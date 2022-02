Liikennevakuutuskeskus käsitteli potilastietoja lainvastaisesti, tietosuojavaltuutettu päätti. Myös yhdelle matkatoimistolle annettiin sakko.

Tietosuojavaltuutetun toimisto määräsi liikennevakuutusyhtiöiden yhteistoimintaelin Liikennevakuutuskeskukselle 52 000 euron seuraamusmaksun potilastietojen liian laajasta käytöstä korvausten käsittelemiseksi. Päätöksen mukaan keskus on järjestelmällisesti pyytänyt korvauksenhakijoiden potilastietoja terveydenhuollolta rajaamatta tarvittavia tietoja vastoin yleistä tietosuoja-asetusta.

– Korvauksenhakijan on perusteltua odottaa, että vakuutusyhtiö käsittelee korvauspäätöstä varten vain välttämättömiä tietoja, tietosuojavaltuutetun tiedotteessa sanotaan.

Viranomaisen mukaan tietosuojasäännösten rikkominen oli järjestelmällistä ja pitkäkestoista.

Liikennevakuutuskeskuksen mukaan vahinkoasian käsittely ja korvauksen maksaminen on mahdotonta ilman korvauksenhakijasta laadittuja lääketieteellisiä asiakirjoja. Keskus on siten katsonut voivansa kerätä potilastietoja laajasti ja pyytää terveydenhuollolta potilaskertomuksia sellaisenaan. Valtuutettu on eri mieltä.

Tietosuojavaltuutettu toteaa, että liikennevakuutuslaki ei oikeuta suoraa pääsyä kaikkiin potilastietoihin, vaan pyydettävien tietojen tulee olla välttämättömiä korvausasian ratkaisemiseksi. Vakuutusyhtiö ei voi pääsääntöisesti pyytää kaikkia asiakkaan hoitokäyntiä koskevia tietoja, vaan tiedot on rajattava ja yksilöitävä tapauskohtaisesti.

Päätös ei ole lainvoimainen. Liikennevakuutuskeskus on valittanut päätöksestä hallinto-oikeuteen.

Valtuutetun pöydältä lähti hiljattain toinenkin päätös, joka koskee nimeämätöntä matkatoimistoa. Toimistolle määrättiin 6500 euron seuraamusmaksu yleisen tietosuoja-asetuksen rikkomisesta, koska henkilötietoja käsiteltiin turvattomasti.

Yrityksen verkkosivut ja sähköinen viisuminhakulomake ovat olleet salaamattoman verkkoyhteyden takana. Lisäksi lomakkeelle syötetyt tiedot tallentuivat pdf-tiedostoksi verkkopalvelimen tiedostokansioon, joka oli avoin verkkoon.

Lomakkeelle syötettyihin tietoihin lukeutuivat muun muassa nimi, yhteystiedot ja passin numero. Tietosuojavaltuutettu korostaa, että muihin tietoihin yhdistettynä erityisesti passin numero on riskitekijä.

Eräs asiakas oli myös pyytänyt matkatoimistolta tietojensa poistamista järjestelmästä, mutta yritys ei ollut toteuttanut pyyntöä.

Tämäkään päätös ei ole vielä lainvoimainen.