Tietosuojavaltuutettu: Vakuutusyhtiöt ovat keränneet vakuutuksenhakijoiden terveystietoja tarpeettoman laajasti

Vakuutusyhtiöt ovat keränneet vakuutuksenhakijoiden ja vakuutettujen terveystietoja tarpeettoman laajasti, ilmenee Tietosuojavaltuutetun toimiston tiedotteesta.

Selvityksissä kävi ilmi, että vakuutusyhtiöt katsovat tarpeelliseksi joissakin tilanteissa pyytää rekisteröityjen terveystietoja suoraan terveydenhuollolta. Vakuutusyhtiöiden toimintatavat tietopyyntöjen rajaamiseen vaihtelivat.

– Jos vakuutusyhtiöllä on tarve pyytää terveydenhuollolta henkilön terveydentilatietoja, pyyntö on rajattava vain tiettyä tapausta, sairautta tai oiretta koskeviin tietoihin, joita tarvitaan vakuutusyhtiön vastuun arvioimisessa. Vakuutusyhtiön tulee myös arvioida, miltä ajanjaksolta tietojen pyytäminen on tarpeellista, Tietosuojavaltuutetun toimisto kommentoi tiedotteessaan.

Vakuutusyhtiöt perustelivat vakuutuksenhakijan terveystietojen käsittelyä tietosuojalain sääntelyllä, jonka mukaan vakuutuslaitos voi käsitellä sellaisia vakuutetun tai korvauksenhakijan terveystietoja, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.

Tietosuojavaltuutettu toteaa, että kyseinen tietosuojalain säännös koskee ainoastaan vakuutetun ja korvauksenhakijan tietojen käsittelyä. Vakuutusyhtiöt eivät voi käsitellä vakuutuksen hakijan terveystietoja tai pyytää vakuutuksen hakemisvaiheessa henkilöiden tietoja terveydenhuollolta säännöksen nojalla, sillä sopimusta ei ole tällöin vielä solmittu.

Vakuutusyhtiöt ovat lisäksi pyytäneet vakuutuksenhakijoilta hakemuksen yhteydessä suostumusta terveystietojen hankkimiseen.

– Terveystietoja on mahdollista käsitellä tietyin edellytyksin, jos henkilö on antanut tähän pätevän suostumuksen. Pätevä suostumus edellyttää, että henkilölle kerrotaan tarkasti, mitä tietoja hänestä kerätään ja mihin tarkoituksiin niitä käytetään. Suostumuksen pyytäminen yleisluontoisesti ilman tietojen ja käyttötarkoitusten erittelyä ei silloin täytä tietosuoja-asetuksen vaatimuksia, Tietosuojavaltuutettu toteaa.

Tietosuojavaltuutettu määräsi kolme vakuutusyhtiötä korjaamaan käytäntöjään terveystietojen käsittelyssä lainmukaisiksi vakuutuksenhakijoiden terveystietojen käsittelyn sekä terveydenhuollolle lähetettävien tietopyyntöjen rajaamisen osalta.

Yhdelle vakuutusyhtiölle annettiin huomautus tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä.

Lisäksi tietosuojavaltuutettu antoi selvityksen kohteena olleille vakuutusyhtiöille ohjausta terveydenhuollolle lähetettävien tietopyyntöjen rajaamisesta.

Päätökset eivät ole vielä lainvoimaisia, ja niistä voi valittaa hallinto-oikeuteen.