16.12.2021

Rekisteröidyn tarkastusoikeuden toteuttaminen ja informointi potilastietojen käsittelystä

Apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset

Asia

Rekisteröidyn oikeus saada pääsy tietoihin (”tarkastusoikeus”), rekisteröityjen informointi

Rekisterinpitäjä

Lääkäriklinikka

Tietosuojavaltuutetun toimistossa on 23.10.2019 saatettu vireille rekisteröidyn tarkastusoikeutta koskeva kantelu. Vireillesaattaja on kertonut pyytäneensä potilastietojaan lääkäriklinikalta, mutta pyyntöä ei ole vireillesaattajan mukaan toteutettu. Pyynnössä on ollut kyse luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (myöhemmin: yleinen tietosuoja-asetus) 15 artiklan mukaisesta pyynnöstä.

Apulaistietosuojavaltuutetun päätös rekisteröidyn tarkastusoikeutta ja rekisteröityjen informointia koskevassa asiassa

Rekisterinpitäjältä saatu selvitys ja kuuleminen

Selvityspyyntö

Tietosuojavaltuutetun toimisto on lääkäriklinikan toiminnan selvittämiseksi pyytänyt klinikalta selvitystä 25.8.2020 päivätyllä selvityspyynnöllä. Määräajan päättymispäivä selvityksen antamiselle on ollut 8.9.2020.

Lääkäriklinikka ei ole antanut asiassa selvitystä määräajan kuluessa, ja selvityspyyntö on lähetetty lääkäriklinikalle sähköpostitse uudestaan 14.9.2020. Tällöin asian esittelijä on myös soittanut lääkäriklinikalle. Lääkäriklinikka on 15.9.2020 toimittanut tietosuojavaltuutetun toimistolle seuraavan sähköpostiviestin:

Hei

Oletteko kysyneet [vireillesaattajalta] jo, mitä papereita hän on jo saanut? Henkilökohtaiset potilastiedot saa, kuten hänkin on saanut, paikan päällä, emme lähetä niitä sähköpostitse.

Tietosuojavaltuutetun toimisto on 15.9.2020 kehottanut sähköpostitse [lääkäriklinikkaa] vastaamaan selvityspyynnössä esitettyihin kysymyksiin. Tietosuojavaltuutetun toimisto on lisäksi kysynyt, edellyttääkö [lääkäriklinikka] tarkastuspyynnön esittäneitä rekisteröityjä tulemaan paikan päälle [lääkäriklinikan] toimipisteeseen.

Tietosuojavaltuutetun toimiston esittelijä on ollut lääkäriklinikkaan puhelimitse yhteydessä 21.9.2020 ja nostanut uudestaan esille, ettei valvontaviranomaisen tekemään selvityspyyntöön ole vastattu asianmukaisesti. Esittelijä on tässä yhteydessä pyytänyt lääkäriklinikkaa toimittamaan vastaukset selvityspyynnössä esitettyihin kysymyksiin tietosuojavaltuutetun toimistolle viimeistään 25.9.2020.

Lääkäriklinikka on 23.9.2020 vastannut selvityspyyntöön. Antamassaan selvityksessä lääkäriklinikka on kertonut olevansa tietoinen yleisen tietosuoja-asetuksen 15 artiklan mukaisesta rekisteröidyn tarkastusoikeudesta sekä esittänyt, että vireillesaattaja on jo saanut kaikki itseään koskevat potilasasiakirjat. Lääkäriklinikka on myös halunnut saattaa tietosuojavaltuutetun toimiston tietoon, että vireillesaattajan toiminnassa kyse on vain kiusanteosta.

Vireillesaattaja on antanut 24.9.2020 vastineen lääkäriklinikan selvitykseen ja esittänyt siinä tietosuojavaltuutetun toimistolle, ettei hän ole saanut mitään tietojaan lääkäriklinikalta.

Tietosuojavaltuutetun toimisto on 7.10.2020 pyytänyt sähköpostitse lääkäriklinikkaa toimittamaan kaikki vireillesaattajan tarkastusoikeuden piiriin kuuluvat asiakirjat tietosuojavaltuutetun toimistolle 26.10.2020 mennessä. Lääkäriklinikka on tässä yhteydessä annettu tietosuojavaltuutetun toimiston osoitetiedot sekä tieto oikeusministeriön turvapostimahdollisuudesta ja linkki turvapostin käyttöohjeisiin.

Tietosuojavaltuutetun toimiston esittelijä on 5.11.2020 ollut puhelimitse yhteydessä lääkäriklinikkaan, koska lääkäriklinikka ei ollut toimittanut vireillesaattajan tarkastusoikeuden piiriin kuuluvia asiakirjoja tietosuojavaltuutetun toimistolle määräajan kuluessa. Lääkäriklinikan omistaja on tällöin kertonut lähettävänsä asiakirjat kirjattuna kirjeenä, ja esittelijä on keskustellut lääkäriklinikan omistajan kanssa yleisen tietosuoja-asetuksen 15 artiklasta ja sen käytännön soveltamisesta. Lääkäriklinikan omistaja on puhelun aikana maininnut, että tapaukseen on liittynyt erimielisyyksiä vireillesaattajan kanssa. Asian esittelijä on 14.12.2020 antanut lääkäriklinikalle puhelimitse ohjeistusta asiakirjojen lähettämiseksi tietosuojavaltuutetun toimistolle oikeusministeriön turvapostin kautta, ja lääkäriklinikka on todennut, että se tulee lähettämään asiakirjat kirjattuna kirjeenä saman päivän aikana.

Lääkäriklinikka on 14.12.2020 toimittanut sähköpostitse seuraavat vireillesaattajan tiedot sisältävän asiakirjan tietosuojavaltuutetun toimiston kirjaamoon:

nimi,
henkilötunnus,
puhelinnumero,
osoite,
soittopyynnön päivämäärä,
soittoajan päivämäärä,
vastaanottokäynnin päivämäärä,
toimenpiteen päivämäärä,
toimenpiteen päivämäärä,
vastaanottokäynnin päivämäärä,
vastaanottokäynnin päivämäärä

Tietosuojavaltuutetun toimiston esittelijä on ottanut lääkäriklinikkaan yhteyttä puhelimitse 23.12.2020 ja pyytänyt vahvistusta potilastiedot sisältävän kirjeen lähettämisestä sekä sen seurantatietoja. Sihteeriksi esittäytynyt henkilö ei ole tuolloin keskustellut tarkemmin asiasta, ja sihteerin mukaan muu henkilökunta olisi paikalla seuraavan kerran 28.12.2020. Tietosuojavaltuutetun toimisto on pyytänyt 23.12.2020 myös sähköpostitse lääkäriklinikkaa vahvistamaan, että kirje on lähetetty, sekä toimittamaan tietosuojavaltuutetun toimistolle lähetyksen seurantatunnuksen.

31.12.2020 lääkäriklinikalle on lähetetty sähköpostitse uusi tietosuojavaltuutetun toimiston selvityspyyntö, jossa vireillesaattajan potilasasiakirja- ja valokuvajäljennökset on pyydetty toimittamaan tietosuojavaltuutetun toimistolle viimeistään 15.1.2021. Lääkäriklinikka ei ole toimittanut tietoja tietosuojavaltuutetun toimistolle määräajan kuluessa.

Tietosuojavaltuutetun toimiston esittelijä on soittanut lääkäriklinikalle 3.2.2021 keskustellakseen asian keskeneräisyydestä ja tietosuojavaltuutetun toimistolle toimitetuista puutteellisista asiakirjoista. Lääkäriklinikan omistaja ei tuolloin ole ollut paikalla, ja keskustelu tarkastuspyynnön toteutukseen liittyvistä ongelmista on käyty puheluun vastanneen työntekijän kanssa. Lääkäriklinikka on 3.2.2021 ollut tietosuojavaltuutetun toimistoon yhteydessä sähköpostitse ja kertonut, että pyydetyt tiedot on jo toimitettu tietosuojavaltuutetun toimistolle suojatulla yhteydellä ja tästä on saatu vastaanottokuittaus. Tietosuojavaltuutetun toimisto on vastannut lääkäriklinikan viestiin samana päivänä ja nostanut esille, ettei tietosuojavaltuutetun toimistolle ole toimitettu vireillesaattajan potilasasiakirjoja, vaan ainoastaan 14.12.2020 toimitetut perustiedot asiakkaasta. Lääkäriklinikka on vastannut tähän saman päivän aikana seuraavasti:

Teille on lähetetty [lääkäriklinikan] [vireillesaattajan] tiedot asiakasmerkinnöistä. Potilasasiakirjat on saatavilla hänet operoineelta ja konsultoineelta taholta jonka kanssa hoitosuhde on ollut (XX OY, [kirurgi], minulla ei ole pääsyä XX OY:n potilasrekisteriin.)

Tietosuojavaltuutetun toimisto on 3.2.2021 saattanut lääkäriklinikan vastauksen vireillesaattajan tiedoksi. Vireillesaattaja on 3.2.2021 kertonut tietosuojavaltuutetun toimistolle, ettei hän ollut tietoinen siitä että tiedot olisi lääkäriklinikan näkemyksen mukaan tullut pyytää hoitavalta lääkäriltä. Vireillesaattaja on tässä yhteydessä kertonut, että hän on käynyt myös lääkäriklinikan omistajan vastaanotolla.

Tietosuojavaltuutetun toimisto on tiedustellut 3.2.2021 lääkäriklinikalta sähköpostitse, minkä tahon se katsoo olevan klinikan omistajan vastaanottokäyntien osalta henkilötietojen rekisterinpitäjä, ja pyytänyt lääkäriklinikkaa toimittamaan vastauksen tähän kysymykseen viimeistään 8.2.2021. Lääkäriklinikka ei ole ollut tämän jälkeen yhteydessä tietosuojavaltuutetun toimistoon.

Kuuleminen

Lääkäriklinikalle on varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta ja antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Lääkäriklinikalle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka lääkäriklinikan näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä. Lääkäriklinikalle on tätä tarkoitusta varten lähetetty 6.8.2021 sähköisesti ja maapostina kuulemispyyntö ja lisäselvityspyyntö, joihin sitä on pyydetty vastaamaan 3.9.2021 mennessä. Lääkäriklinikka ei ole vastannut kuulemispyyntöön tai lisäselvityspyyntöön. Kuulemispyynnössä lääkäriklinikan tietoon on saatettu, että asia voidaan ratkaista, vaikka lääkäriklinikka ei toimittaisi vastaustaan määräajan päättymiseen mennessä.

Taustatietoja

Palvelunkuvaus

Lääkäriklinikka on terveyspalveluja tarjoava yritys, jonka palveluihin sisältyvät esimerkiksi laser- ja pistoshoidot sekä kasvojen ja vartalon kauneuskirurgiset toimenpiteet.

Liikevaihto

Lääkäriklinikan liikevaihto on tilikaudella 1.9.2019 – 31.8.2020 ollut n. 500 000 euroa.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Yleisen tietosuoja-asetuksen johdantokappaleen 63 mukaan rekisteröidyn tarkastusoikeuteen sisältyy rekisteröidyn oikeus saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot.

Yleisen tietosuoja-asetuksen 5(1)(a) artiklassa säädetään läpinäkyvyyden periaatteesta. Artiklan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”).

Yleisen tietosuoja-asetuksen 12–14 artikloissa säädetään rekisteröityjen informoinnista, jonka toteuttaminen lukeutuu rekisterinpitäjän velvollisuuksiin. Rekisteröityjä henkilötietojen käsittelystä informoimalla rekisterinpitäjä toteuttaa myös yleisen tietosuoja-asetuksen 5(1)(a) artiklan läpinäkyvyyden periaatetta.

Yleisen tietosuoja-asetuksen 12 artikla sisältää menettelysäännöksiä koskien esimerkiksi läpinäkyvää informointia ja rekisteröidyn oikeuksien käyttöä. 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.

Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

Yleisen tietosuoja-asetuksen 12 artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

Yleisen tietosuoja-asetuksen 13 artiklassa säädetään toimitettavista tiedoista, kun henkilötietoja kerätään rekisteröidyltä. Artiklan 1 kohdan mukaan kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki 13 artiklan 1 kohdan a–e-alakohdan mukaiset tiedot. Näihin tietoihin lukeutuvat esimerkiksi tiedot rekisterinpitäjän identiteetistä (a-alakohta).

Yleisen tietosuoja-asetuksen 13 artiklan 2 kohdan mukaan rekisterinpitäjän on 13 artiklan 1 kohdassa tarkoitettujen tietojen lisäksi silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle 13 artiklan 2 kohdan a–f-alakohtien mukaiset lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi. Näihin tietoihin lukeutuu esimerkiksi tieto rekisteröidyn oikeudesta pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin (b-alakohta).

Yleisen tietosuoja-asetuksen 15 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos niitä käsitellään, oikeus saada pääsy henkilötietoihin sekä 15 artiklan 1 kohdan a–h alakohdan mukaiset tiedot. Artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

Yleisen tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn tarkastusoikeuden rajoitusperusteista säädetään täydentävästi kansallisen tietosuojalain (1050/2018) 34 §.ssä.

Yleisen tietosuoja-asetuksen 25(1) artiklan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi yleisen tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Asiassa on arvioitava:

1. onko lääkäriklinikka toteuttanut vireillesaattajan yleisen tietosuoja-asetuksen 15 artiklan mukaisen henkilötietojen tarkastusoikeuden, ja onko lääkäriklinikan menettely sen käsitellessä tarkastuspyyntöä ollut tietosuojasääntelyn mukainen (yleisen tietosuoja-asetuksen 15(1), 15(3), 12(3) ja 12(4) artiklat, tietosuojalain 34 §)

2. onko lääkäriklinikka toteuttanut yleisen tietosuoja-asetuksen 15 artiklan mukaiset henkilötietojen tarkastuspyynnöt hankaloittamatta rekisteröidyn oikeuksien käyttöä (yleisen tietosuoja-asetuksen 12(2) artikla)

3. onko lääkäriklinikan suorittama rekisteröityjen informointi vastannut tietosuojasääntelystä tulevia vaatimuksia ja erityisesti, onko lääkäriklinikka informoinut rekisteröityjä asianmukaisesti siitä, miltä osin se toimii rekisterinpitäjän asemassa (yleisen tietosuoja-asetuksen 5(1)(a), 12(1), 13(1), 13(2) ja 25(1) artiklat)

Apulaistietosuojavaltuutetun päätös

Huomautus ja määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c-alakohdan mukaisen määräyksen noudattaa vireillesaattajan pyyntöä saada pääsy tietoihin siltä osin kuin se koskee tietoja, joiden rekisterinpitäjä on lääkäriklinikka.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukaisen määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi rekisteröityjen oikeuksien toteuttamiseen liittyvien menettelytapojen ja rekisteröityjen informoinnin osalta.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukaisen huomautuksen yleisen tietosuoja-asetuksen säännösten vastaisista käsittelytoimista rekisteröidyn oikeuksien toteuttamisessa ja rekisteröityjen informoinnissa.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistolle 15.2.2022 mennessä tai viimeistään kuitenkin kuuden viikon kuluttua päätöksen tiedoksisaannista, ellei se hae muutosta tähän päätökseen.

Hallinnollinen seuraamusmaksu

Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Lääkäriklinikkaa oskeva asia annetaan seuraamuskollegion ratkaistavaksi. Seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu apulaistietosuojavaltuutetun antaman huomautuksen ja määräyksen lisäksi.

Päätöksen perustelut

Rekisteröidyn oikeus saada pääsy tietoihin

Tietosuojavaltuutetun toimisto on pyytänyt lääkäriklinikalta selvitystä siitä, miten se on toteuttanut vireillesaattajan esittämän, yleisen tietosuoja-asetuksen 15 artiklan mukaisen henkilötietojen tarkastuspyynnön. Lääkäriklinikka on 23.9.2020 tietosuojavaltuutetun toimistolle antamassaan selvityksessä esittänyt, että vireillesaattaja on jo saanut kaikki itseään koskevat potilasasiakirjat. Vireillesaattaja on puolestaan esittänyt tietosuojavaltuutetun toimistolle antamassaan vastineessa, ettei hän ole saanut lääkäriklinikalta koskaan mitään potilastietojaan. Tietosuojavaltuutetun toimisto on tämän jälkeen pyytänyt lääkäriklinikkaa toimittamaan vireillesaattajan tarkastusoikeuden piiriin kuuluvat tiedot tietosuojavaltuutetun toimistolle.

Lääkäriklinikka on 14.12.2020 toimittanut tietosuojavaltuutetun toimistolle vireillesaattajan perustiedot, eikä se ole tässä yhteydessä selvittänyt näkemystään rekisterinpitäjyydestä koskien vireillesaattajan potilastietoja, tai esittänyt selvitystä siitä, että jokin muu rekisterinpitäjä olisi sen käsityksen mukaan toteuttanut lääkäriklinikalla tapahtuneita vireillesaattajan käyntejä koskevan henkilötietojen tarkastuspyynnön. Lääkäriklinikka ei ole tämän jälkeen vastannut tietosuojavaltuutetun toimiston esittämiin rekisterinpitäjyyttä koskeviin kysymyksiin, ja epäselväksi on näin ollen jäänyt esimerkiksi se, mikä taho on lääkäriklinikan näkemyksen mukaan niiden potilastietojen rekisterinpitäjä, jotka ovat syntyneet lääkäriklinikan omistajan vastaanotolla tapahtuneiden käyntien yhteydessä.

Apulaistietosuojavaltuutettu huomioi, että lääkäriklinikka on 23.9.2020 esittänyt tietosuojavaltuutetun toimistolle, että vireillesaattaja on jo saanut kaikki itseään koskevat potilasasiakirjat. 14.12.2020 Lääkäriklinikka on puolestaan kertonut, että vireillesaattajan potilasasiakirjat ovat saatavilla toiselta yritykseltä (XX Oy), joka on niiden rekisterinpitäjä. Lääkäriklinikan asiassa antama selvitys on näin ollen sisältänyt ristiriitaisuuksia koskien rekisteröidyn tarkastusoikeuden toteuttamiseen liittyviä keskeisiä seikkoja.

Lääkäriklinikka ei ole antanut selvitystä siitä, mikä taho on niiden potilastietojen rekisterinpitäjä, jotka ovat syntyneet vireillesaattajan käydessä lääkäriklinikan omistajan vastaanotolla. Asiassa saadun selvityksen pohjalta ei näin ollen ole perusteita tulla muuhun johtopäätökseen, kuin että lääkäriklinikka on vähintäänkin näiden tietojen osalta rekisterinpitäjän asemassa, eikä lääkäriklinikka ole antanut näiltä osin tietosuojavaltuutetun toimistolle muutakaan selvitystä. Tässä kohdin voidaan huomioida, että aluehallintovirasto on myöntänyt lääkäriklinikalle yksityisestä terveydenhuollosta annetun lain (152/1990) tarkoittaman luvan terveydenhuollon palvelujen antamiseen. Lupa kattaa muun muassa lääkärin vastaanottotoiminnan ja leikkauspalvelut. Tämä tukee sitä, että lääkäriklinikkaa voidaan pitää rekisterinpitäjänä.

Apulaistietosuojavaltuutettu katsoo, että lääkäriklinikka ei asiassa saadun selvityksen perusteella ole toteuttanut vireillesaattajan pääsyä hänen omiin henkilötietoihinsa yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdan mukaisesti tai ilmoittanut vireillesaattajalle syytä tarkastusoikeuden rajoittamiselle yleisen tietosuoja-asetuksen 12(4) artiklan mukaisesti. Asiassa saadun selvityksen perusteella rekisterinpitäjä ei ole myöskään noudattanut yleisen tietosuoja-asetuksen 12(3) artiklan mukaisia määräaikoja vireillesaattajan esittämän pyynnön käsittelyssä.

Edellä todetun perusteella apulaistietosuojavaltuutettu katsoo, ettei lääkäriklinikan menettely rekisteröidyn tarkastusoikeuden toteuttamisessa ole vastannut tietosuojasääntelystä tulevia vaatimuksia, eikä vireillesaattajan pääsyä hänen henkilötietoihinsa ole toteutettu lain edellyttämällä tavalla.

Rekisterinpitäjän velvollisuus helpottaa rekisteröidyn oikeuksien käyttämistä

Lääkäriklinikka on 15.9.2020 selvittänyt tietosuojavaltuutetun toimistolle, että ”Henkilökohtaiset potilastiedot saa, kuten [vireillesaattajakin] on saanut, paikan päällä, emme lähetä niitä sähköpostitse”.

Apulaistietosuojavaltuutettu katsoo, että edellytys saapua rekisterinpitäjän toimipisteeseen tarkastusoikeuden piiriin kuuluvien tietojen saamiseksi on ollut säännönmukainen toimintatapa. Rekisterinpitäjällä ei myöskään ole tiettävästi ollut käytössään vaihtoehtoista toimintatapaa. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän käytäntöä voidaan pitää rekisteröidyn kannalta kohtuuttoman hankalana ottaen huomioon, että rekisterinpitäjän on helpotettava yleisen tietosuoja-asetuksen 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä (yleisen tietosuoja-asetuksen 12(2) artikla). Hankaloittaminen on ollut erityisen ilmeistä niiden rekisteröityjen kohdalla, jotka eivät asu rekisterinpitäjän toimipisteen läheisyydessä. Lisäksi huomiota on kiinnitettävä siihen, että käyttääkseen oikeuksiaan rekisteröidyn tulee vierailla rekisterinpitäjän toimipisteessä sen aukioloaikojen puitteissa.

Rekisteröityjen informointi

Nyt arvioitavana olevassa tapauksessa rekisterinpitäjä ei ole antanut asiassa selvitystä siitä, miten se informoi rekisteröityjä henkilötietojen käsittelystä ja erityisesti rekisterinpitäjyyteen liittyvistä seikoista. Rekisterinpitäjän kotisivuilla ei ole saatavilla informaatiota henkilötietojen käsittelystä.

Läpinäkyvyyden periaatteen (yleisen tietosuoja-asetuksen 5(1)(a) artikla) mukaisesti henkilötietojen käsittelyyn liittyvien tietojen tulisi olla helposti saatavilla, ja läpinäkyvyyden periaate koskee erityisesti esimerkiksi tietoja rekisterinpitäjän identiteetistä sekä rekisteröityjen oikeutta saada vahvistus ja ilmoitus heitä koskevien henkilötietojen käsittelystä. Verkkosivuilla annettavan informaation tulisi olla saatavilla ja näkyvillä verkkosivuston kaikilla sivuilla, jolloin rekisteröity saa informaation nähtäväkseen yhdellä klikkauksella.

Koska asiassa ei ole saatu rekisterinpitäjältä selvitystä siitä, miten se on huolehtinut rekisteröityjen informoinnista, tietosuojavaltuutetun toimiston asiassa muutoin saaman selvityksen pohjalta on katsottava, ettei rekisterinpitäjä ole täyttänyt velvollisuuttaan toimittaa rekisteröidyille yleisen tietosuoja-asetuksen 12(1) artiklan ja 13 artiklan 1 ja 2 kohdan edellyttämä informaatio henkilötietojen käsittelystä. Apulaistietosuojavaltuutettu kiinnittää tässä kohdin erityistä huomiota siihen, ettei lääkäriklinikka informoi rekisteröityjä siitä, miltä osin se toimii lääkäriklinikan toiminnassa syntyvien potilastietojen rekisterinpitäjänä. Asiassa saadun selvityksen perusteella lääkäriklinikka ei ole myöskään arvioinut, onko sen tosiasiallinen tapa käsitellä henkilötietoja sellainen, että se toimii joiltain osin yhteisrekisterinpitäjänä. Apulaistietosuojavaltuutettu huomioi edelleen, että asian vireille saattanut vireillesaattaja on jäänyt epätietoiseksi siitä, mikä lääkäriklinikan rooli hänen henkilötietojensa käsittelyssä on ollut, eikä lääkäriklinikka ole myöskään selvittänyt näitä seikkoja asianmukaisesti valvontaviranomaiselle.

Asiassa tulee lisäksi arvioida, ovatko sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukset toteutuneet lääkäriklinikan toiminnassa (yleisen tietosuoja-asetuksen 25 artikla). Yleisen tietosuoja-asetuksen 25(1) artikla edellyttää, että rekisterinpitäjän tulisi huomioida tietosuoja toiminnassaan alusta alkaen. Apulaistietosuojavaltuutettu katsoo, että lääkäriklinikka ei ole noudattanut toiminnassaan lähestymistapaa, jossa henkilötietojen käsittelytoimissa huomioidaan tietosuoja keskeisenä tekijänä alusta alkaen, eikä lääkäriklinikka ole toteuttanut käsittelyn yhteydessä tehokkaasti tietosuojaperiaatteiden (läpinäkyvyys, yleisen tietosuoja-asetuksen 5(1)(a) artikla) täytäntöönpanon edellyttämiä toimia.

Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.

Seuraamuskollegion päätös hallinnollisesta sakosta (hallinnollisesta seuraamusmaksusta)

Rekisterinpitäjä

Lääkäriklinikka

Seuraamuskollegion päätös

Seuraamuskollegio katsoo, että apulaistietosuojavaltuutetun antamat, yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukainen huomautus ja d-alakohdan mukainen määräys eivät ole riittävä seuraamus ottaen huomioon rikkomisen luonne ja vakavuus.

Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio määrää rekisterinpitäjän maksamaan valtiolle määrältään 5.000 (viisituhatta) euron suuruisen hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla.

Perustelut hallinnollisen seuraamusmaksun määräämiselle

Yleisen tietosuoja-asetuksen 83 artiklassa on säädetty hallinnollisten sakkojen määräämisen yleisistä edellytyksistä. Artiklan mukaan hallinnollisten sakkojen määräämisen on oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa säädettyjen korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on jokaisessa yksittäistapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa luetellut seikat.

Asiaa arvioitaessa otetaan huomioon myös 29 artiklan mukaisen tietosuojatyöryhmän ohjeet hallinnollisten sakkojen soveltamisesta ja määräämisestä.

Kysymyksessä olevassa pääasiassa on katsottu, että rekisterinpitäjä on rekisteröidyn oikeuksista ja informointivelvoitteestaan huolehtimatta jättämisellään rikkonut yleisen tietosuoja-asetuksen artikloja 5(1)(a) (läpinäkyvyyden periaate), 12(1–4) (läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten), 13(1–2) (toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä), 15(1) ja (3) (rekisteröidyn oikeus saada pääsy tietoihin ja 25 (sisäänrakennettu ja oletusarvoinen tietosuoja).

Rikkomisen luonne ja vakavuus

Rikkomisen luonnetta ja vakavuutta arvioidaan yleisen tietosuoja-asetuksen 83(2)(a) artiklan mukaisten tekijöiden valossa.

Asiassa ei ole kyse yleisen tietosuoja-asetuksen johdantokappaleessa 148 tarkoitetusta vähäisestä rikkomisesta, ja rekisteröidyn oikeuksien toteuttamiseen kohdistuva rikkominen muodostaa nyt arvioitavana olevassa tapauksessa huomattavan riskin rekisteröidyn oikeuksille ja vaikuttaa rikottujen velvoitteiden olennaiseen sisältöön. Myös tietojenkäsittelyn laajuus ja tarkoitus puoltavat rikkomisen arvioimista siten vakavaksi, ettei yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukainen huomautus ja d-alakohdan mukainen määräys ole katsottavissa riittäväksi seuraamukseksi rekisterinpitäjälle.

Patentti- ja rekisterihallituksen ja Verohallinnon ylläpitämästä yritys- ja yhteisötietojärjestelmästä saatavien tietojen mukaan lääkäriklinikka on ollut kaupparekisterissä keväästä 2009 alkaen. Verkkotunnus www.[klinikan nimi].fi on yritys- ja yhteisötietojärjestelmän mukaan rekisteröity talvella 2013. Asiassa on pidettävä hyvin epätodennäköisenä, että rekisteröityjen informoinnista esimerkiksi rekisterinpitäjän verkkosivujen kautta olisi ennen tietosuojavaltuutetun toimiston selvitystyön alkamista huolehdittu asianmukaisesti. Asiassa on lisäksi pidettävä hyvin epätodennäköisenä, että rekisterinpitäjä olisi ennen vuotta 2019 (asian vireillesaattamisajankohta) toteuttanut rekisteröityjen pääsyn heidän omiin henkilötietoihinsa muulla tavoin kuin nyt esitetysti (asiakirjat noudettava toimipisteestä). Lisäksi rikkomisen kestoa arvioitaessa on huomioitava, ettei vireillesaattajan vuonna 2019 tekemää tarkastuspyyntöä ole edelleenkään toteutettu asianmukaisesti. Järjestelmällistä toimintaa koskevat epäkohdat ovat näin ollen olleet olemassa selkeästi pidempään kuin yleisen tietosuoja-asetuksen soveltamisajan, ja rikkominen jatkuu edelleen. Myöskään vireillesaattajan tarkastuspyynnön käsittelemisessä kulunut aika on otettava huomioon. Rikkomisen pitkäkestoisuus on katsottava hallinnollisen seuraamusmaksun määräämistä puoltavaksi perusteeksi.

Valvontaviranomaisella ei ole käytettävissään tietoja rekisteröityjen lukumäärästä. Seuraamuskollegio katsoo kuitenkin rekisterinpitäjän liikevaihtotietojen, toiminta-ajan ja toiminnan luonteen perusteella, että rekisterinpitäjä käsittelee lukuisten rekisteröityjen henkilötietoja ja että rikkominen on ollut järjestelmällistä, ei yksittäistapauksellista. Rikkomisen järjestelmällisyys ja vaikutus lukuisiin rekisteröityihin tulee huomioida hallinnollisen seuraamusmaksun määräämistä puoltavana perusteena.

Tietosuojavaltuutetun toimiston käytössä olevien tietojen mukaan rekisteröidyille ei ole aiheutunut konkreettista taloudellista tai muuta aineellista vahinkoa kysymyksessä olevan rikkomisen seurauksena. Aineellisen vahingon aiheutuminen ei kuitenkaan ole sakon määräämisen edellytys, ja rekisteröidyn on myös mahdollista esimerkiksi vaatia yleisen tietosuoja-asetuksen 82 artiklan mukaista vahingonkorvausta sakon määräämisestä riippumatta.

Rekisteröidyille aiheutuneita vahinkoja koskevassa arvioinnissa on otettava huomioon myös korkeimman oikeuden ratkaisu KKO:1998:85, jossa on korostettu tiedollista itsemääräämistä ja todettu, että sittemmin kumotun henkilörekisterilain (471/1987) 43 §:ssä tarkoitetun henkilörekisteririkoksen sanamuoto osoitti, että yksityisyyden suojan loukkaaminen tiedollisen itsemääräämisvallan vastaisena menettelynä merkitsi laissa edellytetyn vahingon tai haitan aiheuttamista. Tämä pätee edelleen. Pelkkä yksityisyyden suojan loukkaus merkitsee vahingon tai haitan aiheuttamista. Edellytyksenä ei ole taloudellisen tai muun aineellisen vahingon aiheutuminen per se, joskin tällaisten vahinkojen aiheutuminen otetaan yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a alakohdassa säädetyn mukaisesti huomioon hallinnollista seuraamusmaksua määrättäessä ja sen määrästä päätettäessä. Rekisterinpitäjän on näin ollen katsottava rikkoneen rekisteröityjen yleisen tietosuoja-asetuksen mukaisia oikeuksia, jonka seurauksena rekisteröidyille on aiheutunut vahinkoa.

Raskauttavien ja lieventävien tekijöiden arviointi

Rikkomisen tahallisuus tai tuottamuksellisuus

Vireillesaattaja on esittänyt lääkäriklinikalle rekisteröidyn oikeuksia koskevan pyynnön vuonna 2019. Lääkäriklinikka ei ole pyynnön johdosta ryhtynyt asianmukaisiin toimenpiteisiin, eikä se ole antanut vireillesaattajalle selvitystä siitä, miltä osin se toimii asiassa rekisterinpitäjän asemassa. Lääkäriklinikan välinpitämättömästä suhtautumisesta velvoitteidensa täyttämiseen on lisäksi nähtävissä, ettei se ole ottanut selvää yleisestä tietosuoja-asetuksesta tulevista rekisterinpitäjän velvollisuuksista. Kyse vaikuttaisi tämän osalta olevan ymmärtämättömyydestä ja piittaamattomuudesta, minkä seurauksena rekisteröityjen oikeuksia ei ole toteutettu lain edellyttämällä tavalla. Rekisterinpitäjän toiminnasta ei näin ollen löydy tältä osin lieventäviä perusteita. Rekisterinpitäjän piittaamattomuus tietosuojasääntelyä kohtaan on katsottava asiassa raskauttavaksi perusteeksi.

Rekisterinpitäjän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi

Rekisteröidyille aiheutuneita vahinkoja koskevassa arvioinnissa on otettava huomioon korkeimman oikeuden ratkaisu KKO:1998:85, jossa on korostettu tiedollista itsemääräämistä ja todettu, että sittemmin kumotun henkilörekisterilain (471/1987) 43 §:ssä tarkoitetun henkilörekisteririkoksen sanamuoto osoitti, että yksityisyyden suojan loukkaaminen tiedollisen itsemääräämisvallan vastaisena menettelynä merkitsi laissa edellytetyn vahingon tai haitan aiheuttamista. Tämä pätee edelleen. Pelkkä yksityisyyden suojan loukkaus merkitsee vahingon tai haitan aiheuttamista. Edellytyksenä ei ole taloudellisen tai muun aineellisen vahingon aiheutuminen per se, joskin tällaisten vahinkojen aiheutuminen otetaan yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a alakohdassa säädetyn mukaisesti huomioon hallinnollista seuraamusmaksua määrättäessä ja sen määrästä päätettäessä. Lajivalinnassa on näin ollen huomioitu, että rekisterinpitäjän on katsottava rikkoneen rekisteröityjen yleisen tietosuoja-asetuksen mukaisia oikeuksia, jonka seurauksena rekisteröidyille on aiheutunut vahinkoa.

Rekisterinpitäjän vahingon lieventämiseksi toteuttamien toimien osalta voidaan todeta, ettei rekisterinpitäjä ole ryhtynyt toimiin rekisteröidylle aiheutuneen vahingon lieventämiseksi. Rekisterinpitäjän passiivisuus näiltä osin on katsottava asiassa raskauttavaksi perusteeksi.

Rekisterinpitäjän vastuun aste, ottaen huomioon sen 25 ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet

Rekisterinpitäjä ei ole toteuttanut teknisiä ja organisatorisia toimenpiteitä, joilla se olisi varmistanut sisäänrakennetun ja oletusarvoisen tietosuojan toteutumisen kaikilla organisaatiotasoilla. Rekisterinpitäjä ei ole huolehtinut siitä, että sillä on käytössään asianmukaiset menettelyt rekisteröidyn tarkastusoikeuden toteuttamista varten, eikä se ole huomioinut menettelytapojen puutteellisuudesta luonnollisten henkilöiden oikeuksille aiheutuvaa riskiä. Lisäksi rekisterinpitäjä ei ole ottanut käyttöön prosesseja rekisteröityjen asianmukaiseksi informoimiseksi henkilötietojen käsittelystä. Kyse on ollut rekisterinpitäjän systemaattisesta virheestä. Asianmukaisten teknisten ja organisatoristen toimenpiteiden laiminlyönti on katsottava asiassa raskauttavaksi tekijäksi.

Yhteistyö valvontaviranomaisen kanssa

Rekisterinpitäjän yhteistyö valvontaviranomaisen kanssa on ollut puutteellista, eikä se ole osoittanut asiassa oma-aloitteisuutta asian selvittämiseksi. Rekisterinpitäjä ei ole vastannut asianmukaisesti valvontaviranomaisen selvityspyyntöihin, eikä se ole esimerkiksi vastannut sille 31.12.2020 toimitettuun selvityspyyntöön tai 6.8.2021 toimitettuun kuulemis- ja lisäselvityspyyntöön lainkaan. Rekisterinpitäjän passiivisuus asiaa selvitettäessä on katsottava raskauttavaksi perusteeksi.

Henkilötietoryhmät, joita rikkominen koskee

Rekisterinpitäjä on terveyspalveluja tarjoava yritys, joka käsittelee erityisiin henkilötietoryhmiin (yleisen tietosuoja-asetuksen 9 artikla) kuuluvia tietoja. Potilastietojen tarkastuspyynnöt kohdistuvat arkaluonteisiin, rekisteröidyn terveyttä koskeviin tietoihin. Potilastietojen kohdalla rekisteröidyn tarkastusoikeuden toteuttamisella on erityistä merkitystä myös luottamuksellisen potilassuhteen ja potilaan itsemääräämisoikeuden kannalta. Tietojenkäsittelyn kohdistuminen terveyttä koskeviin tietoihin on katsottava asiassa raskauttavaksi perusteeksi.

Tapa, jolla tieto rikkomisesta tuli valvontaviranomaisen tietoon

Tieto on tullut valvontaviranomaiselle kantelun kautta, ei rekisterinpitäjän omasta ilmoituksesta. Lieventäviä perusteita ei tältä osin näin ollen löydy.

Yhteenveto ja hallinnollisen sakon rahamäärä

Yleisen tietosuoja-asetuksen 83(1) artiklan mukaan sakon tulee olla tehokas, oikeasuhteinen ja varoittava. Arviointi tehdään kunkin yksittäistapauksen olosuhteiden perusteella. Yksittäistapausta tarkasteltaessa tulee arvioida, onko pyrkimyksenä pelkästään toiminnan muuttaminen lainmukaiseksi, vai onko tavoitteeksi perusteltua asettaa rekisterinpitäjän rankaiseminen lainvastaisesta toiminnasta. Sakon määrän kohdalla on puolestaan huomioitava, kohdistuuko rikkominen yleisen tietosuoja-asetuksen 83(4) artiklassa vai asetuksen 83(5) artiklassa lueteltuihin yleisen tietosuoja-asetuksen artikloihin. Porrastus kahteen eri kategoriaan muodostaa puitteet sakon enimmäismäärän asettamiselle, eikä yleisessä tietosuoja-asetuksessa ole määritelty sakkosummia esimerkiksi rikkomistyypeittäin. Rikkomisen vakavuuden arvioinnissa huomioidaan puolestaan kaikkien 83(2) artiklassa mainittujen tekijöiden yhteisvaikutus.

Lääkäriklinikan kohdalla on perusteltua asettaa tavoitteeksi sekä toiminnan lainmukaiseksi saattaminen että rekisterinpitäjän huomion kiinnittäminen toimintatavan lainvastaisuuteen taloudellisella seuraamuksella. Rikkominen on rekisteröidyn oikeuksien käyttämisen hankaloittamisen ja rekisteröityjen puutteellisen informoinnin osalta ollut pitkäkestoista, ja sen voi myös liikevaihtotiedot huomioiden perustellusti olettaa vaikuttaneen suureen joukkoon rekisteröityjä. Lisäksi rekisterinpitäjä ei ole ryhtynyt asianmukaisiin toimenpiteisiin vireillesaattajan tarkastusoikeuden toteuttamiseksi edes valvontaviranomaisen kehotuksesta. Näin ollen rikkomisen taustalla voidaan katsoa olevan viimeksi mainitun vireillesaattajan yksittäistapauksen osalta rekisterinpitäjän piittaamattomuus tietosuojasääntelyn noudattamista kohtaan. Muiden mainittujen seikkojen kohdalla kyseessä voidaan katsoa olevan joko rekisterinpitäjän ymmärtämättömyys tai piittaamattomuus tietosuojasääntelystä rekisterinpitäjälle tulevia velvoitteita kohtaan. Lääkäriklinikan tapauksessa pelkkää toiminnan saattamista tietosuojasääntelyn vaatimuksia vastaavaksi ei voida pitää riittävänä. Tätä näkökantaa tukee vahvasti myös rekisterinpitäjän haluttomuus tehdä yhteistyötä valvontaviranomaisen kanssa, sekä se, että kyse on ollut rekisteröidyn oikeuksia koskevan sääntelyn ja yleisen tietosuoja-asetuksen 5 artiklan mukaisten tietosuojaperiaatteiden rikkomisesta. Rekisterinpitäjä ei ole ryhtynyt asianmukaisiin toimenpiteisiin epäkohtien korjaamiseksi, ja rekisterinpitäjän suhtautuminen valvontaviranomaisen suorittamaan selvitystyöhön on ollut välinpitämätöntä.

Lääkäriklinikan tapauksessa sakon euromääräinen yläraja muodostuu yleisen tietosuoja-asetuksen 83(5) artiklan mukaisesti, koska rikkominen kohdistuu sekä yleisen tietosuoja-asetuksen 83(4) artiklan mukaisiin (rikotut artiklat: 25 artikla) että yleisen tietosuoja-asetuksen 83(5) artiklan mukaisiin (rikotut artiklat: 5, 12, 13 ja 15) säännöksiin. Artikloista 5, 12, 13 ja 15 tulevien velvoitteiden täyttämättä jättämistä on näin arvioitava vakavampana rikkomisena, ja kokonaisseuraamuksen määräämisessä on mahdollista soveltaa yleisen tietosuoja-asetuksen 83(5) artiklaa. Sakon määrässä on huomioitava, että se täyttää yleisen tietosuoja-asetuksen 83(1) artiklan vaatimuksen hallinnollisen sakon varoittavasta vaikutuksesta.

Raskauttavina perusteina on arvioinnissa huomioitava rekisterinpitäjän passiivisuus asian käsittelyssä, rekisterinpitäjän passiivisuus korjaaviin toimenpiteisiin ryhtymisessä, rekisterinpitäjän passivisuus asianmukaisten teknisten ja organisatoristen toimenpiteiden käyttöönotossa, rekisterinpitäjän passiivisuus rekisteröidylle aiheutuneen vahingon lieventämiseksi, rekisterinpitäjän piittaamattomuus tietosuojasääntelyä kohtaan, rikkomisen järjestelmällisyys, sekä rikkomisen kohdistuminen erityisiin henkilötietoryhmiin kuuluviin tietoihin (terveyttä koskevat tiedot). Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan b alakohdan mukaan rekisteröityjen 12–22 artiklan mukaisten oikeuksien rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotoisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Vaikka yleistä tietosuoja-asetusta on ryhdytty soveltamaan 25.5.2018, eikä henkilötietolaki ole sisältänyt vastaavaa sakkosäännöstä, sakko on mahdollista määrätä niin sanotusta jatkuvasta rikkomisesta ja näin ollen myös yleisen tietosuoja-asetuksen soveltamisen aloitusajankohtaa edeltänyt rikkominen on mahdollista huomioida.

Rekisterinpitäjälle 6.8.2021 toimitetussa kuulemispyynnössä rekisterinpitäjän tietoon on saatettu, että asia voidaan ratkaista, vaikka rekisterinpitäjä ei toimittaisi vastaustaan määräajan päättymiseen mennessä.

Hallinnollisen sakon määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksiin voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätökset annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.