat lain soveltamisalaan.

134. Annetussa selvityksessä on todettu aluksilla työskentelevien sairaanhoitajien olevan Sosiaali- ja terveysalan lupa- ja valvontaviraston (Valviran) hyväksymiä terveydenhuollon ammattihenkilöitä. Edellä esitetyn nojalla apulaistietosuojavaltuutettu katsoo, että alusten sairaanhoitajien vastaanotolla asioivat henkilöt ovat potilaslaissa tarkoitettuja potilaita, ja sairaanhoitajien tällaisia henkilöitä koskevat merkinnät ovat puolestaan potilaslaissa tarkoitettuja potilasasiakirjoja.

135. Medakt-järjestelmään tallennettujen varsinaisten potilasasiakirjamerkintöjen osalta todettakoon, että potilastietojen säilyttämisestä säädetään potilaslaissa ja potilasasiakirja-asetuksessa. Potilaslain 2 §:n 1 momentin 5 kohdan mukaan potilasasiakirjoilla tarkoitetaan potilaan hoidon järjestämisessä ja toteuttamisessa käytettäviä, laadittuja tai saapuneita asiakirjoja taikka teknisiä tallenteita, jotka sisältävät hänen terveydentilaansa koskevia tai muita henkilökohtaisia tietoja. Potilaslain 12 §:n mukaan terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Säännöksen mukaan potilasasiakirjat tulee säilyttää potilaan hoidon järjestämisen ja toteuttamisen, hoitoon liittyvien mahdollisten korvausvaatimusten ja tieteellisen tutkimuksen edellyttämä aika. Potilasasiakirjat tulee hävittää välittömästi sen jälkeen, kun niiden säilyttämiselle ei ole edellä mainittua perustetta. Potilasasiakirjojen säilyttämisestä ja niitä koskevista säilytysajoista säädetään tarkemmin potilasasiakirja-asetuksessa. Säilytysajat on määritelty asetuksen liitteessä, jonka mukaan potilasasiakirjoja tulee lähtökohtaisesti säilyttää 12 vuotta potilaan kuolemasta tai, jos siitä ei ole tietoa, 120 vuotta potilaan syntymästä.

136. Lääkepäiväkirjan ylläpitäminen ja siihen sisältyvien henkilötietojen käsittely perustuu laiva-apteekista annetun lain 9 §:ään, jossa määritellään lääkepäiväkirjaan talletettavat tiedot. Näin ollen peruste lääkepäiväkirjaan sisällytettävien henkilötietojen käsittelylle on ollut olemassa. Laiva-apteekista annetun lain 5 §:n mukaan aluksella on muun muassa pystyttävä antamaan ensiapua ja sairaanhoitoa sitä tarvitseville henkilöille, ja pykälän 3 momentin mukaan muun muassa ensiavun ja sairaanhoidon antaminen voidaan määritellä terveydenhuollon ammattihenkilön tehtäväksi. Tällöin terveydenhuollon ammattihenkilö on potilaan asemasta ja oikeuksista annetun lain 12 §:n mukaisesti velvollinen laatimaan annetusta hoidosta potilasasiakirjamerkinnät. Edellä esitetyn perusteella tietojen käsittelylle Medakt-järjestelmässä on ollut peruste.

Tietojen virheellisyydestä

Käsillä olevan asian tosiseikoista

137. Kantelija on esittänyt, että hänen kohdallaan osa MAPS-järjestelmään tallennetuista tiedoista ovat olleet osin virheellisiä. Kantelija on esittänyt, että esimerkiksi vuodenvaihteessa 2016–2017 myönnetyn sairauspoissaolon MAPS-järjestelmään syötetty ICD-koodi ei vastaa sairauspoissaolotodistukseen merkittyä koodia.

138. Annetussa selvityksessä on todettu asiaa selvitettäessä ilmenneen, että vuonna 2001 MAPS-järjestelmään ei ole ollut mahdollista tallentaa kaikkia ICD-koodeja. Käytössä on näin ollen ollut vain osa koodeista. Tämä on puolestaan johtanut siihen, että sairauspoissaoloja on voitu tallentaa järjestelmään muulla koodilla kuin sairauspoissalo on myönnetty. Järjestelmän käyttäjien on kerrottu pyrkineen löytämään lähimmän vastaavan koodin, joka on ollut mahdollista järjestelmään syöttää.

Oikeudellinen arviointi

139. Yleisen tietosuoja-asetuksen 5 artiklassa on säädetty henkilötietojen käsittelyä koskevista periaatteista. Artiklan 1 kohdan d alakohdan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”).

140. Rekisteröidyllä on oikeus tulla arvioiduksi oikeiden tietojen perusteella. Epätäsmälliset ja/tai virheelliset henkilötiedot voivat aiheuttaa rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin. Yleisen tietosuoja-asetuksen 16 artiklassa onkin säädetty rekisteröidyn oikeudesta tietojen oikaisemiseen. Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Tarkoituksena on ehkäistä väärien johtopäätösten tai päätösten tekemistä virheellisten tai puutteellisten tietojen nojalla. Virheellisellä tiedolla tarkoitetaan epätotta tietoa, joka ei vastaa tosiasioita.

141. Merkitystä on lisäksi yleisen tietosuoja-asetuksen 25 artiklan 1 kohdassa säädetyllä. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

142. Euroopan tietosuojaneuvosto on antanut käytännön ohjeita yleisen tietosuoja-asetuksen 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Näissä ohjeissa on muun muassa kuvattu sisäänrakennetun ja oletusarvoisen tietosuojan täsmällisyyttä koskevia keskeisiä tekijöitä. Tällaisina on mainittu esimerkiksi täsmällisyyden aste, jatkuva täsmällisyys ja tietojen suunnittelu. Rekisterinpitäjän on teknisin ja organisatorisin toimin vähennettävä henkilötietoihin mahdollisesti liittyvää epätäsmällisyyttä, kuten käyttämällä tarkkarajaisia etukäteen määriteltyjä vaihtoehtoja vapaiden tekstikenttien sijaan.

143. Annetun selvityksen mukaan MAPS-järjestelmään on merkitty diagnoositiedot ICD-koodein. MAPS-järjestelmässä ei kuitenkaan ole ollut valittavana kaikkia mahdollisia ICD-koodeja, mikä on johtanut saadusta selvityksestä ilmenevällä tavalla osittain virheellisiin diagnoosikirjauksiin.

144. Edellä esitettyyn perustuen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan ja 25 artiklan 1 kohdan mukaisesti toteuttanut kaikkia mahdollisia kohtuullisia toimenpiteitä sen varmistamiseksi, että MAPS-järjestelmässä käsiteltävät henkilötiedot olisivat täsmällisiä ja virheettömiä. Koska diagnoositietoja ei enää asiassa annetun selvityksen mukaan MAPS-järjestelmään kirjata, ei apulaistietosuojavaltuutettu anna Viking Line Oy Abp:lle nyt todettua rikkomusta koskevaa määräystä.

Rekisteröityjen informoimisesta

Käsillä olevan asian tosiseikoista

145. Kantelijan mukaan työntekijöitä ei ole millään tavalla informoitu nyt kysymyksessä olevasta laajasta rekisterinpidosta. Yhtiön intranetistä ei ole ollut löydettävissä minkäänlaista informointia tai ohjeistusta liittyen rekisterinpitäjän suorittamaan työntekijöiden henkilötietojen käsittelyyn.

146. Annetussa selvityksessä on todettu asiaa selvitettäessä ilmenneen, että työntekijöitä ei ole riittävällä tavalla informoitu nyt käsillä olevasta henkilötietojen käsittelystä.

Oikeudellinen arviointi

147. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä rekisteröidyn kannalta läpinäkyvästi. Yleisen tietosuoja-asetuksen 12 artiklassa puolestaan on säädetty läpinäkyvyydestä yksityiskohtaisemmin. Läpinäkyvyyden periaate linkittyy vahvasti yleisen tietosuoja-asetuksen 13 artiklaan, jossa on säädetty niistä tiedoista, jotka on toimitettava rekisteröidylle, kun henkilötietoja kerätään rekisteröidyltä itseltään.

148. Todettakoon, että 29 artiklan mukainen tietosuojatyöryhmä on antanut käytännön ohjeita (”läpinäkyvyyttä koskevat ohjeet) läpinäkyvyyden periaatteesta. Näissä ohjeissa on todettu, että läpinäkyvyyttä koskeva velvollisuus käsittää kolme keskeistä osa-aluetta: 1) tietojen asianmukaista käsittelyä koskevan tiedon antaminen rekisteröidyille, 2) rekisterinpitäjien tapa tiedottaa rekisteröidyille näiden yleiseen tietosuoja-asetukseen perustuvista oikeuksista ja 3) rekisterinpitäjien keinot auttaa rekisteröityjä käyttämään oikeuksiaan.

149. Todettakoon lisäksi, että yleisessä tietosuoja-asetuksessa ei säädetä tietojen toimittamisen muodosta ja muista yksityiskohdista. Asetuksessa on kuitenkin säädetty, että rekisterinpitäjällä on velvollisuus toteuttaa ”asianmukaiset toimenpiteet” läpinäkyvyyden vuoksi edellytettyjen tietojen toimittamiseksi rekisteröidylle. Tämä tarkoittaa, että rekisterinpitäjän on otettava huomioon kaikki henkilötietojen keräämisen ja käsittelyn olosuhteet valitessaan tietojen toimittamisen asiamukaista tapaa ja muotoa. Asianmukaisia toimenpiteitä on arvioitava erityisesti tuotteen tai palvelun käyttäjän kokemuksen kannalta.

150. Rekisteröidyn tulisi etukäteen saada tieto käsittelyn laajuudesta ja seurauksista niin, että henkilötietojen käyttötavat eivät tulisi rekisteröidylle myöhemmin yllätyksenä. Tämä on tärkeää myös yleisen tietosuoja-asetuksen 5 artiklan 1 kohdassa tarkoitetun kohtuullisuuden periaatteen kannalta ja liittyy johdanto-osan 39 perustelukappaleeseen, jonka mukaan luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista.

151. Yleisen tietosuoja-asetuksen 13 artiklassa tarkoitettujen rekisteröidyltä itseltään saatavien henkilötietojen tapauksessa artiklassa luetellut tiedot on toimitettava rekisteröidylle silloin, kun tiedot rekisteröidyltä saadaan.

152. Tietojen toimittamisen muodosta voidaan todeta, että yleisen tietosuoja-asetuksen 13 artiklan mukaisesti rekisterinpitäjän on ”toimitettava rekisteröidylle kaikki seuraavat tiedot […]”. Merkitystä on käytetyllä sanamuodolla ”toimitettava”. Tämä tarkoittaa, että rekisterinpitäjän on toteutettava aktiivisia toimia antaakseen kysymyksessä olevat tiedot rekisteröidylle tai aktiivisesti ohjattava rekisteröity tietojen sijaintipaikkaan.

153. Kantelijan mukaan rekisteröityjä ei ole millään tavalla informoitu nyt kysymyksessä olevasta rekisterinpidosta. Rekisterinpitäjä ei ole väitettä kiistänyt. Rekisterinpitäjä on myöntänyt informoinnin olleen riittämätöntä. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa ja 13 artiklassa säädettyä.

154. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla määräyksen muuttaa rekisteröityjen informointia koskevat käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaisiksi.

Henkilötietojen luovuttaminen poliisille

Käsillä olevan asian tosiseikoista

155. MAPS-järjestelmään kirjattuja tietoja on käytetty henkilöstöhallinnon tarkoituksiin, kuten palkanmaksuun ja sen oikeellisuuden varmistamiseen. Järjestelmään kirjattuja diagnoositietoja on alun perin käsitelty tietyn poissaolon palkallisuuden määrittelemiseksi. Viking Line Oy Abp on sittemmin kuitenkin arvioinut, että diagnoosien kirjaaminen ei järjestelmän käyttötarkoitus huomioon ottaen ole tarpeen. Medakt-järjestelmä puolestaan on edellä todetusti Viking Line Oy Abp:n aluksilla käytössä oleva sähköinen potilastietojärjestelmä. Rekistereiden tietoja ei annetun selvityksen mukaan ole käytetty muuhun kuin alkuperäiseen käyttötarkoitukseensa.

156. Edellä todetusta huolimatta kantelijan terveystietoja on annetun selvityksen mukaan luovutettu poliisille rikosasian selvittämiseksi. Annetussa selvityksessä on esitetty, että näin ei olisi tullut toimia. Edelleen on jatkettu, että esitutkinnassa lääkäri tai muu terveydenhuollon ammattihenkilö voi olla velvollinen todistamaan muun muassa salassa pidettävistä potilastiedoista silloin, kun kysymyksessä on rikos, josta säädetty ankarin rangaistus on vähintään kuusi vuotta vankeutta. Nyt taustalla olevassa rikosasiassa ei kuitenkaan ole ollut kysymys tällaisesta rikoksesta. Edelleen on jatkettu, että tietoja ei olisi tullut antaa rikostutkintaan ilman potilaan nimenomaista kirjallista suostumusta.

Oikeudellinen arviointi

157. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla (”käyttötarkoitussidonnaisuus”). Yleisen tietosuoja-asetuksen johdanto-osan 50 perustelukappaleessa on niin ikään todettu, että henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty.

158. Kuten ensimmäisen oikeuskysymyksen perusteluissa on todettu, työnantajalla on sinänsä oikeus käsitellä myös työntekijöidensä sairauspoissaolojen diagnoositietoja. Näihin liittyvät käyttötarkoitukset ovat kuitenkin erillisiä ja kulloiseenkin työntekijän sairauspoissaolojaksoon liittyviä. Potilastietojen käyttötarkoitus puolestaan liittyy potilaan hoitoon ja lääkepäiväkirjan tietojen käsittelyn käyttötarkoitus laiva-apteekeista annetun lain mukaisiin tehtäviin.

159. Potilaslain 14 §:n mukaan potilaslain 13 § 2 momentissa ja 3 momentin 5 kohdassa säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 § mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta. Koska kantelijan diagnoositietoja oli sittemmin luovutettu poliisille, katsoo apulaistietosuojavaltuutettu luovutusperusteen voivan tulla arvioitavaksi rikosasiana. Näin ollen apulaistietosuojavaltuutettu ei katso olevansa toimivaltainen arvioimaan mahdollisen luovutusperusteen olemassaoloa enemmälti. Tämän kysymyksen osalta kantelijan on mahdollista kääntyä poliisin puoleen.

Oikeudesta saada tutustua tietoihin

Käsillä olevan asian tosiseikoista

160. Kantelija on kertonut pyytäneensä Viking Line Oy Abp:lta pääsyä omiin henkilötietoihinsa ainakin 10.1.2020 ja 3.2.2020.

161. Kantelijalle on annetun selvityksen mukaan toimitettu tiedot sairauslomatodistuksista siltä osin, kun tiedot ovat olleet tallessa. Vanhimmat tiedot oli Viking Line Oy Abp:n mukaan jo ehditty poistaa. Jäljennökset jäljellä olleista sairauslomatodistuksista oli toimitettu kantelijalle 1.4.2020. Tätä ennen kantelijan kysymyksiin oli sähköpostitse vastattu ainakin 31.1.2020. Diagnoositietoja ei kantelijalle näissä yhteyksissä toimitettu.

162. Kantelija on kuitenkin tämän osalta viitannut tietosuojavaltuutetun toimistolle toimittamaansa, vuonna 2020 saamaansa jäljennökseen MAPS-järjestelmään kirjatuista diagnoositiedoistaan. Koska diagnoositietoja ei tosiasiallisesti ollut poistettu vuosina 2018–2019, on kantelija korostanut, että nämä tiedot olisi voitu hänelle toimittaa vastauksena hänen 10.1.2020 tekemäänsä pyyntöön.

Oikeudellinen arviointi

163. Yleisen tietosuoja-asetuksen 15 artiklassa on säädetty rekisteröidyn oikeudesta saada tutustua tietoihin. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä artiklassa erikseen luetellut tiedot.

164. Yleisen tietosuoja-asetuksen 12 artiklassa on lisäksi säädetty yksityiskohtaisista säännöistä rekisteröidyn oikeuksien käyttöä varten. Artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää. Edelleen artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

165. Käsillä olevassa asiassa kantelijalle ei ollut vastauksena hänen 10.1.2020 tekemäänsä pyyntöön toimitettu kantelijan pyytämiä diagnoositietoja, vaikka tällaiset tiedot olivat edelleen todistettavasti olleet Viking Line Oy Abp:n hallussa vielä 6.2.2020, jolloin kantelija oli saanut nämä tiedot niin sanotusti kiertoteitse haltuunsa.

166. Käsillä olevassa asiassa kantelija on tehnyt edellä kuvatut pyyntönsä 10.1.2020 ja 3.2.2020. Vastauksena kantelijan pyyntöihin jäljennökset jäljellä olleista sairauslomatodistuksista oli kantelijalle toimitettu 1.4.2020. Tässä välissä kantelijan ja rekisterinpitäjien edustajien välillä oli käyty sähköpostikirjeenvaihtoa. Rekisterinpitäjä on siis vastannut kantelijan yhteydenottoihin ja pyyntöihin kuukauden kuluessa hakijan edellä mainituista pyynnöistä laskettuna. Rekisterinpitäjä ei kuitenkaan ollut tässä ajassa toimittanut kantelijalle tämän pyytämiä tietoja. Rekisterinpitäjä ei myöskään ollut ilmoittanut kantelijalle syytä viivästymiselleen toimittaa tiedot kantelijalle. Koska rekisterinpitäjä ei ollut ollut toimittanut kantelijalle kaikkia tämän pyytämiä tietoja kuukauden kuluessa kantelijan edellä tarkoitetusta ensimmäisestä pyynnöstä laskettuna, rekisterinpitäjä ei kantelijan yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön vastatessaan ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä.

167. Kantelija oli useampaan kertaan pyytänyt Viking Line Oy Abp:ltä nimenomaan yhtiön järjestelmiin tallennettuja diagnoositietoja. Näin ollen rekisterinpitäjän voidaan katsoa olleen tietoinen kantelijan halusta saada tutustua juuri näihin tietoihin. Sanotusta huolimatta tietoja ei kantelijalle asianmukaisesti toimitettu. Vaikka kantelijan lopulta onnistui saada tutustua tietoihin sairaanhoitajan kautta, ei Viking Line Oy Abp:n menettelyä asiassa voida pitää asianmukaisena. Diagnoositietoja ei ollut toimitettu kantelijalle samassa yhteydessä ja samassa väylässä kuin muut kantelijalle toimitetut tiedot. Kantelijan oli päinvastoin annettu ymmärtää, että järjestelmään erikseen merkittyjä diagnoositietoja ei olisi ollut. Koska rekisterinpitäjä ei ollut antanut kantelijalle oikeutta saada tutustua järjestelmään merkittyihin diagnoositietoihin, rekisterinpitäjä ei kantelijan yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön vastatessaan ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädettyä.

Oikeudesta saada tutustua lokitietoihin

Käsillä olevan asian tosiseikoista ja annetussa selvityksessä esitetystä

168. Kantelija on pyytänyt saada pääsyn Viking Line Oy Abp:n kantelijaa koskevien henkilötietojen lokitietoihin. Lokitietoja ei ole kantelijalle annettu.

169. Annetussa selvityksessä on viitattu 1.11.2021 kumottuun lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007). Mainitun lain 18 §:n mukaan asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste.

170. Velvollisuuden lokitietojen antamiseen on esitetty koskevan terveydenhuollon palvelujen antajaa, jolla tarkoitetaan potilaan asemasta ja oikeuksista annetun lain 2 §:n 1 momentin 4 kohdassa tarkoitettua terveydenhuollon toimintayksikköä, työterveyshuoltolain (1383/2001) 7 §:n 1 momentin 2 kohdassa tarkoitettua työantajaa sekä itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilöä. Laivoilla, kuten Viking Line Oy Abp:n aluksilla, laivaväen sairaanhoito perustuu lakiin laiva-apteekista. Laiva-apteekista annettuun lakiin perustuu myös velvollisuus tehdä kirjauksia tehdyistä hoitotoimenpiteistä lääkepäiväkirjaan. Koska potilaan asemasta ja oikeuksista annetussa laissa ei ole viitattu lakiin laiva-apteekista, on Viking Line Oy Abp annetun selvityksen mukaan tulkinnut lainkohtaa lokitietojen antamisesta siten, että se ei ole laissa tarkoitettu terveydenhuollon palvelujen antaja, eikä lokitietoja näin ollen ole katsottu voitavan antaa. Edelleen on todettu lokitietojen koskevan tietojärjestelmien käyttäjiä, mistä johtuen käsittelyn kohteena olevalle henkilölle niitä ei voida pelkästään yleisen tietosuoja-asetuksen perusteella antaa.

Oikeudellinen arviointi (yleinen tietosuoja-asetus)

171. Yleisen tietosuoja-asetuksen 15 artiklassa on säädetty rekisteröidyn oikeudesta saada tutustua tietoihin. Artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä artiklassa luetellut tiedot. Rekisteröidyllä on siis tämä niin sanottu tarkastusoikeus niihin tietoihin, jotka koskevat häntä itseään.

172. Tietosuojavaltuutettu on ratkaisukäytännössään katsonut, että käyttäjälokitiedot eivät ole asiakkaita koskevia tietoja, vaan niitä henkilöitä koskevia tietoja, jotka ovat asiakastietoja käsitelleet. Näin ollen rekisteröidyn oikeuden saada tutustua tietoihin ei ole katsottu ulottuvan käyttäjälokin tietoihin. Lokitietojen tarkastusoikeus on ilman erityislainsäädäntöä ollut näin vain rekisterin henkilötietoja käsitelleillä henkilöillä itsellään (näin esimerkiksi EOA 1433/4/05, antopäivä 8.2.2007 ja apulaistietosuojavaltuutetun päätös asiassa 7681/152/2018, annettu 4.8.2020). Sanotusta huolimatta asiakkaalla on kuitenkin tarkastusoikeuden nojalla ollut oikeus tarkastaa varsinaiset asiakastietonsa ja niihin mahdollisesti sisältyneet merkinnät.

173. Edellä mainitussa ratkaisukäytännössä todetusti lokitietojen on katsottu olevan nimenomaan niitä henkilöitä koskevia tietoja, jotka ovat asiakas- tai rekisteritietoja käsitelleet. Näin ollen lokitietoja ei ole pidetty sellaisina rekisteröityä koskevina tietoina, joihin hänelle olisi edellä mainitussa 15 artiklassa säädetty oikeus tutustua. On kuitenkin todettava, että edellä mainittuun apulaistietosuojavaltuutetun päätökseen 7681/152/2018 on haettu muutosta Itä-Suomen hallinto-oikeudelta, joka puolestaan on pyytänyt asiassa ennakkoratkaisua Euroopan unionin tuomioistuimelta.

Oikeudellinen arviointi (erityislainsäädäntö)

174. Yleisen tietosuoja-asetuksen 15 artiklaan perustuvan oikeuden lisäksi lokitiedot on mahdollista saada muussa lainsäädännössä säädetyn tiedonsaantioikeuden nojalla. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun, nyttemmin kumotun lain (250/2014, kumottu lailla 784/2021) 18 §:ssä säädettiin lokitietojen saamista koskevan pyynnön esittämisaikana potilaan oikeudesta saada sosiaali- ja terveydenhuollon palvelujen antajalta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Kysymyksessä on ollut yleisessä tietosuoja-asetuksessa säädetyistä oikeuksista erillinen, erityinen tiedonsaantioikeus. Tämän tiedonsaantioikeuden arvioimista ei ollut edellä mainitussa kumotussa laissa säädetty tietosuojavaltuutetun tehtäväksi. Vaikka tästä tehtävästä on uudessa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (784/2021) 26 § 4 momentissa säädetty, koskee säännös vain sen voimaantulon (1.11.2021) jälkeen tehtyjä pyyntöjä. Siksi apulaistietosuojavaltuutettu ei arvioi tämän tiedonsaantioikeuden toteutumista tässä asiassa.

175. Tämän päätösasiakirjan lopussa apulaistietosuojavaltuutettu kuitenkin antaa kysymyksestä yleistä ohjausta.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Laura Varjokari, puh. 029 566 6771.

Apulaistietosuojavaltuutetun ohjaus

Kantelija on pyytänyt saada pääsyn Viking Line Oy Abp:n kantelijaa koskevien henkilötietojen lokitietoihin. Tässä arvioinnissa merkitystä on ainakin seuraavassa esitetyllä lainsäädännöllä.

Annetussa selvityksessä velvollisuuden lokitietojen antamiseen on esitetty koskevan terveydenhuollon palvelujen antajaa, jolla tarkoitetaan potilaan asemasta ja oikeuksista annetun lain 2 §:n 1 momentin 4 kohdassa tarkoitettua terveydenhuollon toimintayksikköä, työterveyshuoltolain (1383/2001) 7 §:n 1 momentin 2 kohdassa tarkoitettua työantajaa sekä itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilöä. Laivoilla, kuten Viking Line Oy Abp:n aluksilla, laivaväen sairaanhoito perustuu Viking Line Oy Abp:n käsityksen mukaan lakiin laiva-apteekista. Lakiin laiva-apteekista perustuu myös velvollisuus tehdä kirjauksia tehdyistä hoitotoimenpiteistä. Koska potilaan asemasta ja oikeuksista annetussa laissa ei ole viitattu lakiin laiva-apteekista, on Viking Line Oy Abp annetun selvityksen mukaan tulkinnut lainkohtaa lokitietojen antamisesta siten, että se ei ole laissa tarkoitettu terveydenhuollon palvelujen antaja, eikä lokitietoja näin ollen ole katsottu voitavan antaa.

Apulaistietosuojavaltuutettu lähtökohtaisesti katsoo, että laivoilla tapahtuva sairaanhoito ei voi edellä esitetyn perusteella jäädä kaikkien terveydenhoitoa ja potilastietojen käsittelyä koskevien perussäännösten ulkopuolelle. Koska terveydenhuollon ammattihenkilöt suorittavat laivalla oleville hoitotoimenpiteitä, katsoo apulaistietosuojavaltuutettu, että potilastietojen laatimisvelvollisuutta koskeva potilaslain 12 § tulee tällöin lähtökohtaisesti sovellettavaksi.

Kysymystä ratkaistaessa merkitystä on asiakastietolain soveltamisalalla. Asiakastietolain 2 §:n mukaan asiakastietolaissa annetaan yleistä tietosuoja-asetusta täydentävät ja täsmentävät säännökset, kun sosiaali- ja terveydenhuollon asiakastietoja ja asiakkaan itsensä tuottamia hyvinvointitietoja käsitellään sähköisesti terveydenhuollon ja sosiaalipalveluiden järjestämisen ja tuottamisen käyttötarkoituksissa. Lain esitöissä todetusta lakia sovelletaan julkisen ja yksityisen sosiaali- ja terveydenhuollon palvelunantajan järjestäessä taikka tuottaessa sosiaali- ja terveydenhuoltoa.

Asiakastietolan 3 §:n 1 momentin 7 kohdan mukaan palvelunantajalla tarkoitetaan sosiaali- ja terveyspalvelujen järjestäjää ja sosiaali- ja terveyspalveluntuottajaa. Palvelunjärjestäjällä tarkoitetaan lain 3 §:n 1 momentin 8 kohdan b alakohdan mukaan puolestaan palvelunantajaa, jolla on yksityisenä palvelunantajana velvollisuus huolehtia siitä, että asiakas saa sopimuksen mukaisen, hänelle kuuluvan palvelun. Palveluntuottajalla tarkoitetaan taas lain 3 §:n 1 momentin 9 kohdan mukaan palvelunantajaa, joka a) palvelunjärjestäjän asemassa tuottaa itse sosiaali- tai terveyspalvelua ja joka b) palvelunjärjestäjän lukuun tuottaa sosiaali- tai terveyspalvelua.

Potilaslain 2 §:n 1 momentin 4 kohdassa on niin ikään määritelty terveydenhuollon toimintayksikkö (eli palvelunantaja). Työterveyshuoltolain (1383/2001) 7 §:n 1 momentin 2 kohdan mukaan palvelunantajalla tarkoitetaan työnantajaa sekä itsenäisenä ammatinharjoittajana toimivaa terveydenhuollon ammattihenkilöä.

Yksityisestä terveydenhuollosta annetun lain (152/1990) 2 §:n 1 momentin mukaan terveydenhuollon palveluilla tarkoitetaan 1) laboratoriotoimintaa; 2) radiologista toimintaa ja muita siihen verrattavia kuvantamis- ja tutkimusmenetelmiä; 3) muita terveydentilan tai sairauden toteamiseksi taikka hoidon määrittelemiseksi tehtäviä tutkimuksia ja toimenpiteitä; 4) fysioterapeuttista toimintaa ja muita suorituskykyä parantavia ja ylläpitäviä toimenpiteitä ja terapioita; 5) työterveyshuoltoa; 6) lääkäri- ja hammaslääkäripalveluja ja muuta terveyden- ja sairaanhoitoa sekä näihin rinnastettavia palveluja; 7) hierontaa; sekä 8) sairaankuljetuspalveluja.

Yksityisestä terveydenhuollosta annetun lain 2 §:n 2 momentin mukaan palvelujen tuottajalla tarkoitetaan sellaista yksittäistä henkilöä taikka yhtiötä, osuuskuntaa, yhdistystä tai muuta yhteisöä taikka säätiötä, joka ylläpitää terveydenhuollon palveluja tuottavaa yksikköä. Palvelujen tuottajana ei pidetä muuta itsenäistä ammatinharjoittajaa tai työnantajaa, joka järjestää itse työterveyshuoltolaissa tarkoitetut työterveyshuoltopalvelut.

Itsenäisellä ammatinharjoittajalla puolestaan tarkoitetaan yksityisestä terveydenhuollosta annetun lain 2 §:n 3 momentin sellaista terveydenhuollon ammattihenkilöistä (559/1994) annetun lain 2 §:n 1 momentissa tarkoitettua terveydenhuollon ammattihenkilöä, joka harjoittaa itsenäisesti ammattiaan.

Yksityisestä terveydenhuollosta annetun lain 4 §:n mukaan palvelujen tuottajalla on oltava lupaviranomaisen myöntämä lupa terveydenhuollon palvelujen antamiseen. Itsenäisen ammatinharjoittajan puolestaan tulee lain 9 a §:n mukaan tehdä kirjallinen ilmoitus toiminnastaan aluehallintovirastolle ennen kuin hän antaa laissa tarkoitettuja terveyden- ja sairaanhoidon palveluja.

Viitattakoon tässä yhteydessä myös kirjalliseen kysymykseen laiva-apteekista annetun lain tulkinnan epäkohdista liittyen lokitietojen saatavuuteen ja potilaan oikeudesta terveystietojensa kirjaamiseen, tarkastamiseen ja muuttamiseen liittyvissä kysymyksissä sekä tähän kysymykseen annettuun sosiaali- ja terveysministerin 17.3.2022 antamaan vastaukseen. Tässä vastauksessa on todettu, että asiakastietolakia ei sovelleta aluksella, koska kyse ei ole lain tarkoittamasta palvelunantajasta. Vastauksessa on edelleen todettu, että sosiaali- ja terveysministeriö valmistelee parhaillaan sosiaali- ja terveydenhuollon tiedonhallintasäädösten kokonaisuudistusta, jossa yhdistetään muiden muassa laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä ja potilaan asemasta ja oikeuksista annetun lain asiakastietojen käsittelyä koskeva sääntely. Uudistuksen yhteydessä päivitetään myös laiva-apteekista annetun lain 9 §:n viittaus salassapitoa koskevaan sääntelyyn. Jo lausuttavana olleessa luonnoksessa ehdotetaan ainoastaan salassapitovelvoitteen osalta viittaus uuteen lakiin, mutta luonnoksen viimeistelyvaiheessa on mahdollista pohtia asiakastietojen käsittelyä koskevien yleisten velvoitteiden, kuten salassapito, lokitietojen kerääminen ja asiakkaan tiedonsaantioikeus lokitietoihin, laajentamista koskemaan myös laiva-apteekkeja.

Edellä mainitusta huolimatta apulaistietosuojavaltuutettu ei katso olevansa toimivaltainen ratkaisemaan kysymystä siitä, onko Viking Line Oy Abp:tä pidettävä asiakastietolain 26 §:ssä tarkoitettuna palvelunantajana. Koska apulaistietosuojavaltuutettu ei päätösosiossa selostetusta syystä ylipäätään ole nyt käsillä olevassa ratkaissut kysymystä kantelijan tiedonsaantioikeudesta lokitietoihin, ei apulaistietosuojavaltuutettu ole pyytänyt asiassa lausuntoa asiakastietolakia valvovilta viranomaisilta. Apulaistietosuojavaltuutettu toimittaa kuitenkin tämän päätöksensä Sosiaali- ja terveysalan lupa- ja valvontavirastolle, Etelä-Suomen aluehallintovirastolle sekä sosiaali- ja terveysministeriölle tiedoksi mahdollisiin toimenpiteisiin ryhtymiseksi.

Tähän apulaistietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla muutosta.

Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta

Rekisterinpitäjä

Viking Line Oy Abp

1. Apulaistietosuojavaltuutetun päätöksestä ilmenevin tavoin Viking Line Oy Abp ei diagnoositietoja MAPS-järjestelmään tallentaessaan eikä työntekijöidensä terveydentilaa koskevia tietoja MAPS-järjestelmässä säilyttäessään ole noudattanut työelämän tietosuojalain 5 §:n 4 momentissa säädettyä. Viking Line Oy Abp ei liioin ole yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan ja 25 artiklan 1 kohdan mukaisesti toteuttanut kaikkia mahdollisia kohtuullisia toimenpiteitä sen varmistamiseksi, että MAPS-järjestelmässä käsiteltävät henkilötiedot olisivat täsmällisiä ja virheettömiä.

2. Viking Line Oy Abp ei ole noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa ja 13 artiklassa säädettyä. Viking Line Oy Abp ei myöskään kantelijan yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön vastatessaan ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa eikä 15 artiklan 1 kohdassa säädettyä.

3. Ottaen erityisesti huomioon rikkomisten vakavuuden, asiassa ei ole kysymys yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa tarkoitetusta vähäisestä rikkomisesta. Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että nyt käsiteltävänä olevassa asiassa apulaistietosuojavaltuutetun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla annettu määräys yhdessä asiassa annetun huomautuksen kanssa ei ottaen huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädetty ole riittävä seuraamus asiassa. Asiassa on määrättävä hallinnollinen seuraamusmaksu. Seuraamusmaksun määräämistä tukee osaltaan se, että kysymys ei työelämän tietosuojalain ja yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan ja 13 artiklan rikkomisten osalta ole yksittäisistä rikkomuksista vaan Viking Line Oy Abp:n vakiintuneista toimintatavoista.

4. Viking Line Oy Abp ei siis ole noudattanut seuraavia yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaisia säännöksiä, joiden rikkomisesta määrätään hallinnollinen seuraamusmaksu: 1) 5 artiklan 1 kohdan d ja a alakohta; 2) 13 artikla; 3) 12 artiklan 3 kohta; ja 4) 15 artiklan 1 kohta. Viking Line Oy Abp ei liioin ole noudattanut yleisen tietosuoja-asetuksen 25 artiklan 1 kohtaa, joka puolestaan tarkoittaa hallinnollisen seuraamusmaksun määräämistä yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan mukaisesti.

5. Viking Line Oy Abp:n liikevaihto vuonna 2021 on ollut 258 243 347,47 euroa. Nyt käsillä olevassa asiassa Viking Line Oy Abp:lle määrättävä hallinnollinen seuraamusmaksu saa olla enintään 20 000 000 euroa. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio (myöhemmin ”seuraamuskollegio”) määrää edellä mainittujen apulaistietosuojavaltuutetun määräämien korjaavien toimivaltuuksien ja toimenpiteiden lisäksi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla rekisterinpitäjän maksamaan valtiolle määrältään 230 000 (kaksisataakolmekymmentätuhatta) euron suuruisen hallinnollisen seuraamusmaksun. Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo 230 000 euron suuruisen hallinnollisen seuraamusmaksun olevan tehokas, oikeasuhtainen ja varoittava.

Perustelut hallinnollisen seuraamusmaksun määräämiselle

6. Yleisen tietosuoja-asetuksen 83 artiklassa on säädetty hallinnollisten seuraamusmaksujen määräämisen yleisistä edellytyksistä. Hallinnollisten seuraamusmaksujen määräämisen on ensinnäkin oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Toisekseen hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa säädettyjen korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Nyt käsillä olevassa pääasiassa apulaistietosuojavaltuutettu on määrännyt Viking Line Oy Abp:n saattamaan rekisteröityjen informointia koskevat käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaisiksi sekä antanut yhtiölle huomautuksen. Hallinnollinen seuraamusmaksu määrätään näin ollen 58 artiklan 2 kohdan b ja d alakohtien lisäksi.

7. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa luetellut seikat.

8. Viking Line Oy Abp ei edellä mainitusti ole noudattanut seuraavia yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaisia säännöksiä, joiden rikkomisesta määrätään hallinnollinen seuraamusmaksu: 1) 5 artiklan 1 kohdan d ja a alakohta; 2) 13 artikla; 3) 12 artiklan 3 kohta; ja 4) 15 artiklan 1 kohta. Viking Line Oy Abp ei liioin ole noudattanut yleisen tietosuoja-asetuksen 25 artiklan 1 kohtaa, joka puolestaan tarkoittaa hallinnollisen seuraamusmaksun määräämistä yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan mukaisesti.

9. Yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan mukaan, jos rekisterinpitäjä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä seuraamusmaksua.

10. Rikkomusten vakavuutta on arvioitava yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa lueteltujen seikkojen perusteella. Arvioinnissa on valittava menettely tai laiminlyönti, jota voidaan pitää kulloinkin arvioitavana olevan asian yksityiskohdat huomioon ottaen moitittavimpana.

11. Nyt käsillä olevassa asiassa yleisen tietosuoja-asetuksen 5, 12, 13 ja 15 artiklan rikkomukset, kuten myös yleisen tietosuoja-asetuksen IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvien velvollisuuksien rikkominen kuuluvat vakavimpina rikkomuksina yleisen tietosuoja-asetuksen 83 artiklan 5 alakohdan mukaiseen korkeampaan seuraamusmaksuluokkaan. Näin ollen sovellettava hallinnollisen seuraamusmaksun enimmäismäärä määräytyy yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaisesti eikä saa ylittää sitä yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan perusteella.

12. Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan a alakohdan (5, 6, 7 ja 9 artikla) ja b alakohdan (12–22 artikla) mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

13. Asiaa arvioitaessa on otettu huomioon myös 29 artiklan mukaisen tietosuojatyöryhmän ohjeet hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä.

Rikkomisten vakavuutta koskeva arviointi

14. Rikkomisten vakavuutta koskevassa arvioinnissa huomioon on otettu yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a, b ja g alakohdat.

Luonne, vakavuus ja kesto, tietojenkäsittelyn luonne, laajuus tai tarkoitus

15. Yleisen tietosuoja-asetuksen johdanto-osan 51 perustelukappaleen mukaan henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelylle onkin asetettu erityisiä vaatimuksia, kuten se, että tällaisten henkilötietojen käsittely on lähtökohtaisesti kielletty. Tällaisten henkilötietojen käsittely on sallittua ainoastaan silloin, kun sekä 1) jokin yleisen tietosuoja-asetuksen 6 artiklan mukaisista käsittelyn yleisistä edellytyksistä täyttyy että 2) myös jokin yleisen tietosuoja-asetuksen 9 artiklassa säädetyistä erityisistä käsittelyn edellytyksistä on käsillä.

16. Vaikka asiassa ei ole kysymys siitä, että Viking Line Oy Abp olisi käsitellyt työntekijöidensä terveydentilatietoja vailla yleisen tietosuoja-asetuksen 6 ja 9 artiklassa säädettyjä käsittelyn edellytyksiä, Viking Line Oy Abp on käsitellyt työntekijöidensä terveydentilaa koskevia tietoja vastoin työelämän tietosuojalain 5 §:n 4 momentissa säädettyä. Tämän lisäksi Viking Line Oy Abp on laiminlyönyt noudattaa yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdassa ja 25 artiklan 1 kohdassa säädettyä. Todettakoon, että sisäänrakennettu ja oletusarvoinen tietosuoja on yksi niistä yleisen tietosuoja-asetuksen ydinelementeistä, joiden varaan käytännön tietosuojan toteutuminen rakentuu.

17. Rikkomuksia ja puutteita on todettu useampia. Edellä mainittujen rikkomisten lisäksi Viking Line Oy Abp on jättänyt noudattamatta yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa ja 13 artiklassa säädettyä. Tässä oikeudessa on kysymys tiedollisesta oikeudesta, joka mahdollistaa esimerkiksi asetuksessa säädettyjen rekisteröidyn oikeuksien käytön. Seuraamuskollegio toteaa tämän oikeuden rikkomisen olevan erityisen moitittavaa.

18. Viking Line Oy Abp ei myöskään kantelijan yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön vastatessaan ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa eikä 15 artiklan 1 kohdassa säädettyä. Viimeksi mainittujen osalta arvioinnissa on kuitenkin otettu huomioon se, että Viking Line Oy Abp:n ja kantelijan välillä oli käyty asiasta sähköpostikirjeenvaihtoa, josta ilmenee se, että yhtiö oli yrittänyt vastata kantelijan pyyntöön säädetyssä määräajassa. Arvioinnissa on niin ikään otettu huomioon se, että asiassa todettu yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan ja 15 artiklan 1 kohdan rikkominen on rajoittunut vain nyt käsillä olevaan yksittäistapaukseen. Asiassa ei ole ilmennyt mitään sellaista, jonka nojalla edellä mainittujen lainkohtien rikkomisten voitaisiin todeta olevan laajamittaista.

19. Erikseen on todettava, että työelämän tietosuojalaki on ollut voimassa vuodesta 2004 ja yleistä tietosuoja-asetusta on alettu soveltamaan toukokuussa 2018. Näin ollen Viking Line Oy Abp:llä on ollut kohtuullinen aika saattaa nyt käsiteltävänä olevat henkilötietojen käsittelytoimet lainmukaiseksi, eikä rikkomisia voida pitää kestoiltaan lyhyinä.

20. Ottaen lisäksi huomioon sen, että MAPS-järjestelmään sisältynyt ICD-koodiston puutteellisuus koski vain vuotta 2001, tietojen epätäsmällisyyden mahdollistavaa ajanjaksoa voidaan kuitenkin pitää suhteellisen lyhytaikaisena nyt käsillä olevan asian kokonaiskuvassa. Tällä ei kuitenkaan ole lieventävää vaikutusta asian arvioinnissa, koska ICD-koodien tallentamiselle ei ole ollut lainmukaista perustetta. Sen sijaan se, että virheellisiäkin diagnoositietoja on säilytetty huomattavan pitkään, otetaan arvioinnissa huomioon ankaroittavana tekijänä. Virheellisten diagnoositietojen käsittely aiheuttaa korkean riskin rekisteröityjen oikeusturvalle.

21. Todettakoon, että rikkomusten luonnetta on asiassa pidettävä hallinnollisen seuraamusmaksun määräämistä puoltavana seikkana.

Rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja vahingon suuruus

22. MAPS-järjestelmän on esitetty sisältävän noin 6 000 rekisteröidyn henkilötietoja. Osa näistä rekisteröidyistä on Viking Line Oy Abp:n nykyisiä ja osa entisiä työntekijöitä. Asiassa ei ole esitetty, että nyt todetut, MAPS-järjestelmään liittyvät rikkomukset olisivat koskeneet vain rajattua joukkoa kaikista rekisteröidyistä. Todetut rikkomukset päinvastoin ilmentävät järjestelmällistä toimintatapaa ja asianmukaisten käytäntöjen puutetta. Käsittely on vaikuttanut merkittävään osaan Viking Line Oy Abp:n henkilöstöstä.

23. Arvioitaessa rikkomisten vaikutusta rekisteröityjen lukumäärään, on huomioon otettu myös se, että nyt käsillä oleva henkilötietojen käsittely ei ole ollut vain kansallista, vaan henkilötietojen käsittely on vaikuttanut myös sellaisiin muissa EU/ETA-alueella sijaitseviin rekisteröityihin, jotka ovat työskennelleet Suomen lipun alla seilaavilla Viking Line Oy Abp:n aluksilla. Käsittely on kohdistunut Viking Line Oy Abp:hen nähden heikommassa asemassa oleviin rekisteröityihin.

24. Kysymys ei ole ollut yksittäisestä tai yksittäisistä tapahtumista. Sitä rekisteröityjen lukumäärää, johon rikkomiset ovat vaikuttaneet ei voida pitää pienenä. Tämä lukumäärä yhtäältä ilmentää rikkomisten vakavuutta, toisaalta tietosuojavaltuutetun toimistolle toimitettujen tietojen perusteella rekisteröidyille ei voida todeta aiheutuneen taloudellista vahinkoa.

25. Todettakoon, että sitä rekisteröityjen lukumäärää, joihin rekisteröityihin rikkomiset ovat vaikuttaneet, on asiassa pidettävä hallinnollisen seuraamusmaksun määräämistä puoltavana seikkana. Toisaalta se, että rekisteröidyille ei ole osoitettu aiheutuneen konkreettista taloudellista tai muuta aineellista vahinkoa kysymyksessä olevien rikkomusten seurauksena voidaan ottaa arvioinnissa huomioon hallinnollisen seuraamusmaksun määrää alentavana tekijänä.

Rikkomisen tahallisuus tai tuottamuksellisuus

26. Edellä mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista, kun taas tahattomuudella tarkoitetaan sitä, että rikkominen ei ole ollut tahallista, vaikka rekisterinpitäjä olisikin rikkonut laissa edellytettyjä huolellisuusvelvoitteita. Tahallisia rikkomisia, jotka ilmentävät piittaamattomuutta lainsäädännöstä, pidetään yleisesti vakavampina kuin tahattomia rikkomisia.

27. Kuulemiseen annetussa vastauksessa on esitetty, että nyt käsillä olevassa asiassa ei ole kysymys tahallisista rikkomuksista. Edelleen annetun vastauksen mukaan aktiivisesti ja tietoisesti ei ole tehty päätöstä siitä, että esimerkiksi henkilöstörekisterissä säilytettäisiin virheellisiä tietoja. Annetussa vastauksessa tilanne on rinnastettu inhimilliseen erehdykseen, jonka seurauksena henkilötietoja sisältänyttä järjestelmää ei ollut päivitetty vastaamaan voimassa olevaa lainsäädäntöä. Viitattakoon tässä yhteydessä edelleen edellä mainittuihin 29 artiklan mukaisen tietosuojatyöryhmän ohjeisiin hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä. Näissä ohjeissa on todettu, että inhimillinen erehdys tai esimerkiksi se, että teknisiä päivityksiä ei ole tehty oikea-aikaisesti voivat viitata tuottamuksellisuuteen. Todettakoon lisäksi Suomessa vakiintuneesti katsotun, että tietämättömyys lain sisällöstä ei ylipäätään merkitse sellaista erehtymistä, joka poistaisi mahdollisen tahallisuuden tai tuottamuksellisuuden. Rekisterinpitäjän vastuulla on huolehtia siitä, että sen toiminnassa noudatetaan laissa säädettyä. Sanotusta huolimatta työelämän tietosuojalain 5 §:n 4 momentin todettujen rikkomusten osalta seuraamuskollegiolla ei ole syytä arvioida asiaa toisin kuin Viking Line Oy Abp on kuulemiseen antamassaan vastauksessa tehnyt. Viking Line Oy Abp on ilmoittanut ryhtyneensä korjaaviin toimenpiteisiin jo ennen kuin tietosuojavaltuutetun toimistossa asiaa on ryhdytty selvittämään. Arvioinnissa on otettu huomioon lisäksi se, että Viking Line Oy Abp on ryhtynyt korjaaviin toimenpiteisiin jo yksittäisen rekisteröidyn yhteydenoton perusteella. Asiaa kokonaisuutena arvioiden seuraamuskollegio katsoo, että Viking Line Oy Abp:n tässä kappaleessa arvioituja rikkomisia ei voida pitää tahallisina tai tuottamuksellisina.

28. Kuulemiseen annetussa vastauksessa on viitattu Viking Line Oy Abp:n ja kantelijan väliseen sähköpostikirjeenvaihtoon koskien kantelijan oikeutta saada tutustua tietoihin. Vaikka Viking Line Oy Abp ei ole toteuttanut kantelijan oikeutta saada tutustua tietoihin säädetyssä kuukauden määräajassa, osoittaa edellä mainittu kirjeenvaihto, että Viking Line Oy Abp on kuitenkin pyrkinyt toteuttamaan kantelijan oikeuden oikea-aikaisesti. Toisaalta seuraamuskollegio pitää erityisen moitittavana sitä, että huolimatta kantelijan nimenomaisista pyynnöistä saada tutustua juuri diagnoositietoihin näitä tietoja ei ollut kantelijalle toimitettu. Tällainen menettely viittaa vähintään tuottamuksellisuuteen. Seuraamuskollegio ei kuitenkaan anna edellä mainitulle seikalle painoarvoa hallinnollisen seuraamusmaksun määrään vaikuttavia ankaroittavia ja lieventäviä tekijöitä arvioidessaan. Selvyyden vuoksi on kuitenkin todettava, että hallinnollisen seuraamusmaksun määräämisen edellytyksenä ei ylipäätään ole se, että todettu rikkomus olisi tahallinen tai tuottamuksellinen. Rikkomisen tahallisuus tai tuottamuksellisuus on vain yksi niistä seikoista, jotka yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädetysti on otettava asianmukaisesti huomioon hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä.

29. Pääasiassa todetun yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan ja 13 artiklan rikkomisen osalta todettakoon, että asiassa ei ole kysymys siitä, että rekisteröidyille toimitetut tiedot olisivat olleet riittämättömiä tai puutteellisia, vaan siitä, että toimitettavaksi säädettyjä tietoja ei rekisteröidyille ole lainkaan toimitettu. Tältä osin Viking Line Oy Abp:n toiminta ilmentää, että yhtiön toiminnassa ei ole riittävästi perehdytty voimassa olevaan lainsäädäntöön ja siitä johtuviin vaatimuksiin, mikä puolestaan ilmentää piittaamattomuutta laissa säädetystä.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

30. Kuten edellä on todettu, asiassa todetut rikkomiset ovat koskeneet rekisteröityjen terveydentilaa koskevia tietoja. Seuraamuskollegio on jo edellä kohdassa ”Luonne, vakavuus ja kesto, tietojenkäsittelyn luonne, laajuus tai tarkoitus” avioinut tällaisiin tietoihin kohdistuvien rikkomusten merkitystä seuraamusharkinnassa.

Raskauttavien ja lieventävien tekijöiden arviointi

Rekisterinpitäjän toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi

31. Edellä mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että rekisterinpitäjän olisi tehtävä kaikki voitavansa lieventääkseen rikkomisesta asianomaisille aiheutuvia seurauksia. Valvontaviranomainen voi ohjeen mukaan ottaa seuraamusmaksua laskiessaan huomioon tällaisen rekisterinpitäjän vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.

32. Viking Line Oy Abp on ilmoittanut ryhtyneensä korjaaviin toimenpiteisiin kantelijan oltua yhtiöön yhteydessä. Yhtiö oli ilmoituksensa mukaan ryhtynyt selvittämään asiaa jo ennen kuin asiaa on tietosuojavaltuutetun toimistossa ryhdytty selvittämään. Merkitystä on edellä mainitusti myös sillä, että Viking Line Oy Abp on ilmoittamansa mukaan ryhtynyt korjaaviin toimenpiteisiin jo yksittäisen rekisteröidyn yhteydenoton perusteella. Seuraamuskollegio suhtautuu positiivisesti tällaiseen tapaan ryhtyä toimeen.

Vastuun aste, ottaen huomioon rekisterinpitäjän 25 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet

33. Yleisen tietosuoja-asetuksen 25 artiklassa säädetysti rekisterinpitäjän on otettava toiminnassaan huomioon ”uusin tekniikka ja toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille”.

34. Kuulemiseen annetussa vastauksessa on korostettu sitä, että Viking Line Oy Abp on huolehtinut siitä, että kysymyksessä oleviin henkilötietoihin on ollut pääsy vain sellaisilla henkilöillä, joiden työtehtävien kannalta ja joiden työtehtäviin tiedot välittömästi ovat liittyneet ja ovat olleet tarpeellisia. Käyttöoikeuksien hallinnalla on siis huolehdittu siitä, että tietoja käsittelevät vain siihen oikeutetut henkilöt. Eheyden ja luottamuksellisuuden periaatetta puolestaan on kerrottu toteutetun muun muassa lokittamalla tietojärjestelmien tapahtumia.

35. Tehdyistä toimenpiteistä huolimatta MAPS-järjestelmään ei ole vuonna 2001 ollut mahdollista tallentaa kaikkia ICD-koodeja. Käytössä on näin ollen ollut vain osa koodeista. Tämä on puolestaan johtanut siihen, että sairauspoissaoloja on voitu tallentaa järjestelmään muulla koodilla kuin sairauspoissalo on myönnetty. Tämä virhetilanne on havaittu vasta sittemmin kantelijan yhteydenottojen jälkeen asiaa selvitettäessä. Viking Line Oy Abp:n eduksi on edellä mainitusti luettava se, että yhtiö on ilmoittamansa mukaan ryhtynyt korjaaviin toimenpiteisiin kantelijan yhteydenoton jälkeen ennen kuin asiaa on tietosuojavaltuutetun toimistossa ryhdytty selvittämään. Viking Line Oy Abp:n voidaan siis katsoa toteuttaneen oikea-aikaisia toimia siten, että todettua rikkomista on estetty jatkumasta pian sen jälkeen, kun rikkomus on tullut yhtiön aktiiviseen tietoon. Seuraamuskollegio ottaa tämän huomioon arviossaan lieventävänä seikkana.

Aiemmat vastaavat rikkomiset ja aikaisemmin määrätyt samaa asiaa koskevat toimenpiteet

36. Edelleen edellä mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että valvontaviranomaisen olisi arvioitava rikkomiseen syyllistyneen yksikön historiatietoja. Valvontaviranomaisen olisi otettava huomioon, että tältä osin arviointi voi olla hyvin laajaa, sillä minkä tahansa tyyppinen rikkominen, vaikka se poikkeaisi luonteeltaan valvontaviranomaisen nyt tutkimasta rikkomisesta, voi olla merkityksellinen arvioinnin kannalta, sillä se saattaa antaa yleisellä tasolla viitteitä riittämättömistä tiedoista tai tietosuojasäännösten noudattamatta jättämisestä.

37. Tietosuojavaltuutetun toimistossa ei ole tiedossa Viking Line Oy Abp:n aiempia tietosuojasääntelyn rikkomisia. Viking Line Oy Abp:lle ei liioin ole aiemmin määrätty nyt käsillä olevista rikkomuksista yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä. Seuraamuskollegio ei pidä edellä mainittua seuraamusmaksuarviossa lieventävänä tai raskauttavana tekijänä.

Yhteistyön aste valvontaviranomaisen kanssa, ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon

38. Niin ikään edelleen edellä mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että yhteistyön aste voidaan ottaa ”asianmukaisesti huomioon”, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Arvioitaessa yhteistyötä valvontaviranomaisen kanssa merkitystä voitaisiin antaa sille, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin asian tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä. Edelleen näissä ohjeissa todetusti ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.

39. Yleisen tietosuoja-asetuksen 31 artiklassa säädetysti rekisterinpitäjän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Rekisterinpitäjällä on niin ikään yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan ja tietosuojalain 18 §:n nojalla velvollisuus toimittaa pyydetyt tiedot valvontaviranomaiselle.

40. Viking Line Oy Abp:n rikkomiset ovat tulleet valvontaviranomaisen tietoon kantelun kautta. Seuraamuskollegio on kohtuullista seuraamusta punnitessaan ottanut huomioon sen, että Viking Line Oy Abp on vastannut viranomaisen selvityspyyntöihin määräajassa. Viking Line Oy Abp on ollut suhteessa tietosuojavaltuutetun toimistoon yhteistyökykyinen. Seuraamuskollegio ei kuitenkaan pidä edellä mainittua seikkaa seuraamusmaksuarviossa lieventävänä tai raskauttavana tekijänä.

Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät

41. Seuraamusmaksun määrää arvioitaessa seuraamuskollegio ottaa seuraamusmaksun määrää lieventävänä tekijänä huomioon sen, että matkailuala on kärsinyt pahoin koronapandemian aiheuttamista seurauksista.

42. Rekisterinpitäjä on myös edellä mainitusti ilmoittamansa mukaan ryhtynyt korjaamaan asiassa havaittuja puutteellisuuksia keskeisiltä osin oma-aloitteisesti. Rekisteröidyn oikeuksien toteuttamisessa havaittujen puutteiden voidaan katsoa koskevan nyt käsillä olevaa yksittäistapausta. Asiassa ei ole esitetty mitään sellaista, joka viittaisi tämän osalta rekisterinpitäjän säännönmukaiseen, yleisen tietosuoja-asetuksen vastaiseen toimintaan.

Lopuksi

43. Kuulemiseen annetussa vastauksessa on esitetty, että hallinnollista seuraamusmaksua ei tule määrätä sellaisista toimista, jotka mahdollisesti ovat olleet vastoin työelämän tietosuojalaissa tai muussa lainsäädännössä kuin yleisessä tietosuoja-asetuksessa säädettyä eikä näitä muuhun lainsäädäntöön perustuvia asioita annetun vastauksen mukaan tule ottaa huomioon seuraamusmaksuharkinnassa koventavina seikkoina. Tämän osalta seuraamuskollegio viittaa yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan d alakohdassa säädettyyn. Mainitun lainkohdan mukaan hallinnollinen seuraamusmaksu voidaan määrätä kaikista yleisen tietosuoja-asetuksen IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvien velvollisuuksien rikkomisista. Lisäksi viitataan yleisen tietosuoja-asetuksen 88 artiklassa säädettyyn. Jäsenvaltiot voivat antaa lakisääteisesti yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä oikeuksien ja vapauksien suojan varmistamiseksi.

44. Erikseen on vielä korostettava, että yleisen tietosuoja-asetuksen 88 artiklassa säädetty ei jätä kansallisen lainsäätäjän harkintaan sitä, rajataanko mainitun artiklan nojalla annetut kansalliset säädökset hallinnollisten seuraamusmaksujen soveltamisalan ulkopuolelle.

45. Yleisen tietosuoja-asetuksen 83 artiklan 7 kohdassa on säädetty hallinnollisten seuraamusmaksujen soveltamisalan rajaamisesta kansallisella lainsäädännöllä. Mitään muuta kansallista harkintamarginaalia suhteessa hallinnollisten seuraamusmaksujen soveltamisalaan ei ole.

Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun toimiston seuraamuskollegion jäsenet.

Tietosuojavaltuutettu Anu Talus

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa

Apulaistietosuojavaltuutettu Annina Hautala

Asian esitellyt ylitarkastaja Laura Varjokari

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Laura Varjokari, puh. 029 56 66771

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös on lainvoimainen.

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Lisää uusi kansio.

Lisää uusi väliotsikko.