14.5.2020

ASIA

Ilmoittajalta saatu selvitys

Ilmoittaja on kertonut, että kaupunki lisää turvapuhelinlaskulle vastoin asiakkaan pyyntöä koko sosiaaliturvatunnuksen. Ilmoittajan mukaan jokaisella asiakkaalla on laskutusjärjestelmissä yksilöivä asiakasnumero, ja tämän takaa löytyy sosiaaliturvatunnus ja kaikki tarvittavat tiedot, kuten esimerkiksi maksettujen laskujen kokonaissumma. Nykyinen käytäntö voi ilmoittajan mukaan johtaa muun muassa vanhusten taloudelliseen hyväksikäyttöön tai identiteettivarkauteen.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjän mukaan henkilötunnusta käytetään laskuissa asiakkaan identifioimiseksi. Rekisterinpitäjä katsoo, että lasku on henkilöön kohdistettu päätös, jolloin nimi ei riitä yksilöimään henkilöä. Terveydenhuollon asiakasmaksut ovat myös suoraan ulosottokelpoisia lain nojalla, eivätkä myöskään vakuutusyhtiöt hyväksy laskuja, joissa asiakasta ei ole yksilöity henkilötunnuksella.

Rekisterinpitäjän mukaan sairaanhoitopiirissä potilaslaskulle tulostuvat tiedot määräytyvät järjestelmästä kaikille samoin kriteerein, eikä niiden osalta tehdä poikkeuksia. Potilas voi myös valita, että laskut lähetetään hänelle e-laskuina OmaPostiin, jolloin paperilaskuihin liittyvä tietosuojariski poistuu. Rekisterinpitäjä kertoo, että järjestelmässä ei voi valita yhteen laskuun tunnusta ja toiseen ei, eikä laskuja muodosteta käsin.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta. Asiassa on kysymys henkilötunnuksen käsittelystä.

Tietosuojavaltuutetun on ratkaistava, tuleeko rekisterinpitäjälle antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet asetuksen mukaisiksi.

PÄÄTÖS

Rekisterinpitäjälle annetaan määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi.

Perustelut

Yleisen tietosuoja-asetuksen 87 artiklassa on säädetty kansallisen henkilötunnuksen käsittelystä. Artiklan mukaan kansallista henkilönumeroa tai muuta yleistä tunnistetta on käytettävä ainoastaan noudattaen rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tietosuoja-asetuksen mukaisesti, ja jäsenvaltiot voivat määritellä tarkemmin erityiset kansallisen henkilönumeron tai muun yleisen tunnisteen käsittelyn edellytykset. Asetusta täydentävän tietosuojalain 29.4 §:ssä todetaan, ettei henkilötunnusta tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. Hallituksen esityksessä momenttia täsmennetään toteamalla, että rekisterinpitäjän olisi huolehdittava esimerkiksi siitä että henkilötunnuksia ei merkitä näkyvästi postilähetyksiin (HE 9/2018 vp).

Jotta henkilötietojen käsittely voitaisiin katsoa asetuksen mukaiseksi, rekisterinpitäjän on myös kaikissa käsittelyvaiheissa noudatettava tietosuoja-asetuksen 5 artiklaan koottuja tietosuojaperiaatteita. Näistä tietojen minimointia koskeva periaate edellyttää muun muassa sitä, että henkilötiedot rajoittuvat siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten henkilötietoja käsitellään. Artiklaan liittyvässä johdantokappaleessa 39 todetaan, että henkilötietoja on käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Lisäksi henkilötietoja on käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin.

Henkilötunnuksen käsittelyä koskee näin edellä todetusti tarpeellisuusvaatimus, ja rekisterinpitäjä on esittänyt selvityspyyntöön antamassaan vastauksessa kolme argumenttia, joiden nojalla se katsoo henkilötunnuksen merkitsemisen tulostettuun laskuasiakirjaan tarpeelliseksi.

Rekisterinpitäjän mukaan laskussa on ensinnäkin kyse päätöksestä, eikä nimi riitä yksilöimään päätöksen kohdetta. Tähän voidaan todeta, että turvapuhelimen myöntämisessä on ollut kyse kaupungin potilaalle myönnettävää apuvälinettä koskevasta ratkaisusta, jollaisia ei ole oikeuskäytännössä katsottu hallintopäätöksiin rinnastuviksi valituskelpoisiksi päätöksiksi. Silloinkin, kun kyse on hallintolain mukaisesta hallintopäätöksestä, kirjalliseen päätökseen sisällytettäviin tietoihin ei lukeudu henkilötunnus (hallintolain 44.1 §). Oleellisinta on kuitenkin, etteivät turvapuhelimen myöntämistä koskeva ratkaisu ja turvapuhelimen käyttöön liittyvä lasku ole sama asia, eikä laskussa ole kyse päätöksestä.

Rekisterinpitäjän toisen argumentin mukaan terveydenhuollon asiakasmaksut ovat suoraan ulosottokelpoisia lain nojalla, minkä vuoksi laskussa tulee olla henkilötunnus. Tämän osalta voidaan ensinnäkin todeta, että terveydenhuollon asiakasmaksut voidaan ulosottaa ilman tuomiota tai päätöstä asiakasmaksulain 17 §:n perusteella. Henkilötunnuksen käyttö saatavan perimisessä taas on sallittua tietosuojalain 29.2 §:n perusteella, ja sitäkin koskee 4 momentin tarpeellisuusvaatimus henkilötunnuksen merkitsemistilanteissa. Asiakkaalle annettavassa laskussa ei kuitenkaan ole kyse saatavan perimisestä, vaan laskun eräpäivään mennessä maksamalla henkilö tekee oikea-aikaisen suorituksen velvoitteensa täyttämiseksi, eikä lasku rinnastu perintätoimeen silloinkaan, kun sen käsittämä maksu on suoraan ulosottokelpoinen. Myöskään ulosotto ei tapahdu paperilaskun pohjalta, vaan tarvittavat tiedot saadaan rekisterinpitäjältä. Näin ollen henkilötunnuksen merkitsemistä laskuun ei voida perustella sillä, että maksu on suoraan ulosottokelpoinen.

Rekisterinpitäjän kolmannen argumentin mukaan vakuutusyhtiöt eivät hyväksy laskuja, joissa ei ole henkilötunnusta. Nykyään korvaushakemus tehdään vakuutusyhtiölle pääsääntöisesti sähköisesti. Tällöin vakuutusyhtiö vain poikkeuksellisesti pyytää korvauksenhakijaa toimittamaan erillisiä asiakirjoja, kuten maksuista saadut kuitit. Vanhusten kohdalla toimintamalli voi digitaitojen puuttuessa olla esimerkiksi sellainen, että vakuutettu soittaa vakuutusyhtiölle, ja hänelle lähetetään postissa kirjallinen hakemus. Tyypillisesti tällöinkään ei tarvita edes kuitteja, vaan vakuutusyhtiö saa tarvitsemansa tiedot valtakirjan nojalla suoraan hoitopaikasta. Paperilaskuille vakuutusyhtiöillä ei ole tarvetta, ja tiedonsaanti hoidetaan muuta kautta. Tämän lisäksi lasku sekä sen perusteella tehty maksu voidaan yhdistää vakuutettuun ilman henkilötunnusta, esimerkiksi viitenumeron avulla.

Rekisterinpitäjä mainitsee vastauksessaan myös teknisten järjestelmien mukanaan tuomat haasteet. Näiltä osin todettakoon, ettei henkilötunnuksen käsittelyn (mukaan lukien sen merkintä asiakirjoihin) perusteena voi olla se, että se tekee toiminnasta vaivattomampaa. Järjestelmien valmiuteen liittyen tulee huomioida myös tietosuoja-asetuksen artikla 32, joka käytännössä vaatii, että rekisterinpitäjä on saattanut tekniset valmiutensa sellaiselle tasolle, että asetuksen sääntely saadaan konkreettisesti toteutettua. Henkilötunnusta ei myöskään ole tarkoitettu käytettäväksi tunnistamisen välineenä, eikä yksinomaan tunnistaminen voi olla henkilötunnuksen käsittelyn perusteena.

Yllä esitetyn lisäksi valtiokonttori on myyntilaskujen sisältövaatimusta koskevassa määräyksessään (dnro: VK/1275/00.00.01.06.00/2019) todennut, ettei henkilötunnuksen tule tulostua kuluttajan laskulle.

Tietosuojavaltuutettu ratkaisee henkilötunnuksen käsittelyä koskevat asiat edellä mainitusti yleisessä tietosuoja-asetuksessa ja tietosuojalaissa säädetyn pohjalta.

Edellä esitetyillä perusteilla tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdassa tarkoitetun määräyksen saattaa käsittelytoimet asetuksen säännösten mukaiseksi.

Sovelletut lainkohdat

Perusteluissa mainitut.