Tietosuojalautakunnan päätös tunnistamisesta sähköisessä ajanvarausjärjestelmässä

Julkaistu 18.12.2012

Tietosuojalautakunta on 5.9.2012 tekemällään päätöksellä (Päätös 5/5.9.2012) määrännyt optiikka-alan yrityksen muuttamaan asiakkaiden tunnistamistavan sellaiseksi, ettei sivullinen pelkästään rekisteröidyn nimen sekä henkilötunnuksen avulla pääse tarkastelemaan rekisteröidyn tietoja ja näöntarkastukseen varattuja aikoja. Tietosuojalautakunta on tehnyt päätöksensä tietosuojavaltuutetun pyynnöstä.

Päätös koskee sähköistä ajanvarausjärjestelmää Internetissä, johon rekisteröidytään nimen ja henkilötunnuksen avulla. Nämä tiedot voivat helposti olla muunkin kuin asianomaisen henkilön itsensä tiedossa. Sähköinen ajanvarausjärjestelmä mahdollistaa käytännössä myös järjestelmän asiattoman käytön helpommin kuin perinteiset ajanvaraustavat.

Lääkäri ja optikko ovat laillistettuja terveydenhuollon ammattihenkilöitä. Ajanvaraustiedoista käy ilmi asiakassuhde rekisteröidyn ja terveydenhuollon ammattihenkilön välillä sekä minkä tyyppistä asiointia varten aika on varattu. Kyseessä olevan tiedon voidaan näin ollen katsoa kuvaavan henkilön terveydentilaa. Henkilötietolain 11 §:n 4 kohdan mukaan jo henkilön terveydentilaa kuvaava tieto on arkaluonteinen tieto.

Henkilötietolain 1 §:n mukaan henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Tähän pyritään kaikki lain säännökset huomioon ottavan huolellisuusvelvoitteen sekä hyvän tietojenkäsittelyn avulla. Jättäessään varmistamatta, että henkilötiedot on suojattu henkilötietolain 32 §:n edellyttämällä tavalla, yritys ei ole myöskään toiminut henkilötieolain 5 §:n huolellisuusvelvoitteen edellyttämällä tavalla.

Tietosuojalautakunta on oikeusministeriön yhteydessä toimiva itsenäinen viranomainen, jonka valtioneuvosto nimittää kolmeksi vuodeksi kerrallaan. Tietosuojalautakunta on tärkein päätösvaltaa henkilötietoasioissa käyttävä elin. Tietosuojalautakunta käsittelee ja ratkaisee asiat, jotka henkilötietolain mukaan kuuluvat sen päätettäviksi. Lautakunta voi myös antaa henkilötietojen käsittelyä koskevia määräyksiä.

Optiikka-alan yritys on sittemmin ilmoittanut noudattavansa päätöstä.

Lisätietoja:
Tietosuojavaltuutettu Reijo Aarnio, puh. 029 56 66730