Go to front page
Data Protection Ombudsman

10.2.2025

Data Protection Ombudsman

Decisions of the Data Protection Ombudsman on the interpretation of the EU General Data Protection Regulation, the Act on the Processing of Personal Data in Criminal Matters and the Personal Data Act

Rekisteröidyn oikeus tutustua lokitietoihin

Keywords
tarkastusoikeus, lokitiedot
Year of case
2025
Date of Issue
Register number
TSV/1507/2024
Legal basis
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Apulaistietosuojavaltuutetun päätös

Asia

Rekisteröidyn oikeus tutustua lokitietoihin

Rekisterinpitäjä

[Terveydenhuollon palvelunantaja]

Rekisteröidyn vaatimus perusteluineen

Rekisteröity on saattanut 11.2.2024 tietosuojavaltuutetun toimistossa vireille asian, joka koskee oikeutta tutustua lokitietoihin.

Rekisteröity on 22.9.2023 pyytänyt rekisterinpitäjän tarjoamalla lokitietojen saamista koskevalla lomakkeella rekisterinpitäjää toimittamaan hänelle [sairaalaa] ja [terveyskeskuksia] koskevat lokitiedot pyyntöä edeltävän kahden vuoden ajalta. Rekisterinpitäjä on vastannut rekisteröidyn pyyntöön 9.10.2023 ja toimittanut rekisteröidylle tietoja kahden vuoden ajalta. Rekisterinpitäjän toimittamissa tiedoissa on tieto rekisteröidyn potilastietoja käsitelleistä henkilöistä ja heidän roolistaan rekisterinpitäjän toiminnassa.

Rekisteröity on 14.11.2023 pyytänyt lisäselvityspyynnöllä saada rekisterinpitäjältä tiedot tarkemmista henkilötietojen käsittelyn ajankohdista [sairaalassa], jotta hän voi yhdistää tietoja käsitelleet henkilöt ja käyttöajat saadakseen tarkemman kuvan henkilötietojen käsittelystä. Rekisteröidyn mukaan hän ei ollut saanut vastausta pyyntöönsä asian tullessa vireille tietosuojavaltuutetun toimistossa.

Rekisteröity on 28.2.2024 vastannut tietosuojavaltuutetun toimiston lisätietopyyntöön, ettei hän ole saanut rekisterinpitäjältä vastausta pyyntöönsä. Rekisteröidyn mukaan hänen rekisterinpitäjältä saamansa lokitiedot olivat puutteelliset, koska niistä puuttui tieto tietojen käsittelyn ajankohdista ja tieto siitä, kenelle tietoja on luovutettu.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjältä on pyydetty asiassa selvitystä 30.5.2024. Rekisterinpitäjä on vastannut selvityspyyntöön 11.6.2024.

Rekisterinpitäjän mukaan rekisteröidyn 22.9.2023 päivätty lokitietopyyntö on vastaanotettu ja jaettu vastattavaksi [sairaalapalveluihin] ja [sosiaali- ja terveyspalveluihin]. Rekisterinpitäjän mukaan nämä tulosalueet toimivat eri potilastietojärjestelmillä ja lokitietoraporttien toimitus tapahtuu eri reittejä. Rekisterinpitäjä toteaa, että rekisteröidylle on lähetetty perusmuotoinen lokitietoraportti [sairaalapalveluista] 9.10.2023. Rekisterinpitäjä kertoo, että [sosiaali- ja terveyspalveluista] on rekisteröidylle lähetetty vastaava selvitys 10.10.2023.

Rekisterinpitäjän mukaan rekisteröity on tämän jälkeen tehnyt kaksi lisäselvityspyyntöä 14.11.2023, joista toinen on osoitettu [sosiaali- ja terveyspalveluihin] ja toinen [sairaalapalveluihin]. Rekisterinpitäjä kertoo, että [sairaalapalveluihin] osoitettu pyyntö on jäänyt huomioimatta ja siksi rekisteröidyn lisäselvityspyyntöön ei ole vastattu.

Rekisterinpitäjän mukaan [sairaalapalveluissa] on käytössä [edeltävän rekisterinpitäjän] aiemmin käytössä ollut perusmuotoinen lokiraportti, joka sisältää kaksi eri listausta: 1) henkilöt (nimi, ammattinimike ja tulosryhmä), jotka ovat käsitelleet perushallinnollisia tietoja ja 2) henkilöt, jotka ovat käsitelleet itse potilaskertomuksen tietoja. Rekisterinpitäjän mukaan [sairaalapalveluissa] on tunnistettu, ettei perusmuotoinen lokiraportti täytä Terveyden ja hyvinvoinnin laitoksen vaatimuksia perusmuotoisesta lokiraportista, koska se ei kerro ajankohtaa, jolloin henkilö on tietoja käsitellyt.

Rekisterinpitäjä toteaa, että [sairaalan] täysi käyttöloki on Excel-muotoinen eikä sovellu tilanteeseen, jossa henkilö pyytää esim. kahden vuoden ajalta tiedot ajankohdista, jolloin eri henkilöt ovat käyttäneet potilastietoja. Rekisterinpitäjän mukaan Excel-raportin perusteella pystytään kuitenkin vastaamaan tarkasti yksittäistä tai muutamia henkilöitä koskeviin lisäselvityspyyntöihin.

Rekisterinpitäjän mukaan se on 7.6.2024 lähettänyt rekisteröidylle ilmoituksen siitä, että rekisteröidylle ei pystytä tällä hetkellä toimittamaan tämän pyytämää lokitietoraporttia, mutta se lähetetään heti, kun tietojärjestelmästä saadaan kyseinen raportti.

Rekisteröidyn vastine

Rekisteröidyltä on pyydetty asiassa lisätietoja 30.12.2024 ja rekisteröity on antanut asiassa vastineen samaisena päivänä.

Rekisteröidyn mukaan hän ei ole vielä saanut lokitietoja. Rekisteröidyn mukaan hän on saanut 7.6.2024 päivätyn kirjeen rekisterinpitäjältä. Sen perusteella vaatimusten edellyttämiä lokitietoja ei ole pystytty toimittamaan tai hakemaan. Rekisteröity toteaa, että ilman yksilöintimahdollisuutta tiedoilla ei ole merkitystä hänelle. Rekisteröidyn mukaan lokitiedot pitäisi olla saatavissa sellaisenaan, ei muokattuna tai käsiteltynä.

Sovellettava lainsäädäntö

Henkilötietojen käsittelystä säädetään yleisessä tietosuoja-asetuksessa. Yleistä tietosuoja-asetusta täsmentää ja täydentää tietosuojalaki (1050/2018).

Oikeudesta tutustua tietoihin säädetään yleisen tietosuoja-asetuksen 15 artiklassa. Oikeuden toteuttamisessa noudatettavasta menettelystä säädetään yleisen tietosuoja-asetuksen 12 artiklassa.

Rekisteröidyn oikeudesta saada tutustua tietoihin säädetään yleisen tietosuoja-asetuksen 15 artiklassa. Yleisen tietosuoja-asetuksen 15 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkemmin luetellut muut tiedot henkilötietojen käsittelystä. Artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista.

Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.

Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.

Yleisen tietosuoja-asetuksen 12 artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (784/2021, asiakastietolaki) 26 §:n 1 momentin mukaan asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten palvelunantajalta kirjallisesta pyynnöstä kohtuullisessa ajassa ja viimeistään kahden kuukauden kuluessa lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. (1.1.2024 asiakastietolaki 784/2021 on kumottu ja voimaan on tullut laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023). Uuden asiakastietolain 11 §:ssä on säädetty aiemman lain 26 §:ää vastaavalla tavalla oikeudesta saada lokitiedot. Koska nyt tarkasteltavana olevassa asiassa rekisteröity on esittänyt pyynnöt saada lokitiedot ennen 1.1.2024, sovelletaan asiassa sittemmin kumottua asiakastietolakia 784/2021.)

Asiakastietolain 26 §:n 2 momentin mukaan asiakkaalla ei kuitenkaan ole oikeutta saada lokitietoja, jos sen, jolta niitä pyydetään, tiedossa on, että niiden antamisesta saattaisi aiheutua vakavaa vaaraa asiakkaan terveydelle tai hoidolle taikka jonkun muun oikeuksille. Myöskään kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen kuin omien asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä ja toteuttamista varten.

Asiakastietolain 26 §:n 4 momentin mukaan, jos palvelunantaja katsoo, ettei lokitietoja saa antaa asiakkaalle, kieltäytymisestä on tehtävä kirjallinen päätös. Asia voidaan saattaa tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti.

Yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan a alakohdan mukaan tietosuojavaltuutetun toimisto voi määrätä rekisterinpitäjän ja henkilötietojen käsittelijän ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaan tietosuojavaltuutetun toimisto voi antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle huomautuksen, jos käsittelytoimet ovat olleet yleisen tietosuoja-asetuksen säännösten vastaisia.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaan tietosuojavaltuutetun toimisto voi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän noudattamaan rekisteröidyn pyyntöjä, jotka koskevat yleiseen tietosuoja-asetukseen perustuvien rekisteröidyn oikeuksien käyttöä.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaan tietosuojavaltuutetun toimisto voi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian yleisen tietosuoja-asetuksen sekä sitä täydentävän ja täsmentävän tietosuojalain ja potilastietojen käsittelyä koskevan erityislainsäädännön pohjalta.

Apulaistietosuojavaltuutettu arvioi tässä päätöksessä ainoastaan rekisteröidyn oikeuksia koskevien pyyntöjen toteuttamista. Tässä päätöksessä ei arvioida sitä, täyttääkö rekisterinpitäjän lokitietojärjestelmä ja lokitietoraportti lain edellyttämät vaatimukset.

Apulaistietosuojavaltuutetun on ratkaistava

- onko rekisterinpitäjä toteuttanut rekisteröidyn esittämän pyynnön saada lokitiedot yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan ja asiakastietolain 26 §:n edellyttämällä tavalla; ja

- tuleeko rekisterinpitäjälle antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c ja d alakohtien mukainen määräys noudattaa rekisteröidyn pyyntöä saada lokitiedot;

- onko rekisterinpitäjä käsitellyt rekisteröidyn lokitietopyynnön yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohtien edellyttämässä määräajassa; ja

- jos ei ole, tuleeko apulaistietosuojavaltuutetun antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus 12 artiklan 3 ja 4 kohtien rikkomisesta.

Apulaistietosuojavaltuutetun päätös ja perustelut

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle määräyksen toteuttaa rekisteröidyn pyyntö lokitietojen saamiseksi siltä osin, kuin rekisterinpitäjä ei ole luovuttanut rekisteröidylle yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan ja asiakastietolain 26 §:n edellyttämiä tietoja. Tämän määräyksen nojalla rekisterinpitäjän tulee luovuttaa rekisteröidylle tiedot ajankohdista, jolloin rekisteröidyn tietoja on käsitelty sekä tiedot käsittelyn tarkoituksista. Määräys perustuu asiakastietolain 26 §:ssä säädetyn tiedonsaantioikeuden osalta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohtaan, ja yleisen tietosuoja-asetuksen 15 artiklassa säädetyn tiedonsaantioikeuden osalta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohtaan. Apulaistietosuojavaltuutettu määrää rekisterinpitäjän toteuttamaan rekisteröidyn pyynnön viivytyksettä.

Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan a alakohdan nojalla rekisterinpitäjän ilmoittamaan tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 15.4.2025 mennessä, ellei rekisterinpitäjä hae muutosta tähän päätökseen. Mikäli apulaistietosuojavaltuutetun päätöksessä annettuun määräykseen haetaan muutosta, eikä apulaistietosuojavaltuutetun päätös muutoksenhaun johdosta määräyksen osalta muutu, selvitys toimenpiteistä tulee ilman erillistä pyyntöä toimittaa tietosuojavaltuutetun toimistolle kahden kuukauden kuluessa siitä, kun muutoksenhaku on lopullisesti ratkaistu.

Rekisterinpitäjälle ei anneta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaista huomautusta rekisteröidyn pyynnön käsittelyn viivästymisestä.

Perustelut

Lokitietojen saaminen

Tietosuojavaltuutettu on aiemmin katsonut, etteivät käyttäjälokitiedot koske sitä henkilöä, jota koskevien tietojen käytönvalvonnassa ne syntyvät. Tietosuojavaltuutetun aiempi näkemys on näin ollen ollut, ettei rekisteröidyllä ole yleisen tietosuoja-asetuksen 15 artiklan nojalla oikeutta saada lokitietoja, koska lokitiedot eivät koske rekisteröityä itseään, vaan ne kuvaavat esimerkiksi rekisteröidyn tietoja käsitelleitä työntekijöitä.

Euroopan unionin tuomioistuimen 22.6.2023 antama ratkaisu asiassa C-579/21 on kuitenkin muuttanut tietosuojavaltuutetun aiempaa käsitystä lokitietojen saamisesta yleisen tietosuoja-asetuksen 15 artiklan nojalla. Euroopan unionin tuomioistuin arvioi ratkaisussa sitä, onko rekisteröidyllä oikeutta saada lokitiedot yleisen tietosuoja-asetuksen 15 artiklan nojalla. Euroopan unionin tuomioistuin totesi, että rekisteröidyllä on yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeus saada tietää henkilötietoihinsa tehtyjen kyselytoimien ajankohdat ja tarkoitukset, eli tietyt lokitiedoista ilmenevät tiedot. Euroopan unionin tuomioistuin totesi edelleen, että rekisteröidyllä ei kuitenkaan ole lähtökohtaisesti oikeutta saada tietoa niistä henkilöistä, jotka ovat tarkastelleet rekisteröidyn tietoja rekisterinpitäjän alaisuudessa ja rekisterinpitäjän ohjeiden mukaisesti.

Vaikka ennen Euroopan unionin tuomioistuimen ratkaisua asiassa C-579/21 tietosuojavaltuutetun ratkaisukäytännössä ei ole katsottu, että lokitietojen saaminen sisältyisi yleisen tietosuoja-asetuksen 15 artiklan mukaisen oikeuden piiriin, on kansallisessa sosiaali- ja terveydenhuollon erityislainsäädännössä säädetty tarkemmin asiakkaan tiedonsaantioikeudesta lokitietoihin, jotka koskevat hänen potilastietojensa käsittelyä ja luovutusta. Asiakastietolain 1.11.2021 voimaan tulleen muutoksen myötä, asiakas on voinut saattaa lokitietojen saamista koskevan asian tietosuojavaltuutetun käsiteltäväksi tietosuojalain 21 §:n 1 momentin mukaisesti, mikäli palvelunantaja kieltäytyy lokitietojen luovuttamisesta.

Apulaistietosuojavaltuutettu toteaa, että ottaen huomioon Euroopan unionin tuomioistuimen 22.6.2023 antaman ratkaisun asiassa C-579/21 rekisteröidyllä on yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaan oikeus saada tieto niistä ajankohdista, jolloin häntä koskevia henkilötietoja on käsitelty sekä tieto käsittelyn tarkoituksista. Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukainen oikeus saada tutustua tietoihin yhdistettynä asiakastietolain 26 §:n mukaiseen sosiaali- ja terveydenhuollon asiakkaan tiedonsaantioikeuteen tarkoittaa, että sosiaali- ja terveydenhuollon asiakkaalla on oikeus saada rekisterinpitäjältä tieto siitä, kuka on käsitellyt häntä koskevia tietoja, mikä on ollut käsittelyn peruste ja milloin tietoja on käsitelty.

Nyt tarkasteltavana olevassa asiassa rekisteröity on pyytänyt lokitiedot rekisterinpitäjältä rekisterinpitäjän lomakkeella, jolla voi esittää asiakastietolain 26 §:n mukaisen pyynnön. Rekisterinpitäjä on toimittanut rekisteröidylle tiedon rekisteröidyn henkilötietoja käsitelleiden henkilöiden nimistä ja rooleista sekä toimialoista [sairaalapalveluiden] osalta. Rekisteröity on pyytänyt lokitiedot saatuaan rekisterinpitäjältä lisäselvityspyyntö-lomakkeella tarkemmat tiedot henkilötietojen käsittelyn ajankohdista. Rekisterinpitäjän tietosuojavaltuutetun toimistolle toimittaman selvityksen mukaan tietoja kaikista henkilötietojen käsittelyn ajankohdista ei voida toimittaa rekisteröidylle [sairaalapalvelujen] osalta, koska täysi käyttäjäloki ei sovellu sellaisenaan rekisteröidylle luovutettavaksi.

Ottaen huomioon Euroopan unionin tuomioistuimen ratkaisun C-579/21, apulaistietosuojavaltuutettu katsoo, että rekisteröidyllä on yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan nojalla oikeus saada tiedot henkilötietojen käsittelyn ajankohdista ja tarkoituksista rekisterinpitäjältä. Apulaistietosuojavaltuutettu katsoo niin ikään, että rekisteröidyllä on oikeus saada tiedot henkilötietojen käsittelyn perusteista asiakastietolain 26 §:n nojalla. Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ole esittänyt lakiin perustuvaa syytä kieltäytyä toimittamasta rekisteröidylle tietoja käsittelyn perusteista ja ajankohdista, jolloin rekisteröidyn henkilötietoja on käsitelty [sairaalapalveluissa]. Apulaistietosuojavaltuutettu katsoo, että lokitietojärjestelmään liittyvät tekniset syyt, kuten se, että rekisterinpitäjän järjestelmästä saatavat lokitiedot ovat liian suppeita tai laajoja luovutettavaksi rekisteröidylle, eivät ole lainmukaisia syitä olla luovuttamatta rekisteröidylle tietoja henkilötietojen käsittelyn ajankohdista ja perusteista.

Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Tässä tapauksessa rekisteröity on esittänyt lokitietopyynnön rekisterinpitäjän laatimalla lokitietojen saamista koskevalla lomakkeella. Rekisterinpitäjän potilasrekisterin lokitietopyyntölomakkeella on todettu, että pyyntö esitetään asiakastietolain 26 §:n nojalla. Ottaen huomioon Euroopan unionin tuomioistuimen antaman ratkaisun C-579/21 sekä rekisterinpitäjän velvollisuuden helpottaa rekisteröidyn oikeuksien käyttämistä, apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän olisi tullut rekisteröidyn 23.11.2023 esittämän pyynnön esittämistavasta huolimatta ottaa huomioon tuomioistuimen kannanotto ja toimittaa rekisteröidylle myös yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaiset tiedot. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjän olisi tullut joka tapauksessa toimittaa rekisteröidylle tiedot hänen tietojensa käytön perusteista myös asiakastietolain 26 §:n nojalla.

Edellä mainituin perustein apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c ja d alakohdan mukaisen määräyksen toteuttaa rekisteröidyn pyyntö lokitietojen saamiseksi siltä osin, kuin rekisterinpitäjä ei ole luovuttanut rekisteröidylle yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan ja asiakastietolain 26 §:n edellyttämiä tietoja. Tämän määräyksen nojalla rekisterinpitäjän tulee luovuttaa rekisteröidylle tiedot ajankohdista, jolloin rekisteröidyn tietoja on käsitelty sekä tiedot käsittelyn tarkoituksista.

Rekisteröidyn pyynnön käsittely

Yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohtien mukaan rekisterinpitäjän on vastattava rekisteröidyn oikeuksia koskeviin pyyntöihin lähtökohtaisesti yhden kuukauden kuluessa pyynnön esittämisestä.

Nyt tarkasteltavana olevassa asiassa rekisteröity ei ole saanut 14.11.2023 esittämäänsä pyyntöön vastausta rekisterinpitäjältä [sairaalapalvelujen] osalta. Rekisterinpitäjä kertoo selvityksessään tietosuojavaltuutetulle, että [sairaalapalveluihin] osoitettu pyyntö on jäänyt huomioimatta ja siksi rekisteröidyn lisäselvityspyyntöön ei ole vastattu.

Ottaen huomioon Euroopan unionin tuomioistuimen 22.6.2023 antaman ratkaisun C 579/21, apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän olisi tullut käsitellä rekisteröidyn 14.11.2023 esittämä pyyntö saada tieto henkilötietojen käsittelyn ajankohdista yleisen tietosuoja-asetuksen 12 artiklan 2 ja 3 kohtien edellyttämässä määräajassa.

Apulaistietosuojavaltuutettu antaa asiassa tällä erää ohjausta rekisterinpitäjälle. Apulaistietosuojavaltuutettu on kokonaisharkinnassaan huomioinut sen, että tietosuojavaltuutetun aiempi kanta on ollut, ettei rekisteröidyllä ole ollut oikeutta saada lokitietoja yleisen tietosuoja-asetuksen 15 artiklan nojalla. Tietosuojavaltuutetun kanta on kuitenkin muuttunut Euroopan unionin tuomioistuimen 22.6.2023 antaman ratkaisun myötä. Näin ollen jatkossa apulaistietosuojavaltuutettu voi käyttää korjaavia toimivaltuuksiaan, mikäli rekisteröidyn yleisen tietosuoja-asetuksen mukaista tiedonsaantioikeutta ei ole toteutettu asetuksen mukaisessa määräajassa.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään [hallinto-oikeuteen].

Valitusosoitus on liitteenä.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Asian on ratkaissut apulaistietosuojavaltuutettu Annina Hautala.

Päätös ei ole lainvoimainen.

Top of page