Eläinten potilastietojen säilyttämisen rajoitukset tietosuojan näkökulmasta

Suomen tietosuojavaltuutetun toimisto nimeää lemmikin eläinlääkäritiedot verkkosivuillaan erikseen esimerkkinä omistajan henkilötiedoista. Potilastietoja koskevan eläinlääkärinammatin harjoittamislain 15.4 §:än (286/2023 muutos, ei vielä voimassa) perusteluissa todetaan, että potilastiedoista muodostuvaan rekisteriin sisältyvien henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa.

Pykälän perusteluissa todetaan, että vaikka potilastietojen sisältämät asiakirjat koskevat eläimiä, on tällaisella rekisterillä henkilörekisterin luonne, koska eläinten potilastiedot yhdistyvät niiden omistajien tai haltijoiden tietoihin. Lisäksi todetaan, että siltä osin kuin kansalliset säännökset eivät rajaa rekisterinpitoa, yleisen tietosuoja-asetuksen mukaan rekisterinpitäjän tehtävänä on määrittää henkilötietojen säilytysajat.

Jos tämä ei ole mahdollista, tulee varmistaa että säilyttämiskriteerit ja henkilötietojen käsittely täyttävät asetuksen vaatimukset. Siis sanoa, että ainakin Suomen viranomaiset ovat omaksuneet kannan, että eläimen potilastiedot ovat omistajan tai haltijan henkilötietoja ja niihin on sovellettava tietosuojalainsäädäntöä.

Mitä tietosuojaperiaatteet tarkoittavat?

Tietosuojaperiaatteet ovat periaatteita, joita tietosuoja-asetuksen mukaan tulee noudattaa henkilötietoja käsiteltäessä. Näistä säädetään tietosuoja-asetuksen 5 artiklan 1 kohdassa. Nämä periaatteet ovat lainmukaisuus, asianmukaisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, tietojen täsmällisyys, säilytyksen rajoittaminen sekä luottamuksellisuus ja turvallisuus.

Näiden lisäksi tietosuoja-asetuksen 5 artiklan 2 kohdassa säädetään rekisterinpitäjän osoitusvelvollisuudesta. Tämä tarkoittaa, että rekisterinpitäjän tulee pystyä osoittamaan, että on noudattanut tietosuojaperiaatteita sekä muita asetuksen mukaisia velvoitteita.

Jotta henkilötietojen käsittely olisi lainmukaista ja noudattaa siten lainmukaisuuden periaatetta tulee käsittelyn perustua johonkin tietosuoja-asetuksen 6 artiklassa säädettyyn oikeusperusteeseen. Artiklan mukaan henkilötietojen käsittely voi perustua rekisteröidyn suostumukseen, sopimukseen tai sen valmisteluun, rekisterinpitäjän lakisääteiseen velvoitteeseen, elintärkeiden etujen suojaamiseen, yleistä etua koskevan julkisen tehtävän suorittamiseen tai julkisen vallan käyttämiseen tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun.

Rekisterinpitäjä on velvollinen näyttämään, että tietojen käsittelylle on olemassa asetuksen mukainen peruste. Jos perusteita on useita, käsittelyä saattaa olla mahdollista jatkaa, vaikka yksi peruste lakkaisi esimerkiksi tapauksessa, jossa rekisteröity peruuttaa suostumuksensa.

Kuinka kauan säilytetään?

Kuten edellisessä osassa todettiin, potilastietojen käsittely perustuu lakisääteiseen velvoitteeseen säilyttää tiedot kolmen vuoden ajan siitä, kun potilaan tietoihin on viimeksi tehty merkintöjä. Lääkintäkirjanpidon osalta vastaava aika on viisi vuotta ja huumekirjanpidon osalta kuusi vuotta kirjaamisvuoden lopusta. Tämän jälkeen säilytykselle tulee määrittää toinen tietosuoja-asetuksen mukainen peruste.

Säilytyksen rajoittamisperiaatteen mukaan tietoja saa säilyttää vain niin kauan kuin se on tarpeen tietojen käyttötarkoitusta varten. Rekisterinpitäjän tulee määritellä, kuinka kauan tietoja säilytetään ja säilytysajat on myös perusteltava sekä dokumentoitava. Tietojen minimointiperiaatteen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä käyttötarkoituksen kannalta. Säilytysaika on pidettävä mahdollisimman lyhyenä, eikä henkilötietoja tule säilyttää varmuuden vuoksi.

Myös potilastietojen osalta tulee siis pohtia, miten kauan tietoja on tarpeen säilyttää lakisääteisen säilyttämisvelvollisuuden lakattua. Kun säilytysaika on päätetty, tulee tämä kirjata ylös, ja samalla kirjata perustelut valitulle säilytysajalle. Lakisääteisen säilytysajan osalta perusteeksi riittää lakisääteinen velvollisuus.

Tietojen säilytysajat tulee myös kertoa rekisteröidylle eli asiakkaalle esimerkiksi verkkosivuilla olevassa tietosuojaselosteessa.

Kirjoitus on julkaistu ensimmäisen kerran Eläinlääkärilehdessä 8/2024.

Veera Kurenlahti

Asiantuntijaeläinlääkärijuristi, ELL, ON, Suomen Eläinlääkäriliitto

Kun kaipaat työsuhdejuristiemme apua, voit olla sähköpostitse yhteydessä lakipalveluumme. Voit kysyä juristeilta neuvoa työ- ja virkasuhdejuridiikkaan liittyvissä asioissa tai kysymyksissä, olitpa sitten palkansaaja- tai yrittäjäjäsen. Ole yhteydessä hyvissä ajoin, lakipalvelussa voi olla ajoittain ruuhkaa.