15.10.2021

Potilaan tarkastusoikeuden toteuttaminen terveydenhuollossa röntgen- ja magneettikuvien osalta

Apulaistietosuojavaltuutetun päätös oikeutta saada pääsy tietoihin koskevassa asiassa

Asia

Rekisteröidyn oikeus saada maksutta pääsy kuvantamistutkimuksen kuviin

Kantelijan vaatimukset perusteluineen

Kantelija on 15.8.2019 kertonut tietosuojavaltuutetun toimistolle tehneensä sairaanhoitopiirille tarkastuspyynnön koskien kaikkia potilastietojaan. Röntgen- ja magneettikuvia ei hänelle kuitenkaan luovutettu, vaan niistä pyydettiin 25 euron maksu, jonka kerrottiin perustuvan sairaalan käytäntöön.

Kantelija kysyy, tulisiko potilaan saada myös kuvat maksutta.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 24.8.2020 päivätyllä selvityspyynnöllä sekä 21.9.2020 päivätyllä lisäselvityspyynnöllä. Rekisterinpitäjä on antanut asiassa selvityksen 11.9.2020 ja lisäselvityksen 2.11.2020.

Rekisterinpitäjän mukaan kantelijan pyytämiä kuvia ei ole mahdollista tulostaa paperimuodossa, ja kuvat voidaan antaa paperitulosteiden sijasta CD-/DVD-levyllä. Kuvista perittävä maksu perustuu levykkeestä, sihteerityöstä, laskutuksesta ja postikuluista aiheutuviin kustannuksiin. Rekisterinpitäjän mukaan jatkossa valtakunnallinen Kvarkki XDS-arkistointi tulee mahdollistamaan sen, että kuvantamistutkimusten röntgenkuvat ovat nähtävissä myös Omakannassa.

Rekisterinpitäjä nostaa myös esille, että käytäntö periä maksu on perustunut tietosuojavaltuutetun vuonna 2008 antamaan lausuntoon (Dnro 2546/41/2008).

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Rekisteröidyn oikeudesta saada pääsy tietoihin säädetään yleisen tietosuoja-asetuksen 15 artiklassa. Artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä artiklassa luetellut tiedot. Artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun.

Yleisen tietosuoja-asetuksen 15 artiklaan perustuvien tietojen ja toimenpiteiden lähtökohtaisesta maksuttomuudesta sekä perusteista maksun perimiselle säädetään yleisen tietosuoja-asetuksen 12(5) artiklassa. Artiklankohdan mukaan kaikki yleisen tietosuoja-asetuksen 15 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset, tai rekisterinpitäjä voi kieltäytyä suorittamasta pyydettyä toimea. Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

Sisäänrakennetusta ja oletusarvoisesta tietosuojasta säädetään yleisen tietosuoja-asetuksen 25 artiklassa. Artiklan keskeisenä velvoitteena on sellaisten asianmukaisten toimenpiteiden ja tarvittavien suojatoimien toteuttaminen, joilla taataan rekisteröityjen oikeuksien ja vapauksien täytäntöönpano sisäänrakennetusti ja oletusarvoisesti.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee kantelijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta. Asiassa on kysymys rekisteröidyn oikeudesta päästä tietoihin (tarkastusoikeus).

Asiassa on arvioitava, tuleeko kantelijan pyytämät tiedot antaa hänelle maksutta yleisen tietosuoja-asetuksen 15 artiklan nojalla (yleisen tietosuoja-asetuksen 12(5), 15(1) ja 15(3) artiklat).

Apulaistietosuojavaltuutetun päätös

Päätös

Rekisterinpitäjä ei ole noudattanut toiminnassaan yleisen tietosuoja-asetuksen 12(5), 15(1) ja 15(3) artiklaa, eikä rekisterinpitäjän menettely koskien maksun perimistä röntgen- ja magneettikuvien jäljennöksistä ole näin ollen ollut yleisen tietosuoja-asetuksen mukainen.

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c-alakohdan mukainen määräys noudattaa rekisteröidyn pyyntöä, joka koskee yleiseen tietosuoja-asetukseen perustuvien rekisteröidyn oikeuksien käyttöä.

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi.

Perustelut

Nyt tarkasteltavana olevassa tapauksessa kantelija on pyytänyt rekisterinpitäjältä röntgen- ja magneettikuvien jäljennöksiä yleisen tietosuoja-asetuksen 15 artiklan nojalla. Koska pyydetty materiaali on ollut käytännössä annettavissa vain levylle poltettuna, rekisterinpitäjä on perinyt siitä 25 euron maksun ja vedonnut tietosuojavaltuutetun aiempaan kannanottoon.

Asiassa on huomioitava, että yleistä tietosuoja-asetusta on ryhdytty soveltamaan 25.5.2018. Tietosuojavaltuutetun aiempi kannanotto on kumotun henkilötietolain ajalta.

Yleisen tietosuoja-asetuksen johdantokappaleen 63 mukaan rekisteröidyn oikeus saada pääsy henkilötietoihin sisältää rekisteröidyn oikeuden saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkäreiden arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot. Rekisteröidyn tarkastusoikeuden voidaan katsoa lähtökohtaisesti kattavan esimerkiksi potilasasiakirjat, jotka ovat potilaslain (785/1992) 2 §:n mukaan potilaan hoidon järjestämisessä ja toteuttamisessa käytettäviä, laadittuja tai saapuneita asiakirjoja taikka teknisiä tallenteita, jotka sisältävät potilaan terveydentilaa koskevia tai muita henkilökohtaisia tietoja.

Euroopan tietosuojaneuvosto on ottanut lausuntokäytännössään kantaa muussa kuin tulostettavassa tekstimuodossa olevien henkilötietojen antamiseen rekisteröidylle yleisen tietosuoja-asetuksen 15 artiklan nojalla esimerkiksi koskien tilannetta, jossa rekisteröidystä on tehty videotallenne. Tällöin, mikäli rekisterinpitäjä antaa nämä tiedot rekisteröidylle videotallenteena, rekisteröidyllä on oikeus saada tämä tallenne maksutta. Lisäksi esimerkiksi EU:n tietosuojaryhmän henkilötietojen siirto-oikeutta koskevassa lausunnossa on todettu, että yleisen tietosuoja-asetuksen 20 artiklan nojalla tietojaan pyytävälle rekisteröidylle tiedot voidaan antaa tallennettuna CD:lle tai DVD:lle, eikä maksua voida periä, elleivät tietosuoja-asetuksen 12 artiklan mukaiset edellytykset täyty.

Lähtökohta, jonka mukaan rekisterinpitäjä voisi järjestelmällisesti jättää tarkastuspyynnön suoraan toteuttamatta vetoamalla esimerkiksi siihen liittyviin teknisiin hankaluuksiin, tai jossa se voisi järjestelmällisesti periä maksun perustelemalla, että jäljennöksen tuottaminen on hankalaa tai siitä koituu sille kustannuksia, saattaisi käytännössä johtaa helposti rekisteröidyn oikeuksien toteutumatta jäämiseen. Teknisten haasteiden osalta huomiota voidaan kiinnittää yleisen tietosuoja-asetuksen 25 artiklaan (sisäänrakennettu ja oletusarvoinen tietosuoja), jonka mukaan tietosuojasääntelyyn liittyvät kysymykset tulee huomioida tietojärjestelmien suunnittelussa alusta alkaen. Tämä asettaa käytännössä lähtökohdaksi sen, että rekisterinpitäjä on saattanut tekniset valmiutensa sellaiselle tasolle, että asetuksen sääntely, mukaan lukien asetuksen 15 artiklan mukainen tarkastusoikeus, saadaan myös konkreettisesti toteutettua.

Asiassa voidaan lisäksi kiinnittää huomiota siihen, että rekisterinpitäjän perimä maksu on selvityksen mukaan perustunut henkilötietojen postittamisesta, levykkeestä, laskutuksesta ja sihteerityöstä aiheutuviin kuluihin. Rekisteröidyn tekemän tietopyynnön toteuttamiseen liittyvästä työpanoksesta, materiaaleista tai postikuluista ei kuitenkaan ole mahdollista periä pääsääntöisesti rekisteröidyltä maksua, vaan maksun perimisen tulee perustua yleisen tietosuoja-asetuksen 15(3) artiklan ja 12(5) artiklan mukaisiin syihin. Yleisen tietosuoja-asetuksen 15(3) artiklan mukaan silloin, jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Yleisen tietosuoja-asetuksen 12(5) artiklan mukaan silloin, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti, jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset tai kieltäytyä suorittamasta pyydettyä toimea.

Edellä todetun perusteella apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän velvollisuus toimittaa rekisteröidylle maksutta jäljennös käsiteltävistä henkilötiedoista kattaa myös terveydenhuollosta CD-/DVD-levyllä annettavat röntgen- ja magneettikuvat.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä hallintolainkäyttölaissa (586/1996) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.