Tietosuojavaltuutetun toimisto on selvittänyt vakuutusyhtiöiden menettelytapoja niiden pyytäessä vakuutuksenhakijoiden ja vakuutettujen terveystietoja terveydenhuollon toimijoilta vakuutusyhtiön vastuun selvittämiseksi. Puutteita havaittiin erityisesti terveydenhuollolta pyydettävien tietojen asianmukaisessa rajaamisessa sekä vakuutuksenhakijoiden terveystietojen käsittelyn lainmukaisuudessa.
Tietosuojavaltuutetun toimisto ryhtyi selvittämään asiakokonaisuutta vakuutusyhtiöiden asiakkailta sekä terveydenhuollon toimijoilta saamiensa yhteydenottojen myötä.
Terveydenhuollolta pyydettävien tietojen tulee olla rajattuja ja yksilöityjä
Tietosuojavaltuutetun toimiston selvityksissä kävi ilmi, että vakuutusyhtiöt katsovat tarpeelliseksi joissakin tilanteissa pyytää rekisteröityjen terveystietoja suoraan terveydenhuollolta. Vakuutusyhtiöiden toimintatavat tietopyyntöjen rajaamiseen vaihtelivat.
Jos vakuutusyhtiöllä on tarve pyytää terveydenhuollolta henkilön terveydentilatietoja, pyyntö on rajattava vain tiettyä tapausta, sairautta tai oiretta koskeviin tietoihin, joita tarvitaan vakuutusyhtiön vastuun arvioimisessa. Vakuutusyhtiön tulee myös arvioida, miltä ajanjaksolta tietojen pyytäminen on tarpeellista.
Tietosuojalain säännös ei koske vakuutuksenhakijan tietoja
Vakuutusyhtiöt perustelivat vakuutuksenhakijan terveystietojen käsittelyä tietosuojalain sääntelyllä, jonka mukaan vakuutuslaitos voi käsitellä sellaisia vakuutetun tai korvauksenhakijan terveystietoja, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.
Tietosuojavaltuutettu toteaa, että kyseinen tietosuojalain säännös koskee ainoastaan vakuutetun ja korvauksenhakijan tietojen käsittelyä. Vakuutusyhtiöt eivät voi käsitellä vakuutuksen hakijan terveystietoja tai pyytää vakuutuksen hakemisvaiheessa henkilöiden tietoja terveydenhuollolta säännöksen nojalla, sillä sopimusta ei ole tällöin vielä solmittu.
Vakuutusyhtiöt ovat lisäksi pyytäneet vakuutuksenhakijoilta hakemuksen yhteydessä suostumusta terveystietojen hankkimiseen. Tietosuojavaltuutettu toteaa, että terveystietoja on mahdollista käsitellä tietyin edellytyksin, jos henkilö on antanut tähän pätevän suostumuksen. Pätevä suostumus edellyttää, että henkilölle kerrotaan tarkasti, mitä tietoja hänestä kerätään ja mihin tarkoituksiin niitä käytetään. Suostumuksen pyytäminen yleisluontoisesti ilman tietojen ja käyttötarkoitusten erittelyä ei näin ollen täytä tietosuoja-asetuksen vaatimuksia.
Vakuutusyhtiöiden korjattava käytäntönsä lainmukaisiksi
Tietosuojavaltuutettu määräsi kolme vakuutusyhtiötä korjaamaan käytäntöjään terveystietojen käsittelyssä lainmukaisiksi vakuutuksenhakijoiden terveystietojen käsittelyn sekä terveydenhuollolle lähetettävien tietopyyntöjen rajaamisen osalta. Yhdelle vakuutusyhtiölle annettiin huomautus tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä.
Lisäksi tietosuojavaltuutettu antoi selvityksen kohteena olleille vakuutusyhtiöille ohjausta terveydenhuollolle lähetettävien tietopyyntöjen rajaamisesta.
Päätökset eivät ole vielä lainvoimaisia, ja niistä voi valittaa hallinto-oikeuteen.