TSV 04.09.2023
Rekisteröidyn oikeus tutustua tietoihinsa ja oikeuden puutteellinen toteutus
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 04.09.2023 |
| Diaarinumero: | 9707/152/19 |
Asia
Rekisteröidyn oikeus tutustua tietoihin tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädetyn mukaisesti.
Rekisterinpitäjä
Psykoterapeuttitoimija
Apulaistietosuojavaltuutetun päätös
Vireillesaattajalta saatu selvitys
1. Tietosuojavaltuutetun toimistoon on 16.12.2019 saatettu vireille kantelu, joka koskee tietosuoja-asetuksen 15 artiklassa säädettyä rekisteröidyn oikeutta saada tutustua tietoihin.
2. Vireillesaattaja on esittänyt tietosuoja-asetuksen 15 artiklan mukaisen pyynnön useita kertoja rekisterinpitäjälle vuosien 2017, 2018 ja 2019 aikana. Vireillesaattajan pyyntö koskee rekisterinpitäjän psykoterapiakäynneistä laatimia potilasasiakirjamerkintöjä vuosien 2015–2017 ajalta. Vireillesaattaja on esittänyt pyynnön henkilökohtaisesti ja kolmannen osapuolen avulla valtakirjalla.
3. Vireillesaattaja on kertonut, että rekisterinpitäjä on vastaanottanut vireillesaattajan pyynnön saada tutustua tietoihin. Vireillesaattaja on kertonut, että rekisterinpitäjä ei toteuttanut vireillesaattajan oikeutta saada tutustua tietoihin.
Rekisterinpitäjältä saatu selvitys
4. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 11.2.2020. Rekisterinpitäjä ei vastannut annetussa määräajassa tietosuojavaltuutetun toimiston selvityspyyntöön.
5. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä uudelleen selvitystä 15.3.2021. Rekisterinpitäjä on antanut selvityksensä tietosuojavaltuutetun toimistolle 23.3.2021. Rekisterinpitäjä on myöntänyt selvityksessään, että vireillesaattaja on esittänyt sille tietosuoja-asetuksen 15 artiklan mukaisen pyynnön, mutta rekisterinpitäjä ei ollut toteuttanut vireillesaattajan tietosuoja-asetuksen 15 artiklan mukaista oikeutta saada tutustua tietoihin. Rekisterinpitäjä on selvityksessään tietosuojavaltuutetun toimistolle ilmoittanut toteuttavansa vireillesaattajan oikeuden 24.3.2021. Rekisterinpitäjä on perustellut selvityksessään viivästymistään seuraavasti:
”Vireillesaattajan esittämä pyyntö on jäänyt odottamaan ratkaisua. Vireillesaattajan pyyntöön liittyen on hankittu konsultaatiota, minkä yhteydessä on jääty miettimään pyyntöön vastaamiseen liittyviä oikeudellisia seikkoja. Päädytty pitkällisten pohdintojen jälkeen siihen, että pyyntöön vastataan vireillesaattajan ehdotuksen mukaisesti.”
Vireillesaattajan vastine ja lisäselvitys
6. Vireillesaattaja on antanut vastineensa rekisterinpitäjän selvitykseen. Vastine on annettu tietosuojavaltuutetun toimistolle 29.4.2021. Vastineessa vireillesaattaja on kertonut, että rekisterinpitäjä on huhtikuussa 2021 toteuttanut vireillesaattajan tietosuoja-asetuksen 15 artiklan mukaisen oikeuden saada tutustua tietoihin. Vastineessa vireillesaattaja on kertonut, että rekisterinpitäjä ei toteuttanut vireillesaattajan oikeutta tietosuoja-asetuksen mukaisessa määräajassa. Vireillesaattaja on kertonut, että rekisterinpitäjä ei ilmoittanut tarvitsevansa lisäaikaa tietosuoja-asetuksen 15 artiklan mukaisen oikeuden toteuttamiselle.
7. Vastineessa vireillesaattaja on kertonut, että hänelle on aiheutunut tietosuoja-asetuksen 15 artiklan mukaisen oikeuden viivästyneen toteuttamisen seurauksena vahinkoa. Vireillesaattaja on kertonut, että oikeuden viivästyneen toteuttamisen seurauksena vireillesaattajan käynnistämät oikeustoimet ovat vaikeutuneet. Vireillesaattajan mukaan taloudelliset vahingot ovat seurausta siitä, että pyynnön esittämiseen on käytetty kolmatta osapuolta.
8. Vireillesaattaja on toimittanut lisäselvitystä tietosuojavaltuutetun toimistolle 12.5.2021. Lisäselvityksessä on esitetty rekisterinpitäjän ja vireillesaattajan välistä kirjeenvaihtoa. Lisäselvityksessä on muun muassa kerrottu, että vireillesaattajaa edustavat kolmannet osapuolet ovat antaneet rekisterinpitäjälle neuvoja rekisterinpitäjän tietosuoja-asetuksen mukaisista velvollisuuksista sekä tietoa oikeuden toteuttamisen kiireellisyydestä.
9. Vireillesaattajan lisäselvityksessä käy ilmi, että rekisterinpitäjä on 30.7.2018 todennut vireillesaattajalle, että toteuttaa tämän oikeuden saada tutustua tietoihin.
Rekisterinpitäjän kuuleminen ja lisäselvitys
10. Rekisterinpitäjälle on 13.4.2023 annetussa kuulemis- ja lisätietopyynnössä varattu hallintolain (2003/434) 34 §:n mukainen tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Kuulemispyynnössä rekisterinpitäjälle on varattu tilaisuus tulla kuulluksi esitetyistä tosiseikoista, asiaa koskevasta esittelijän alustavasta arviosta sekä asiassa mahdollisesti määrättävästä hallinnollisesta seuraamusmaksusta. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan on otettava huomioon ratkaisua tehtäessä.
11. Rekisterinpitäjä on antanut vastauksensa kuulemis- ja lisätietopyyntöön 16.5.2023. Annetussa vastauksessa rekisterinpitäjä on myöntänyt, ettei rekisterinpitäjä ole toteuttanut vireillesaattajan tietosuoja-asetuksen 15 artiklan mukaista oikeutta tietosuoja-asetuksen mukaisessa määräajassa.
12. Rekisterinpitäjä on kertonut vastauksessaan, että vireillesaattajan tietosuoja-asetuksen 15 artiklan mukainen pyyntö on ensin esitetty muodollisesti väärällä tavalla. Rekisterinpitäjä on kertonut, että rekisterinpitäjä on vastaanottanut myös muodollisesti oikealla tavalla esitetyn pyynnön.
13. Rekisterinpitäjä on kertonut vastauksessaan, että vireillesaattajan terveydentila on vaikuttanut rekisterinpitäjän päätökseen olla toteuttamatta vireillesaattajan tietosuoja-asetuksen 15 artiklan mukaista oikeutta määräajassa.
14. Rekisterinpitäjän on todennut vastauksessaan, että asiassa on ollut poikkeuksellisia seikkoja, jotka ovat vaikuttaneet rekisterinpitäjän menettelyyn. Rekisterinpitäjä on kertonut, että poikkeukselliset olosuhteet ovat osaltaan vaikuttaneet siihen, että rekisterinpitäjän liikevaihto on vähentynyt. Vastauksessaan rekisterinpitäjä on kiistänyt saaneensa asiassa taloudellista hyötyä.
15. Rekisterinpitäjä on antanut näkemyksensä määrättävästä seuraamuksesta. Rekisterinpitäjän näkemyksen mukaan asiassa määrättävä riittävän tehokas, oikeasuhtainen ja varoittava seuraamus on huomautus. Mahdollisen hallinnollisen seuraamusmaksun määräämisen osalta rekisterinpitäjä on katsonut 800 (kahdeksansataa) euroa olevan oikea lähtötaso, kun on huomioitu rekisterinpitäjän näkemyksen mukainen rikkomisen vähäinen vakavuus.
16. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä lisäselvitystä siitä, onko sille esitetty tietosuoja-asetuksen 15 artiklan mukaisia pyyntöjä muiden rekisteröityjen kuin vireillesaattajan toimesta. Rekisterinpitäjä on todennut vastauksessaan, että sille ei ole esitetty vireillesaattajan lisäksi muita tietosuoja-asetuksen 15 artiklan mukaisia pyyntöjä.
17. Lisätietopyyntöä koskevassa rekisterinpitäjän vastauksessa on todettu, että rekisterinpitäjän kokonaisliikevaihto vuonna 2022 on ollut 235 000 euroa. Rekisterinpitäjän mukaan liikevaihdosta 45 prosenttia muodostuu toimitilojen vuokraamisesta ja 55 prosenttia terveydenhuollon palveluista.
Sovellettavasta lainsäädännöstä
18. Yleistä tietosuoja-asetusta (EU) 2016/679 on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), joka on tullut voimaan 1.1.2019. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).
19. Yleisen tietosuoja-asetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada pääsy tietoihin. Säännöksen mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy tietoihin sekä muut artiklan 1 kohdan a-h-alakohdissa todetut tiedot. Saman artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista.
20. Rekisteröidyn oikeuksien käyttämisessä ja toteuttamisessa noudatettavista menettelytavoista säädetään yleisen tietosuoja-asetuksen 12 artiklassa. Tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Tietosuoja-asetuksen 12 artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.
Oikeudelliset kysymykset
21. Apulaistietosuojavaltuutettu arvioi, onko rekisterinpitäjä toteuttanut vireillesaattajan tapauksessa rekisteröidyn oikeuden saada tutustua tietoihin yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädetyn mukaisesti.
22. Lisäksi apulaistietosuojavaltuutettu arvioi, onko sen käytettävä sille yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa säädettyjä korjaavia toimivaltuuksia.
Apulaistietosuojavaltuutetun päätös
Huomautus
23. Rekisterinpitäjä ei ole toteuttanut vireillesaattajan oikeutta saada tutustua tietoihin yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädetyn mukaisesti.
24. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukaisen huomautuksen.
Hallinnollinen seuraamusmaksu
25. Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.
26. Apulaistietosuojavaltuutettu saattaa asian seuraamusmaksuharkinnan osalta seuraamuskollegion päätettäväksi. Seuraamuskollegion on arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i-alakohdan mukainen hallinnollinen seuraamusmaksu apulaistietosuojavaltuutetun antaman huomautuksen lisäksi.
Päätöksen perustelut
Kolmannen osapuolen käytöstä
27. Rekisterinpitäjä on tuonut esille kuulemista koskevassa vastauksessa, että vireillesaattajan tietosuoja-asetuksen 15 artiklan mukainen pyyntö on ensin esitetty muodollisesti väärällä tavalla. Rekisterinpitäjä ei ole tarkemmin kertonut miksi se on katsonut, että pyyntö on ensin esitetty muodollisesti väärällä tavalla. Rekisterinpitäjä on kertonut kuulemista koskevassa vastauksessa, että pyyntö on myöhemmin esitetty rekisterinpitäjälle myös muodollisesti oikealla tavalla.
28. Apulaistietosuojavaltuutetulla ei ole syytä epäillä vireillesaattajan esittämää tietosuoja-asetuksen 15 artiklan mukaista pyyntöä. Kolmas osapuoli voi tehdä tietosuoja-asetuksen 15 artiklan mukaisen pyynnön rekisteröidyn puolesta. Tietojen toimittaminen kolmannelle osapuolelle edellyttää tietosuoja-asetuksen osoitusvelvollisuuden mukaisesti sitä, että rekisterinpitäjä on varmistunut vireillesaattajan antamasta luvasta antaa tiedot kolmannelle osapuolelle.
Oikeus saada tutustua tietoihin ilman aiheetonta viivytystä
29. Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädetään määräajoista, joiden kuluessa rekisterinpitäjän on ilmoitettava rekisteröidylle, mihin toimenpiteisiin rekisteröidyn oikeuksien käyttöä koskevan pyynnön johdosta on ryhdytty. Edelleen kyseisen artiklan 4 kohdassa säädetään rekisterinpitäjän velvollisuudesta ilmoittaa rekisteröidyille syyt, mikäli se ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella sekä käytössä olevista oikeussuojakeinoista. Rekisterinpitäjän tulee tietosuoja-asetuksen 12 artiklan 4 kohdassa säädetyn mukaisesti ilmoittaa rekisteröidylle, mikäli rekisterinpitäjä ei aio toteuttaa rekisteröidyn oikeutta. Ilmoitus on tehtävä viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta.
30. Yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 59 todetaan, että rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa sekä perustelemaan kieltäytymisensä siinä tapauksessa, että rekisterinpitäjä ei aio noudattaa tällaista pyyntöä.
31. Vireillesaattaja on esittänyt yleisen tietosuoja-asetuksen 15 artiklan mukaisen pyynnön useita kertoja vuosien 2017, 2018 ja 2019 aikana. Vireillesaattaja on esittänyt pyynnön jo ennen yleisen tietosuoja-asetuksen soveltamista. Annetusta selvityksestä ilmenee, että rekisterinpitäjä ei kieltäytynyt toteuttamasta vireillesaattajan oikeutta, eikä ilmoittanut tarvitsevansa lisäaikaa oikeuden toteuttamiselle. Vireillesaattaja on kertonut, että rekisterinpitäjä on toteuttanut vireillesaattajan oikeuden huhtikuussa 2021.
32. Rekisterinpitäjä on myöntänyt kuulemista koskevassa vastauksessaan, ettei se ole vastannut vireillesaattajan pyyntöön yleisen tietosuoja-asetuksen mukaisessa määräajassa. Rekisterinpitäjä on kertonut kuulemista koskevassa vastauksessaan, että vireillesaattajan terveydentila on vaikuttanut rekisterinpitäjän päätökseen olla toteuttamatta vireillesaattajan tietosuoja-asetuksen 15 artiklan mukaista oikeutta määräajassa.
33. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän menettely vireillesaattajalle ilmoitettavien tietojen osalta ei ole vastannut tietosuoja-asetuksessa säädettyjä vaatimuksia. Rekisterinpitäjä on toiminut vastoin yleisen tietosuoja-asetuksen 12 artiklan 3 kohtaa, kun se ei ole toteuttanut vireillesaattajan oikeutta mainitun artiklan mukaisessa määräajassa. Ottaen huomioon, että rekisterinpitäjä ei ole lähes kolmeen vuoteen ilmoittanut vireillesaattajalle syitä sille, miksei tietosuoja-asetuksen 15 artiklan mukaista oikeutta ole voitu toteuttaa määräajassa, on se toiminut vastoin yleisen tietosuoja-asetuksen 12 artiklan 4 kohtaa.
34. On todettava, että tietosuoja-asetuksen 12 artiklan 4 kohdissa säädettyjen syiden ilmoittaminen vireillesaattajalle viipymättä on erityisen tärkeää, jotta rekisteröity voi tarvittaessa korjata esittämänsä pyynnön ja/tai saattaa asian tarvittaessa valvontaviranomaisen arvioitavaksi.
35. Apulaistietosuojavaltuutettu on arvioinnissaan kiinnittänyt huomiota siihen seikkaan, että tietosuojavaltuutetun toimisto on antanut ohjausta rekisterinpitäjälle rekisteröidylle kuuluvan tutustumisoikeuden toteuttamisesta 11.2.2020.
36. Ottaen huomioon, että rekisterinpitäjän menettely on asiassa esitetyn selvityksen perusteella alkanut jo ennen yleisen tietosuoja-asetuksen soveltamista, on rikkomisen katsottava jatkuneen varsin pitkään.
37. Edellä sanotun perusteella apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädettyä. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukaisen huomautuksen. Lisäksi apulaistietosuojavaltuutettu saattaa asian seuraamusmaksuharkinnan osalta seuraamuskollegion päätettäväksi.
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätöksen on antanut apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa.
Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen hallinnollisen seuraamusmaksun määräämisestä.
1. Apulaistietosuojavaltuutetun päätöksestä ilmenevin tavoin rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädettyä. Apulaistietosuojavaltuutettu on antanut päätöksessään rekisterinpitäjälle tietosuoja-asetuksen 12 artiklan 3 ja 4 kohtien rikkomisesta tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukaisen huomautuksen.
2. Ottaen huomioon rikkomisen vakavuuden, asiassa ei ole kysymys yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa tarkoitetusta vähäisestä rikkomisesta. Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että nyt käsiteltävänä olevassa asiassa apulaistietosuojavaltuutetun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan nojalla antama huomautus ei ole riittävä seuraamus asiassa, kun huomioidaan yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädetty.
3. Asiassa on lisäksi määrättävä hallinnollinen seuraamusmaksu. Seuraamusmaksun määräämistä tukee erityisesti se seikka, että rekisterinpitäjän lähes kolme vuotta kestänyt menettely on muodostanut huomattavan riskin vireillesaattajan tietosuoja-asetuksen 15 artiklan mukaisen oikeuden toteutumiselle.
4. Käsiteltävä oleva asia kuuluu yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan b-alakohdan mukaiseen korkeampaan seuraamusmaksuluokkaan. Rikkomisen osalta määrättävän sakon suuruus voi olla enintään joko 20 000 000 euroa, tai neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
5. Kuulemisessa annetussa vastauksessa, rekisterinpitäjä on ilmoittanut, että rekisterinpitäjän kokonaisliikevaihto vuonna 2022 on ollut 235 000 euroa. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio (myöhemmin ”seuraamuskollegio”) määrää edellä mainitun apulaistietosuojavaltuutetun antaman huomautuksen lisäksi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i-alakohdan ja 83 artiklan nojalla rekisterinpitäjän maksamaan valtiolle määrältään 1 600 (tuhatkuusisataa) euron suuruisen hallinnollisen seuraamusmaksun. Ottaen huomioon rikkomisen vakavuuden ja muut tapauksen olosuhteet, kuten jäljempänä seuraamuskollegion perusteluista tarkemmin ilmenee, seuraamuskollegio katsoo 1 600 (tuhatkuusisataa) euron suuruisen hallinnollisen seuraamusmaksun olevan tehokas, oikeasuhtainen ja varoittava.
Perustelut hallinnollisen seuraamusmaksun määräämiselle
6. Yleisen tietosuoja-asetuksen 83 artiklassa on säädetty hallinnollisen seuraamusmaksun määräämisen yleisistä edellytyksistä. Hallinnollisen seuraamus-maksun määräämisen on ensinnäkin oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Toisekseen hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa säädettyjen korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Nyt käsillä olevassa asiassa apulaistietosuojavaltuutettu on antanut rekisterinpitäjälle huomautuksen. Hallinnollinen seuraamusmaksu määrätään näin ollen 58 artiklan 2 kohdan b-alakohdan mukaisen huomautuksen lisäksi.
7. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa luetellut seikat.
8. Kuten apulaistietosuojavaltuutetun päätöksessä on katsottu, rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädettyä.
9. Yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan mukaan, jos rekisterinpitäjä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tietosuoja-asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä seuraamusmaksua.
10. Rikkomisen vakavuutta on arvioitava yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa lueteltujen seikkojen perusteella. Arvioinnissa on valittava menettely tai laiminlyönti, jota voidaan pitää kulloinkin arvioitavana olevan asian yksityiskohdat huomioon ottaen moitittavimpana.
11. Käsiteltävä asia koskee rekisteröidyn tietosuoja-asetuksen 15 artiklassa säädettyä oikeutta saada tutustua tietoihin. Asian yksityiskohdat huomioiden, asiassa on kysymys rekisteröidyn oikeudesta saada tutustua tietoihin tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädetyn mukaisesti. Kuten edellä kohdassa 4 on todettu, asia kuuluu yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan b-alakohdan mukaiseen korkeampaan seuraamusmaksuluokkaan.
12. Asiaa arvioitaessa on otettu huomioon tietosuojatyöryhmän antamat hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat.
Rikkomisen vakavuutta koskeva arviointi
13. Ottaen kokonaisuutena huomioon jäljempänä tarkemmin todetut perusteet, erityisesti vahingon aiheutumisesta ja tahallisuudesta sanottu, seuraamuskollegio katsoo, että edellytykset seuraamusmaksun määräämiselle täyttyvät.
14. Tietosuoja-asetuksen rikkomisen vakavuutta koskevassa arvioinnissa on huomioitu tietosuoja-asetuksen 83 artiklan 2 kohdan a-, b- ja g-alakohdat.
Rikkomisen luonne, vakavuus ja kesto
15. Tietosuoja-asetuksen velvoitteet luokitellaan 83 artiklan 4–6 kohdassa niiden luonteen mukaan. Se, että tietosuoja-asetuksessa vahvistetaan hallinnollisen sakon kaksi enimmäismäärää ilmentää sitä, että joidenkin säännösten rikkominen voi olla vakavampaa kuin toisten.
16. Nyt käsillä olevassa asiassa rikkominen on apulaistietosuojavaltuutetun päätöksestä ilmenevällä tavalla kohdistunut rekisteröidyn yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohtien toteuttamatta jättämisiin ja laiminlyönteihin. Vireillesaattajan tietosuoja-asetuksen 15 artiklan mukainen oikeus saada tutustua tietoihin on viivästynyt merkittävästi, eikä ole toteutunut yleisen tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädetyn mukaisesti.
17. Seuraamuskollegio toteaa, että asiassa on kysymys Euroopan perusoikeuskirjassa suojatun oikeuden (oikeus saada tutustua tietoihin) viivästyneestä toteuttamisesta.
18. Yleisen tietosuoja-asetuksen 15 artiklassa säädetyn oikeuden tarkoitus on mahdollistaa myös muiden tietosuoja-asetuksessa säädettyjen oikeuksien käyttäminen. Oikeus saada tutustua tietoihin mahdollistaa muun muassa sen, että rekisteröity voi valvoa omien henkilötietojensa käsittelyn lainmukaisuutta ja saattaa asian tarvittaessa tietosuojavaltuutetun toimiston tai muun valvontaviranomaisen käsiteltäväksi.
19. Se seikka, että rekisterinpitäjä on toteuttanut vireillesaattajan tietosuoja-asetuksen 15 artiklan mukaisen oikeuden tietosuojavaltuutetun toimiston uuden yhteydenoton jälkeen, ei vähennä rikkomisen vakavuutta.
20. Kuten apulaistietosuojavaltuutetun päätöksessä on todettu, vireillesaattajan oikeuden toteuttaminen on kestänyt lähes kolme vuotta eli merkittävästi yleisessä tietosuoja-asetuksessa säädettyä määräaikaa kauemmin. Tänä aikana rekisterinpitäjä ei ollut ilmoittanut vireillesaattajalle mitään perusteita, miksi vireillesaattajan oikeutta ei voisi toteuttaa. Tällainen rikkomisen kesto on otettava huomioon vakavuutta korottavana tekijänä.
21. Todettakoon, että edellä esitetyin perustein rikkomisen luonnetta ja kestoa on asiassa pidettävä hallinnollisen seuraamusmaksun määräämistä puoltavana seikkana.
Tietojenkäsittelyn luonne, laajuus tai tarkoitus sekä henkilötietoryhmät, joihin rikkominen vaikuttaa
22. Rekisterinpitäjä on yhden luonnollisen henkilön muodostama osakeyhtiö (yhdenyhtiö), joka tuottaa yksityisestä terveydenhuollosta annetun lain (152/1990) mukaisia terveydenhuollon palveluita. Rekisterinpitäjän toiminta on käynnistynyt vuonna 2009.
23. Rekisterinpitäjä on toiminut psykoterapiapalvelujen tuottajana yksityisessä terveydenhuollossa ja käsitellyt henkilötietoja potilaan asemasta ja oikeuksista annetun lain (potilaslaki 1992/785) 12 §:n 1 momentin mukaisiin potilaan hoidon turvaamista koskeviin tarkoituksiin.
24. Psykoterapiassa syntyneet henkilötiedot ovat henkilökohtaisia sekä rekisteröidyn yksityisyyden suojan ydinalueelle kuuluvia. Tiedot ovat terveyttä koskevia tietoja ja ne kuuluvat tietosuoja-asetuksen 9 artiklan erityisiin henkilötietoryhmiin. Psykoterapiassa syntyneiden tietojen käsittelyyn on asetettu tiukempia vaatimuksia kansallisessa lainsäädännössä, kuten laissa potilaan asemasta ja oikeuksista (potilaslaki, 1992/785), laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (784/2021) sekä potilasasiakirja-asetuksessa (94/2022).
25. Psykoterapiassa henkilötietojen käsittely on osa palvelun toteuttamista. Seuraamuskollegio katsoo, että tietosuoja-asetuksen rikkomista voidaan pitää kysymyksen alaisessa asiassa vakavampana kuin jos pyyntö olisi kohdistunut ainoastaan esimerkiksi ajanvaraustietoihin tai yritysasiakkaiden henkilöiden yhteystietoihin.
26. Tietosuoja-asetuksen 15 artiklan mukaisen oikeuden toteuttaminen ilman aiheetonta viivytystä on tärkeää rekisteröityjen oikeusturvan toteutumiselle. Potilasasiakirjoihin merkityt tiedot voivat olla välttämättömiä esimerkiksi muistutuksen, kanteluiden, vakuutuksien ja etuuksien käsittelyssä. Potilasasiakirjoihin merkityt tiedot ovat tarpeellisia, kun rekisteröidyn hoito siirtyy toisen terveydenhuollon toimintayksikön tai terveydenhuollon ammattihenkilön vastuulle. Potilasasiakirjoihin merkittyjen tietojen tarkastaminen (oikeus saada tutustua tietoihin) on edellytys myös terveydenhuollon ammattihenkilön toiminnan ja tämän antaman hoidon asianmukaisuuden arvioinnille.
27. Psykoterapiapalvelua käyttävät voivat olla heikommassa asemassa olevia rekisteröityjä, jotka eivät välttämättä kykene valvomaan tietosuojaoikeuksiensa toteuttamista. Mahdollinen vallan epätasapaino voi johtaa siihen, että rekisteröity ei tosiasiassa voi vaikuttaa rekisterinpitäjän tietojenkäsittelyä koskeviin toimintatapoihin. Tällaisessa tilanteessa rekisterinpitäjän vastuu ja huolellisuus rekisteröityjen tietosuoja-asetuksen mukaisten oikeuksien toteuttamisessa on korostunut.
28. Seuraamuskollegio katsoo edellä mainituilla perusteilla, että tietojenkäsittelyn luonne ja tarkoitus sekä henkilötietoryhmät, joihin rikkominen on vaikuttanut lisäävät rikkomisen moitittavuutta.
Rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa
29. Rikkomisen vakavuutta vähentävänä tekijänä on huomioitava se, että tapaus on saadun selvityksen mukaan kyseisen rekisterinpitäjän osalta yksittäinen. Asia koskee yhtä rekisteröityä.
Vahingon suuruus
30. Rekisteröidyille aiheutuneita vahinkoja voivat olla aineelliset ja/tai aineettomat vahingot. Tietosuoja-asetuksen johdanto-osan 75 kappaleessa todetaan vahinkona esimerkiksi muu merkittävä taloudellinen tai sosiaalinen vahinko kun rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan.
31. Aineettomana vahinkona voidaan pitää esimerkiksi sitä haittaa tai vaivaa, joka asian selvittämisestä on seurannut. Aineettomana vahinkona voidaan pitää myös sitä psyykkistä taakkaa, joka on aiheutunut epätietoisuudesta tietosuoja-asetuksen 15 artiklan mukaisen oikeuden toteutumisessa.
32. Vireillesaattaja on kertonut apulaistietosuojavaltuutetun päätöksestä ilmenevällä tavalla, että hänelle on aiheutunut tietosuoja-asetuksen 15 artiklan mukaisen oikeuden viivästyneen toteuttamisen seurauksena vahinkoa. Vireillesaattaja on kertonut, että oikeuden viivästyneen toteuttamisen seurauksena vireillesaattajan käynnistämät oikeustoimet ovat vaikeutuneet. Vireillesaattajan mukaan taloudelliset vahingot ovat seurausta siitä, että pyynnön esittämiseen on käytetty kolmatta osapuolta.
33. Seuraamuskollegio kiinnittää huomiota siihen, että vireillesaattajan selvityksen mukaan rekisterinpitäjä on ollut tietoinen vireillesaattajan käynnistämistä oikeustoimista ja oikeuden toteuttamisen kiireellisyydestä. Vireillesaattajalla on ollut korostunut oikeussuojan tarve, ja siitäkään huolimatta rekisterinpitäjä ei ollut toteuttanut vireillesaattajan oikeutta tietosuoja-asetuksen edellyttämällä tavalla.
34. Seuraamuskollegio katsoo, että tietosuoja-asetuksen 15 artiklan mukaisen oikeuden toteuttamisen näin kohtuuton viivästyminen on omiaan aiheuttamaan edellä mainittuja vahinkoja. Tietosuoja-asetuksen rikkomisen ja vireillesaattajalle aiheutuneiden vahinkojen välisen syy-yhteyden kannalta voidaan nyt käsillä olevan tapauksen olosuhteissa pitää riittävänä sitä mahdollisuutta, että vireillesaattajan vahingot ovat seurausta rekisterinpitäjän laiminlyönneistä toteuttaa vireillesaattajan oikeus saada tutustua tietoihin tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädetyn mukaisesti.
35. Seuraamuskollegio katsoo, että vireillesaattajalle aiheutuneen vahingon suuruus on otettava huomioon vakavuutta korottavana tekijänä.
Rikkomisen tahallisuus tai tuottamuksellisuus
36. Aiemmin mainituissa tietosuojatyöryhmän antamissa suuntaviivoissa on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista, kun taas tahattomuudella tarkoitetaan sitä, että rikkominen ei ollut tahallista, vaikka rekisterinpitäjä rikkoikin laissa edellytettyä huolellisuus-velvoitetta. Tahallisia rikkomisia, jotka ilmentävät piittaamattomuutta lainsäädännöstä, pidetään yleisesti vakavampina kuin tahattomia rikkomisia.
37. Todettakoon selvyyden vuoksi, että on vakiintuneesti katsottu, että tietämättömyys lain sisällöstä ei ylipäätään merkitse sellaista erehtymistä, joka poistaisi mahdollisen tahallisuuden tai tuottamuksellisuuden. Rekisterinpitäjän vastuulla on huolehtia siitä, että sen toiminnassa noudatetaan laissa säädettyä.
38. Seuraamuskollegio toteaa, että rekisterinpitäjän menettely ei ole inhimillisestä erehdyksestä johtuvaa. Seuraamuskollegio kiinnittää huomioita erityisesti siihen seikkaan, että tietosuojavaltuutetun toimisto on antanut rekisterinpitäjälle kirjallista ohjausta. Rekisterinpitäjä ei ollut tämän ohjauksen jälkeenkään toteuttanut vireillesaattajan oikeutta tietosuoja-asetuksen edellyttämällä tavalla. Rekisterinpitäjä on jättänyt reagoimatta tietosuojavaltuutetun toimiston antamaan kirjalliseen ohjaukseen.
39. Asiassa on huomioitava se, että vireillesaattajaa edustavat kolmannet osapuolet ovat kertoneet tietosuoja-asetuksen velvoitteista rekisterinpitäjälle.
40. Edellä mainituilla perusteilla seuraamuskollegio katsoo, että rekisterinpitäjä on ollut tietoinen laiminlyönnistään ja tietosuoja-asetuksen velvoitteiden rikkomisesta. Seuraamuskollegio katsoo, että rekisterinpitäjä on tullut viimeistään tietoiseksi näistä velvoitteista tietosuojavaltuutetun toimiston antaman kirjallisen ohjauksen jälkeen. Rekisterinpitäjän menettelyn varsin pitkä kesto osoittaa myös yleisempää piittaamattomuutta tietosuoja-asetuksen säännösten noudattamisessa.
41. Edellä mainituilla perusteilla seuraamuskollegio katsoo, että rikkomisen tahallisuus on otettava huomioon vakavuutta korottavana tekijänä.
Raskauttavien ja lieventävien tekijöiden arviointi
Rekisterinpitäjän toteuttamat toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi
42. Tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että vahingosta vastuussa olevan osapuolen olisi tehtävä kaikki voitavansa lieventääkseen rikkomisesta asianomaiselle aiheutuvia seurauksia. Valvontaviranomainen voi ottaa huomioon tällaisen vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.
43. Seuraamuskollegio katsoo, että rekisterinpitäjä ei ole ryhtynyt minkäänlaisiin toimenpiteisiin rekisteröidylle koituvan vahingon lieventämiseksi, korjaamiseksi tai estämiseksi tulevaisuudessa. Seuraamuskollegio ottaa tämän huomioon arviossaan raskauttavana tekijänä.
Vastuun aste, ottaen huomioon rekisterinpitäjän 25 artiklan ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet
44. Kysymyksen alaisessa asiassa rekisterinpitäjän tietosuoja-asetuksen 25 ja 32 artikloiden mukainen vastuu liittyy pääasiallisesti rekisteröityjen oikeuksien toteuttamista koskeviin tietosuoja-asetuksessa edellytettyihin käytäntöihin ja menettelytapoihin.
45. Seuraamuskollegio katsoo, että kun kyseessä on rekisteröidyn keskeisen oikeuden toteutumisen näin kohtuuton viivästyminen, ei voida täysin poissulkea sitä, että tämä tapaus ilmentäisi tietosuoja-asetuksessa säädettyjen käytäntöjen yleistä puutetta. Seuraamuskollegio ottaa tämän huomioon arviossaan raskauttavana seikkana.
Aiemmat vastaavat rikkomiset ja aikaisemmin määrätyt samaa asiaa koskevat toimenpiteet
46. Tietosuojavaltuutetun toimistossa ei ole tiedossa rekisterinpitäjää koskevia aiempia tietosuojasääntelyn rikkomisia. Rekisterinpitäjään ei ole aiemmin kohdistettu yleisen tietosuoja-asetuksen yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja toimivaltuuksia. Seuraamuskollegio ei pidä edellä mainittua seuraamusmaksuarviossa lieventävänä tai raskauttavana tekijänä.
Yhteistyön aste valvontaviranomaisen kanssa, ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon
47. Edellä mainituissa tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että yhteistyön aste voidaan ottaa asianmukaisesti huomioon, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Arvioitaessa yhteistyötä valvontaviranomaisen kanssa merkitystä voitaisiin antaa sille, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin asian tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä. Ohjeiden mukaan ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.
48. On todettava, että yleisen tietosuoja-asetuksen 31 artiklassa säädetysti rekisterinpitäjän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Rekisterinpitäjällä on niin ikään yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan ja tietosuojalain 18 §:n nojalla velvollisuus toimittaa pyydetyt tiedot valvontaviranomaiselle.
49. Rekisterinpitäjää koskeva asia on tullut vireille kanteluna. Kuten edellä apulaistietosuojavaltuutetun päätöksen kohdissa 4 ja 5 on todettu, rekisterinpitäjä ei vastannut annetussa määräajassa tietosuojavaltuutetun toimiston selvityspyyntöön. Seuraamuskollegio katsoo, että rekisterinpitäjä on omalla toiminnallaan viivästyttänyt asian selvittämistä. Seuraamuskollegio pitää edellä mainittua raskauttavana tekijänä.
Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät
50. Edellä mainituissa tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät voivat esimerkiksi olla rikkomisella saatu hyöty tai taloudellinen etu.
51. Rekisterinpitäjä ei kuulemiseen antamansa vastauksen mukaan ole saanut suoraa tai epäsuoraa taloudellista etua nyt arvioitavana olevista yleisen tietosuoja-asetuksen rikkomisista.
52. Rekisterinpitäjän kuulemiseen annetussa vastauksessa rekisterinpitäjä on todennut, että asiassa on ollut poikkeuksellisia seikkoja, jotka ovat vaikuttaneet rekisterinpitäjän menettelyyn. Seuraamuskollegio katsoo, että rekisterinpitäjän on myös poikkeuksellisissa olosuhteissa järjestettävä toimintansa siten, että se kykenee toteuttamaan tietosuoja-asetuksen edellyttämät toimenpiteet rekisteröityjen oikeuksien toteuttamiseksi. Seuraamuskollegio toteaa, että käsillä olevassa asiassa tietosuoja-asetuksen 15 artiklan mukainen pyyntö on koskenut yhtä rekisteröityä. Rekisterinpitäjälle ei ollut esitetty missään vaiheessa perusteettomia, erityisen laajoja, tulkinnanvaraisia tai muulla tavoin kohtuuttomia pyyntöjä.
53. Seuraamuskollegio katsoo edellä mainituilla perusteilla, että muita tapaukseen sovellettavia raskauttavia tai lieventäviä tekijöitä ei ole osoitettavissa.
Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun toimiston seuraamuskollegion jäsenet.
Tietosuojavaltuutettu Anu Talus
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa
Apulaistietosuojavaltuutettu Annina Hautala
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.