EU:n tuomioistuimen ratkaisu laajentaa rekisteröidyn oikeuksia tutustua potilastietojaan koskeviin lokitietoihinsa
Tietosuojavaltuutettu on aikaisemmin katsonut, että käyttäjälokitiedot kuvaavat esimerkiksi rekisteröidyn tietoja käsitelleitä työntekijöitä eivätkä rekisteröityä itseään. Näin ollen tietosuojavaltuutettu on katsonut, että rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklan nojalla oikeutta saada lokitietoja.
Tietosuojavaltuutettu on aikaisemmin katsonut, että käyttäjälokitiedot kuvaavat esimerkiksi rekisteröidyn tietoja käsitelleitä työntekijöitä eivätkä rekisteröityä itseään. Näin ollen tietosuojavaltuutettu on katsonut, että rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklan nojalla oikeutta saada lokitietoja.
Euroopan Unionin tuomioistuimen 22.6.2023 antama ratkaisu (asia C-579/21) muutti tietosuojavaltuutetun käsitystä. Mainitussa ratkaisussaan Euroopan unionin tuomioistuin katsoi, että rekisteröidyllä on yleisen tietosuoja-asetuksen 15 artiklan nojalla oikeus saada tietää henkilötietoihinsa tehtyjen kyselytoimien ajankohdat ja tarkoitukset. Tämä ja Suomessa sovelletun sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (asiakastietolaki (784/2021 muutoksineen) 26 § huomioon ottaen apulaistietosuojavaltuutettu katsoi 10.2.2025 antamassa päätöksessä TSV/1507/2024, että sosiaali- ja terveydenhuollon asiakkaalla on oikeus saada tietää käsittelyn ajankohtien ja tarkoitusten lisäksi myös se, kuka hänen tietojaan on käsitellyt.
Ratkaisun tausta
Rekisteröity oli pyytänyt rekisterinpitäjältä sairaalaa ja terveyskeskuksia koskevia lokitietoja pyyntöä edeltävältä kahdelta vuodelta. Rekisterinpitäjä toimitti tiedot rekisteröidyn potilastietoja käsitelleistä henkilöistä ja heidän roolistaan rekisterinpitäjän toiminnassa. Toimitetut tiedot eivät sisältäneet tietoja käsittelyn ajankohdista. Rekisteröity pyysi lisäselvityspyynnöillä myös ajankohtatietoja, jotta hän voisi yhdistää tietoja käsitelleet henkilöt ja käyttöajat ja näin saada tarkemman kuvan henkilötietojensa käsittelystä.
Rekisterinpitäjä ei toimittanut pyydettyjä tietoja, ja rekisteröity vei asian tietosuojavaltuutetun käsiteltäväksi. Vastauksessaan tietosuojavaltuutetun selvityspyyntöön rekisterinpitäjä kertoi, että palveluissa käytössä ollut perusmuotoinen lokitietoraportti ei kerro ajankohtaa, jona rekisterinpitäjän palveluksessa ollut henkilö on käsitellyt tietoja, mistä syystä pyydettyä raporttia ei pystytty toimittamaan.
Sovellettava lainsäädäntö
Henkilötietojen käsittelystä säädetään yleisessä tietosuoja-asetuksessa, jota täydentää kansallinen tietosuojalaki (1050/2018). Rekisteröidyn oikeudesta saada pääsy ja tutustua omiin tietoihinsa säädetään tietosuoja-asetuksen 15 artiklassa. Artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö hänen henkilötietojaan ja mikäli näin on, oikeus saada tutustua tietoihin ja tieto tarkemmasta käsittelystä. Asetuksen 12 artiklassa säädetään menettelystä ja määräajoista, joita tietojen antamisessa on noudatettava.
Suomessa sosiaali- ja terveydenhuollon asiakastietoihin sovelletaan yleisen tietosuoja-asetuksen lisäksi erityislainsäädäntönä asiakastietolakia. Tietopyynnön esittämisen aikaan voimassa olleen asiakastietolain /784/2021) 26 §:n mukaan asiakkaalla oli oikeus saada lokirekisterin perusteella tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja, ja mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla ei kuitenkaan ollut oikeutta saada lokitietoja, jos sen, jolta lokitietoja pyydetään, tiedossa oli, että tietojen antaminen saattaisi aiheuttaa vakavaa vaaraa asiakkaan terveydelle tai hoidolle tai jonkun muun oikeuksille. Nyt kyseessä olevassa tapauksessa ei viitattu siihen, ettei tietoja voitu antaa edellämainittujen syiden vuoksi. Todettakoon myös, että aikaisemman asiakastietolain kumonneen uuden asiakastietolain (703/2023) 11 §:ssä säädetään vastaavalla tavalla oikeudesta saada lokitiedot ja lainsäädäntö on näin ollen pysynyt tältä osin sisällöllisesti samana lainmuutoksesta huolimatta.
Apulaistietosuojavaltuutetun päätös
Euroopan unionin tuomioistuimen 22.6.2023 antamassa ratkaisussa C-579/21 arvioitiin rekisteröidyn oikeutta saada käyttöönsä henkilötietojen käsittelyyn liittyviä lokitietoja yleisen tietosuoja-asetuksen 15 artiklan nojalle. Tuomioistuimen mukaan rekisteröidyllä on oikeus saada tieto siitä, milloin hänen henkilötietojaan on käsitelty ja mikä on ollut käsittelyn tarkoitus. Tuomioistuin totesi kuitenkin, että rekisteröidyllä ei yleisen tietosuoja-asetuksen nojalla lähtökohtaisesti ole oikeutta saada tietoa niistä henkilöistä, jotka ovat tarkastelleet rekisteröidyn tietoja rekisterinpitäjän alaisuudessa ja rekisterinpitäjän ohjeiden mukaisesti.
Euroopan unionin tuomioistuimen ratkaisu muutti tietosuojavaltuutetun käsitystä oikeudesta saada lokitiedot yleisen tietosuoja-asetuksen 15 artiklan perusteella. Apulaistietosuojavaltuutettu katsoo 10.2.2025 antamassaan päätöksessä, että aikaisemmasta kannasta poiketen rekisteröidyllä on oikeus saada tietosuoja-asetuksen perusteella tieto häntä koskevien tietojen käsittelyajankohdista sekä tieto käsittelyn tarkoituksista. Edelleen, ottaen huomioon myös tapaukseen sovellettava asiakastietolain 26 §:n mukainen sosiaali- ja terveydenhuollon asiakkaan tiedonsaantioikeus, apulaistietosuojavaltuutettu katsoi, että rekisteröidyllä oli oikeus saada rekisterinpitäjältä em. tietojen lisäksi tieto siitä, kuka tietoja on käsitellyt.
Apulaistietosuojavaltuutettu katsoi, ettei rekisterinpitäjä ollut esittänyt lakiin perustuvaa syytä olla toimittamatta rekisteröidylle tämän pyytämiä tietoja. Tekniset haasteet eivät ole lainmukaisia syitä olla luovuttamatta pyydettyjä tietoja käsittelyn ajankohdista ja perusteista. Näillä perusteilla apulaistietosuojavaltuutettu määräsi rekisterinpitäjän antamaan rekisteröidylle pyydetyt tiedot siltä osin, kun niitä ei ollut vielä annettu.
Lopuksi
Ennen Euroopan unionin tuomioistuimen lokitietoja koskevaa ratkaisua on katsottu, että lokitiedot eivät ole kuuluneet yleisen tietosuoja-asetuksen 15 artiklan mukaisen tietojensaantioikeuden piiriin. On kuitenkin huomattava, että kansallisen erityislainsäädännön (asiakastietolaki) mukaan rekisteröidyllä on jo aikaisemminkin ollut oikeus saada tietää, kuka hänen tietojaan on käsitellyt, kenelle tiedot on siirretty, sekä millä perusteella niin on tehty. Tulkinnan ja kansallisen lainsäädännön yhdenmukaistuminen on merkittävä edistysaskel, joka vahvistaa rekisteröidyn oikeuksia ja lisää tietosuojan läpinäkyvyyttä. Tämä kehitys on osaltaan askel kohti parempaa tietosuojaa ja luottamusta.
