Yhteystiedot In English På Svenska Hae
4 lokakuun, 2023 |

Terveydenhuollon yritykselle seuraamusmaksu rekisteröidyn oikeuksien laiminlyönnistä

Juhani Saarinen
OTM

Terveyspalveluyritys toimitti pyydetyt potilastiedot liian myöhään – käsittelyssä kesti lähes kolme vuotta

Seuraamusmaksun kohteeksi joutui psykoterapiapalvelua tarjoava yritys. Seurauksena asian pahasti viivästyneestä ratkaisusta tietosuojavaltuutetun toimiston seuraamuskollegio langetti tietosuojalain nojalla 1600 euron seuraamusmaksun. Päätös seuraamusmaksusta ei ole vielä lainvoimainen.

Tietosuojavaltuutetun toimiston uutisen aiheesta voi lukea tästä linkistä.

Päätös on kolmas seuraamusmaksu, joka Kuntoutusyrittäjien tietoon on terveydenhuoltoalalla tullut EU:n yleisen tietosuoja-asetuksen voimaantulon jälkeen.

Miksi seuraamusmaksu tuli ja miten sen voi välttää?

Seuraamusmaksusta päätettiin ensisijaisesti siksi, että rekisterinpitäjän toiminta oli ollut asiassa hyvin passiivista jo pitkään. EU:n yleinen tietosuoja-asetus ehti olla voimassa lähes kolme vuotta ennen kuin pyydetyt tiedot lopulta toimitettiin. Ensimmäinen tietopyyntö oli tapauksessa tehty jo ennen EU:n yleisen tietosuoja-asetuksen voimaantuloa. Tietosuoja-asetus tuli voimaan toukokuussa 2018 ja tiedot luovutettiin vuonna 2021. Tietosuoja-asetuksen mukaan rekisteröidyn itseä koskevat tiedot on lähtökohtaisesti toimitettava tälle aina vastauksen määräajassa, ellei kieltäytymiselle ole erityisiä perusteita, jotka on myös esitettävä määräajassa.

Rekisteröidyn esittämään tietopyyntöön on asetuksen nojalla vastattava viipymättä, mutta kuitenkin viimeistään kuukauden kuluessa tietopyynnön esittämisestä. Jos tietopyynnön toteuttaminen on erityisen vaikeaa, johon kuluu aikaa, voidaan tietopyynnön vastausaikaa jatkaa kahdella kuukaudella. Vastausajan jatkamisesta on kuitenkin ilmoitettava tietopyynnön esittäjälle. Tässä tapauksessa näin ei oltu tehty.

Seuraamusmaksut ovat terveydenhuoltoalalla harvinaisia ja niiden taustalla on yleensä poikkeuksellinen passiivisuus

Tässäkin tapauksessa annetun seuraamusmaksun taustalla oli ollut pitkäaikainen passiivisuus asian hoidon osalta sekä se, että tietosuojavaltuutetun toimiston kirjallisiin pyyntöihin ja kehotuksiin toimia jätettiin kokonaan vastaamatta.

Terveydenhuollon yritys, joka viestii aktiivisesti sekä asiakkaan että tietosuojavaltuutetun toimiston suuntaan ja pyrkii määrätietoisesti noudattamaan tietosuoja-asetuksen määräyksiä, ei ole tähän mennessä Kuntoutusyrittäjien tietojen mukaan saanut seuraamusmaksua tietosuoja-asetuksen noudattamatta jättämisestä.

Apua on saatavilla – tietosuojaongelmissa tai niitä epäiltäessä ota yhteyttä Kuntoutusyrittäjien jäsenneuvontaan

Ennen nyt julkaistujen seuraamusmaksujen määräämistä on yleensä kuljettu pitkä polku. Taustalla on voinut olla tietämättömyys tietosuoja-asetuksen määräyksistä sekä kenties haluttomuutta ottaa selvää itselle vieraasta ja mahdollisesti hankalasta aihepiiristä. Asiakkaiden tietopyynnöt eivät myöskään aina tule parhaalla mahdollisella tavalla esitettynä, ja tilanteeseen voi liittyä muitakin asiakkaan ja yrityksen välisiä ristiriitoja, joita julkisissa päätöksistä ei lue. Hankalasta tilanteesta huolimatta olisi pidettävä pää kylmänä ja pyrittävä saamaan asialle ratkaisu.

Tietosuoja-asetuksen velvoitteita on pyrittävä aktiivisesti noudattamaan, ja asetuksen tulkintojen ja käytön vakiintuessa viimeisen viiden vuoden voimassaolon aikana, ovat yritysten perusteet ohittaa asetus ja sen määräykset käymässä hiljalleen vähiin. Odotettavissa on, että seuraamusmaksuja tulee lähivuosina vielä lisää, kun opetteluaika katsotaan lopullisesti käydyksi.

Kuntoutusyrittäjien jäsensivuilla on runsaasti tietosuojalainsäädäntöön liittyvää materiaalia

Jäsensivuilta tietosuoja-asetuksen kannalta hyödyllistä materiaalia ovat esimerkiksi EU:n tietosuoja-asetuswebinaari, webinaari yrityksen pakollisista asioista (sisältäen osion tietosuojasta), tietoturvaloukkauswebinaari sekä tietoturvasuunnitelmawebinaari, jonka liitteissä on mm. yrityksen henkilöstölle tarkoitetut kirjalliset ohjeet siitä, miten tulee toimia, jos yritykselle esitetään potilastietoihin kohdistuva tietopyyntö.

Pelkästään jokaiselle yritykselle pakollisen tietoturvasuunnitelman laatiminen (liitteineen, huom!), asiakkaille toimitettavan tietosuojaselosteen (malli jäsensivuilta) sekä muiden pakollisten asiakirjojen käyttöönotto (katso Kuntoutusyrittäjän lennonvarmistus – mistä ainakin pitää tietää 3.11.2022 sekä Kuntoutusyrittäjän tietosuojawebinaari 21.4.2022) auttaa pitkälle!

Jäsenneuvonta

Kuntoutusyrittäjien oikeudellisen neuvontapalvelun tavoittaa sähköpostitse juhani.saarinen@kuntoutusyrittajat.fi sekä puhelimitse numerosta 0503240740