Liikennevakuutuskeskukselle seuraamusmaksu tarpeettoman laajasta potilastietojen keräämisestä
Tietosuojavaltuutetun toimisto on selvittänyt Liikennevakuutuskeskuksen toimintatapaa potilastietojen pyytämisessä terveydenhuollolta korvausasioiden käsittelyä varten. Liikennevakuutuskeskus on järjestelmällisesti pyytänyt korvauksenhakijoiden potilastietoja rajaamatta tarvittavia tietoja. Toimintatapa on ollut yleisen tietosuoja-asetuksen vastainen.
Liikennevakuutuskeskus on katsonut voivansa kerätä potilastietoja laajasti ja pyytää terveydenhuollolta potilaskertomuksia sellaisenaan korvausasioiden ratkaisemiseksi. Liikennevakuutuskeskus on kerännyt potilaiden käyntimerkintöjä myös selvittääkseen, onko terveydenhuolto laskuttanut käyntejä, jotka eivät liity liikennevahingosta aiheutuneen vamman tutkimukseen tai hoitoon. Lisäksi tietoja on pyydetty sen varalta, että terveydenhuolto on jättänyt antamatta korvausasian kannalta olennaisia tietoja.
Tietosuojavaltuutettu katsoo, että Liikennevakuutuskeskus on rikkonut toimintatavallaan yleisen tietosuoja-asetuksen tietojen minimoinnin periaatetta. Tietosuojavaltuutettu toteaa, että liikennevakuutuslaki ei oikeuta suoraa pääsyä kaikkiin potilastietoihin, vaan pyydettävien tietojen tulee olla välttämättömiä korvausasian ratkaisemiseksi. Vakuutusyhtiö ei voi pääsääntöisesti pyytää kaikkia asiakkaan hoitokäyntiä koskevia tietoja, vaan tiedot on rajattava ja yksilöitävä tapauskohtaisesti.
Luovutettavien tietojen seulominen on potilastietorekisterien rekisterinpitäjän, eli terveydenhuollon toimijan vastuulla. Vakuutusyhtiön on kuitenkin käytävä saamansa tiedot läpi ja poistettava mahdolliset tarpeettomat henkilötiedot.
Liikennevakuutuskeskuksen toimintatapa ei ole täyttänyt myöskään henkilötietojen käsittelyn kohtuullisuuden edellytyksiä. Korvauksenhakijan on perusteltua odottaa, että vakuutusyhtiö käsittelee korvauspäätöstä varten vain välttämättömiä tietoja.
Tietosuojavaltuutettu katsoo lisäksi, että henkilön terveydentilaa koskevat tiedot tulisi luovuttaa vakuutusyhtiöille ensisijaisesti lausunnon muodossa Suomen Lääkäriliiton suosituksen mukaisesti.
Tietosuojasäännösten rikkominen oli järjestelmällistä ja pitkäkestoista
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Liikennevakuutuskeskukselle 52 000 euron hallinnollisen seuraamusmaksun. Tietosuojavaltuutettu antoi Liikennevakuutuskeskukselle huomautuksen tietosuojarikkomuksista ja määräsi sen muuttamaan toimintatapansa potilastietojen pyytämisessä tietosuojasäännösten mukaiseksi.
Seuraamuskollegion mukaan Liikennevakuutuskeskuksen menettely ilmentää, ettei se ole perehtynyt riittävästi tietosuojalainsäädännön vaatimuksiin. Seuraamusmaksun perusteluna huomioitiin muun muassa se, että kyse on ollut arkaluonteisten, terveyttä koskevien tietojen käsittelystä.
Päätös ei ole lainvoimainen. Liikennevakuutuskeskus on valittanut päätöksestä hallinto-oikeuteen.
Tietosuojavaltuutetun ja seuraamuskollegion päätös Finlexissä
Lisätietoja:
Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766
Tietosuojavaltuutetun toimiston tiedote: Vakuutusyhtiöiden korvausasioita varten ei tule kerätä tai luovuttaa liikaa tietoja (14.7.2021)
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.