1.7.2021

Potilastietojen luovuttaminen vakuutusyhtiöille ja tietojen minimointi

Tietosuojavaltuutetun päätös tietojen minimointia ja sisäänrakennettua ja oletusarvoista tietosuojaa koskevassa asiassa

Asia

Potilastietojen luovuttaminen liikennevakuutusasioissa

Asian taustaa

Tietosuojavaltuutetun toimistolla on keväällä 2017 saatettu vireille asia, jossa vireillesaattaja on kertonut, että rekisterinpitäjä on luovuttanut potilastietoja ylimitoitetusti Liikennevakuutuskeskukselle. Tämän yksittäistapauksen käsittelyn yhteydessä tietosuojaval-tuutetun toimisto on selvittänyt myös rekisterinpitäjän järjestelmällistä toimintatapaa sen luovuttaessa potilastietoja liikennevakuutusasioissa.

Tämä päätös koskee rekisterinpitäjän järjestelmällistä toimintatapaa.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjän mukaan tiedot on luovutettu Liikennevakuutuskeskukselle vahinkoasian selvittelyä varten. Tiedot on annettu kokonaisuudessaan ja seulomatta johtuen liikennevakuutuslain 21 a §:stä. Tapahtuma-ajankohtana voimassa olleen liikennevakuutuslain (279/1959, kumottu 1.1.2017 alkaen) 21 a § kuului seuraavasti:

Vakuutusyhtiöllä on oikeus saada vastuunsa selvittämiseksi, korvauskäsittelyä varten ja muiden tässä laissa säädettyjen tehtävien suorittamiseksi tarpeelliset tiedot viranomaiselta, terveyden- ja sairaanhoitotoimintaa harjoittavalta, Eläketurvakeskukselta, eläke- tai vakuutuslaitokselta, vahinkoa kärsineen tai muun korvauksen hakijan työnantajalta, työttömyyskassalta taikka muulta etuuden myöntäjältä sen estämättä, mitä edellä mainittujen vaitiolovelvollisuudesta tai tietojen luovuttamisesta muualla säädetään.

Rekisterinpitäjä on nostanut esille myös nykyisen liikennevakuutuslain (460/2016) 82.1 §:n 3 kohdan, jonka mukaan vakuutusyhtiöllä on oikeus salassapitovelvollisuutta ja muiden tiedonsaantia koskevien rajoitusten estämättä saada:

3) lääkäriltä ja muulta terveydenhuollon ammattihenkilöistä annetussa laissa tarkoitetulta ammattihenkilöltä, potilaan asemasta ja oikeuksista annetun lain 2 §:n 4 kohdassa tarkoitetulta terveydenhuollon toimintayksiköltä, vahinkoa kärsineen kuntoutusta toimeenpanevalta taholta, muulta terveydenhuollon toimintayksiköltä sekä sosiaalipalveluiden tuottajalta tai hoitolaitokselta näiden laatimat lausunnot ja muita tietoja potilasasiakirjoista, terveydentilasta, työkyvystä, hoidosta ja kuntoutuksesta.

Sen osalta, onko kyse ollut tavanomaisesta menettelystä, rekisterinpitäjä on vedonnut edellä mainittuihin lainkohtiin.

Sovellettavasta lainsäädännöstä

Vakuutusyhtiön ja Liikennevakuutuskeskuksen tiedonsaantioikeudesta on säädetty nimenomaisesti liikennevakuutuslain (460/2016) 82 §:ssä. 1.1.2017 saakka vastaavana lainkohtana on sovellettu liikennevakuutuslain (279/1959) 21 a §:ää. Tietojen luovuttamisen lainmukaisuutta arvioitaessa on lisäksi huomioitava henkilötietojen käsittelyä sääntelevä yleislainsäädäntö, joka on muuttunut tietojen luovutusajankohdan jälkeen.

Vanhan liikennevakuutuslain (279/1959) voimassa ollessa henkilötietojen käsittelyä sääntelevänä yleislakina on sovellettu henkilötietolakia (523/1999). Yleistä tietosuoja-asetusta on sovellettu 25.5.2018 alkaen, ja henkilötietolaki on kumottu tietosuoja-asetusta täsmentävällä tietosuojalailla (1050/2018), joka on tullut voimaan 1.1.2019. Tietojen minimointiperiaatteesta säädetään yleisen tietosuoja-asetuksen 5(1)(c) artiklassa. Sisäänrakennetusta ja oletusarvoisesta tietosuojasta säädetään yleisen tietosuoja-asetuksen 25 artiklassa.

EU-oikeudessa keskeinen periaate on oikeusvarmuuden periaate. Tästä periaatteesta on useissa EU-tuomioistuimen ratkaisuissa johdettu taannehtivan lainsäädännön soveltamisen kielto. Tämän kiellon mukaan unionioikeudellisilla säädöksillä ei pääsääntöisesti ole taannehtivaa vaikutusta.

Oikeuskäytännössä on tältä osin tunnistettu taannehtivuuden kaksi tyyppiä: tosiasiallinen taannehtivuus sekä materiaalinen taannehtivuus. Tosiasiallisella taannehtivuudella tarkoitetaan uuden lainsäädännön soveltamista sellaiseen tosiseikastoon, joka on täysin toteutunut vanhan lainsäädännön aikana. EU-tuomioistuimen oikeuskäytännössä tällainen tosiasiallinen taannehtivuus on lähtökohtaisesti kielletty.

Rekisterinpitäjän yleisen menettelytavan arvioinnissa oikeudellisesti relevantti toiminta on jatkunut samanlaisena yleisen tietosuoja-asetuksen soveltamisen alkamisen jälkeen. Koska arvioinnin kohteena on rekisterinpitäjän tavanomainen ja edelleen käytössä oleva toimintatapa, sovelletaan asiaan yleistä tietosuoja-asetusta, eikä yleisen tietosuoja-asetuksen taannehtivan soveltamisen edellytysten arvioiminen ole tarpeellista.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee soveltaen yleistä tietosuoja-asetusta (EU) 2016/679 ja tietosuojalakia (1050/2018), onko rekisterinpitäjä noudattanut potilastietoja vakuutusyhtiöille luovuttaessaan yleisen tietosuoja-asetuksen 25 artiklan 2 kohtaa ja 5 artiklan 1 kohdan c alakohtaa. Kysymyksen osalta on myös arvioitava, tuleeko asiassa käyttää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

1. Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukainen huomautus.

2. Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukainen määräys saattaa käsittelytoimet tietosuojasääntelyn mukaisiksi, eli rekisterinpitäjän tulee jatkossa seuloa vakuutusyhtiöille luovutettavat potilastiedot asianmukaisesti ennen niiden luovuttamista, sekä luovuttaa tiedot ensisijaisesti lausunnon muodossa.

Perustelut

Vakuutusyhtiön tiedonsaantioikeus liikennevakuutuslain mukaan

Rekisterinpitäjä on vedonnut järjestelmällisessä toimintatavassaan sittemmin kumotun liikennevakuutuslain (279/1959) 21 a §:ään sekä nykyään sovellettavan liikennevakuutuslain (460/2016) 82 §:ään. Liikennevakuutuslain (279/1959) 21 a §:n mukaan vakuutusyhtiöllä on oikeus saada vastuunsa selvittämiseksi, korvauskäsittelyä varten ja muiden kyseisessä laissa säädettyjen tehtävien suorittamiseksi tarpeelliset tiedot viranomaiselta, terveyden- ja sairaanhoitotoimintaa harjoittavalta, Eläketurvakeskukselta, eläke- tai vakuutuslaitokselta, vahinkoa kärsineen tai muun korvauksen hakijan työnantajalta, työttömyyskassalta taikka muulta etuuden myöntäjältä sen estämättä, mitä edellä mainittujen vaitiolovelvollisuudesta tai tietojen luovuttamisesta muualla säädetään. Tiedonsaantioikeutta on näin ollen jo aiemmin rajannut tarpeellisuusvaatimus, joka myös tietoja luovuttavan tahon on tullut annettavia potilastietoja seuloessaan huomioida. Tällä hetkellä vastaava rajaus sisältyy liikennevakuutuslain (460/2016) 82 §:ään, jonka mukaan vakuutusyhtiöllä on oikeus saada muun muassa terveydenhuollon ammattihenkilöltä sen laatimat lausunnot ja muita tietoja potilasasiakirjoista, terveydentilasta, työkyvystä, hoidosta ja kuntoutuksesta niiltä osin, kuin kyse on korvausasian kannalta välttämättömistä tiedoista.

Liikennevakuutuslain 82.3 §:ssä todetaan, että ”vakuutusyhtiön tiedonsaantioikeus edellyttää, että tiedot ovat välttämättömiä käsiteltävänä olevan vakuutus- tai korvausasian ratkaisemista varten tai muuten välttämättömiä tässä laissa säädettyjen tehtävien hoitamiseksi”.

Tietojen luovuttaminen vakuutusyhtiölle ja yleinen tietosuoja-asetus

Liikennevakuutuslain tarpeellisuusedellytyksen kanssa samankaltainen, henkilötietojen käsittelyyn yleisesti sovellettava rajoitus tulee tietosuoja-asetuksen 5(1)(c) artiklasta (tietojen minimointi), jonka mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Aiemmin vastaava säännös on sisältynyt henkilötietolain 9.1 §:ään (tarpeellisuusvaatimus).

Yleisen tietosuoja-asetuksen 25(2) artiklassa säädetään puolestaan sisäänrakennetusta ja oletusarvoisesta tietosuojasta, jonka mukaan rekisterinpitäjällä on velvollisuus toteuttaa tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.

Noudattaakseen 25(2) artiklan mukaista velvoitetta, rekisterinpitäjän on valittava oletusarvoiset käsittelyasetukset ja -vaihtoehdot ja vastattava niiden täytäntöönpanosta siten, että oletusarvoisesti toteutetaan vain asetetun lainmukaisen tavoitteen saavuttamiseksi ehdottoman välttämätön henkilötietojen käsittely. Tämä tarkoittaa muun muassa sitä, että oletusarvoisesti rekisterinpitäjän ei pidä kerätä enemmän tietoja kuin on välttämätöntä. Perusvaatimuksena on, että tietosuoja on sisällytetty henkilötietojen käsittelyyn oletusarvoisesti. Toimenpiteillä on voitava oletusarvoisesti varmistaa, että vain sellaisia henkilötietoja käsitellään, jotka ovat tarpeen kunkin nimenomaisen käsittelytarkoituksen kannalta.

Tietojen antotapa

Vakuutusyhtiön tekemää pyyntöä toteutettaessa päätösvalta potilastietojen luovutuksessa on potilastietojen rekisterinpitäjällä, ja rekisterinpitäjän tulee vakuutusyhtiön tekemän luovutuspyynnön perusteella harkita, mitkä tiedot ovat tarpeellisia pyynnössä kuvatun käyttötarkoituksen kannalta. Tästä tarpeellisuusharkinnasta ei voida poiketa edes potilaan suostumuksella, eikä toisaalta vastaanottavana tahona olevan vakuutusyhtiön ole lainmukaista kerätä haltuunsa tarpeettomia henkilötietoja.

Tietojen antotavan osalta esimerkiksi Suomen Lääkäriliiton suosituksessa potilastietojen luovuttamisesta vakuutusyhtiölle on todettu, että potilaan terveydentilaa koskevat tiedot tulisi luovuttaa lausunnon muodossa, ellei erityislainsäädännössä erikseen ole menettelystä toisin säädetty. Myös tietosuojavaltuutettu katsoo, että tiedot tulee luovuttaa ensisijaisesti lausunnon muodossa. Tällainen toimintatapa vahvistaa henkilötietojen minimointiperiaatteen toteutumista ja suojaa potilaan yksityisyyttä esimerkiksi tilanteessa, jossa käyntikirjauksiin sisältyy muitakin kuin selkeästi korvausasian käsittelyn kannalta tarpeellisia tietoja.

Käytännössä tarpeellisuusharkinta edellyttää, että potilastietojen rekisterinpitäjän tulee seuloa tiedoista tarpeelliset, jotka annetaan vakuutusyhtiölle lausunnon muodossa, tai toissijaisesti, silloin kun on olemassa selkeitä perusteita luovuttaa asiakirjajäljennöksiä, merkintöjä luovutetaan vain perustelluilta osin esimerkiksi peittämällä tarpeettomat tiedot. Vain poikkeustapauksissa vakuutusyhtiölle voidaan luovuttaa kaikki potilasasiakirjat tietyn ajanjakson ajalta. Huomioitakoon, että tarpeellisuusharkinnan merkitys korostuu, kun vakuutusyhtiölle luovutetaan tietoja lausunnon sijasta suoraan potilasasiakirjajäljennöksinä, ja potilastiedot tulee käydä yksityiskohtaisesti läpi ennen niiden luovuttamista, jotta tietojen luovuttamisen välttämättömyydestä voidaan varmistua.

Asiassa saadun selvityksen mukaan potilastietojen luovuttaminen seulomattomina on ollut rekisterinpitäjän järjestelmällinen toimintatapa, jonka rekisterinpitäjä on katsonut oikeutetuksi liikennevakuutuslain sääntelyn perusteella. Näin toimiessaan rekisterinpitäjä ei ole kuitenkaan huomioinut lainsäädäntöön sisältyviä tietojen rajausvaatimuksia, eikä rekisterinpitäjän toimintatapa ole yleisen tietosuoja-asetuksen 5(1)(c) artiklan ja 25(2) artiklan mukainen.

Seuraamusarviointi

Edellä esitetyillä perusteilla tietosuojavaltuutettu antaa rekisterinpitäjälle huomautuksen sekä määräyksen muuttaa vakuutusyhtiöille tehtäviin potilastietojen luovutuksiin liittyviä menettelytapoja siten, että sen toiminta täyttää edellä esitetyt yleisen tietosuoja-asetuksen asettamat vaatimukset.

Asiassa on arvioitu myös perusteita määrätä rekisterinpitäjälle yleisen tietosuoja-asetuksen 83 artiklan mukainen hallinnollinen seuraamusmaksu. Kun kyse on henkilötietojen käsittelyä koskevien periaatteiden rikkomisesta (yleisen tietosuoja-asetuksen 5 artikla), hallinnollinen seuraamusmaksu voi olla enimmillään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Asiassa saadun selvityksen perusteella tietosuojavaltuutettu ei kuitenkaan pidä seuraamusmaksun määräämistä aiheellisena seuraavista syistä:

Valvontaviranomaisen tulee arvioida hallinnollisen sakon määräämistä ja hallinnollisen sakon määrää yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaisten edellytysten valossa. Kyseistä artiklaa täsmentää asetuksen johdanto-osan kohta 148, jonka mukaan valvontaviranomaisen olisi määrättävä asetuksen säännösten rikkomisesta seuraamuksia, kuten hallinnollisia seuraamusmaksuja, sen määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta. Jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan seuraamusmaksun sijasta antaa huomautus.

Vaikka rekisterinpitäjän toimintatapa on sinänsä moitittava, on tässä tapauksessa ollut kyse lakiin perustuvasta velvoitteesta luovuttaa tietoja, eikä tietosuojavaltuutetun tiedossa ole muita kuin 1007/452/17 asiassa tarkoitettu tapaus, jossa rekisterinpitäjä olisi menetellyt päätöksessä kuvatun tavoin yleisen tietosuoja-asetuksen vastaisesti. Asiassa saadun selvityksen perusteella tässä tapauksessa tarkoitettua henkilötietojen käsittelyä ei voida myöskään katsoa laajamittaiseksi. Näin ollen tietosuojavaltuutettu katsoo rekisterinpitäjälle osoitetun määräyksen muuttaa toimintatapaa ja huomautuksen olevan seuraamusmaksua oikeasuhtaisempi seuraamus tässä kyseisessä tapauksessa.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.