KHO:2025:86
Tietosuojavaltuutettu oli katsonut, ettei vakuutusyhtiön vapaaehtoisen henkilövakuutuksen hakemisen yhteydessä toteuttama terveyttä koskevien tietojen käsittely ollut yleisen tietosuoja-asetuksen 9 artiklan mukaista. Tietosuojavaltuutetun mukaan tietosuojalain 6 §:n 1 momentin 1 kohdan poikkeussäännöstä, jonka perusteella vakuutustoiminnassa voidaan käsitellä vakuutetun terveyttä koskevia tietoja, ei voitu soveltaa vakuutuksen hakemisvaiheessa.
Korkein hallinto-oikeus katsoi ratkaisustaan tarkemmin ilmenevillä perusteilla, että vakuutetulla tarkoitetaan tietosuojalain 6 §:n 1 momentin 1 kohdassa vapaaehtoisen henkilövakuutuksen kohdetta siitä riippumatta, onko vakuutussopimus jo tehty vai onko vakuutusta vasta haettu. Vakuutusyhtiön toteuttama terveyttä koskevien tietojen käsittely ei ollut tietosuojavaltuutetun esittämällä perusteella tietosuoja-asetuksen 9 artiklan vastaista.
Äänestys 3–2
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 9 artiklan 1 kohta ja 2 kohta g alakohta
Tietosuojalaki 6 § 1 momentti 1 kohta
Vakuutussopimuslaki 2 § 1 momentti 4 ja 5 kohta ja 22 §
Päätös, jota muutoksenhaku koskee
Helsingin hallinto-oikeus 16.1.2024 nro 117/2024
Korkeimman hallinto-oikeuden ratkaisu
Korkein hallinto-oikeus myöntää valitusluvan ja tutkii asian.
Hallinto-oikeuden ja tietosuojavaltuutetun päätökset kumotaan.
Muutoksenhakijan vaatimus oikeudenkäyntikulujen korvaamisesta hylätään.
Asian tausta
(1) Tietosuojavaltuutetun toimisto on vuosina 2020 ja 2021 selvittänyt muutoksenhakijana olevan vakuutusyhtiön (jäljempänä myös rekisterinpitäjä) toimintatapoja sen käsitellessä vapaaehtoisten vakuutusten hakemisen yhteydessä terveydenhuollon yksiköistä pyydettäviä terveydentilaa koskevia tietoja.
(2) Tietosuojavaltuutettu on 8.6.2022 antanut muutoksenhakijan järjestelmällistä toimintatapaa koskevan päätöksen. Päätöksen mukaan rekisterinpitäjä ei voi tietosuojalain 6 §:n 1 momentin 1 kohdassa säädetyn nojalla käsitellä vapaaehtoisen vakuutuksen hakijan terveydentilatietoja tai sen henkilön terveydentilatietoja, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa. Tästä syystä rekisterinpitäjä ei voi myöskään pyytää vakuutuksen hakemisvaiheessa näiden henkilöiden terveydentilatietoja terveydenhuollon yksiköstä edellä mainitun säännöksen nojalla.
(3) Tietosuojavaltuutetun päätöksen mukaan rekisterinpitäjän toteuttama vapaaehtoisen vakuutuksen hakijan erityisten henkilötietoryhmien käsittely ei ole yleisen tietosuoja-asetuksen 9 artiklan mukaista. Tietosuojavaltuutettu on tästä syystä antanut rekisterinpitäjälle asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet asetuksen 9 artiklan säännösten mukaisiksi, kun rekisterinpitäjä käsittelee vapaaehtoisen vakuutuksen hakijan terveydentilatietoja tai sen henkilön terveydentilatietoja, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa. Selvitys tehdyistä toimenpiteistä on tullut toimittaa 29.7.2022 mennessä, jollei rekisterinpitäjä hae päätökseen muutosta.
(4) Tietosuojavaltuutettu on katsonut, ettei vakuutuksenhakijan tai sen henkilön, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa, terveystietojen käsittelyyn ole mahdollista soveltaa tietosuojalain 6 §:n 1 momentin 1 kohdan säännöstä. Mainitun säännöksen mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja, säännöksessä yksilöityjä vakuutettua koskevia tietoja.
(5) Hallinto-oikeus on hylännyt muutoksenhakijan valituksen oikeudenkäyntikulujen korvaamista koskevine vaatimuksineen ja pidentänyt tietosuojavaltuutetun päätöksellä muutoksenhakijalle asetetun määräajan tehtyjä toimenpiteitä koskevan selvityksen toimittamiseksi jatkumaan 1.3.2024 saakka.
(6) Hallinto-oikeuden päätöksen perustelujen mukaan tietosuojalaissa tai sen esitöissä ei ole määritelty, mitä vakuutetulla tarkoitetaan tietosuojalain soveltamisen yhteydessä. Käsitteen tulkinnan lähtökohtana voidaan pitää vakuutussopimuslain 2 §:n 1 momentin 5 kohtaa, jonka mukaan vakuutetulla tarkoitetaan sitä, joka on henkilövakuutuksen kohteena tai jonka hyväksi vahinkovakuutus on voimassa. Vakuutetun käsitettä ei tietosuojalain 6 §:n 1 momentin 1 kohdan sanamuodon mukaan ole perusteltua tulkita siten, että se kattaisi myös vakuutuksen hakijan ennen vakuutussopimuksen solmimista. Lainkohtaa koskevasta lainvalmisteluaineistosta ei löydy tukea sille tulkinnalle, että lainsäätäjän tarkoituksena olisi ollut vakuutetun käsitteen ulottaminen koskemaan vakuutuksen hakijaa tai että tätä olisi vakuutustapahtuman perusteella määräytyvän vastuun määrittämiseksi pidetty välttämättömänä. Muutoksenhakija ei näin ollen ole voinut käsitellä vapaaehtoisen vakuutuksen hakijan terveydentilatietoja tietosuojalain 6 §:n 1 momentin 1 kohdan nojalla ennen vakuutussopimuksen solmimista. Tietosuojavaltuutettu on edellä esitetyn perusteella voinut katsoa, että vapaaehtoisen vakuutuksen hakijan erityisten henkilötietoryhmien käsittely ei ole yleisen tietosuoja-asetuksen 9 artiklan mukaista ja antaa päätöksestä tarkemmin ilmenevän määräyksen.
Asian ovat ratkaisseet hallinto-oikeuden jäsenet Petteri Leppikorpi, Nina Tuominen ja Lotta Haverinen, joka on myös esitellyt asian.
Vaatimukset korkeimmassa hallinto-oikeudessa
(7) Muutoksenhakija on pyytänyt valituslupaa ja vaatinut, että hallinto-oikeuden ja tietosuojavaltuutetun päätökset kumotaan. Tietosuojavaltuutetun toimisto on määrättävä korvaamaan muutoksenhakijan oikeudenkäynti- ja asianosaiskulut hallinto-oikeudessa ja korkeimmassa hallinto-oikeudessa viivästyskorkoineen.
(8) Tietosuojavaltuutettu on vaatinut, että valitus ja vaatimus oikeudenkäyntikulujen korvaamisesta hylätään.
Korkeimman hallinto-oikeuden ratkaisun perustelut
Kysymyksenasettelu
(9) Korkeimmassa hallinto-oikeudessa on ratkaistavana, onko tietosuojavaltuutettu voinut esittämillään perusteilla katsoa, että rekisterinpitäjän toteuttama vapaaehtoisen vakuutuksen hakijan tai sen henkilön, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa, terveyttä koskevien tietojen käsittely ei ole yleisen tietosuoja-asetuksen 9 artiklan mukaista, ja antaa rekisterinpitäjälle tästä syystä edeltä kohdasta 3 ilmenevän määräyksen. Asiassa on kysymys ennen muuta siitä, mitä tietosuojalain 6 §:n 1 momentin 1 kohdassa käytetyllä vakuutetun käsitteellä tarkoitetaan.
Sovellettavat oikeusohjeet
(10) Yleisen tietosuoja-asetuksen (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) 9 artiklan 1 kohdan mukaan sellaisten henkilötietojen käsittely, joista ilmenee muun muassa terveyttä koskevien tietojen käsittely on kiellettyä. Saman artiklan 2 kohdan g alakohdan mukaan 1 kohtaa ei sovelleta, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
(11) Tietosuojalain 1 §:n mukaan kyseisellä lailla täsmennetään ja täydennetään yleistä tietosuoja-asetusta ja sen kansallista soveltamista.
(12) Tietosuojalain 6 §:n 1 momentin 1 kohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.
(13) Vakuutussopimuslain 2 §:n 1 momentin 4 kohdan mukaan mainitussa laissa tarkoitetaan vakuutuksenottajalla sitä, joka on tehnyt vakuutuksenantajan kanssa vakuutussopimuksen; jos vakuutukseen perustuva oikeus luovutetaan, luovutuksensaajaan sovelletaan, mitä vakuutuksenottajasta säädetään, ja 5 kohdan mukaan vakuutetulla sitä, joka on henkilövakuutuksen kohteena tai jonka hyväksi vahinkovakuutus on voimassa.
(14) Vakuutussopimuslain 22 §:n mukaan vakuutuksenottajan ja vakuutetun tulee ennen vakuutuksen myöntämistä antaa oikeat ja täydelliset vastaukset vakuutuksenantajan esittämiin kysymyksiin, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta.
Keskeiset tietosuojavaltuutetun ja muutoksenhakijan esittämät näkökohdat
(15) Tietosuojavaltuutettu katsoo, ettei vakuutetun käsitettä voida laajentaa tarkoittamaan vakuutuksenhakijaa eikä henkilöä, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa. Tällainen sananmukaisen sääntelyn vastainen terveydentilaa koskevien tietojen käsittely ei olisi rekisteröityjen kannalta kohtuullista ja ennakoitavaa. Tietosuojalaki on säädetty tietosuoja-asetuksen liikkumavaran nojalla, ja rekisteröidyn tulee voida luottaa tietosuojalain sanamuotoon.
(16) Muutoksenhakijan mukaan vakuutetun käsitettä tulee säännöksen tarkoitus, säädöshistoria ja systematiikka huomioon ottaen tulkita niin, että se kattaa myös henkilön, jonka on tarkoitus olla vakuutussopimuksen kohteena. Tietosuojalain 6 §:n 1 momentin 1 kohdan niin sanottu vakuutuspoikkeus on yleisen tietosuoja-asetuksen mahdollistama kansallinen lisäpoikkeus, jota on vakiintuneesti sovellettu myös vakuutussopimuksen solmimista edeltävään vastuuvalintaan. Vastuuvalinnassa vakuutusyhtiö arvioi vakuutuksen myöntämisen edellytyksiä. Tästä syystä vakuutussopimuslain 22 §:ssä on säädetty vakuutetun velvollisuudeksi toimittaa tietoja vakuutuslaitokselle jo ennen sopimuksen tekemistä. Näin ollen on johdonmukaista tulkita tietosuojalain 6 §:n 1 momentin 1 kohdassa vastaavasti sallittavan näiden tietojen vastaanottaminen myös ennen sopimuksen tekemistä.
Oikeudellinen arviointi ja johtopäätös
(17) Tietosuojalain 6 §:n 1 momentin 1 kohdassa säädetään vakuutuslaitosten vakuutustoimintaa koskevasta poikkeuksesta yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan mukaiseen yleiseen kieltoon käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. Sääntelyä on tietosuojalain esitöissä (HE 9/2018 vp) pidetty mahdollisena tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla.
(18) Tietosuojalain säännös vastaa kumotun henkilötietolain (523/1999) 12 §:n 11 kohtaa, ja lisäksi pitkälti samansisältöinen poikkeusperuste on sisältynyt jo henkilörekisterilain (471/1987) 7 §:n 6 kohtaan. Tietosuojalain esitöissä (HE 9/2018 vp) vakuutustoimintaa koskevaa kansallista täsmennystä on pidetty tarpeellisena, jotta vakuutuslaitokset voisivat vastaisuudessakin käsitellä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavia tietoja.
(19) Korkein hallinto-oikeus toteaa, että tietosuojalaissa tai sen esitöissä ei ole erikseen määritelty, mitä lain 6 §:n 1 momentin 1 kohdassa tarkoitetaan vakuutetulla. Tällöin tämän kansallisen säännöksen tulkinnassa merkitystä on annettava sille, mitä vakuutetulla tarkoitetaan kansallisessa vakuutuslainsäädännössä.
(20) Vakuutussopimuslain 22 §:ssä säädetään vakuutuksenottajan ja vakuutetun tiedonantovelvollisuudesta. Säännöksen ensimmäinen virke koskee tiedonantovelvollisuutta ennen vakuutuksen myöntämistä. Tästä huolimatta säännöksessä velvollisuus asetetaan vakuutuksenottajan ohella vakuutetulle. Vakuutussopimuslain määritelmäsäännöksen mukaan vakuutetun käsitteellä viitataan henkilövakuutuksen kohteeseen ja henkilöön, jonka hyväksi vahinkovakuutus on voimassa.
(21) Mainittujen säännösten perusteella korkein hallinto-oikeus katsoo, että vakuutetun käsite on myös tietosuojalain 6 §:n 1 momentin 1 kohdassa ymmärrettävä siten, että sillä tarkoitetaan vapaaehtoisen henkilövakuutuksen kohdetta siitä riippumatta, onko vakuutussopimus jo tehty vai onko vakuutusta vasta haettu. Tietosuojalaissa säädetyn kansallisen vakuutustoimintaa koskevan poikkeuksen tulkitseminen edellä esitetyllä tavalla ei johda siihen, että henkilötietoja käsiteltäisiin vakuutustoiminnassa yleisen tietosuoja-asetuksen 5 artiklan henkilötietojen käsittelyä koskevien periaatteiden vastaisesti.
(22) Korkein hallinto-oikeus toteaa lisäksi, että vakuutustoiminnassa on tarve käsitellä henkilöiden terveydentilaa koskevia tietoja niin vakuutuslaitoksen vastuun selvittämiseksi sopimussuhteessa kuin myös vakuutuslaitoksen vastuun arvioimiseksi jo vakuutuksen hakemisvaiheessa. Tietosuojalain tai sitä edeltäneiden lakien esitöistä ei ole saatavissa tukea tulkinnalle, jonka mukaan lainsäätäjän tarkoituksena olisi ollut jättää vakuutustoimintaan olennaisesti kuuluva vakuutuksen hakemisvaihe terveyttä koskevien tietojen käsittelyn mahdollistavan vakuutuspoikkeuksen ulkopuolelle.
(23) Edellä esitetyn perusteella korkein hallinto-oikeus katsoo, että tietosuojalain 6 §:n 1 momentin 1 kohdassa vakuutetulla tarkoitetaan myös vapaaehtoisen vakuutuksen hakijaa tai sitä henkilöä, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa.
Lopputulos
(24) Tietosuojavaltuutettu ei ole voinut päätöksessään esittämillään perusteilla katsoa, että muutoksenhakija ei voi tietosuojalain 6 §:n 1 momentin 1 kohdassa säädetyn nojalla käsitellä vapaaehtoisen vakuutuksen hakijan terveydentilatietoja tai sen henkilön terveydentilatietoja, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa, tai pyytää vakuutuksen hakemisvaiheessa näiden henkilöiden terveydentilatietoja terveydenhuollon yksiköstä. Muutoksenhakijan toteuttama erityisten henkilötietoryhmien käsittely ei siten ole ollut tietosuojavaltuutetun esittämällä perusteella tietosuoja-asetuksen 9 artiklan vastaista. Näin ollen tietosuojavaltuutettu ei ole myöskään voinut antaa muutoksenhakijalle sen päätöksestä ilmenevää määräystä saattaa henkilötietojen käsittelytoimia asetuksen mukaisiksi.
(25) Mainituilla perusteilla tietosuojavaltuutetun ja hallinto-oikeuden päätökset on kumottava.
Oikeudenkäyntikulut
(26) Oikeudenkäynnistä hallintoasioissa annetun lain 95 §:n 1 momentin mukaan oikeudenkäynnin osapuoli on velvollinen korvaamaan toisen osapuolen oikeudenkäyntikulut kokonaan tai osaksi, jos erityisesti asiassa annettu ratkaisu huomioon ottaen on kohtuutonta, että tämä joutuu itse vastaamaan oikeudenkäyntikuluistaan. Saman pykälän 2 momentin mukaan korvausvelvollisuuden kohtuullisuutta arvioitaessa voidaan lisäksi ottaa huomioon asian oikeudellinen epäselvyys, osapuolten toiminta ja asian merkitys asianosaiselle.
(27) Pykälän yksityiskohtaisten perusteluiden (HE 29/2018 vp) mukaan lähtökohta on, että mikäli julkinen osapuoli häviää asian, se velvoitettaisiin korvaamaan toisen osapuolen oikeudenkäyntikulut. Perusteluiden mukaan korvausvelvollisuuden perusteita arvioitaessa tulee kiinnittää erityistä huomiota asiassa annettuun ratkaisuun. Asian lopputulos ei kuitenkaan ole oikeudenkäyntikulujen korvaamista arvioitaessa ainoa määräävä tekijä, vaan oikeudenkäyntikulujen korvaamista koskevassa ratkaisussa on kysymys kuluvastuun kohtuullisuuden kokonaisarvioinnista.
(28) Tietosuojavaltuutettu on tehnyt nyt kysymyksessä olevan päätöksensä sille säädetyn tietosuojalainsäädännön noudattamisen valvontatehtävän hoitamiseksi. Asia on ollut oikeudellisesti tulkinnanvarainen. Asian lopputuloksesta huolimatta ei näin ollen ole olosuhteet huomioon ottaen kohtuutonta, että muutoksenhakija pitää oikeudenkäyntikulunsa hallinto-oikeudessa ja korkeimmassa hallinto-oikeudessa vahinkonaan.
Asian ovat ratkaisseet oikeusneuvokset Outi Suviranta, Taina Pyysaari, Monica Gullans (eri mieltä), Toni Kaarresalo (eri mieltä) ja Päivi Pietarinen. Asian esittelijä Elina Ranz (eriävä mielipide).
Äänestyslausunto ja eriävä mielipide
Eri mieltä olleen oikeusneuvos Toni Kaarresalon äänestyslausunto, johon oikeusneuvos Monica Gullans yhtyi:
”Myönnän valitusluvan. Hylkään valituksen. Velvollisena lausumaan oikeudenkäyntikuluista enemmistön pääasiaratkaisun pohjalta olen niiden osalta samalla kannalla kuin enemmistö.
Perustelut
Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan muun muassa terveyttä koskevien tietojen käsittely on kiellettyä. Saman artiklan 2 kohdan g alakohdan mukaan 1 kohtaa ei sovelleta, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Yleisen tietosuoja-asetuksen sääntelymekanismin mukaan terveyttä koskevien tietojen käsittelyperusteesta on säädettävä erikseen, mikäli tietojen käsittely ei perustu henkilön nimenomaiseen ja hyväksyttävään suostumukseen tai muuhun käsittelyn oikeuttavaan perusteeseen. Suomessa tietosuojalailla täsmennetään ja täydennetään yleistä tietosuoja-asetusta ja sen kansallista soveltamista.
Tietosuojalain 6 §:n 1 momentin 1 kohdassa on kysymys kansallisesta poikkeuksesta yleisessä tietosuoja-asetuksessa säädettyyn terveyttä koskevien tietojen yleiseen käsittelykieltoon. Mainitun lainkohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.
Tietosuojalaissa tai sen esitöissä ei ole erikseen määritelty, mitä lain 6 §:n 1 momentin 1 kohdassa tarkoitetaan vakuutetulla. Säännöksen sisältö vastaa aiemmin voimassa ollutta kansallista lainsäädäntöä nyt kysymyksessä olevalta osalta. Henkilötietolakia (523/1999) säädettäessä vastaavaa poikkeusta täsmennettiin tuolloin voimassa olleeseen henkilörekisterilakiin (471/1987) nähden siten, että käsittely ulotettiin koskemaan vakuutettua koskevien tietojen lisäksi myös korvauksenhakijaa koskevia tietoja (HE 96/1998 vp, s. 47). Tämä johtui hallituksen esityksen perustelujen mukaan siitä, että vakuutuslaitokset joutuvat toiminnassaan käsittelemään myös muita korvauksenhakijoita kuin vakuutettuja koskevia terveydentilatietoja. Esimerkiksi liikenneonnettomuudessa loukkaantunut henkilö ei useinkaan ole vakuutettu, vaan ulkopuolinen henkilö, jolle liikenneonnettomuudessa on aiheutunut henkilövahinko.
Totean, että mainitun hallituksen esityksen kirjaus muita korvauksenhakijoita kuin vakuutettuja koskevia terveydentilatietoja perusteluineen ei viittaa tilanteeseen, jossa vakuutusta ollaan vasta hakemassa, vaan tilanteeseen, jossa vakuutustapahtuma on sattunut. Tämä on luonnollista, koska kysymys oli tietojen käsittelemisestä vakuutuslaitoksen vastuun selvittämiseksi. Edellä mainitun täsmennyksen tekeminen henkilötietolakiin osoittaa, että henkilötietojen käsittelyn osalta on pyritty täsmälliseen sääntelyyn myös yleistä tietosuoja-asetusta edeltävänä aikana. Vakuutetun käsitteen osalta ei sen sijaan ole tehty täsmennyksiä henkilötietolakiin eikä tietosuojalakiin. Vastaavasti rajausta vakuutuslaitoksen vastuun selvittämiseksi ei ole laajennettu koskemaan vakuutuslaitoksen vastuun arvioimista tilanteessa, jossa vakuutusta ollaan vasta hakemassa.
Edellä korkeimman hallinto-oikeuden ratkaisun perusteluissa selostetuissa vakuutussopimuslain säännöksissä vakuutetun käsitettä ei käytetä johdonmukaisesti siten, että se olisi tällä perusteella selkeästi ja täsmällisesti määritelty. Vakuutussopimuslain määritelmäsäännöksen mukaan vakuutetulla tarkoitetaan sitä, joka on henkilövakuutuksen kohteena tai jonka hyväksi vahinkovakuutus on voimassa, ja tämä vastaa myös käsitteen yleiskielistä merkitystä.
Tietosuojalain tulkinnassa on otettava huomioon yksityiselämän ja henkilötietojen suojaa turvaavan Suomen perustuslain 10 §:n lisäksi Euroopan unionin tietosuojasääntely. Kansallisesta liikkumavarasta riippumatta tietojen käsittelyperusteen tai sitä koskevan lainsäädäntötoimen tulee olla myös Euroopan unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti selkeä ja täsmällinen ja sen soveltamisen ennakoitavissa henkilöille, joita se koskee (yleisen tietosuoja-asetuksen johdanto-osan 41 perustelukappale).
Edellä mainituilla perusteilla katson, ettei tietosuojalain 6 §:n 1 momentin 1 kohtaa voida tulkita laajentavasti siten, että vakuutetulla tarkoitettaisiin myös vapaaehtoisen vakuutuksen hakijaa tai sitä henkilöä, jonka kuoleman, sairastumisen tai loukkaantumisen varalta vapaaehtoista vakuutusta ollaan hakemassa.
Edellä todettuun nähden hallinto-oikeuden päätöksen lopputuloksen muuttamiseen ei ole perusteita.”
Asian esittelijän esittelijäneuvos Elina Ranzin esitys asian ratkaisemiseksi oli samansisältöinen kuin oikeusneuvos Kaarresalon äänestyslausunto.