Privacy of Medical Information: Employer and Employee Rights and Obligations
Tämä artikkeli on ilmestynyt The Maryland Bar Journal -lehden tammi-helmikuun 2002 numerossa.
JOHDANTO
Työnantajat hankkivat säännöllisesti hakijoita ja työntekijöitä koskevia terveystietoja useista eri lähteistä, mukaan lukien sairausvakuutuslomakkeista, työntekijöiden korvausvaatimuksia koskevista raporteista, loma-ajanpyynnöistä, lääkäreiden muistiinpanoista, jotka koskevat sairauspoissaoloja, sekä yleisestä keskustelusta ja vuorovaikutuksesta hakijoiden ja työntekijöiden kanssa. Vaikka useimmat työnantajat ymmärtävät, että tällaisiin tietoihin on suhtauduttava huolellisesti, monet työnantajat eivät ymmärrä, että työntekijöiden ja hakijoiden lääketieteelliset tiedot voivat olla liittovaltion ja osavaltioiden lakien nojalla erityissuojan alaisia. Liittovaltion puolella vammaislaki (Americans with Disabilities Act), perhe- ja sairauslomalaki (Family and Medical Leave Act), reilua luottoa ja raportointia koskeva laki (Fair Credit and Reporting Act) ja sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (Health Insurance Portability and Accountability Act) nojalla annetut säädökset liittyvät kaikki suoraan tai epäsuorasti työnantajan hallussa oleviin terveystietoihin. Marylandin lait ja common law asettavat työnantajille myös velvoitteita ja rajoituksia.
ADA
Ammattilaisten vammaislaki (Americans with Disabilities Act, ADA), jota sovelletaan työnantajiin, joiden palveluksessa on vähintään 15 työntekijää, kieltää ”pätevän vammaisen henkilön syrjinnän hänen vammaisuutensa vuoksi” minkä tahansa henkilön hakemukseen tai työhön liittyvän seikan osalta. 42 USC §12112(a). Alakohdassa (d) säädetään, että ”alakohdassa (a) tarkoitettuun syrjintäkieltoon kuuluvat myös lääkärintarkastukset ja -tutkimukset”. Alakohta (d) rajoittaa lääketieteellisiä tutkimuksia, joita työnantajat voivat tehdä hakijoille ja työntekijöille, velvoittaa työnantajat käyttämään erillisiä lomakkeita hakijoiden ja työntekijöiden terveydentilaa tai sairaushistoriaa koskevien tietojen keräämiseksi ja vaatii työnantajia pitämään kaikki tällaiset tiedot erillään muista henkilöstötiedostoista. Lisäksi ADA:n mukaan työnantajien on pidettävä tällaiset tiedot luottamuksellisina tietyin kapea-alaisin poikkeuksin.
Lain mukaan työnantaja saa luovuttaa tällaisia tietoja vain seuraaville tahoille: (i) esimiehille ja johtajille, jos ne liittyvät ”työntekijän työn tai tehtävien tarpeellisiin rajoituksiin ja tarvittaviin mukautuksiin”; (ii) ensiapu- ja turvallisuushenkilöstölle ”tarvittaessa, jos vamma saattaa vaatia kiireellistä hoitoa”; ja (iii) ADA:n noudattamista tutkiville valtion virkamiehille pyynnöstä. ADA:ta valvova Equal Employment Opportunity Commission (EEOC) on tulkinnut näitä säännöksiä ADA:n teknisen avun käsikirjassaan ja ohjeissa.
EEOC:n Guidance on Pre-Employment Disability-Related Inquires and Medical Examinations Under the ADA (annettu 10. lokakuuta 1995) -julkaisussa todetaan, että työnantajat voivat myös luovuttaa terveystietoja työtapaturmavakuutusyhtiöille ja osavaltioiden työtapaturmavakuutusvirastoille työtapaturmavakuutuslainsäädännön mukaisesti ja että työnantajat voivat käyttää terveystietoja vakuutustarkoituksiin – esimerkiksi luovuttamalla työnantajan vakuutusyhtiölle tietoja, jotka ovat välttämättömiä sairausvakuutusjärjestelyn hallinnoimiseksi. Ohjeissa todetaan myös, että lääketieteellisiä tietoja voidaan jakaa työnantajan edustajille, jotka osallistuvat työhönottoprosessiin tai positiivisen toimintaohjelman toteuttamiseen, siinä määrin kuin näiden edustajien ”on tiedettävä tiedot.”
Samassa EEOC:n ohjeessa todetaan, että ADA:n mukaiset työnantajan salassapitovelvollisuudet koskevat lääketieteellisiä tietoja, jotka hakija tai työntekijä on vapaaehtoisesti luovuttanut työnantajalle, niiden tietojen lisäksi, jotka henkilö on toimittanut vastatessaan lääketieteelliseen tiedusteluun tai lääkärintarkastukseen. Ohjeissa todetaan, että työntekijöiden yleiset henkilöstökansiot eivät saisi sisältää ”mitään lääketieteeseen liittyvää aineistoa”. Tältä osin ohjeissa erotetaan toisistaan pelkkä ilmoitus siitä, että työntekijä on ollut sairauslomalla tai käynyt lääkärissä, jota ei pidetä kattavana lääketieteellisenä tietona, ja asiakirjat, jotka sisältävät tietoja työntekijän diagnoosista tai oireista, joita pidetään kattavana lääketieteellisenä tietona. Ohjeiden mukaan salassapitovelvoitteet eivät lopu, kun henkilö ei ole enää hakija tai työntekijä.
EEOC:n ADA:n työllistymissäännöksiä koskevan teknisen apukäsikirjan (julkaistu tammikuussa 1992) kohdassa 6.5 määrätään, että työnantajan ”olisi ryhdyttävä toimenpiteisiin taatakseen lääketieteellisten tietojen turvallisuuden”, mukaan luettuna tietojen säilyttäminen ”lääketieteellisessä kansiossa erillisessä lukitussa kaapissa erillään henkilöstökansioiden säilytyspaikasta”, ja tällaisten kansioiden käyttömahdollisuuden rajoittaminen vain tietylle henkilölle tai tietyille henkilöille. Käsikirja sallii myös tietojen luovuttamisen viranomaisille, jotka tutkivat muiden liittovaltion ja osavaltioiden lakien noudattamista, joissa kielletään syrjintä vammaisuuden perusteella, ja tietojen luovuttaminen ”muiden liittovaltion lakien ja asetusten nojalla voi myös vaatia asiaankuuluvien lääketieteellisten tietojen luovuttamista.”
EEOC:n toimeenpano-ohjeissa (Enforcement Guidance on Disability-Related Inquiries and Medical Examinations Under the ADA) (annettu 26. heinäkuuta 2000) todetaan, että työnantajan olisi kohdeltava hakijana työntekijää, joka hakee toista työpaikkaa organisaatiossaan. Näin ollen EEOC toteaa, että nykyinen esimies, joka tietää tällaista työntekijää koskevista lääketieteellisistä tiedoista, ei saa paljastaa näitä tietoja henkilölle, joka haastattelee työntekijää uutta työpaikkaa varten, tai uuden työpaikan esimiehelle.
Tässä ohjeessa EEOC katsoo, että lääketieteellisiä tiedusteluja koskevat rajoitukset ja luottamuksellisuusvelvoitteet koskevat ”kaikkia työntekijöitä, ei vain vammaisia”. Kahdeksas, yhdeksäs ja kymmenes piirikunta tukevat tätä kantaa, mutta se on vastoin viidennen piirikunnan kantaa. Vertaa Griffin v. Steeltek, 160 F. 3d 591 (10th Cir. 1998); Fredenburg v. County of Contra Costa, 172 F. 3d 1176 (9th Cir. 1999); ja Cossette v. Minnesota Power and Light, 1888 F. 3d 964 (8th Cir. 1999) ja Armstrong v. Turner Industries, Inc., 141 F. 3d 554 (5th Cir. 1998). Kolmas piirikunta kieltäytyi hiljattain päättämästä asiasta. Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. 23. huhtikuuta 2001).
Sen lisäksi, että tuomioistuimet ovat käyneet oikeudenkäyntejä siitä, voiko muu kuin vammainen henkilö nostaa kanteen §12112(d):n nojalla, ne ovat käsitelleet myös sitä, kuinka suuri vahinko on oltava, jotta kyseiseen säännökseen perustuva vaatimus voidaan esittää. Viimeaikaisissa muutoksenhakutuomioistuimen päätöksissä on vaadittu, että kantajan on osoitettava, että 12112(d) §:n rikkominen on aiheuttanut kantajalle vahinkoa.
Tice-asiassa kolmas tuomiopiiri vahvisti summaarisen tuomion työntekijää vastaan ja katsoi, että kantajalla ei ole kanteen nostamisperustetta 12112(d) §:n rikkomisesta ilman, että hän on osoittanut tosiasiallisen vahingon olemassaolon ”joko tosiasiallisena vahingonkorvauksena (emotionaalisena, rahallisena tai muuna vahingonkorvauksena) tai jatkuvana laittomana käytäntönä, jonka kohteeksi kantaja joutuu todennäköisesti joutumaan, jos tuomioistuin ei puutu asiaan”. Tuomioistuin katsoi, että kantajan ”pelkät väitteet henkisestä/emotionaalisesta kärsimyksestä, henkisestä ahdistuksesta, stressistä ja epämukavuudesta” eivät olleet riittäviä. Tuomioistuin viittasi lopuksi viidennen piirin päätökseen asiassa Armstrong ja totesi, että ”ADA:n tekstissä tai sen historiassa ei ole mitään viitteitä siitä, että 12112(d) §:n teknisen rikkomisen olisi tarkoitus johtaa vahingonkorvauksiin”.
Cossette-asiassa kahdeksas piiri katsoi, että kantajan ”on osoitettava, että väitetyn lainvastaisen tiedonantovelvollisuuden aiheuttama vahinko on ollut käsin kosketeltavissa” kanteen nostamisen ennakkoedellytyksenä. Cossette väitti, että hänen työnantajansa oli oikeudettomasti luovuttanut luottamuksellisia lääketieteellisiä tietoja sekä yrityksen sisällä että toiselle, asiaan liittymättömälle yritykselle, johon hän oli hakemassa työtä. Tuomioistuin totesi, että jos virheellinen tietojen luovuttaminen mahdolliselle työnantajalle johti siihen, että häneltä evättiin paremmin palkattu työpaikka, hänellä olisi toteuttamiskelpoinen ADA-vaatimus. Tuomioistuin totesi sitten, että sisäinen ilmoitus oli ”ongelmallisempi”. Tuomioistuin totesi, että se, että työtoverit kohtelivat häntä alentavasti ja holhoavasti luottamuksellisten terveystietojen paljastamisen vuoksi, ”ei riitä haitalliseksi työsuhteeseen liittyväksi toimenpiteeksi, jota vaadittaisiin 12112(a) §:n mukaisen vammaisuuteen perustuvan syrjinnän toteennäyttämiseksi”. Se kuitenkin palautti asian uudelleen käsiteltäväksi, jotta käräjäoikeus voisi selvittää, oliko tällainen kohtelu riittävä peruste 12112(d) §:n mukaiseen väitteeseen lääketieteellisten tietojen laittomasta paljastamisesta.
Griffin v. Steeltek -tapauksessa kantaja voitti ensimmäisen kerran kymmenennen piirin, joka katsoi, ettei hänen tarvinnut olla vammainen voidakseen nostaa kanteen 12112(d) §:n nojalla. Takaisin käräjäoikeudessa Griffin hävisi asiasisällön osalta. Hylätessään hänen toisen valituksensa kymmenes piirikunta totesi asiassa Griffin v. Steeltek, 2001 U.S. App. LEXIS 18917 (22. elokuuta 2001), että ”pelkkä kielletyn kysymyksen esittäminen ei yksinään riitä aiheuttamaan tunnistettavaa vahinkoa” ja että vahingonkorvausta (myös nimellistä vahingonkorvausta) voidaan vaatia vain, jos kantaja osoittaa, että työnantaja on kielletyn kysymyksen esittämällä ”tosiasiallisesti syyllistynyt lainvastaiseen tahalliseen syrjintään”. Tuomioistuin vahvisti tämän jälkeen asianajokulujen epäämisen kantajalta vedoten korkeimman oikeuden äskettäiseen päätökseen Buckannon Bd. & Care Home, Inc. v. West Va. Dept. of Health & Human Resources, 121 S. Ct. 1835 (2001). Kymmenes piirikunta hylkäsi ”muutoksen katalysaattoriteorian” ja katsoi, että kantaja, joka ei voita ADA-tapauksen pääasiaa tuomiolla tai suostumuspäätöksellä, ei ole oikeutettu asianajajapalkkioihin, ”vaikka oikeudenkäynnin jatkaminen olisi aiheuttanut halutun ja vapaaehtoisen muutoksen vastaajan käytöksessä”, kuten luvattomien tiedustelujen lopettamisen.
EEOC on nostanut lukuisia kanteita, joissa se on esittänyt 12112(d) §:n nojalla ADA-vaatimuksia työnantajia vastaan, jotka perustuvat luvattomiin kyselyihin, lääketieteellisten tietojen sekoittamiseen henkilöstökansioihin tai salassapitovelvollisuuden rikkomiseen. Kaikissa näissä tapauksissa EEOC on kuitenkin väittänyt myös muita ADA-sopimuksen tai muiden kansalaisoikeuksia koskevien lakien rikkomuksia. Syyskuussa 2001 EEOC:n Baltimoren piiritoimiston aktiivisessa riita-asioiden käsittelyssä olleista 27 tapauksesta yksi sisälsi väitteen, jonka mukaan työnantaja ei ollut säilyttänyt terveystietoja erillisessä kansiossa, ja toinen sisälsi väitteen, jonka mukaan luottamuksellisia terveystietoja oli paljastettu laittomasti.
Neljännen piirikunnan tai Marylandin piirikunnan liittovaltion piirituomioistuimen päätöksiä, joissa käsiteltäisiin työnantajan vastuuta siitä, että se on loukannut Alzheimerin tautia vastaan suunnattua lakia (ADA-direktiivi) koskevia säännöksiä, joissa vaaditaan terveystietojen pitämistä luottamuksellisina, ei ole. EEOC pyrkii edelleen valvomaan näiden säännösten noudattamista. Lisäksi yksityishenkilöillä on ADA:n nojalla yksityinen kanneoikeus. ADA:n salassapitosäännösten rikkomisesta työnantajille aiheutuvan vastuun laajuutta ei ole vielä määritetty.
FMLA
Muut liittovaltion lait suojaavat myös lääketieteellisiä tietoja työsuhteen yhteydessä. Family and Medical Leave Act (FMLA), 29 U.S.C. §§ 2601 et seq., suojaa epäsuorasti työntekijän lääketieteellisiä tietoja rajoittamalla työnantajan oikeutta pyytää tai kyseenalaistaa tällaisia tietoja. Työnantajat voivat vaatia työntekijöitä, jotka käyttävät FMLA-vapaata oman vakavan terveydentilansa tai sen piiriin kuuluvan sukulaisensa vakavan terveydentilan vuoksi, toimittamaan lääkärintodistuksen terveydenhuollon tarjoajalta. Työministeriön antamien asetusten mukaan työnantaja ei kuitenkaan voi vaatia työntekijän tai hänen sukulaisensa diagnoosia. 29 CFR § 825.306. Kun lääkärintodistus on toimitettu, työnantaja ei myöskään voi pyytää lisätietoja terveydenhuollon tarjoajalta. Työnantaja voi ottaa yhteyttä työntekijän terveydenhuollon tarjoajaan lääkärintodistuksen selventämiseksi tai todentamiseksi, mutta yhteydenoton on oltava työnantajaa edustavan terveydenhuollon tarjoajan tekemä ja ainoastaan työntekijän luvalla. 29 CFR § 825.307. Toisaalta, jos työntekijä on samanaikaisesti FMLA-vapaan kanssa työkorvauspoissaolossa ja jos työkorvauslainsäädännön määräykset sallivat työnantajan olla suoraan yhteydessä työntekijän työkorvauslääkäriin, työnantaja voi jatkaa yhteydenpitoa. 29 CFR § 825.307 (a)(1).
FCRA
Liittovaltion Fair Credit and Reporting Act (FCRA), 15 U.S.C. §§ 1681-1681u, suojaa myös työntekijän lääketieteellisiä tietoja. FCRA:ssa säännellään työnantajan oikeutta saada ”kuluttajaraportteja” ”kuluttajaraportointilaitokselta”. 15 U.S.C. § 1681. Laissa edellytetään, että työnantajan on ilmoitettava hakijalle tai työntekijälle, että se aikoo hankkia tietoja raportointilaitokselta käytettäväksi harkitessaan henkilön palkkaamista. 15 U.S.C. § 1681d. FCRA:n 604(g) §:ssä kielletään kuluttajaraportointiyrityksiä antamasta lääketieteellisiä tietoja sisältäviä raportteja työllistämistarkoituksiin tai luotto- tai vakuutustapahtumien yhteydessä ilman raportin kohteena olevan kuluttajan nimenomaista ennakkosuostumusta. Jos lääketieteellisiä tietoja haetaan työllistymistarkoituksiin, kuluttajan on nimenomaisesti annettava suostumuksensa lääketieteellisten tietojen luovuttamiseen sen lisäksi, että hän valtuuttaa työnantajan hankkimaan kuluttajaraportin yleisesti. Pykälän 603(i) kohdassa määritellään ”lääketieteelliset tiedot” seuraavasti: ”tiedot tai tallenteet, jotka on saatu sen henkilön suostumuksella, jota ne koskevat, luvan saaneilta lääkäreiltä, sairaaloilta, klinikoilta tai muilta lääketieteellisiltä tai lääketieteeseen liittyviltä laitoksilta”. Muista kuin lääketieteellisistä lähteistä, kuten työnantajilta, saadut tiedot eivät ole ”lääketieteellisiä tietoja”.”
HIPAA
Kun kongressi hyväksyi sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (Health Insurance Portability and Accountability Act), 42 U.S.C. § 1320d, et seq. (”HIPAA”), se sisälsi ”hallinnollista yksinkertaistamista” koskevia säännöksiä, joilla pyrittiin parantamaan ”terveydenhuoltojärjestelmän tehokkuutta ja vaikuttavuutta … laatimalla standardeja ja vaatimuksia tiettyjen terveystietojen sähköistä siirtämistä varten”. P.L. 104-191 § 261. Terveystietojen sähköisen siirtämisen korostaminen herätti huolta yksityisyyden suojasta, ja säädöksessä edellytettiin, että terveys- ja terveyspalvelujen ministeri (Secretary of Health and Human Services, jäljempänä ’HHS’) antaa kongressille suosituksia terveystietojen yksityisyyden suojasta, ja säädettiin, että jos kongressi ei säädä lakia kolmen vuoden kuluessa, ministerin oli annettava säädöksiä terveystietojen yksityisyyden suojaamiseksi. P.L. 104-191 § 264. Kongressi ei hyväksynyt lainsäädäntöä, ja HHS antoi lopulliset HIPAA-tietosuojaa koskevat säännökset joulukuussa 2000. 65 Fed. Reg. 82526 (28.12.2000). Vaatimusten noudattamista edellytetään 14. huhtikuuta 2003 mennessä, vaikka pienillä terveydenhuoltosuunnitelmilla (jotka on määritelty sellaisiksi, joiden vuotuiset tulot ovat enintään 5 miljoonaa dollaria, 45 C.F.R. § 160.103) on lisävuosi aikaa.
HIPAA:n tietosuojasäännöksiä sovelletaan suoraan ”suojattuihin yksiköihin”, joita ovat terveydenhuoltosuunnitelmat, terveydenhuollon tiedonvälityskeskukset ja terveydenhuoltopalvelujen tarjoajat, jotka päättävät suorittaa tietyt liiketoimet sähköisesti. 45 C.F.R. § 160.103. Ainoat terveydenhuoltosuunnitelmat, jotka eivät kuulu asetuksen soveltamisalaan, ovat sellaisia, joissa on alle 50 osallistujaa ja joita hallinnoi suunnitelman rahoittaja. Id. Vaikka asetuksia ei sovelleta suoraan työnantajiin, ne vaikuttavat useimpiin terveysetuuksia tarjoaviin työnantajiin terveysjärjestelyihin sovellettavien säännösten ja ”liikekumppaneihin” sovellettavien säännösten kautta.
Asetuksissa edellytetään, että suojattavat yhteisöt hankkivat ”liikekumppaneiltaan” sopimukset, joissa ne sitoutuvat noudattamaan samoja yksityisyyden suojaa koskevia velvoitteita kuin suojattavat yhteisöt. 45 C.F.R. § 164.502(e). Yritysyhteistyökumppani on mikä tahansa yhteisö, jolle suojattu yhteisö luovuttaa suojattuja terveystietoja, jos kyseinen yhteisö suorittaa tai avustaa sellaisten toimintojen suorittamisessa, kuten korvausvaatimusten käsittelyssä, laskutuksessa tai etuuksien hallinnoinnissa, tai tarjoaa oikeudellisia, vakuutusmatemaattisia, kirjanpito-, konsultointi-, hallinto- tai rahoituspalveluja. 45 C.F.R. § 160.103. Jos työnantaja suorittaa toimintoja tai tarjoaa palveluja, jotka tekevät siitä sponsoroimansa terveydenhuoltosuunnitelman liikekumppanin, työnantajan on allekirjoitettava liikekumppanuussopimus, ja sen on noudatettava kaikkia samoja HIPAA:n tietosuojavaatimuksia kuin terveydenhuoltosuunnitelman. Monet työnantajat tarjoavat esimerkiksi hallinnollisia palveluja terveydenhuoltosuunnitelmilleen hoitamalla ilmoittautumis- ja vakuutusmaksutoimintoja.
Juristipalvelujen tarjoajien sisällyttäminen ”liikekumppanin” määritelmään tarkoittaa, että lakimiesten, jotka edustavat suojattuja yhteisöjä tai suojattujen yhteisöjen liikekumppaneita (kuten terveydenhuoltosuunnitelmia rahoittavia työnantajia), olisi selvitettävä, saavatko he asiakkailtaan suojattuja terveystietoja ja edellytetäänkö heiltä liikekumppanuussopimusten allekirjoittamista.
HIPAA:n yksityisyydensuojaa koskevissa säännöstön säännöksissä käsitellään ”suojattuja terveystietoja” (protected health information – PHI, protected health information,), jotka ovat suojattujen yhteisöjen hallussa. PHI on tietoa, joka on yksilöitävissä ja joka liittyy terveydentilaan, hoitoon tai terveydenhuollon maksamiseen. 45 C.F.R. § 164.501. Kaikki PHI-tiedot kuuluvat tietosuojan piiriin riippumatta siitä, ovatko ne suullisesti, paperilla vai sähköisessä muodossa, 45 C.F.R. § 160.103, ja PHI-tietoja saa käyttää tai luovuttaa vain osallistujan valtuuttamana tai säännösten sallimalla tavalla. PHI:n käyttöä koskevien rajoitusten sisällyttäminen tarkoittaa, että asetuksia sovelletaan tietojen sisäiseen käyttöön, ei vain tietojen luovuttamiseen ulkopuolisille.
PHI:n määritelmä on hyvin laaja ja ulottuu paljon laajemmalle kuin mitä ilmaisu ”suojattu terveystieto” tavallisesti saattaa tuoda mieleen. Tiedot vakuutusmaksuista, korvausvaatimuksista, olemassa olevista sairauksista, korvausten siirtämisestä ja etuuksien yhteensovittamisesta voivat kaikki olla PHI:tä. Tietojen ei tarvitse sisältää tunnistetietoja, kuten nimeä, osoitetta tai sosiaaliturvatunnusta, jotta ne olisivat yksilöitävissä. Esimerkiksi suuria korvausvaatimuksia koskeva raportti, joka sisältää vain diagnoosit tai toimenpiteet ja maksetut summat, saattaa sisältää yksilöitävissä olevia tietoja, jos on perusteltua syytä uskoa, että tietoja voidaan käyttää vakuutettujen henkilöiden tunnistamiseen. 45 C.F.R. § 164.501.
Säädösten soveltamisalaan kuuluvien terveydenhuoltosuunnitelmien on:
– hyväksyttävä ja pantava täytäntöön kirjalliset tietosuojakäytännöt ja -menettelyt, jotka täyttävät säädösten vaatimukset, 45 C.F.R 164.503(i);
– annettava jokaiselle osallistujalle ilmoitus tietosuojakäytännöistä ja -menettelyistä, 45 C. C.F.R. 164.520;
– Kouluttaa työntekijät tietosuojaperiaatteisiin ja -menettelyihin, 45 C.F.R. 164.530(b);
– Nimittää tietosuojavastaava, 45 C.F.R. 164.530(a);
– Hankkia lupa PHI:n käyttämiseen muuhun tarkoitukseen kuin maksamiseen ja terveydenhuollon toimintoihin, 45 C.F.R. 164.508(a); ja
– Luovuttaa vain välttämättömät vähimmäistiedot, 45 C.F.R. § 164.502(b).
Säännösten mukaan järjestelyyn osallistuvilla on lisäksi oikeus tarkastaa ja saada jäljennös terveystiedostaan, 45 C.F.R. § 164.524, pyytää terveystietonsa muuttamista, 45 C.F.R. § 164.526, saada selvitys terveystiedon luovutuksista, 45 C. F.R. § 164.526.F.R. 164.528 §:ssä ja pyytää, että PHI:n käyttöä ja luovuttamista rajoitetaan, 45 C.F.R. 164.522(a) §:ssä.
HIPAA:n tietosuojaa koskevissa säännöksissä korostetaan terveydenhuoltosuunnitelmaa rahoittavan työnantajan ja itse terveydenhuoltosuunnitelman välistä eroa ja asetetaan rajoituksia sille, mitä terveydenhuoltosuunnitelma saa luovuttaa työnantajalle. Terveydenhuoltosuunnitelma voi luovuttaa terveystietoja työnantajalle vain, jos työnantaja vahvistaa, että järjestelyasiakirjoja on muutettu HIPAA:n tietosuojasäännösten edellyttämällä tavalla, 45 C.F.R. § 164.504(f), mukaan lukien määräykset:
– jotka kieltävät työnantajaa käyttämästä tai luovuttamasta terveystietoja muulla tavoin kuin järjestelyn asiakirjoissa sallitulla tai vaaditulla tavalla tai laissa edellytetyllä tavalla, 45 C.F.R. § 164.504(f).F.R. § 164.504(f)(2)(ii)(A);
– Kielletään PHI:n käyttö tai luovuttaminen työsuhteeseen liittyvissä toimissa tai työnantajan sponsoroiman muun etuusjärjestelyn yhteydessä, 45 C.F.R. § 164.504(f)(2)(ii)(C);
– Työnantajan velvoittaminen ilmoittamaan järjestölle PHI:n epäasianmukaisesta käytöstä tai luovuttamisesta, 45 C.F.R. § 164.504(f)(2)(ii)(D);
– Työnantajan velvoittaminen palauttamaan tai tuhoamaan PHI-tiedot sen jälkeen, kun sallittu käyttö on päättynyt, 45 C.F.R. § 164.504(f)(2)(ii)(I); ja
– Kuvaus siitä, mitkä työntekijät pääsevät käsiksi PHI-tietoihin , 45 C.F.R. § 164.504(f)(2)(iii)(A), ja rajoitetaan tällainen pääsy työnantajan suorittamiin järjestelmän hallinnollisiin tehtäviin, 45 C.F.R. § 164.504(f)(2)(iii)(B).
Työnantajien, jotka rahoittavat terveydenhuoltosuunnitelmia ja jotka eivät ole aiemmin tehneet eroa työnantajalle ja suunnitelmalle kuuluvien tietojen välillä, on nyt tunnustettava tämä ero ja rajoitettava suunnitelman tietojen käyttöä ja niihin pääsyä.
HIPAA:n hallinnollista yksinkertaistamista koskevissa säännöksissä määrätään sekä rikos- että siviilioikeudellisia seuraamuksia sääntöjen noudattamatta jättämisestä. Rikosoikeudelliset seuraamukset tietoisista ja kaupalliseen hyötyyn tai ilkivaltaiseen vahingoittamiseen tähtäävistä rikkomuksista voivat olla jopa 250 000 dollarin sakot ja kymmenen vuoden vankeusrangaistus. 42 U.S.C. § 1320d-6. Siviilioikeudellisia seuraamuksia voidaan määrätä enintään 100 dollaria rikkomuksesta ja enintään 25 000 dollaria vuodessa saman vaatimuksen tai kiellon rikkomisesta. 42 U.S.C. § 1320d-5. Yksityisyyden suojaa koskevissa säännöksissä on yli 50 erillistä vaatimusta ja kieltoa, joten siviilioikeudelliset seuraamukset voivat nousta yli 1,25 miljoonaan dollariin vuodessa.
Säännöksissä ei säädetä yksityisestä kanteesta, mutta säännöksissä esitetyistä standardeista voi tulla mittapuu sille, mikä on ”kohtuullista huolellisuutta” työntekijöiden terveystietojen käsittelyssä, ja osavaltioiden tuomioistuimet voivat käyttää säännöksiä arvioidakseen, ovatko työnantajat ja terveydenhuoltosuunnitelmat toimineet kohtuullisesti käsitellessään työntekijöiden terveystietoja. Tämä voisi avata työnantajille mahdollisuuden nostaa kanteita osavaltioiden vahingonkorvauslainsäädännön nojalla.
Tietosuojalainsäädäntö asettaa alarajan, ei ylärajaa. Jos HIPAA:n tietosuojavaatimukset ovat tiukemmat kuin osavaltion laki, sovelletaan liittovaltion normeja. Toisaalta, jos osavaltion laki antaa terveydenhuoltosuunnitelman osallistujille paremman suojan, sovelletaan osavaltion lakia. 45 C.F.R § 160.203.
MARYLANDIN LAINSÄÄDÄNTÖ
Marylandissa säädettiin vuonna 1990 sairauskertomusten luottamuksellisuutta koskeva laki, Md. Code Ann., Health-Gen. I, § 3-401, et seq., ”lääketieteellisten tietojen luottamuksellisuuden takaamiseksi ja yleisesti potilaiden yksityisyyden suojan vahvistamiseksi”. Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997). Säädöksessä määritellään tarkasti ne tapaukset, joissa hoitohenkilökunta voi luovuttaa tietoja ilman asianomaisen henkilön lupaa. Id., § 4-305. Säännöksessä ei säädetä luvattomasta luovuttamisesta työnantajalle tai työsuhdetarkoituksessa. Samanlaisia lakisääteisiä rajoituksia on olemassa vakuutuksenantajan tai vakuutuspalveluorganisaation suorittaman lääketieteellisten tietojen luovuttamisen osalta, ja ne edellyttävät, että työnantajan pääsy tällaisiin tietoihin edellyttää vakuutetun työntekijän suostumusta. Ks. Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Marylandin osavaltiossa on pitkäaikainen lakisääteinen kielto vaatia työnhakijalta tietoja terveydentilasta, ellei terveydentilalla ole ”suoraa, olennaista ja ajankohtaista suhdetta hakijan kykyyn tai soveltuvuuteen suoriutua työstä asianmukaisesti”. Md. Ann. Code, Lab. & Empl., § 3-701. Lisäksi Marylandin työturvallisuus- ja työterveyslaki, Md. Ann. Code, Lab. & Empl., § 5-101 et. seq., kieltää työnantajaa ryhtymästä epäsuotuisiin toimenpiteisiin työntekijää tai työnhakijaa vastaan niiden tietojen perusteella, jotka on saatu sen perusteella, että henkilö on osallistunut työnantajan ryhmäkorvaukseen, ellei ole vastaavaa näyttöä asian merkityksestä tai siitä, että työntekijä on antanut vilpillisessä tarkoituksessa vääriä tietoja terveydentilastaan. Id., § 5-604.
Viime aikoina säädetyllä osavaltion lainsäädännöllä rajoitetaan työnantajan oikeutta käyttää geneettisiä tietoja työhönottopäätösten yhteydessä. Lokakuun 1. päivästä 2001 lähtien työnantajan on ollut lainvastainen työsuhdekäytäntö jättää palkkaamatta tai kieltäytyä palkkaamasta tai irtisanoa henkilö tai muulla tavoin syrjiä henkilöä hänen geneettisten tietojensa perusteella tai siksi, että hän kieltäytyy suostumasta geneettiseen testiin tai antamasta geneettisen testin tuloksia saataville. Näissä tarkoituksissa ’geneettisellä tiedolla’ tarkoitetaan tietoa: (i) kromosomeja, geenejä, geenituotteita tai perinnöllisiä ominaisuuksia, jotka voivat olla peräisin yksilöltä tai perheenjäseneltä; (ii) jotka on saatu diagnostisia tai terapeuttisia tarkoituksia varten; ja (iii) jotka on saatu ajankohtana, jolloin yksilö, jota tieto koskee, on sairauden suhteen oireeton, mutta niihin eivät kuulu a) rutiininomaiset fyysiset mittaukset; b) kemialliset, veri- ja virtsa-analyysit, jotka ovat laajalti hyväksyttyjä ja joita käytetään kliinisissä käytännöissä; tai c) huumausaineiden käyttöä koskevat testit. ”Geneettinen testi” on ihmisen kromosomeista, geeneistä tai geenituotteista tehty laboratoriotutkimus, jota käytetään sellaisten perinnöllisten tai synnynnäisten perintöaineksen muutosten olemassaolon tai puuttumisen selvittämiseen, jotka liittyvät sairauteen tai tautiin.”
Loppujen lopuksi Marylandin yleinen laki antaisi lisäsuojaa siltä osin kuin työnantajan pääsy työntekijän terveystietoihin merkitsisi ”yksityiselämän loukkaamista”. Maryland tunnustaa kanteen perusteen ”yksityisyyteen tunkeutumisesta” ja ”yksityisen tosiseikan julkaisemisesta”. Ks. asia Allen v. Bethlehem Steel Corp., 76 Md. App. 642, 547 A.2d 1105, cert. denied, 314 Md. 458, 550 A.2d 1168 (1988). Ensin mainittu edellyttää ”tahallista tunkeutumista toisen henkilön yksinäisyyteen tai eristäytymiseen hänen yksityisasioihinsa tai huolenaiheisiinsa, mikä olisi erittäin loukkaavaa järkevälle ihmiselle”. Ks. Furman v. Sheppard, 130 Md. App. 67, 73, 744 A.2d 583 (2000). Jälkimmäinen vaatimus on olemassa, kun joku julkistaa toisen yksityiselämää koskevan asian ja julkisuuteen saatettu asia on luonteeltaan sellainen, että a) se olisi erittäin loukkaavaa järkevälle henkilölle ja b) se ei ole yleisön oikeutettua huolenaihetta. Id. 77. Julkaisemista koskeva elementti edellyttää levittämistä ”pienen henkilöryhmän” ulkopuolelle. Id. at 78.
Marylandin tuomioistuimet eivät ole antaneet päätöksiä, joissa käsiteltäisiin lääketieteellisten tietojen hankkimiseen, käyttöön tai levittämiseen perustuvaa yksityisyyden loukkaamista koskevaa vahingonkorvausvaatimusta, mutta asia on noussut esiin muilla lainkäyttöalueilla. Ks. esimerkiksi Knecht v. Vandalia Med. Ctr., Inc., 470 N.E. 2D 230 (Ohio Ct. App. 1984) (katsoo, että potilastietojen luvaton luovuttaminen voi tukea yksityisyyden loukkaamista koskevaa vaatimusta). Tällaiset vaatimukset eivät kuitenkaan menesty, ellei kantaja pysty osoittamaan, että lääketieteelliset tiedot on saatu hänen tietämättään tai ilman hänen lupaansa tai että tietoja on levitetty laajalti henkilöille, joilla ei ole oikeutettua etua tiedoista. Missourin muutoksenhakutuomioistuin antoi asiassa St. Anthony’s Med. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) hylkäsi väitteen, jonka mukaan se, että sairaala oli luovuttanut potilastietoja ilman kantajan suostumusta tai tietoa, oli joko lainvastainen ”tunkeutuminen yksityisyyteen” tai ”yksityisen tosiseikan julkaiseminen”, koska potilastietoja ei ollut hankittu harhaanjohtamisella tai muulla kohtuuttomalla tavalla ja koska julkaiseminen ei ollut suunnattu ”yleisölle tai suurelle joukolle yksityishenkilöitä”); Ks. myös , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (sama); Luedtke v. Nabors Alaska Drilling, Inc, 768 P.2d 1123 (Alaska 1989) (jossa katsottiin, että kantajan vaatimus, joka koski työnantajan vaatimasta virtsakokeesta johtuvaa yksityisyyteen tunkeutumista, hylättiin, koska ei ollut näyttöä ”kohtuuttomasta tunkeutumistavasta tai tunkeutumisesta perusteettomaan tarkoitukseen”).
Johtopäätös
Työnantajien, jotka hankkivat tai pitävät hallussaan hakijoihin tai työntekijöihin liittyviä lääketieteellisiä tietoja, on oltava tietoisia erilaisista osavaltioiden ja liittovaltion suojista ja rajoituksista, joita sovelletaan kyseisiin tietoihin, ja niiden olisi kehitettävä toimintatapoja ja menettelytapoja sen varmistamiseksi, että tällaiset tiedot hankitaan, säilytetään, käytetään ja luovutetaan vain lain mukaisesti.