Mitkä tiedot ovat terveystietoja – Euroopan unionin tuomioistuimen ennakkoratkaisu
Euroopan unionin tuomioistuin antoi 4. lokakuuta 2024 merkittävän tuomion asiassa C-21/23, joka tunnetaan myös nimellä Lindenapotheke-tapaus. Tuomio käsittelee yleisen tietosuoja-asetuksen (GDPR) tulkintaa erityisesti terveystietojen käsittelyyn ja kilpailijoiden oikeuksiin liittyen. Tässä artikkelissa tuomioistuimen ratkaisua käsitellään siltä osin kuin se koski tulkintaa terveystiedoiksi katsottavista tiedoista.
Euroopan unionin tuomioistuin antoi 4. lokakuuta 2024 merkittävän tuomion asiassa C-21/23, joka tunnetaan myös nimellä Lindenapotheke-tapaus. Tuomio käsittelee yleisen tietosuoja-asetuksen (GDPR) tulkintaa erityisesti terveystietojen käsittelyyn ja kilpailijoiden oikeuksiin liittyen. Tässä artikkelissa tuomioistuimen ratkaisua käsitellään siltä osin kuin se koski tulkintaa terveystiedoiksi katsottavista tiedoista.
Saksan liittovaltion ylin tuomioistun sai ratkaistavakseen kahden saksalaisen apteekkarin välisen riita-asian. Lindenapotheke-nimisen apteekin omistava apteekkari oli myynyt Amazonissa vuodesta 2017 lähtien lääkkeitä, joiden myynti oli varattu apteekeille. Lääkkeiden tilaamisen yhteydessä asiakkaiden tuli syöttää myyntialustalle useita tietoja, kuten nimensä, toimitusosoitteensa ja lääkkeiden yksilöimiseksi tarvittavat tiedot. Lääkkeiden tilaaminen ei edellyttänyt lääkemääräystä.
Tapauksessa kilpaileva apteekkari nosti kanteen väittäen, että Lindenapotheke käsitteli asiakkaiden terveystietoja ilman heidän suostumustaan, yleisen tietosuoja-asetuksen vastaisesti. Kilpaileva apteekkari vaati, että Lindenapotheke lopettaa lääkkeiden myynnin Amazonissa, kunnes asiakkaiden suostumus terveystietojen käsittelyyn on saatu asianmukaisesti.
Nimi ja osoite ovat kiistatta henkilötietoja, koska ne liittyvät tunnistettuihin tai tunnistettavissa oleviin luonnollisiin henkilöihin. Lindenaphopteke-tapauksessa pohdittiin, voivatko tällaiset tiedot paljastaa tietoja kyseisten henkilöiden terveydentilasta ja ovatko ne näin ollen GDPR:ssä tarkoitettuja terveystietoja, vaikka tuotteiden hankkiminen ei edellyttänyt lääkemääräystä.
GDPR:n mukaan terveystietojen käsittely edellyttää kyseessä olevan henkilön nimenomaisen suostumuksen, ellei käsittelylle ole olemassa jotakin GDPR:ssä säädettyä muuta perustetta.
Mitkä tiedot ovat terveystietoja?
GDPR:n mukaan terveystiedoilla tarkoitetaan kaikkia henkilötietoja, jotka paljastavat tietoja luonnollisen henkilön entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta, mukaan lukien tiedot terveyspalvelujen tarjoamisesta kyseiselle henkilölle. Henkilötiedoilla puolestaan tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa esimerkiksi nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman hänelle tunnusomaisen muun (esimerkiksi fyysisen tai psyykkisen) tekijän perusteella.
Unionin tuomioistuin katsoi, että GDPR:n tavoitteena on turvata luonnollisille henkilöille yksityisyyden korkeatasoinen suoja ja että GDPR:ssä tarkoitettua terveystietojen käsitettä on tulkittava laajasti. Näin ollen sellaistenkaan henkilötietojen käsittely, joista selviää vain epäsuorasti luonnollista henkilöä koskevia arkaluonteisia tietoja, ei saisi jäädä tehostetun suojajärjestelmän ulkopuolelle. Lindenaphopteke-tapauksessa tuomioistuin katsoi, että tiedoista, jotka asiakas syöttää verkkoalustalle lääkkeitä tilatessaan, voi tietojen yhdistämisen tai älyllisen päättelyn avulla selvitä rekisteröidyn terveydentilaa koskevia tietoja. Siten näitä tietoja on pidettävä terveystietoina.
Mikä merkitys lääkemääräyksellä tai sen puuttumisella on?
Silloin kun lääkkeiden myynti ei edellytä lääkemääräystä, kyseiset lääkkeet voidaan hankkia myös muille henkilöille kuin tilauksen tekevälle asiakkaalle. Tuomioistuin totesi, että henkilötietojen käsittelyn yhteydessä on selvitettävä, voiko kyseisistä tiedoista ilmetä terveystietoja (tai muita erityisiä henkilötietoja) riippumatta siitä, koskevatko tiedot kyseisen verkkopalvelun käyttäjää tai ketä tahansa muuta luonnollista henkilöä. Jos näin on, tällainen henkilötietojen käsittely on kiellettyä GDPR:ssä säädetyin poikkeuksin. Tuomioistuin painotti harkinnassaan etenkin erityisten henkilötietoryhmien (muun muassa terveystiedot) käsittelyyn liittyviä huomattavia riskejä.
Tuomioistuin katsoi niin ikään, että vaikka tällaiset lääkkeet olisi tarkoitettu muille henkilöille kuin kyseisille asiakkaille, nämä henkilöt on tietyin edellytyksin mahdollista tunnistaa ja heidän terveydentilastaan voidaan tehdä johtopäätöksiä. Näin voisi tapahtua esimerkiksi tilanteessa, jossa kyseiset lääkkeet toimitetaan toisen henkilön kotiin, tai kun asiakas on toimitusosoitteesta riippumatta viitannut toiseen tunnistettavissa olevaan henkilöön, kuten perheenjäseneensä.
Näin ollen tuomioistuin katsoi, että Lindenaphopteke-apteekin suorittama verkkoalustalle syötettyjen henkilötietojen käsittely oli terveystietojen käsittelyä, vaikka tilatut lääkkeet on tarkoitettu tilaajille vain tietyllä todennäköisyydellä mutta ei ehdottomalla varmuudella.
Lopuksi
Unionin tuomioistuin korosti, että GDPR:n tavoitteena on tarjota luonnollisille henkilöille korkeatasoinen yksityisyyden suoja. Terveystietojen käsitettä tulee tulkita laajasti, ja sellaisten henkilötietojen käsittely, joista voidaan vaikka vain epäsuorasti päätellä henkilön terveydentilaa, kuuluu tehostetun suojajärjestelmän piiriin. Tämä korostaa erityisten henkilötietoryhmien, kuten terveystietojen, käsittelyyn liittyviä riskejä ja GDPR:n asettamien suojatoimien merkitystä.
