TSV 17.11.2022
Rekisteröidyn oikeuksien käyttämisen helpottaminen ja tarkastusoikeuden toteuttaminen
tarkastusoikeus - potilastiedot
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 17.11.2022 |
| Diaarinumero: | 3320/152/19 |
Apulaistietosuojavaltuutetun päätös rekisteröidyn oikeudesta saada tutustua tietoihin
Asia
Rekisteröidyn oikeus saada tutustua tietoihin
Rekisterinpitäjä
Sairaanhoitopiiri
Rekisteröidyn vaatimukset
Rekisteröity on pyytänyt sähköpostitse rekisterinpitäjän edustajaa toimittamaan sähköpostitse rekisteröidyn potilastietoja sisältävän potilasasiakirjan.
Rekisteröity on saattanut tietosuojavaltuutetun toimiston tietoon rekisteröidyn pyynnön rekisteröidyn oikeuksia koskevan määräyksen antamiseksi. Rekisteröidyn mukaan hän ei ole saanut itselleen lausuntoa, eikä ole siten saanut tutustua tietoihinsa.
Rekisterinpitäjältä saatu selvitys
Tietosuojavaltuutetun toimisto on 11.6.2021 pyytänyt rekisterinpitäjältä selvitystä asiasta. Rekisterinpitäjä on antanut selvityksensä, joka on saapunut tietosuojavaltuutetun toimistoon 30.6.2021.
Rekisterinpitäjän antamassa selvityksessä todetaan, että rekisteröidyn tietopyyntöön vastaamisessa on toimittu sairaanhoitopiirin ohjeistuksen mukaisesti ja että potilasasiakirjojen luovuttamisessa pidetään ehdottoman tarpeellisena varmistua pyytäjän henkilöllisyydestä. Rekisterinpitäjän selvityksen mukaan sähköisessä asioinnissa tämä tarkoittaa vahvaa tunnistautumista ja että potilasasiakirjoja ei lähtökohtaisesti lähetetä sähköpostitse.
Edelleen selvityksessä todetaan seuraavasti:
”[Rekisteröityä] on neuvottu useampaan kertaan vahvaa tunnistautumista käyttävän sähköisen tietopyynnön tekemisessä ja kerrottu muista käytettävissä olevista vaihtoehdoista pyydetyn tiedon toimittamiseksi ja saamiseksi. Hän on kuitenkin halunnut tietonsa ainoastaan sähköpostilla, ja tätä ei ole pidetty tuolloin tietoturvallisena vaihtoehtona.”
Selvityksessä todetaan vielä lisäksi:
”Potilas olisi halunnut tiedot sähköpostitse. Näin menetellen tietopyytäjän henkilöllisyyttä ei olisi luotettavasti pystynyt varmentamaan, minkä vuoksi henkilöä pyydettiin ottamaan yhteyttä häntä hoitavaan lääkäriin tai lähettämään tietopyyntölomake.”
Selvityksessä todetaan vielä, että potilas ei syystä tai toisesta halunnut tehdä virallista tietopyyntöä. Selvityksessä todetaan lopuksi myös, että tietoja ei ole kieltäydytty antamasta.
Rekisteröidyn vastine
Tietosuojavaltuutetun toimisto on 20.12.2021 pyytänyt rekisteröityä antamaan asiassa mahdollisen vastineensa. Rekisteröity on antanut vastineensa osana 28.12.2021-30.12.2021 tietosuojavaltuutetun toimiston kanssa käymiään sähköpostikeskusteluja.
Rekisteröity toteaa vastineessaan seuraavaa:
”Kuten olin jo asiaa hoitaessani todennut, [sairaanhoitopiirin] ohjeissa todetaan [sairaanhoitopiirin] sisäisten viestien olevan tietoturvallisia eli ongelmaa ei ollut. Vastaajat eivät siis tunne [sairaanhoitopiirin] tietoturvakäytäntöjä.
Lisäksi se, että asioin [sairaanhoitopiirin] sähköpostilla todensi henkilöllisyyteni. Ei siis ole totta, että sähköpostillani voisi asioida muita kuin minä. [Sairaanhoitopiirin] palvelimeen kirjaudutaan varmennekortilla ja tunnusluvulla.”
Rekisteröity toteaa lisäksi vielä seuraavaa:
”Mailaan tässä vielä uudestaan sen alkuperäisen pyynnön, mistä ilmenee [sairaanhoitopiirin] tosiasialliset ohjeet, joita [rekisterinpitäjän edustaja] siis ei ollut ymmärtänyt sekä [sairaanhoitopiirin] tietoliikteen turvallisuuden. Liitteenä on siis pyyntö, josta tosiasiallisesti kieltäydyttiin.
[Rekisterinpitäjän edustaja] oli tosiasiallisesti identifioinut minut, joten on tekosyy väittää, ettei hän ollut varma, kuka olen. Hän näki jopa kuvani - [sairaanhoitopiirin] sisäisessä sähköpostiliikenteessä näin on. Olen varmistanut [sairaanhoitopiirin] tietohallinnoltakin nyt, että [sairaanhoitopiirin] sähköposti on luotettava - posti tulee siltä, jolta se vaikuttaa tulevan ja se on sisäisesti turvallinen.
J os olisin paperilla toimittanut lomakkeen samoin tiedoin, mitkä [rekisterinpitäjän edustajalla] jo oli, se ei olisi ollut turvallisempaa vaan päinvastoin. Paperin olisi voinut kuka tahansa lähettää, sen sijaan [sairaanhoitopiirin] sähköpostiliikenteessä oli selvää, että olin se, joka väitin olevani.
[Rekisterinpitäjän edustaja] siis vain hankaloitti potilaan asian etenemistä vaatimalla pyyntöä toisin kuin se oli jo toimitettu (pyyntö oli vapaamuotoinen pyyntö kuten [sairaanhoitopiirin] ohjeiden mukaan oli hyväksyttävä). Hänen olisi tullut ottaa pyyntö vastaan ja toimittaa lausunto. Hänen olisi siis tullut toimia [sairaanhoitopiirin] ohjeiden mukaan. Jos hän koki puutteellisten tietojensa pohjalta sähköpostilähetyksen turvattomaksi, hän olisi voinut lähettää sen paperilla osoitteeseeni, joka hänellä oli käytettävissään kyseisessä [sairaanhoitopiirin] sähköpostipalvelimessa tai jos hän ei sitä olisi osannut lukea, hän olisi voinut sen erikseen pyytää.
Tämä on hyvin yksiselitteinen omien tietojen saamisen epääminen eikä tätä nyt tietotekniikan puutteellisten tietojen vuoksi voi muuksi muuttaa.”
Sovellettavasta lainsäädännöstä
Henkilötietojen käsittelystä säädetään Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (jatkossa EU:n yleinen tietosuoja-asetus). EU:n yleistä tietosuoja-asetusta ja sen kansallista soveltamista täsmentää ja täydentää tietosuojalaki (1050/2018).
Oikeudellinen kysymys
Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti EU:n yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.
Asiassa on ratkaistava:
1) onko rekisterinpitäjä toteuttanut EU:n yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa edellytetyllä tavalla asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 artiklan mukaiset tiedot; ja
2) onko rekisterinpitäjä helpottanut EU:n yleisen tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden käyttämistä 12 artiklan 2 kohdassa edellytetyllä tavalla ja 12 artiklan 6 kohta huomioiden; sekä
3) onko asiassa käytettävä EU:n yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.
Apulaistietosuojavaltuutetun päätös ja perustelut
Päätös
Rekisterinpitäjä ei ole toteuttanut EU:n yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa edellytetyllä tavalla asianmukaisia toimenpiteitä toimittaakseen rekisteröidylle 15 artiklan mukaiset tiedot.
Rekisterinpitäjä ei ole riittävästi helpottanut EU:n yleisen tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden käyttämistä 12 artiklan 2 kohdassa edellytetyllä tavalla ja 12 artiklan 6 kohta huomioiden.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle EU:n yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen noudattaa rekisteröidyn pyyntöä saada tutustua tietoihin.
Rekisterinpitäjän tulee toimittaa rekisteröidylle 15 artiklan 3 kohdan mukaisesti jäljennös käsiteltävistä henkilötiedoista.
Perustelut
Rekisteröidyn oikeus saada tutustua tietoihin
Henkilötietojen käsittelystä säädetään edellä mainitusti EU:n yleisessä tietosuoja-asetuksessa. EU:n yleistä tietosuoja-asetusta ja sen kansallista soveltamista täsmentää ja täydentää tietosuojalaki (1050/2018). Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).
Potilastiedot ovat henkilötietoja. Potilastietojen käsittelyyn ja niitä koskevaan rekisteröidyn oikeuksia koskevaan pyyntöön sovelletaan EU:n yleistä tietosuoja-asetusta sekä potilastietojen käsittelyä koskevaa kansallista lainsäädäntöä.
EU:n yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaisesti rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.
EU:n yleisen tietosuoja-asetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada tutustua omiin tietoihinsa. EU:n yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Samaisen 15 artiklan 3 kohdan mukaan myös, jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.
EU:n yleisen tietosuoja-asetuksen johdanto-osan 64 kohdan mukaan rekisterinpitäjän on käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa tutustua tietoihin. Tähän on kiinnitettävä erityistä huomiota verkkopalvelujen ja verkkotunnistetietojen yhteydessä.
Yllä todettu huomioiden rekisterinpitäjä ei ole toteuttanut EU:n yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa edellytetyllä tavalla asianmukaisia toimenpiteitä toimittaakseen rekisteröidylle 15 artiklan mukaiset tiedot. Tiedot sisältänyt, pyydetty potilasasiakirja on jäänyt toimittamatta rekisteröidylle.
Rekisterinpitäjän velvollisuus helpottaa rekisteröidyn oikeuksien käyttämistä
EU:n yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. EU:n yleisen tietosuoja-asetuksen 12 artiklan 6 kohdan mukaan puolestaan, jos rekisterinpitäjällä on perusteltua syytä epäillä 15 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.
Rekisteröidyn ja rekisterinpitäjän edustajan yhteydenpidossaan käyttämät sähköpostitilit ovat olleet molemmat osa rekisterinpitäjän käyttämää sähköpostipalvelua, jolloin kyseessä on ollut rekisterinpitäjän käyttämän palvelimen sisäinen sähköpostikirjeenvaihto. Todettakoon, että asiassa ei kuitenkaan ole ollut kyse rekisteröidyn työtehtäviin kuuluvasta asiasta, vaan hänen rekisteröidyn oikeuksien käyttämisestä yksityisasiassa.
Rekisterinpitäjä käsittelee erityisiin henkilötietoryhmiin kuuluvia, terveydentilaa koskevia salassapidettäviä potilastietoja. Rekisteröidyn tekemässä pyynnössä rekisterinpitäjälle on ollut kyse pyynnöstä saada tutustua omiin potilastietoihin. Rekisterinpitäjä on määrittelemänsä prosessin mukaisesti varmistanut sähköisessä asioinnissa kyseisenlaisten pyyntöjen toteuttamiseksi tiedot pyytäneen henkilön henkilöllisyyden, jonka jälkeen pyynnön on voinut tehdä rekisterinpitäjälle täyttämällä sähköisen potilasasiakirjapyynnön.
Rekisterinpitäjä käsittelee erityisiin henkilötietoryhmiin kuuluvia, terveydentilaa koskevia salassapidettäviä potilastietoja. Rekisteröidyn tekemässä pyynnössä rekisterinpitäjälle on ollut kyse pyynnöstä saada tutustua omiin potilastietoihin. Rekisterinpitäjä on määrittelemänsä prosessin mukaisesti varmistanut sähköisessä asioinnissa kyseisenlaisten pyyntöjen toteuttamiseksi tiedot pyytäneen henkilön henkilöllisyyden, jonka jälkeen pyynnön on voinut tehdä rekisterinpitäjälle täyttämällä sähköisen potilasasiakirjapyynnön.
Koska rekisteröity ei ole esittänyt pyyntöä rekisterinpitäjän määrittelemän prosessin edellyttämällä tavalla, ei rekisterinpitäjä ole siten ratkaissut rekisteröidyn pyyntöä saada tutustua tietoihin. Rekisterinpitäjä ei ole siten myöskään evännyt rekisteröidyn pyyntöä saada tiedot.
Ottaen huomioon, että rekisterinpitäjä on saatujen selvitysten perusteella pyrkinyt ohjeistamaan ja tukemaan rekisteröityä pyynnön tekemisessä ja mahdollistanut myös muita tapoja rekisteröidyn oikeuden käyttämiseksi, ei rekisterinpitäjän määrittelemää ja käyttämää prosessia tiedot pyytäneen henkilön henkilöllisyyden varmistamisessa sähköisessä asioinnissa voida pitää kohtuuttomana.
Yllä todetusta huolimatta, rekisterinpitäjä ei ole kuitenkaan tässä yksittäistapauksessa riittävästi helpottanut EU:n yleisen tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden käyttämistä 12 artiklan 2 kohdassa edellytetyllä tavalla ja 12 artiklan 6 kohta huomioiden.
Rekisterinpitäjä on rekisteröidyn ja rekisterinpitäjän edustajan välisten lähettämiensä sähköpostiviestien perusteella tullut tosiasiallisesti varmistuneeksi pyynnön tehneen rekisteröidyn henkilöllisyydestä. Rekisterinpitäjän olisi tullut toteuttaa rekisteröidyn pyyntö saada tutustua omiin tietoihin sen sijaan, että se edellytti tässä yksittäistapauksessa rekisteröidyltä vielä määrittelemänsä prosessin mukaista toimintatapaa henkilöllisyyden varmistamisen osalta.
Korjaavien toimivaltuuksien käyttäminen
EU:n yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaan jokaisella valvontaviranomaisella on toimivalta määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä.
Tietosuojalain 8 §:n mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.
Yllä kuvatuilla perusteilla apulaistietosuojavaltuutettu antaa rekisterinpitäjälle EU:n yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen noudattaa rekisteröidyn pyyntöä saada tutustua tietoihin.
Rekisterinpitäjän tulee siten toimittaa rekisteröidylle 15 artiklan 3 kohdan mukaisesti jäljennös käsiteltävistä henkilötiedoista.
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Asian on esitellyt ylitarkastaja Jussi Vaanola.
Asian on ratkaissut apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa.
Päätös on lainvoimainen.