Påföljdsavgift för Trafikförsäkringscentralen för alltför omfattande insamling av patientuppgifter
Dataombudsmannens byrå har utrett Trafikförsäkringscentralens tillvägagångssätt när det gäller att begära patientuppgifter från hälso- och sjukvården för handläggning av ersättningsärenden. Trafikförsäkringscentralen har systematiskt begärt patientuppgifter om dem som ansökt om ersättning utan att avgränsa vilka uppgifter som behövs. Tillvägagångssättet har stridit mot den allmänna dataskyddsförordningen.
Trafikförsäkringscentralen har ansett sig kunna samla in patientuppgifter på ett omfattande sätt och be hälso- och sjukvården om patientjournaler som sådana för att avgöra ersättningsärenden. Trafikförsäkringscentralen har samlat in patienternas besöksanteckningar också för att ta reda på om hälso- och sjukvården har fakturerat för besök som inte är relaterade till undersökning eller behandling av skador som orsakats av en trafikskada. Dessutom har uppgifter begärts ifall hälso- och sjukvården skulle låta bli att lämna ut väsentliga uppgifter med tanke på ersättningsärendet.
Dataombudsmannen anser att Trafikförsäkringscentralen med tillvägagångssättet har brutit mot principen om uppgiftsminimering i den allmänna dataskyddsförordningen. Dataombudsmannen konstaterar att trafikförsäkringslagen inte berättigar till direkt åtkomst till alla patientuppgifter, utan de uppgifter som begärs ska vara nödvändiga för att avgöra ett ersättningsärende. Försäkringsbolaget kan i regel inte begära alla uppgifter som gäller kundens vårdbesök, utan uppgifterna ska avgränsas och specificeras från fall till fall.
Ansvaret för gallringen av de uppgifter som lämnas ut ligger på den personuppgiftsansvarige för patientuppgiftsregister, dvs. hälso- och sjukvårdsaktören. Försäkringsbolaget ska dock gå igenom de uppgifter som erhållits och radera eventuella onödiga personuppgifter.
Trafikförsäkringscentralens tillvägagångssätt har inte heller uppfyllt kraven på korrekt behandling av personuppgifter. Den som ansöker om ersättning kan med fog förvänta sig att försäkringsbolaget endast behandlar uppgifter som är nödvändiga med tanke på ersättningsbeslutet.
Dataombudsmannen anser även att uppgifter som gäller en persons hälsotillstånd bör lämnas ut till försäkringsbolaget i första hand i form av ett utlåtande i enlighet med Finlands Läkarförbunds rekommendation.
Brotten mot dataskyddsbestämmelserna var systematiska och långvariga
Påföljdskollegiet vid dataombudsmannens byrå påförde Trafikförsäkringscentralen en administrativ påföljdsavgift på 52 000 euro. Dataombudsmannen gav Trafikförsäkringscentralen en anmärkning om dataskyddsöverträdelserna och ålade den att ändra sina tillvägagångssätt i fråga om begäran om patientuppgifter så att de stämmer överens med dataskyddsbestämmelserna.
Enligt påföljdskollegiet visar Trafikförsäkringens förfarande att den inte har satt sig in dataskyddslagstiftningens krav tillräckligt. Som en motivering till påföljdsavgiften beaktades bland annat att det har varit frågan om behandling av känsliga uppgifter som gäller hälsa.
Beslutet har inte vunnit laga kraft, eftersom Trafikförsäkringscentralen har överklagat beslutet hos förvaltningsdomstolen.
Dataombudsmannens och påföljdskollegiets beslut i Finlex på finska
Mer information:
Dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766
Meddelande från dataombudsmannens byrå: Man ska inte samla in eller överlåta för mycket information för försäkringsbolagens ersättningsärenden (14.7.2021)
Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.