top of page
Etsi

Terveystietojen käsittely ja tiedonantovelvollisuus vakuutussuhteessa – KHO 2025:86 

Tietosuojavaltuutetun toimisto Suomessa valvoo henkilötietojen käsittelyä ja antaa muun muassa ohjeita ja ilmoituksia tietosuojasta rekisteröidyn tietojen suojaamiseksi.

Korkeimman hallinto-oikeuden hiljattain julkaistu ratkaisu KHO 2025:86 käsittelee sitä, voiko vakuutusyhtiön suorittamaa terveystietojen käsittelyä pitää tietosuojavaltuutetun esittämällä perusteella yleisen tietosuoja-asetuksen 9 artiklan vastaisena. Tietosuojavaltuutettu oli arvioinut, että vakuutusyhtiö ei ollut käsitellyt vapaaehtoisen henkilövakuutuksen hakemisen yhteydessä terveystietoja yleisen tietosuoja-asetuksen 9 artiklan mukaisesti. Hänen näkemyksensä mukaan tietosuojalain 6 §:n 1 momentin 1 kohdan poikkeusta, joka sallii vakuutetun terveystietojen käsittelyn vakuutustoiminnassa, ei voitu soveltaa vielä vakuutuksen hakuvaiheessa. Ratkaisussa arvioitiin, oliko tietosuojavaltuutettu voinut pitää vapaaehtoisen vakuutuksen haun yhteydessä tapahtunutta terveystietojen käsittelyä tietosuoja-asetuksen 9 artiklan vastaisena. Ratkaisussa oli lisäksi ennen muuta kysymys myös siitä, mitä tietosuojalain 6 §:n 1 momentin 1 kohdassa käytetyllä vakuutetun käsitteellä tarkoitetaan.


Sovellettavat oikeusohjeet


Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 9 artiklan 1 kohdan ja 2 kohdan g alakohdan mukaan:


“1.   Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.


2.   Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

g)

käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi”


Vaikka arkaluonteisten tietojen käsittely on lähtökohtaisesti kiellettyä, Suomen valtio voi säätää lakeja, jotka sallivat niiden käytön yhteiskunnallisesti merkittävissä tilanteissa, kunhan yksilön turva on erityisesti huomioitu.


Tietosuojalain 6 § 1 momentin 1 kohdan mukaan:


“Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta:


  1. vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi”


Tämä pykälä mahdollistaa sen, että vakuutusyhtiöt voivat hoitaa lakisääteisiä ja sopimuspohjaisia tehtäviään, vaikka kyse on GDPR:n mukaan erittäin suojelluista tiedoista.


Vakuutussopimuslain 2 § 1 momentin 4 ja 5 kohdan mukaan:


“Tässä laissa tarkoitetaan:


4) vakuutuksenottajalla sitä, joka on tehnyt vakuutuksenantajan kanssa vakuutussopimuksen; jos vakuutukseen perustuva oikeus luovutetaan, luovutuksensaajaan sovelletaan, mitä vakuutuksenottajasta säädetään;

5) vakuutetulla sitä, joka on henkilövakuutuksen kohteena tai jonka hyväksi vahinkovakuutus on voimassa”


Vakuutussopimuslain säännöksen mukaan vakuutetulla tarkoitetaan sitä, joka on henkilövakuutuksen kohteena tai jonka hyväksi vahinkovakuutus on voimassa, ja tämä vastaa myös käsitteen yleiskielistä merkitystä.


Vakuutussopimuslain 22 § mukaan:


“Vakuutuksenottajan ja vakuutetun tulee ennen vakuutuksen myöntämistä antaa oikeat ja täydelliset vastaukset vakuutuksenantajan esittämiin kysymyksiin, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutuksenottajan ja vakuutetun tulee lisäksi vakuutuskauden aikana ilman aiheetonta viivytystä oikaista vakuutuksenantajalle antamansa, vääriksi tai puutteellisiksi havaitsemansa tiedot.”


Tämä tarkoittaa, että vakuutusyhtiöllä on oikeus saada totuudenmukaista tietoa voidakseen arvioida, millä ehdoilla ja millä hinnalla vakuutusyhtiö suostuu vakuutuksen myöntämään.


Tietosuojavaltuutetun toimisto ja henkilötietojen käsittely


Tietosuojavaltuutetun toimisto on Suomessa toimiva itsenäinen ja riippumaton valvontaviranomainen, jonka tehtävänä on valvoa henkilötietojen käsittelyä koskevan lainsäädännön noudattamista ja suojella yksilöiden perusoikeuksia ja vapauksia. Toimisto toimii hallinnollisesti oikeusministeriön yhteydessä, mutta on ratkaisuissaan täysin itsenäinen, kuten yleinen tietosuoja-asetus edellyttää.


Tietosuojavaltuutettu edustaa Suomea Euroopan tietosuojaneuvostossa (EDPB) ja osallistuu EU-tasoiseen tietosuojakäytännön kehittämiseen. Tietosuojavaltuutetun toimisto käsittelee rekisteröityjen tekemiä kanteluita, ilmoituksia tietosuojaloukkauksista sekä voi antaa määräyksiä henkilötietojen käsittelyn saattamiseksi lainmukaiseksi. Vakavissa tai toistuvissa rikkomuksissa toimisto voi esittää hallinnollisen seuraamusmaksun määräämistä.


Valvontatehtävien ohella tietosuojavaltuutetun toimisto antaa ohjeita ja lausuntoja sekä edistää tietoisuutta henkilötietojen käsittelyyn liittyvistä riskeistä, velvollisuuksista ja oikeuksista erityisesti digitalisoituvassa yhteiskunnassa.


Tapauksen taustat


Tietosuojavaltuutetun toimisto selvitti vuosina 2020–2021 vakuutusyhtiön (jäljempänä myös rekisterinpitäjä) toimintatapoja vapaaehtoisten vakuutusten hakuvaiheessa kerättävien terveystietojen osalta. Tietosuojavaltuutettu totesi 8.6.2022 antamassaan päätöksessä, ettei vakuutusyhtiöllä ole oikeutta käsitellä vakuutuksen hakijan tai vakuutettavan terveydentilatietoja tietosuojalain 6 §:n 1 momentin 1 kohdan nojalla eikä pyytää näitä tietoja terveydenhuollon yksiköistä hakuvaiheessa. Käsittelyn katsottiin olevan yleisen tietosuoja-asetuksen 9 artiklan vastaista, minkä vuoksi yhtiölle annettiin määräys saattaa käsittelytoimet asetuksen mukaisiksi ja toimittaa selvitys tehdyistä toimenpiteistä.


Hallinto-oikeus hylkäsi vakuutusyhtiön valituksen ja katsoi, ettei tietosuojalain mukainen vakuutetun käsite kata vakuutuksen hakijaa ennen vakuutussopimuksen solmimista. Lainsäädännöstä tai esitöistä ei löytynyt tukea hakijan rinnastamiselle vakuutettuun. Tietosuojavaltuutetun päätös ja määräys katsottiin näin ollen perustelluiksi, ja selvityksen toimittamisen määräaikaa jatkettiin 1.3.2024 saakka.


Tietosuojavaltuutetun mukaan vakuutetun käsitettä ei voida laajentaa koskemaan vakuutuksen hakijaa tai vakuutuksen kohteena olevaa henkilöä ennen sopimuksen tekemistä, sillä tällainen tulkinta poikkeaisi lain sanamuodosta eikä olisi rekisteröidyille ennakoitavissa. 


Muutoksenhakija puolestaan katsoi, että vakuutetun käsitettä on säännöksen tarkoitus, säädöshistoria ja järjestelmä huomioon ottaen tulkittava laajemmin kattamaan myös vakuutussopimuksen kohteeksi tarkoitetun henkilön. Tietosuojalain 6 §:n 1 momentin 1 kohdan niin sanottua vakuutuspoikkeusta on vakiintuneesti sovellettu myös vakuutuksen hakuvaiheen vastuuvalintaan, jossa vakuutusyhtiö arvioi vakuutuksen myöntämisen edellytyksiä. Sitä varten vakuutetulla on vakuutussopimuslain mukaan tiedonantovelvollisuus jo ennen sopimuksen tekemistä.


Muutoksenhakija haki valituslupaa ja vaati hallinto-oikeuden sekä tietosuojavaltuutetun päätösten kumoamista ja oikeudenkäyntikulujensa korvaamista. Tietosuojavaltuutettu vaati valituksen sekä oikeudenkäyntikulukorvausvaatimuksen hylkäämistä.


Tietosuojavaltuutetun mukaan vakuutussuhteessa voidaan käsitellä tietoja ja saada tiedon lisäksi ilmoitus rekisteröidylle tietosuojalain mukaisesti.

Korkeimman hallinto-oikeuden ratkaisu


Korkeimman hallinto-oikeuden ratkaistavaksi tuli kysymys, oliko tietosuojavaltuutettu voinut katsoa, että vapaaehtoisen vakuutuksen hakemisen yhteydessä tapahtunut terveystietojen käsittely oli yleisen tietosuoja-asetuksen 9 artiklan vastaista, ja määrätä rekisterinpitäjän toimimaan tämän mukaisesti. Asiassa kuitenkin päällimmäiseksi kysymykseksi muodostui, mitä tietosuojalain 6 §:n 1 momentin 1 kohdassa käytetyllä vakuutetun käsitteellä tarkoitetaan.


Tietosuojalain 6 §:n 1 momentin 1 kohta muodostaa vakuutustoimintaa koskevan kansallisen poikkeuksen GDPR:n 9 artiklan terveystietojen käsittelykieltoon, ja se perustuu tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan. Poikkeus vastaa aiempaa henkilötietolainsäädäntöä ja on katsottu tarpeelliseksi, jotta vakuutuslaitokset voivat käsitellä vakuutustoiminnassa vakuutetun ja korvauksenhakijan terveystietoja.


Korkein hallinto-oikeus katsoi, ettei vakuutetun käsitettä ole tietosuojalaissa määritelty, minkä vuoksi sitä on tulkittava vakuutussopimuslain mukaisesti. Näin vakuutetulla tarkoitetaan vapaaehtoisen henkilövakuutuksen kohdetta myös silloin, kun vakuutusta vasta haetaan. Poikkeuksen soveltaminen kattaa siten myös vakuutuksen hakemisvaiheen, eikä tämä tulkinta ole ristiriidassa GDPR:n periaatteiden kanssa.


Tietosuojavaltuutetulla ei ollut perusteita katsoa, ettei vakuutusyhtiö voisi käsitellä vapaaehtoisen vakuutuksen hakijan tai vakuutettavan terveystietoja tietosuojalain 6 §:n 1 momentin 1 kohdan nojalla tai pyytää niitä hakuvaiheessa terveydenhuollosta. Käsittely ei siten ollut GDPR:n 9 artiklan vastaista, eikä määräyksen antamiselle ollut edellytyksiä, minkä vuoksi sekä tietosuojavaltuutetun että hallinto-oikeuden päätökset kumottiin.


Oikeudenkäyntikulujen korvaaminen perustuu kohtuullisuusharkintaan, jossa huomioidaan ratkaisun lopputulos, asian tulkinnanvaraisuus ja olosuhteet kokonaisuutena. Tässä asiassa tietosuojavaltuutettu oli toiminut lakisääteisessä valvontatehtävässään ja asia oli ollut oikeudellisesti epäselvä, joten muutoksenhakijan ei ollut kohtuutonta vastata omista oikeudenkäyntikuluistaan.


Yhteenveto – vakuutusyhtiön oikeus käsitellä terveystietoja


Korkein hallinto-oikeus tulkitsi vakuutetun käsitettä laajemmin vakuutussopimuslain ja lainsäädäntöhistorian perusteella ja katsoi, että poikkeus kattaa myös hakemisvaiheen. Näin ollen vakuutusyhtiön menettely ei ollut tietosuoja-asetuksen vastaista, ja alempien viranomaisten päätökset kumottiin. KHO:n linjaus täten selkeyttää vakuutusyhtiöiden mahdollisuutta käsitellä terveystietoja jo hakuvaiheessa. Ratkaisu myös osoittaa, että kansallisia tietosuojapoikkeuksia on tulkittava asiaan kuuluva kokonaisuus huomioon ottaen, kuitenkaan poikkeamatta GDPR:n yleisistä periaatteista.


Tutustu tietosuojaan – tiedot muun muassa henkilötietojen käsittelystä


Lisää tietosuojaan liittyvistä asioista ja henkilötietojen käsittelystä löytyy Tietosuojavaltuutetun toimiston sähköisten palvelujen kautta. Rekisteröity voi helposti saada tietoa siitä, mitä oikeuksia hänellä on, miten henkilötietoja voidaan käsitellä ja millä tavoin tietosuojaa koskevat asiat Suomessa ratkaistaan Euroopan unionin sääntelyn mukaisesti. Tietosuojavaltuutetun toimisto käsittelee muun muassa ilmoituksia, antaa ohjeita ja neuvoo tilanteissa, joissa henkilötietojen käsittelyyn liittyy epäselvyyksiä.


Jos tietosuojaa, viranomaisten toimivaltaa ja henkilötietojen käsittelyä koskeva oikeuskäytäntö kiinnostaa laajemmin, voit tutustua myös toiseen Lakitoimisto KPF:n oikeustapauskommenttiin: EU-tuomioistuin katsoi tilintarkastajan esteelliseksi tekemään työsopimuksen – ECLI:EU:C:2021:230, jossa tarkastellaan ammatillista kelpoisuutta ja tietosuojaan liittyviä arviointikysymyksiä.


Emmi Huovinen

ON

Oikeusnotaari

Lakitoimisto KPF


050 530 0152


bottom of page
}