5.9.2012 5/2012

Tunnistaminen - Ajanvaraus - Arkaluonteinen tieto - Ajanvarausjärjestelmä

Tietosuojalautakunta velvoitti Instru optiikka Oy:n muuttamaan asiakkaiden tunnistamistavan sellaiseksi, ettei sivullinen pelkästään rekisteröidyn nimen sekä henkilötunnuksen avulla pääse tarkastelemaan rekisteröidyn tietoja ja näönvaraukseen varattuja aikoja.

ASIA            Henkilötietolain 44 §:n mukainen hakemus

HAKIJA      Tietosuojavaltuutettu

REKISTERINPITÄJÄ

                    Instru optiikka Oy

HAKEMUS

Tietosuojavaltuutettu on pyytänyt tietosuojalautakuntaa velvoittamaan Instru optiikka Oy:n henkilötietolain (523/1999) 44 § 2 kohdan nojalla sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakon nojalla muuttamaan asiakkaiden tunnistamiseen liittyvää toimintatapaansa sähköisessä ajanvarausjärjestelmässä siten, ettei kuka tahansa, jolla on tiedossa toisen henkilön etu- ja sukunimi ja henkilötunnus pääse tarkastelemaan kyseisen henkilön tietoja ja näöntarkastukseen varattuja aikoja puutteellisen tunnistamisen seurauksena.

Hakemus kohdistuu rekisterinpitäjän sähköiseen ajanvarausjärjestelmään internetissä ja ajanvarausjärjestelmässä tapahtuvaan näöntarkastusajanvarausten tarjoamiseen, mitä koskevia tietoja on löydettävissä ainakin internet-sivustolta www.instru.fi.

Asian taustaa

Tietosuojavaltuutetun toimistoon on saapunut yhteydenottoja koskien Instru optiikka Oy:n ajanvarausjärjestelmää. Yhteydenottopyynnöt ovat koskeneet internetin kautta tehtävää näöntarkastuksen ajanvarausta, jonka kautta pääsee katsomaan omia tietojaan ja varattuja aikojaan nimen ja henkilötunnuksen avulla. Lisäksi ajanvarausjärjestelmässä on mahdollista muuttaa ja perua varattu aika kirjautumalla sisään ajanvarausjärjestelmään nimellä ja henkilötunnuksella. Tietosuojavaltuutetun toimisto on 30.12.2009 ottanut asian oma-aloitteisesti käsiteltäväkseen.

Tietosuojavaltuutetun toimisto on käsitellyt 2000-luvun aikana useita eri terveydenhuollon toimintayksiköiden sähköisiin ajanvarausjärjestelmiin kohdistuneita kanteluita. Kaikissa tapauksissa kyseessä on ollut vastaavanlaisesta tunnistamisesta sähköisessä ajanvarausjärjestelmässä eli tunnistamisesta, jossa ajanvarausjärjestelmään on kirjauduttu sisään antamalla nimi ja henkilötunnus. Sisään kirjautumisen jälkeen ajanvarausjärjestelmässä on voinut tarkastella nimen ja henkilötunnuksen omaavan henkilön tietoja ja varattuja aikoja. Lisäksi ajanvarausjärjestelmissä on sisään kirjautumisen jälkeen ollut mahdollisuus muuttaa ja perua varattu aika ja osassa ajanvarausjärjestelmiä on myös ollut mahdollisuus nähdä perustelut varatulle lääkärinajalle eli lääkärikäynnin syy.

Tietosuojavaltuutetun toimiston selvityspyyntöjen ja antaman ohjauksen johdosta kanteluiden kohteina olleet terveydenhuollon toimintayksiköt ovat muuttaneet internet-ajanvarausjärjestelmäänsä siten, että käyttöön on otettu erillinen varaustunniste. Tällaisessa ajanvarausjärjestelmässä asiakas saa erillisen varaustunnisteen ja jatkossa asiakas voi tarkastella omia tietojaan ja muuttaa tai perua varatun ajan varaustunnisteen avulla. Kanteluiden kohteina olleiden terveydenhuollon toimintayksiköiden sähköisissä ajanvarausjärjestelmissä ei ole enää voinut tarkastella ja muuttaa tai perua varattuja aikoja vain henkilön nimen ja henkilötunnuksen avulla, vaan asiakkaalta on edellytetty ajanvarauksen yhteydessä saadun varaustunnisteen käyttöä.

Tietosuojavaltuutetun toimisto on kiinnittänyt ohjauksessa huomiota siihen, tunnistavatko terveydenhuollon toimintayksiköt asiakkaat sähköisessä ajanvarausjärjestelmässä riittävällä ja lainsäädännön edellyttämällä tavalla. Huomiota on kiinnitetty erityisesti henkilötietojen luovuttamiseen sivulliselle ilman luovuttamiseen oikeuttavaa perustetta ja potilastietojen salassapitoon, kun henkilötunnusta tunnistusavaimena käyttäen sivulliselle paljastuu potilassuhde (laki potilaan asemasta ja oikeuksista 785/1992) 13 §). Lisäksi huomiota on kiinnitetty potilasturvallisuuden vaarantumiseen esimerkiksi tilanteessa, jossa henkilö hallussaan olevia toisen henkilön henkilötunnuksia käyttäen aiheettomasti peruuttaa tai muuttaa henkilön ajanvarauksia.

Tietosuojanäkökulmasta on huomioon otettava henkilötietolain (523/1999) 5 §:n mukainen huolellisuusvelvoite ja henkilötietolain 32 §, jonka mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta.

Hakemuksen perustelut

Tietosuojavaltuutettu on pyytänyt rekisterinpitäjä Instru optiikka Oy:ltä 12.2.2010 päivätyllä kirjeellä selvitystä mm. siitä, miten rekisterinpitäjä on varmistanut, ettei asiakkaiden tietosuojaa loukata ja onko rekisterinpitäjä huomioinut henkilötietolain 32 §:n edellyttämän tietojen suojaamisen sähköisessä ajanvarausjärjestelmässään. Lisäksi tietosuojavaltuutettu on tiedustellut 12.2.2010 päivätyssä selvityspyynnössä, mihin toimenpiteisiin Instru optiikka Oy on mahdollisesti ryhtynyt tai aikoo ryhtyä asian osalta. Instru optiikka Oy:n 25.3.2010 päivätyn vastauksen johdosta tietosuojavaltuutetun toimisto on järjestänyt tapaamisen Instru optiikka Oy:n edustajien kanssa 17.5.2011, jonka pohjalta tietosuojavaltuutetun toimisto on laatinut 7.6.2011 päivätyn ohjauskirjeen Instru optiikka Oy:lle.

Tietosuojavaltuutettu on todennut kyseisessä ohjauskirjeessä, että henkilötunnuksen käyttötarkoitus ei ole henkilöiden tunnistaminen, vaan henkilöiden erotteleminen toisistaan. Yksinomaan henkilötunnusta ei tule käyttää henkilöiden tunnistamiseen etäasiointitilanteissa, koska henkilötunnus saattaa olla muunkin kuin pelkästään asianosaisen henkilön tiedossa. Henkilön nimi ja henkilötunnus-yhdistelmä ei ole ainoastaan henkilön itsensä tiedossa oleva tieto, ja näin ollen tietosuojavaltuutetun käsityksen mukaan yhdistelmä ei yksinomaan sovellu henkilöiden luotettavaan tunnistamiseen etäasiointitilanteissa, esimerkiksi sähköisessä ajanvarauksessa internetissä. Henkilötunnusta voi kuitenkin käyttää asiakkaan yksilöimiseen yhtenä kysyttävänä tietona muiden ohella.

Kyseisessä ohjauskirjeessä tietosuojavaltuutettu on todennut katsovansa optikon ja silmälääkärin ajanvaraustiedon olevan potilastieto ja näin ollen arkaluonteiseksi tiedoksi luokiteltava tieto. Mikäli edellä mainittuja salassa pidettäviä ajanvaraustietoja otetaan vastaan sähköisen ajanvarauspalvelun kautta, tulee tietojen siirtyä vastaanottamisen jälkeen huolellisen ja luotettavan tunnistamisen taakse. Käytännössä tämä tarkoittaa sitä, että jos palvelun käyttäjä haluaa käydä katsomassa varattuja aikojaan tai muuttamassa tai perumassa varaamansa ajan, tulee hänet tunnistaa riittävän luotettavasti.

Tietosuojavaltuutettu katsoo, ettei rekisterinpitäjä tällä hetkellä tunnista sähköisessä ajanvarausjärjestelmässä asiakkaitaan tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset. Tietosuojavaltuutettu toteaa lisäksi, että saadun selvityksen mukaan rekisterinpitäjä ei ole henkilötietolain 32 §:n mukaan huolehtinut riittävästi tarpeellisista teknisistä ja organisatorisista toimenpiteistä henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Henkilötietolain kannalta arvioituna tunnistamisen laiminlyönti mahdollistaa sen, että kuka tahansa, jolla on tiedossa toisen henkilön etu- ja sukunimi ja henkilötunnus, pääsee tarkastelemaan kyseisen henkilön tietoja ja näöntarkastukseen varattuja aikoja ja pääsee muuttamaan tai perumaan henkilölle varatun ajan.

Tietosuojavaltuutettu katsoo, että asiakkaiden riittävän tunnistamisen laiminlyönti vaarantaa rekisteröityjen yksityisyyden suojaa. Tämän johdosta tietosuojavaltuutettu pyytää, että tietosuojalautakunta antaisi rekisterinpitäjälle henkilötietolain 44 §:n 2 kohdassa tarkoitetun määräyksen lopettaa tunnistamiseen liittyvä laiminlyönti, jonka seurauksena sivulliset voivat saada käsiteltäväkseen henkilötietoja ja arkaluonteisiksi tiedoiksi luokiteltavia henkilötietoja ilman henkilötietolain mukaista perustetta.                

KUULEMINEN

Instru optiikka Oy:n 21.3.2012 päivätty selitys

Instru optiikka Oy (jälj. Instru) pyytää tietosuojalautakuntaa hylkäämään tietosuojavaltuutetun vaatimukset.

Siinä tapauksessa, että tietosuojalautakunta päätyisi hyväksymään tietosuojavaltuutetun vaatimuksen velvoittaa Instru muuttamaan asiakkaiden tunnistamiseen liittyvää toimintatapaansa sähköisessä ajanvarausjärjestelmässä, pitää Instru uhkasakon määräämistä joka tapauksessa turhana ja katsoo, että sitä koskeva vaatimus on tässäkin tapauksessa hylättävä. Instru tulee vapaaehtoisesti noudattamaan sitä velvoittavaa päätöstä, joten uhkasakko olisi tässä tulkinnanvaraisessa tapauksessa paitsi kohtuuton myös tarpeeton seuraus.

Perustelut

Instrun järjestelmästä

Tietosuojavaltuutetun kuvaus Instrun internetpohjaisen ajanvarausjärjestelmän toiminnasta on kutakuinkin oikea. Instrun mukaan uuden asiakkaan on annettava itsestään seuraavat tiedot tehdessään ajanvarausta optikolle:

* etunimi
* sukunimi
* henkilötunnus
* puhelinnumero

Lisäksi uusi asiakas voi halutessaan antaa seuraavat tiedot:

* ammatti
* lähiosoite (pakollinen tieto silmälääkärillä aikaa varattaessa)
* postinumero (pakollinen tieto silmälääkärillä aikaa varattaessa)
* postitoimipaikka (pakollinen tieto silmälääkärillä aikaa varattaessa)
* sähköpostiosoite

Syöttämällä internetsivuille etu- ja sukunimen sekä henkilötunnuksen asiakas pääsee katsomaan järjestelmästä vain omia tulevia ajanvarauksiaan. Hän pääsee näkemään minä päivänä, mihin kellonaikaan ja missä liikkeessä hänen tuleva ajanvarauksensa on, ja kuka tarkastuksen tekee. Järjestelmä ei kerro mitään mahdolliseen hoitoon liittyvistä seikoista eli asiakas ei näe varsinaisia potilastietoja eikä pääse niihin millään tavoin puuttumaan. Asiakas näkee myös minkä tyyppisen varauksen hän on tehnyt.

Järjestelmä näyttää vain tulevat ajanvaraukset, menneitä aikoja asiakas ei pääse tarkastelemaan.

Lainsäädännöstä

Instrun käsitys on se, että yhtiön asiakkailleen tarjoama sähköinen ajanvarausjärjestelmä ei muodosta potilasasiakirjaa, eikä sisällä potilastiedoiksi tulkittavia tietotyyppejä asiakkaan terveydentilasta taikka häneen kohdistettavista hoitotoimenpiteistä. Ajanvaraustieto ei ole samalla tavoin arkaluontoinen tieto kuin terveyden- tai sairaanhoidon palveluja koskevat tiedot ovat.

Potilaan asemasta ja oikeuksista annetun lain 2 §:n mukaan potilasasiakirjoina pidetään ”potilaan hoidon järjestämisessä ja toteuttamisessa käytettäviä, laadittuja tai saapuneita asiakirjoja taikka teknisiä tallenteita, jotka sisältävät hänen terveydentilaansa koskevia tai muita henkilökohtaisia tietoja”.

Edellä mainittua lakia edeltäneen hallituksen esityksen (HE 185/1991) mukaan ”potilasasiakirjoja ovat potilasta koskevien hoito- ja tutkimustietojen lisäksi laboratorio- ja röntgenlähetteet, tulokset ja lausunnot, erilaiset potilaspäiväkirjat, luettelot ja kortistot, atk-tallenteet sekä ääni-, filmi- ja videotallenteet”.

Potilasasiakirjoista annetussa sosiaali- ja terveysministeriön asetuksen 298/2009 liitteessä on yksilöity potilasasiakirjoja sekä niiden säilytysaikoja. Kohdassa 20 käsitellään mm. ajanvarauspäiväkirjoja, jotka sisältävät ajanvaraustietoa. Päiväkirjat on säädetty säilytettäväksi 12 vuoden ajan viimeisen käynnin toteutumisesta.

Instrun asiakkaat varaavat ajan silmälääkäriltä tai optikolta tullakseen näöntarkastukseen tai hankkiakseen silmälasit. Ajanvarausjärjestelmän ”käynnin syy” alasveto tuo esiin seuraavat vaihtoehtoiset syyt:

* näöntarkastus, varaa aika 15-20 min.
* piilolinssitarkastus - uusi käyttäjä, varaa aika 30 min.
* piilolinssitarkastus – entinen käyttäjä, varaa aika 10-20 min.
* ajokorttitarkastus 45-vuotiaalle, sis. näöntarkastuksen, varaa aika 20 min.
* työnäkötarkastus työterveyshuollolle, varaa aika 20-30 min.
* silmälääkärin tutkimus, varaa aika 30-60 min.

Näön heikkeneminen ei ole sairaus: Optikolle tai Instrun silmälääkärille hakeudutaan nimenomaan siksi, että silmissä on tapahtunut refraktiivinen muutos (näön heikkeneminen), eikä sairauden toteamiseksi tai hoitamiseksi. Tällaista vaihtoehtoa järjestelmässä ei edes olisi tarjolla. Ajanvarausjärjestelmä ei sisällä Instrun asiakkaiden hoidon järjestämisessä tai toteuttamisessa käytettäviä, laadittuja tai saapuneita asiakirjoja: Järjestelmä ei myöskään sisällä tietoja asiakkaan hoito- tai tutkimustuloksista tai muista lausunnoista.

Ajanvarausjärjestelmää ei edellä viitatuissa säädöksissä myöskään ole mainittu potilasasiakirjana. Ajanvarausta sellaisena kuin se Instrun ajanvarausjärjestelmään kirjataan ja on siellä nähtävissä ei voida pitää potilastietona. Instru ylläpitää myös lainsäädännön edellyttämää ajanvarauspäiväkirjaa, mikä ei kuitenkaan ole sama kuin sähköinen ajanvarausjärjestelmä, ja näitä käsitellään myös toisistaan erillään ja erillisinä.

Instrun toiminnan arviointia

Tietosuojavaltuutettu väittää Instrun loukkaavan asiakkaidensa yksityisyyden suojaa ja että kyseessä olisi samalla huolellisuus-, suunnittelu- ja suojaamisvelvollisuuden laiminlyönti. Nämä väitteet Instru kiistää.

Instru noudattaa kaikessa toiminnassaan lakia ja hyviä tapoja. Tämä pätee myös potilas- ja muiden asiakastietojen käsittelyyn. Toiminta täyttää lainsäädännön asettamat vaatimukset niin huolellisuus-, suunnittelu- kuin suojaamisvelvoitteenkin osalta. Varausjärjestelmä sisältää tästä syystä vain itse tulevaa varausta koskevat tiedot, ei mitään muuta.

Instrun sähköinen ajanvarausjärjestelmä on ollut käytössä noin 1,5 vuotta, eikä Instrun tietoon ole tullut yhtään väärinkäyttötapausta, joiden mahdollisuuteen tietosuojavaltuutettu hakemuksessaan viittaa. Ei ole kuviteltavissa mitään syitä, miksi sellaisia olisi jatkossakaan odotettavissa. Ja vaikka joku kiusanteko- taikka muussa vastaavassa tarkoituksessa peruisi asiakkaan ajanvarauksen, on perusteetonta väittää tämän vaarantavan potilasturvallisuutta. Instruun ei hakeuduta sairauden toteamista tai hoitoa varten, vaan heikentyneen näön vuoksi tai näöntarkastukseen.

Ajanvarausjärjestelmän väärinkäyttö edellyttää, että joku tietää toisen nimen lisäksi henkilötunnuksen. Näiden on siis oltava väärinkäyttäjän tiedossa jo ennen Instrun järjestelmään toisen henkilön tiedoilla kirjautumista. Näin ollen järjestelmästä ei ole nähtävänä mitään sellaisia henkilötietoja, joita kyseinen henkilö ei jo tietäisi. Ajanvaraus on ainoa tieto, mitä väärinkäyttäjä ei ennakkoon mahdollisesti tiedä.

On vielä huomattava, että asiakas kirjoittaa itse tietonsa sähköiseen ajanvarausjärjestelmään eli tiedot saadaan asiakkaalta itseltään. Hänelle myös kerrotaan miten järjestelmä toimii ja miten hän voi varaamiaan aikoja muuttaa tai peruuttaa. Näin ollen on selvää, että myös tältä osin Instru täyttää henkilötietolain 5 §:n huolellisuusvelvoitteen eikä asiakkaiden yksityisyyden suojaa loukata. Järjestelmä samoin kuin varsinaiset potilastiedot sisältävä rekisteri on suunniteltu ja toteutettu myös tietosuojan vaatimukset huomioon ottaen, kuten sanotun lain 6 § edellyttää.

Tietosuojavaltuutettu viittaa vielä henkilötietolain 9 §:n 2 momenttiin ja toteaa, että rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle. Tässä käsittelyn tarkoitus on selvä: antaa asiakkaille yksinkertainen ja helposti hallinnoitava mahdollisuus varata aika Instrusta internetin välityksellä. Ajanvarausjärjestelmästä nähtävät tiedot eli ajanvarauksen ajankohta ja luonne eivät ole asiakkaan yksityisyyden näkökulmasta sen ydinaluetta eivätkä arkaluonteisia. Niiden merkitys rekisteröidyn yksityisyyden suojalle on kovin vähäinen.

Asiakkaan ei ole pakko käyttää sähköistä ajanvarausjärjestelmää, vaan ajan voi varata myös puhelimitse tai henkilökohtaisesti liikkeessä. Vapaaehtoisuus ja se, että asiakas itse nimenomaisesti täyttää pyydetyt tiedot sähköiseen ajanvarausjärjestelmään, osoittavat myös sen, ettei Instrun toimintaa voida moittia myöskään henkilötietolain 9 §:n perusteella.

Instru tunnistaa sähköisen ajanvarausjärjestelmän avulla asiakkaat asian ja tietojen yleisyyden vaatimalla riittävällä tavalla ja varmuudella. Koska kyse ei ole arkaluonteisesta eikä muistakaan lain tarkoittamista potilastiedoista, ei vahvaa tunnistamista tai esimerkiksi tietosuojavaltuutetun esittämää erillistä varaustunnusta voida eikä ole tarpeen käyttää taikka sellaista edellyttää. Ei puhelimitse tai henkilökohtaisesti liikkeessäkään tapahtuva tunnistaminen ole yhtään sen varmempi keino suojata asiakkaan varaustietoja tai estää väärinkäytöksiä. Nämäkin vaihtoehdot antavat teoreettisen mahdollisuuden esiintyä toisena henkilönä.

Todetaan lopuksi vielä se, että kyse on selvästi laintulkintakysymyksestä. Näin ollen uhkasakkoa ei pidä määrätä siinäkään tapauksessa, että tietosuojalautakunta hyväksyisi tietosuojavaltuutetun tulkinnan. Instrulla ei ole mitään syytä toimia toisin kuin mitä laki ja sitä velvoittavat viranomaismääräykset edellyttävät. Näin ollen uhkasakko ei olisi tässäkään tapauksessa tarpeen, vaan Instru muuttaa tarvittaessa vapaaehtoisesti järjestelmäänsä, mikäli siihen velvoittava päätös tulisi.

Tietosuojavaltuutetun vaatimukset tulee edellä esitetyin perustein hylätä.         

SOVELLETTAVA LAINSÄÄDÄNTÖ

Henkilötietolain 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaen huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisesti elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 11 §:n mukaan arkaluonteisten henkilötietojen käsittely on kielletty. Arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan: 1) rotua tai etnistä alkuperää; 2) henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista; 3) rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta; 4) henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia; 5) henkilön seksuaalista suuntautumista tai käyttäytymistä; taikka 6) henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.

Henkilötietolain 32 §:n mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA SEN PERUSTELUT

Tietosuojavaltuutettu on katsonut, että optikon ja silmälääkärin ajanvaraustieto on potilastieto ja näin ollen arkaluonteiseksi tiedoksi luokiteltava tieto. Instru optiikka Oy puolestaan katsoo, että sähköinen ajanvarausjärjestelmä ei muodosta potilasasiakirjaa. Instru optiikka Oy katsoo, että kyse ei ole arkaluonteisista eikä muistakaan lain tarkoittamista potilastiedoista ja näin ollen vahvaa tunnistamista tai esimerkiksi tietosuojavaltuutetun esittämää erillistä varaustunnusta ei ole tarpeen käyttää, eikä sellaista voida edellyttää.

Henkilötietolain 11 §:n mukaan arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia.

Laissa terveydenhuollon ammattihenkilöistä (559/1994) terveydenhuollon ammattihenkilöksi määritellään henkilö, joka kyseisen lain nojalla on saanut ammatinharjoittamisoikeuden (laillistettu ammattihenkilö) tai ammatinharjoittamisluvan (luvan saanut ammattihenkilö), sekä henkilö, jolla kyseisen lain nojalla on oikeus käyttää valtioneuvoston asetuksella säädettyä terveydenhuollon ammattihenkilön ammattinimikettä (nimikesuojattu ammattihenkilö). Lääkäri ja optikko ovat laillistettuja ammattihenkilöitä.

Ajanvaraustiedosta käy ilmi asiakkuussuhde rekisteröidyn ja terveydenhuollon ammattilaisen välillä sekä minkä tyyppistä asiointia varten aika on varattu. Kyseessä olevan tiedon voidaan näin ollen katsoa kuvaavan henkilön terveydentilaa. Henkilötietolain 11 §:n 4 kohdan mukaan jo henkilön terveydentilaa kuvaava tieto on arkaluontoinen tieto.

Henkilötietolain 32 §:n mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta.

Ajanvarausjärjestelmään rekisteröidytään nimen ja henkilötunnuksen avulla. Nämä tiedot voivat helposti olla muunkin kuin asianomaisen henkilön itsensä tiedossa. Sähköinen ajanvarausjärjestelmä mahdollistaa käytännössä myös järjestelmän asiattoman käytön helpommin kuin perinteiset ajanvaraustavat. Juuri tämä automaattisessa tietojenkäsittelyssä henkilön yksityisyydelle syntyvä lisääntynyt riski on koko kansainvälisen henkilötietojen suojaa koskevan sääntelyn lähtökohtana.

Ottaen huomioon kyseessä olevien tietojen laatu toteutettuja suojaustoimia ei voida pitää riittävinä. Suojaustason nostaminen olisi mitä ilmeisimmin mahdollista teknisesti ja ilman merkittäviä kustannuksia, esimerkiksi erityisen asiointitunnisteen käytöllä.

Henkilötietolain 1 §:n mukaan henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Tähän pyritään lain kaikki säännökset huomioon ottavan huolellisuusvelvoitteen sekä hyvän tietojenkäsittelyn avulla.

Huolellisuusvelvoite velvoittaa rekisterinpitäjän pyrkimään oma-aloitteisesti huolehtimaan siitä, että henkilötietojen käsittely toteutetaan ottaen huomioon yksityisyyden suojaa turvaavat säännökset ja periaatteet. Hyvään tietojenkäsittelytapaan sisältyvät muun muassa yksityisyyttä tukevat menettelytavat henkilötietoja käsiteltäessä. Jättäessään varmistamatta, että henkilötiedot on suojattu henkilötietolain 32 §:n edellyttämällä tavalla, Instru optiikka Oy ei ole myöskään toiminut henkilötietolain 5 §:n huolellisuusvelvoitteen edellyttämällä tavalla.

Päätös

Tietosuojalautakunta määrää henkilötietolain 44 §:n 2 kohdan nojalla Instru optiikka Oy:n viipymättä muuttamaan asiakkaiden tunnistamistavan sellaiseksi, ettei sivullinen pelkästään rekisteröidyn nimen sekä henkilötunnuksen avulla pääse tarkastelemaan rekisteröidyn tietoja ja näöntarkastukseen varattuja aikoja.

Instru optiikka Oy:n tulee viipymättä ilmoittaa tietosuojavaltuutetulle, mihin toimenpiteisiin se on ryhtynyt tämän päätöksen noudattamiseksi.

Tietosuojavaltuutettu on pyytänyt tietosuojalautakuntaa tarvittaessa määräämään uhkasakon. Rekisterinpitäjä on ilmoittanut noudattavansa tietosuojalautakunnan päätöstä. Näin ollen tietosuojalautakunta katsoo, ettei ole tarvetta määrätä uhkasakkoa.                  

SOVELLETUT SÄÄNNÖKSET

                      Henkilötietolaki 1 §, 5§, 11 §, 32 § ja 44 §:n 2 mom.

Päätöksen tekemiseen ovat osallistuneet tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Lea Mäntyniemi, Eila Ratasvuori, Hannu Rautiainen, Ahti Saarenpää, Pertti Saloranta ja Tuula Sario.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.