Tulostusversio

2/2012

Henkilötiedot: Tietosuojaloukkaukset valokeilassa

Teksti: Kirsi Castrén

EU:n perusoikeusvirasto selvittää parhaillaan kansalaisten kokemuksia tietosuojaloukkausten oikaisemisesta. Suomessa laki hyvittäisi loukkaukset, mutta käytäntö ontuu.

Minna Meikäläinen yllättyi, kun sukulainen kyseli Minnan vastikään päättyneestä sairaalahoitojaksosta asioita, joita hänen ei olisi pitänyt tietää. Kävi ilmi, että tiedot olivat peräisin yhteiseltä tuttavalta, joka työskenteli terveyskeskuksessa terveydenhoitajana. Tuttava ei ollut koskaan hoitanut Minnaa, eikä Minna ollut kertonut hänelle sairaalassaolostaan. 

Minna otti yhteyttä sairaalan potilasasiamieheen ja pyysi tätä auttamaan asian selvittelyssä. Potilastietojärjestelmän lokitiedot vahvistivat tuttavan katselleen luvatta Minnan terveystietoja sairaanhoitopiirin yhteisestä tietokannasta.

Tietosuojavaltuutettu ohjaa rekisterinpitäjää

Minna päätti tehdä asiasta rikosilmoituksen kysyttyään ensin toimintaohjeita tietosuojavaltuutetun toimiston puhelinneuvonnasta.

"Tietosuojavaltuutettu voi lainvastaista menettelyä havaitessaan ohjata rekisterinpitäjää - Minnan tapauksessa sairaanhoitopiiriä - muuttamaan toimintaansa", kertoo ylitarkastaja Hanna Lankinen tietosuojavaltuutetun toimistosta.

Mikäli kyse on kansalaisen oikeudesta tarkastaa rekisteritietonsa tai virheellisen tiedon korjaamisesta, tietosuojavaltuutettu voi tehdä rekisterinpitäjää velvoittavia päätöksiä.

Tietosuojavaltuutettu voi myös viedä kansalaisen asian tutkittavaksi poliisille tai syyttäjälle.

Harva rohkenee valittaa

Minna on Potilasliiton puheenjohtajan Paavo Koistisen mukaan tavallista aktiivisempi potilas. Liiton saamien yhteydenottojen valossa vain harva tietosuojaloukkausta epäilevä jaksaa viedä selvittelyä päätökseen.

"Monet pelkäävät, että jos pyytää lokitietojaan nähtäviksi, leimautuu hankalaksi potilaaksi", Koistinen selittää.

Potilasasiamiesjärjestelmäkään ei Koistisen mukaan tuo riittävää turvaa, koska asiamiehet ovat työsuhteessa hoitoyksikköön.

"Riippumattomuuden puuttuminen luo luottamusvajeen ja nostaa potilaan kynnystä vaatia oikeuksiaan", Koistinen arvelee.

Sakkoa ja vahingonkorvauksia

Poliisi otti Minnan asian esitutkintaan ja vei sen syyttäjälle henkilörekisteririkoksena, joka on virallisen syytteen alainen rikos. Syytetty myönsi oikeudessa, ettei hänellä ollut hoitosuhdetta Minnaan, mutta väitti, ettei tiennyt tietokannan selaamisen olevan luvatonta.

Oikeudessa käytiin sairaanhoitopiirin edustajan avulla läpi syytetyn työnantajaltaan saamaa koulutusta terveystietojärjestelmän käyttöön ja perehdytystä tietosuoja-asioihin. Näin osoitettiin, että hän oli menetellyt lainvastaisesti tahallaan ja ettei sairaanhoitopiiri ollut laiminlyönyt valvontavelvollisuuttaan. Hoitaja tuomittiin henkilörekisteririkoksesta sakkoihin sekä maksamaan Minnalle 570 euroa vahingonkorvauksia.

Vanhenemisaika on liian lyhyt

Aikaa siitä, kun Minna otti yhteyttä sairaalaan selvittääkseen epäilemäänsä tietosuojaloukkausta siihen, kun asiassa nostettiin syyte, kului miltei vuosi. Henkilörekisteririkos vanhenee kahdessa vuodessa, joten oli onni, että Minna oli saanut tietää urkinnasta melko tuoreeltaan.

”Kahden vuoden vanhenemisaika on tämänkaltaisessa asiassa aikamoisen lyhyt”, pohtii kihlakunnansyyttäjä Seita Heinström Länsi-Uudenmaan syyttäjänvirastosta.

Rikoksen vanhenemisaika katkeaa vasta, kun haaste saatetaan tiedoksi syytetylle.

”Prosessin vaiheet vievät oman aikansa. Ennen syytteen nostamista henkilörekisteririkoksesta syyttäjän tulee kuulla tietosuojavaltuutettua”, Heinström valottaa.

Myös tutkijatohtori Juha Lavapuro Turun yliopistosta pitää kahden vuoden vanhenemisaikaa henkilörekisteririkoksissa liian lyhyenä.

”On riski, että osa tietosuojaloukkauksista jää selvittämättä lyhyen vanhenemisajan takia”, hän sanoo.

Vahingonkorvausta voi hakea myöhemminkin

Vaikka rikos olisikin ehtinyt vanhentua, Minnalla olisi ollut mahdollisuus vaatia tekijältä vahingonkorvauksia riita-asiana vielä kymmenen vuotta sen jälkeen kun sai tiedon tapahtuneesta.

Eri asia on, olisiko hänellä ollut varaa ottaa riskiä jutun häviämisestä, sillä riita-asian häviäjä maksaa myös vastapuolen oikeuskulut. Kuluriski on Juha Lavapuron mukaan osoitettu useassa EU-maassa tekijäksi, joka vaikeuttaa tietosuojaloukkausten ajamista oikeudessa.

Oikeudenkäynti voi olla uusi loukkaus

Minna ei olisi halunnut kohdata oikeussalissa tuttavaansa, joka oli urkkinut hänen terveystietojaan. Minna ei tiennyt, että hän olisi voinut osallistua oikeudenkäyntiin tilassa, josta ei ole näköyhteyttä syytettyyn.

Oikeuskäsittelyä seurasi yllätys, jonka Minna koki miltei toisena tietosuojaloukkauksena. Hän sai nähtäväkseen tuomiolauselman, jossa oli hänen nimensä ja sairaalan sen yksikön nimi, jonka merkintöjä tietosuojaloukkaus koski. Yksikön perusteella oli mahdollista tehdä päätelmiä Minnan sairaudesta.

Minna tiesi tuomioistuimen ratkaisun olevan julkinen asiakirja, jonka voi nykyisin kuka tahansa lukea vaikkapa internetistä.

”Oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetun lain mukaan asianosaisen henkilöllisyys voidaan salata tuomioistuimen päätöksellä, mikäli asia koskee erityisen arkaluontoista seikkaa”, kihlakunnansyyttäjä Seita Heinström kertoo.

”Tässä, kuten osallistumisessa oikeudenkäyntiin ilman syytetyn kohtaamista, asianomistajan kannattaa olla aktiivinen ja halutessaan pyytää niitä oikeuden puheenjohtajalta”, hän neuvoo.

---

EU:n perusoikeusvirasto selvittää parhaillaan, miten tietosuojaloukkauksia oikaistaan ja hyvitetään käytännössä. Selvitykseen haastatellaan tietosuojaloukkauksen kokeneita kansalaisia sekä asiantuntijoita 16 EU-maassa, myös Suomessa. Meillä selvitystä tekee Ihmisoikeusliitto.

Kyseessä on perusoikeusviraston toinen selvitys EU-maiden hyvitysmenetelmistä.

”Aiemmassa selvityksessä havaittiin, että vaikka oikeus henkilötietojen suojaan on taattu EU-maiden lainsäädännössä, ei lain keinoja konkreettisiin vahingonkorvauksiin ja rikosoikeudelliseen vastuuseen sovelleta juuri missään kovinkaan suuressa määrin”, kertoo tutkijatohtori Juha Lavapuro Turun yliopistosta.

Lue myös

Henkilötiedot: Saako pomo nähdä sairauslomatodistuksen? »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.