Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har bötfällt finska Trafikskyddet med 52 000 euro för brott mot artiklarna 5.1 (a), 5.1 (c) och 25.2 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Dataombudsmannens byrå tagit emot ett klagomål från en registrerad, där den klagande påstått att Trafikskyddet fått mer information från hälso- och sjukvården än vad som var nödvändigt för att lösa en aktuell ersättningsfråga. Trafikskyddet har bland annat samlat in omfattande patientdata, begärt patientjournaler och samlat in register över patientbesök för att ta reda på om hälso- och sjukvården har fakturerat för besök som inte har att göra med undersökning eller behandling av en skada som orsakats av en trafikolycka.
Dataombudsmannens byrå konstaterade att Trafikskyddets praxis stred mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Dessutom konstaterade Dataombudsmannens byrå att aktuell lagstiftning avseende ersättningsärenden för trafikskador inte motiverar direkt tillgång till alla patientuppgifter, utan att den begärda informationen måste vara nödvändig för att lösa den aktuella skadan. Därför betonade Dataombudsmannens byrå att en försäkringsgivare som allmän regel inte kan begära in all information om en kunds hälsotillstånd, utan den begärda informationen måste vara begränsad och identifieras från fall till fall.
Vidare konstaterade Dataombudsmannens byrå att Trafikskyddets praxis inte heller uppfyllde villkoren för en rättvis behandling av personuppgifter, eftersom den skadelidande hade en berättigad förväntan på att Trafikskyddet endast skulle behandla uppgifter som var nödvändiga för beslutet om ersättning. Dataombudsmannens byrå noterade dessutom att Trafikskyddets agerande visar att de inte i tillräcklig utsträckning bekantat sig med kraven i GDPR. Slutligen konstaterade Dataombudsmannens byrå att det faktum att känsliga hälsouppgifter behandlats var en av de faktorer som motiverade ett beslut om sanktionsavgifter.
Mot bakgrund av ovanstående bötfälldes Trafikskyddet med 52 000 euro. Dataombudsmannens byrå utfärdade också en varning till Trafikskyddet för brott mot dataskyddet och beordrade dem att ändra sin policy för att behandla patientuppgifter så att den följer gällande dataskyddsbestämmelser.