Finland: Trafikskyddet bötfälls med 52 000 euro för brott mot principen om uppgiftsminimering

Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har bötfällt finska Trafikskyddet med 52 000 euro för brott mot artiklarna 5.1 (a), 5.1 (c) och 25.2 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Dataombudsmannens byrå tagit emot ett klagomål från en registrerad, där den klagande påstått att Trafikskyddet fått mer information från hälso- och sjukvården än vad som var nödvändigt för att lösa en aktuell ersättningsfråga. Trafikskyddet har bland annat samlat in omfattande patientdata, begärt patientjournaler och samlat in register över patientbesök för att ta reda på om hälso- och sjukvården har fakturerat för besök som inte har att göra med undersökning eller behandling av en skada som orsakats av en trafikolycka.

Dataombudsmannens byrå konstaterade att Trafikskyddets praxis stred mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Dessutom konstaterade Dataombudsmannens byrå att aktuell lagstiftning avseende ersättningsärenden för trafikskador inte motiverar direkt tillgång till alla patientuppgifter, utan att den begärda informationen måste vara nödvändig för att lösa den aktuella skadan. Därför betonade Dataombudsmannens byrå att en försäkringsgivare som allmän regel inte kan begära in all information om en kunds hälsotillstånd, utan den begärda informationen måste vara begränsad och identifieras från fall till fall.

Vidare konstaterade Dataombudsmannens byrå att Trafikskyddets praxis inte heller uppfyllde villkoren för en rättvis behandling av personuppgifter, eftersom den skadelidande hade en berättigad förväntan på att Trafikskyddet endast skulle behandla uppgifter som var nödvändiga för beslutet om ersättning. Dataombudsmannens byrå noterade dessutom att Trafikskyddets agerande visar att de inte i tillräcklig utsträckning bekantat sig med kraven i GDPR. Slutligen konstaterade Dataombudsmannens byrå att det faktum att känsliga hälsouppgifter behandlats var en av de faktorer som motiverade ett beslut om sanktionsavgifter.

Mot bakgrund av ovanstående bötfälldes Trafikskyddet med 52 000 euro. Dataombudsmannens byrå utfärdade också en varning till Trafikskyddet för brott mot dataskyddet och beordrade dem att ändra sin policy för att behandla patientuppgifter så att den följer gällande dataskyddsbestämmelser.

Mer information

Myndighet: Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå)

Land: Finland

Lagrum: Art. 5 GDPR, art. 25 GDPR

Sanktionsavgift: 52 000 euro

Mottagare: Trafikskyddet

Beslutsnummer: 4431/161/21

Beslutsdatum: 2021-12-16

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.