15.11.2017 11/2017

Henkilötietojen käsittely - Tärkeä yleinen etu - Lupamääräys - Arkaluonteinen henkilötieto

Diaarinumero:10/932/2017
Antopäivä:15.11.2017
Taltio:11/2017

Tietosuojalautakunta myönsi Suomen Apteekkariliitolle määräaikaisen luvan verrata hakemuksessa tarkoitettuja lääkkeitä ostavien asiakkaiden tietoja apteekkisopimuksien tiedonvälitysjärjestelmässä tallennettujen apteekkisopimuspotilaiden tietoihin. Lisäksi lautakunta asetti lupamääräyksen henkilötietojen käsittelylle. Lautakunta katsoi, että hakemuksessa tarkoitettu käsittely on tarpeen tärkeää yleistä etua koskevasta syystä. Lautakunta on aiemmin myöntänyt hakijalle vastaavanlaisen luvan.

HAKIJA   Suomen Apteekkariliitto (jäljempänä hakija)

HAKEMUS

Hakija pyytää tietosuojalautakunnalta henkilötietolain 43 §:ssä tarkoitettua lupaa apteekkisopimuksien tiedonvälitysjärjestelmässä (myöhemmin apteekkisopimusjärjestelmä) tapahtuvaan arkaluonteisten tietojen käsittelyyn.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS

Tietosuojalautakunta myöntää hakijalle henkilötietolain 43 §:n 2 momentin mukaisen luvan jäljempänä esitetyin perustein.

Lupaan asetetaan aiempaa lupaa vastaava lupamääräys, jonka mukaan ottaen erityisesti huomioon, että kysymyksessä on henkilötietolain 11 §:ssä tarkoitettujen arkaluontoisten tietojen käsittely, tulee muiden kuin apteekkisopimuspotilaiden henkilötiedot poistaa sekä yksittäisten apteekkien omista järjestelmistä että apteekkisopimusjärjestelmästä välittömästi kun ne eivät ole järjestelmään tallennettujen apteekkisopimuspotilaiden tietoihin vertaamisen vuoksi tarpeellisia.

Lupa myönnetään määräaikaisena siten, että lupa on voimassa enintään siihen asti, kunnes EU:n yleinen tietosuoja-asetus tulee jäsenvaltioissa sovellettavaksi eli 25.5.2018 saakka.

HAKEMUKSEN TAUSTA JA PERUSTELUT

Taustaa

Hakija on saanut tietosuojalautakunnalta 25.10.2010 määräaikaisen luvan apteekkisopimusjärjestelmässä tapahtuvaan arkaluonteisten tietojen käsittelyyn. Lupaan on haettu jatkoa, jolloin se on myönnetty vuonna 2013 uudelleen neljäksi vuodeksi. Nykyinen määräaikainen lupa erääntyy 30.11.2017.

Apteekkisopimusmenettelyä ollaan vuoden 2019 loppuun mennessä siirtämässä osaksi Kelan hallinnoimaa Kanta-palvelua. Hakija on neuvotellut tietosuojavaltuutetun, sosiaali- ja terveysministeriön (STM), Terveyden ja hyvinvoinnin laitoksen sekä Kelan Kanta-palveluiden kanssa siitä, kuinka sen tulisi menetellä väliajan. Näiden viranomaistoimijoiden esityksestä hakija hakee tietosuojalautakunnalta vielä uutta lupaa. Lupa tarvittaisiin siihen saakka, että nykyinen menettely saadaan osaksi Kanta-palveluita.

Apteekkisopimuksella tarkoitetaan kirjallista sopimusta, jonka allekirjoittamalla potilas sitoutuu vain yhden lääkärin tai hoitopalvelun pkv-lääkehoitoon ja käyttämään vain yhtä apteekkia noutaessaan pääasiallisesti keskushermostoon vaikuttavia lääkkeitä (pkv-lääkkeitä) tai muita sopimuksessa mainittuja lääkkeitä. Lisäksi potilas suostuu siihen, että hänen valitsemansa apteekki voi välittää tiedon sopimuksen olemassaolosta toisille apteekeille sekä tietoa hänen tilanteestaan hoitavalla lääkärille. Apteekkisopimuskäytäntö on alun perin luotu yhteistyössä apteekkien, päihdelääkäreiden sekä viranomaisten (STM, Valvira ja Lääkealan turvallisuus- ja kehittämiskeskus) kesken ja se on ollut käytössä 2000-luvun puolivälistä lähtien. Apteekkisopimusta edellytetään esimerkiksi potilailla, joille on määrätty apteekista toimitettavaksi opioidiriippuvuuden korvaushoitoon buprenorfiini-naloksoni-valmistetta (STM:n asetus opioidiriippuvaisten vieroitus- ja korvaushoidosta eräillä lääkkeillä 33/2008).

Apteekkien välisessä tiedon välityksessä käytetään nykyisellä tietosuojalautakunnan luvalla apteekkisopimusjärjestelmää, jonne apteekkisopimuslääkkeitä toimittava apteekki kirjaa sopimusasiakkaan henkilötunnuksen sekä tiedon sopimuksen alkamispäivästä ja päättymispäivästä. Kaikki järjestelmään liittyneet apteekit tekevät kyselyjä järjestelmään toimittaessaan pkv- tai huumausaineita sisältäviä reseptejä. Tällöin apteekkisopimusjärjestelmään liittyneen apteekin reseptinkäsittelyjärjestelmä tarkistaa automaattisesti apteekkisopimusjärjestelmästä, onko käsiteltävän reseptin haltijalla voimassa olevaa apteekkisopimusta jossakin apteekissa. Tietosuojalautakunnan lupa tarvitaan, jotta apteekit voivat pkv- tai huumereseptiä toimittaessaan tehdä vertailukyselyn apteekkisopimusjärjestelmään saadakseen tiedon apteekkisopimuksen olemassaolosta.

1

Nykyisen kyselyjärjestelmän operaattorina toimii hakija, joka vastaa järjestelmän käytöstä sekä sen ylläpidosta. Hakija hankkii järjestelmään liittyvän ohjelmiston ylläpitoineen Kehätieto Oy:ltä ja järjestelmän teknisen ylläpidon ja pääsynhallintaan liittyvät ratkaisut tytäryhtiöltään Pharmadata Oy:ltä. Kumpikin hankinta tapahtuu sopimukseen perustuen, ja yhtiöt sekä näiden järjestelmän kanssa työskentelevät henkilöt ovat allekirjoittaneet salassapitosopimuksen.

Apteekkisopimuksen tiedot välitetään apteekeille Apteekkiverkossa toimivan välityspalvelimen avulla. Kyselyn mukana apteekkijärjestelmästä välitetään käyttäjätunnus ja salasana, jolla kysely tehdään. Kaikkien apteekkitoimipisteiden kyselyt tehdään apteekkien tietojärjestelmistä webservice-rajapintaliittymää vasten käyttäen niin sanottua SOAP-protokollaa. Pääsynhallintaa hoidetaan sovelluspalomuurilla sekä konesalin keskitetyllä palomuurilla.

Apteekkiverkko on apteekkien keskinäinen tietoverkkoratkaisu, jonka tietoturvataso täyttää sähköisen lääkemääräyksen vaatimukset. Verkkoratkaisun kautta voidaan välittää henkilötietolain mukaista arkaluonteista potilastietoa, kuten sähköisiä lääkemääräyksiä. Apteekkiverkkoratkaisu perustuu laitepohjaiseen suljettuun yritysverkkoratkaisuun, jossa yksittäiset apteekkitoimipisteet voidaan tunnistaa. Apteekkiverkon hallinnoinnista vastaa Pharmadata Oy.

Apteekit liittyvät kyselyjärjestelmään apteekkitietojärjestelmänsä avulla. Apteekkitietojärjestelmätoimittajia on kaksi ja ne toimittavat apteekkeihin kolmea erilaista tietojärjestelmää. Hakija on toimittanut apteekkitietojärjestelmätoimittajille palveluun liittyvät kuvaukset sekä järjestelmävaatimukset. Apteekkijärjestelmätoimittajat ovat toteuttaneet kyselypalveluliitynnän omiin järjestelmiinsä.

Kyselyjärjestelmään liittyminen edellyttää, että apteekin apteekkari tekee järjestelmään liittymisestä sopimuksen hakijan kanssa ja tilaa apteekkijärjestelmätoimittajaltaan kyseessä olevan toiminnallisuuden. Sopimus on apteekkarikohtainen. Sopimus päättyy automaattisesti apteekkarin lopettaessa apteekkitoiminnan harjoittamisen. Liittyessään järjestelmään apteekkari sitoutuu noudattamaan kyselyjärjestelmän yksityiskohdista annettuja ohjeita.

Sopimuksen tehnyt apteekkari vastaa siitä, että kyselyitä kyselyjärjestelmään voivat tehdä vain valtuutetut käyttäjät kyselyjärjestelmän yksityiskohdista annettujen ohjeiden mukaisesti. Apteekilla tulee olla käytössään kyselyjärjestelmään soveltuva apteekkiohjelmisto. Apteekkari vastaa siitä, että tietojen käsittely-ympäristö on yhteensopiva kyselyjärjestelmän kanssa ja että järjestelmään liittyvä henkilötietojen käsittely tapahtuu henkilötietolain edellyttämällä tavalla. Apteekkari vastaa oman käyttöympäristönsä ja palvelun käyttämiseksi tarvittavien tietoliikenneyhteyksiensä toimivuudesta sekä henkilöstönsä osaamisesta.

Kyselyjärjestelmään liitettävän apteekin apteekkari toimii apteekkisopimustietojen osalta kahdessa roolissa:

1. Niiden apteekkisopimusten osalta, joissa apteekki on kirjattu lääkärin tai hoitoyksikön ja potilaan väliseen sopimukseen potilaan valitsemaksi lääkkeitä toimittavaksi apteekiksi, apteekkari toimii sopimustietojen käsittelystä vastaavana rekisterinpitäjänä.

2. Muiden apteekkien rekistereihin kirjattujen apteekkisopimusten osalta apteekkari toimii rekisterin käyttäjinä.

Sopimusapteekki lisää uuden apteekkisopimuksen apteekkisopimusjärjestelmään silloin, kun lääkäri lähettää tiedon sopimuksesta apteekkiin. Apteekkijärjestelmään kirjataan sopimuksesta potilaan henkilötunnus, sopimuksen voimaantulopäivämäärä sekä sopimuksen päättymispäivämäärä. Lisäksi apteekkijärjestelmään voidaan tallentaa sopimukseen kirjattuja tarkempia tietoja sopimuksesta. Nämä tiedot tallennetaan ainoastaan paikallisesti ja ne ovat ainoastaan sopimusapteekin käytössä.

Apteekki poistaa apteekkisopimusta koskevan tiedon sekä apteekkijärjestelmästä että kyselyjärjestelmästä silloin, kun lääkäri lähettää tiedon apteekille sopimuksen purkautumisesta. Niissä tilanteissa, kun sopimukseen on kirjattu päättymispäivämäärä, kyselyjärjestelmä ei palauta tietoa sopimuksesta enää päättymispäivämäärän jälkeen. Lisäksi tietokantapalvelimella olevat tiedot päättyneistä sopimuksista poistetaan tietokantapalvelimelta kuukauden kuluttua määräaikaisen sopimuksen päättymisestä.

Jos apteekki luopuu sopimusjärjestelmän käytöstä, sen tulee itsenäisesti poistaa apteekkisopimusjärjestelmässä olevat tietonsa. Hakija lähettää apteekille vahvistuksen järjestelmän käytön päättymisestä, jonka jälkeen apteekilla on seitsemän vuorokautta aikaa poistaa sopimustiedot järjestelmästä. Tämän jälkeen apteekin tunnukset järjestelmään poistetaan ja apteekin tallentamat tietokantapalvelimella olevat tiedot poistetaan järjestelmän ylläpitäjän toimesta.

Järjestelmään liittyen on päivitetty ohjeistus lääkäreille ja apteekeille apteekkisopimusmenettelystä sekä siihen liittyvät sopimuspohjat. Ne on julkaistu Valviran ja hakijan verkkosivuilla sekä Duodecimin Terveysportissa.

Apteekkisopimusjärjestelmään liittynyt apteekki ottaa kyselykriteerien (käsiteltävä lääkemääräys on joko pkv-valmiste tai huumausainetta sisältävä lääkevalmiste) täyttyessä yhteyden omasta järjestelmästään kyselyjärjestelmän sovelluspalvelimeen. Kyselysanomassa kyselyjärjestelmälle lähetetään käsiteltävänä olevan lääkemääräyksen haltijan henkilötunnus. Kyselyjärjestelmä palauttaa tiedon siitä, onko kyselyjärjestelmän apteekkikohtaisiin rekistereihin tallennettu tietoa voimassa olevasta apteekkisopimuksesta. Jos järjestelmään sisältyy tieto voimassa olevasta sopimuksesta, kysely palauttaa tiedon voimassa olevasta sopimuksesta ja sopimusapteekista. Muussa tapauksessa järjestelmä palauttaa tiedon siitä, että henkilötunnukselle ei löydy vastaavuutta.

KUULEMINEN

Tietosuojavaltuutetun lausunto 12.10.2017

Tietosuojalautakunta on varannut tietosuojavaltuutetulle mahdollisuuden antaa lausuntonsa hakijan lupahakemuksesta. Tietosuojavaltuutettu on antanut asiassa lausunnon.

Tietosuojavaltuutettu toteaa, että esitetty lupahakemus vastaa pitkälti sisällöltään aikaisempia hakijalle vastaavaa toimintaa varten myönnettyjä lupia. Lupaa on haettu kestoltaan rajatusti siihen saakka, että apteekkisopimusmenettely siirretään vuoden 2019 loppuun mennessä osaksi Kelan hallinnoimaa Kanta-palvelua. Tietosuojavaltuutettu toteaa, että yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen. Tämän ajankohdan jälkeen henkilötietolaissa säädettyjen käsittelyn oikeusperusteiden sijaan sovelletaan yleisen tietosuoja-asetuksen mukaisia käsittelyn oikeusperusteita. Tästä syystä mahdollinen lupa tulisi myöntää määräaikaisena siten, että se on voimassa 25.5.2018 saakka.

Hakijan kuuleminen

Tietosuojalautakunta on varannut hakijalle mahdollisuuden antaa selityksensä tietosuojavaltuutetun lausunnon johdosta. Hakija ei ole antanut asiassa lausuntoa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖKSEN PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain 3 §:n 1 momentin 1 kohdan mukaan henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Lain 3 §:n 1 momentin 3 kohdan mukaan henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.

Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Henkilötietolain 11 §:ssä säädetään arkaluonteisten henkilötietojen käsittelykiellosta. Arkaluonteisina henkilötietoina pidetään muun muassa henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia.

Mitä henkilötietolain 11 §:ssä säädetään arkaluonteisten henkilötietojen käsittelykiellosta, ei kuitenkaan lain 12 §:n 1 momentin 1 kohdan mukaan estä käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa (1 kohta) tai tietojen käsittelyä, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä (5 kohta). Arkaluonteisten tietojen käsittely on lainkohdan 13 kohdan mukaan sallittua myös silloin, kun tietosuojalautakunta on antanut käsittelyyn 43 §:n 2 momentissa tarkoitetun luvan.

Henkilötietolain 43 §:n 2 momentin mukaan tietosuojalautakunta voi antaa 12 §:n 13 kohdassa tarkoitetun luvan arkaluonteisten henkilötietojen käsittelyyn tärkeää yleistä etua koskevasta syystä. Pykälän 3 momentin mukaan lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset. Määräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on tarpeen.

Luvan tarve

Hakemuksen kohteena olevat tiedot ovat arkaluonteisia henkilötietoja, sillä ne voivat kuvata henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia. Näin ollen hakija tarvitsee tietosuojalautakunnan luvan käsitelläkseen hakemuksessa kuvattuja henkilötietoja, elleivät muut henkilötietolain 12 §:ssä säädetyistä arkaluontoisten tietojen käsittelykiellon poikkeuksista täyty.

Niiltä osin kuin lupahakemuksen voidaan katsoa koskevan apteekkisopimuksen osapuolena olevan potilaan henkilötietojen käsittelyä, on hakijoilla lähtökohtaisesti henkilötietolain 12 §:n 1 momentin 1 kohdan perusteella oikeus käsitellä kyseessä olevia tietoja. Tältä osin henkilötietojen käsittelyyn ei tarvita tietosuojalautakunnan lupaa.

Henkilötietolain 12 §:n 1 momentin 4 kohdan mukaan mitä 11 §:ssä säädetään, ei estä arkaluonteisten tietojen käsittelyä, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Hakemuksessa tarkoitetun rekisterin ylläpidosta ja hallinnoinnista ei kuitenkaan säädetä laissa eikä se johdu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä.

Siltä osin kun järjestelmässä käsitellään muiden kuin apteekkisopimuspotilaiden henkilötietoja, ei käsittely myöskään voi perustua henkilötietolain 12 §:n 1 momentin 1 kohdassa tarkoitettuun nimenomaiseen suostumukseen. Lupahakemuksessa esitettyjen tietojen perusteella myöskään muut henkilötietolain 12 §:n 1 momentissa tarkoitetut arkaluonteisten henkilötietojen käsittelyn mahdollistamat tilanteet eivät tule kyseeseen. Näin ollen henkilötietojen käsittely hakemuksessa kuvatussa järjestelmässä niiltä osin kuin siihen ei ole nimenomaista suostumusta, edellyttää henkilötietolain mukaista tietosuojalautakunnan lupaa.

Luvan myöntämisen edellytykset

Koska kyse on arkaluonteisista tiedoista, on edellytyksenä luvan myöntämiselle se, että käsittely on tarpeen tärkeää yleistä etua koskevasta syystä. Henkilötietolaissa tai sen esitöissä ei ole tarkemmin määritelty sitä, mitä voidaan pitää tällaisena tärkeänä yleisenä etuna.

Hakemuksessa kuvatun menettelyn tavoitteena on päihde- ja lääkeriippuvuudesta kärsivien potilaiden vieroittaminen riippuvuudesta suunnitelmallisen lääkehoidon avulla. Hakemuksessa kuvattu menettely on osoittautunut toimivaksi sellaisten potilaiden hoidossa, joille lääkkeiden toimittaminen suurissa erissä ja useammasta eri apteekista ei sovellu väärinkäytösriskin vuoksi. Tietosuojalautakunta katsoo hakijalle myönnettyjä aiempia lupia vastaavasti, että tärkeä yleinen etu puoltaa hakemuksessa kuvattua henkilötietojen käsittelyä. Asiassa saadussa selvityksessä ei myöskään ole tullut esiin näkökohtia, jotka antaisivat syytä arvioida asiaa toisin.

Lupamääräykset

Lautakunta on liittänyt päätökseen edellä esitetyn lupamääräyksen, jonka tarkoituksena on turvata rekisteröityjen yksityisyyden suojaa.

Luvan voimassaolo

EU:n uusi yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) on tulossa sovellettavaksi jäsenvaltioissa 25.5.2018. Asetusta on sovellettava sellaisenaan kaikissa jäsenvaltioissa. Yleisen tietosuoja-asetuksen myötä henkilötietojen käsittelyn oikeusperusta ja valvontaviranomaisten toimivalta tulevat Suomessa muuttumaan. Näin ollen tietosuojalautakunta pitää perusteltuna luvan myöntämistä määräaikaisena siten, että luvan voimassaolo päättyy viimeistään, kun tietosuoja-asetus tulee sovellettavaksi.

SOVELLETUT SÄÄNNÖKSET         

Henkilötietolaki (523/1999) 3 §:n 1 momentin 1 ja 3 kohta, 6 §, 11 §, 12 ja 43 §


Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Ahti Saarenpää, Eila Ratasvuori, Lea Mäntyniemi, Tuula Sario, Pertti Saloranta ja Minna Aalto-Setälä.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.