14.12.2009 4/2009

Vakuutustoiminta - Asiakasrekisteri - Luovuttaminen - Lakiin perustuva käsittely - Tarpeellisuusvaatimus - Oikeutettu etu

Tietosuojalautakunta myönsi vakuutusyhtiölaissa tarkoitetuille vakuutusyhtiöille toistaiseksi voimassaolevan luvan luovuttaa vahinkotietoja ja vakuutuslaitoksille (vakuutusyhtiöille ja vakuutusyhdistyksille) luvan käsitellä toisilta vakuutuslaitoksilta saatavia vahinkotietoja vakuutusrikollisuuden ehkäisemiseksi. Tietosuojalautakunta asetti lisäksi ehdot vahinkotietojen luovuttamiselle ja muulle käsittelylle.

Ks. myös päätökset 1/5.3.2001, 4/3.9.2001, 4/20.5.2002 ja 5/20.5.2002

ASIA

Henkilötietojen käsittelyä koskeva hakemus

HAKIJAT

Finanssialan Keskusliitto ja Lähivakuutus osk hakevat liitteessä 1 ja 2 mainittujen vakuutuslaitosten (vakuutusyhtiöiden ja vakuutusyhdistysten) puolesta seuraavia lupaehtoja ja lupaa.

HAKEMUS

Tietosuojalautakunta myönsi päätöksellään 4/19.12.2006 hakijana olleille vakuutusyhtiöille ja vakuutusyhdistyksille luvan käsitellä toisilta vakuutuslaitoksilta saatavia vahinkotietoja ja vahvisti vahinkotietojen luovuttamiselle lupaehdot. Lupa myönnettiin määräaikaisena siten, että se on voimassa 31.12.2009 saakka.

Hakijat pyytävät, että uusi lupa ja lupamääräykset myönnetään toistaiseksi voimassa olevina ja samansisältöisinä kuin voimassa oleva lupa ja lupamääräykset päätöksen liitteessä mainituille vakuutusyhtiöille ja vakuutusyhdistyksille.

Lupaehtojen määrääminen

Vakuutusyhtiölain 30 luvun 3 §:n 1 momentin 6 kohdan, vakuutusyhdistyslain 16 luvun 10 §:n 4 momentin 6 kohdan ja ulkomaisista vakuutusyhtiöistä annetun lain 79 §:n 4 momentin 6 kohdan perusteella hakijat pyytävät vakuutuslaitoksiin kohdistuvan rikollisuuden ehkäisemiseen liittyvän tärkeän edun vuoksi, että tietosuojalautakunta asettaa henkilötietolain 43 §:n 3 momentin nojalla lupamääräykset, joilla vakuutuslaitokset voivat luovuttaa tietoja niille ilmoitetuista vahingoista toisille vakuutuslaitoksille.

Haettavat lupamääräykset

1. Toisille vakuutuslaitoksille luovutettavat tiedot

  • Henkilö- tai Y-tunnus
  • Vakuutuslaitos
  • Vahingon tapahtuma-aika
  • Vahinkonumero
  • Moottoriajoneuvon ja veneen rekisterinumero (liikenne-, auto-, ja venevakuutuksissa)
  • Vakuutuslaji koodina
  • Vahinkotyyppi koodina

2. Tietoja ei kuitenkaan luovuteta vahingoista, joita on haettu luotto-, takaus-, oikeusturva- ja sairasvakuutuksista. Tietoja ei myöskään luovuteta tapaturmavakuutuslain mukaisista sellaisista vakuutuksista, joiden ottaminen on pakollista (tapaturmavakuutuslain mukaiset työntekijöiden työtapaturmat ja ammattitaudit).

3. Tietoja voidaan luovuttaa ainoastaan silloin, kun tiedot saavalle toiselle vakuutuslaitokselle on tehty korvaushakemus tai muutoin ilmenee sellaista uutta tietoa, jonka perusteella tehty korvauspäätös on otettava uuteen käsittelyyn virheellisten tai puutteellisten tietojen vuoksi.

Tietoja voivat vakuutuslaitoksessa käsitellä vain korvausasioita tai vakuutuslaitoksiin kohdistuvia rikoksia käsittelevät ja tutkivat henkilöt.

4. Vakuutuslaitos saa pyytää muilta vakuutuslaitoksilta asianomaisia vahinkoja koskevat tarkemmat tiedot, jos edellä kohdassa 1 lueteltujen tietojen perusteella voidaan arvioida, että

  • useille vakuutuslaitoksille on tehty korvaushakemus saman vahingon perusteella (sama vahinkopäivä ja vahinkotyyppi)
  • korvauksenhakija on ilmoittanut lyhyen ajan sisällä useita vahinkoja
  • korvauksenhakija on tehnyt useita samantyyppisiä vahinkoilmoituksia

5. Tarkempia tietoja ei saa luovuttaa muille vakuutuslaitoksille laajemmin kuin on tarpeen, ottaen huomioon tavoite, jota varten tietoja pyydetään. Tarkempia tietoja voi kysyä vain vakuutuslaitoksen korvauskäsittelijä, vakuutustutkija tai muu korvausasioiden selvittelyyn erikoistunut ja nimetty asiantuntija.

6. Terveydentilaa koskevia tietoja voidaan luovuttaa vain asianomaisen henkilön nimenomaisella suostumuksella.

7. Vakuutuksenottajia ja korvauksenhakijoita on informoitava vahinkotietojen luovuttamisesta tuote-esitteissä ja korvauksenhakulomakkeissa.

8. Toisilta vakuutuslaitoksilta saatuja tietoja saa käyttää vain vakuutuslaitoksiin kohdistuvan rikollisuuden ehkäisemiseen. Tietoja ei saa käyttää asiakasvalinnassa, vakuutusta myönnettäessä, vakuutusten markkinoinnissa, vakuutusten hinnoittelussa tai muissa vastaavissa tarkoituksissa.

9. Tietoja saa luovuttaa vain sellaisista vahingoista, joista on haettu korvausta 1.1.2002 jälkeen. Tietoja ei saa luovuttaa sellaisista vahingoista, joiden rekisteröinnistä on kulunut yli 10 vuotta.

10. Kun toiselta vakuutuslaitokselta on pyydetty tarkempia tietoja, on korvauspäätöksessä informoitava korvauksenhakijaa tietojen pyytämisestä.

11. Hakijat toteuttavat henkilötietolain 32 §:ssä säädetyin tavoin tarpeelliset tekniset ja organisatoriset toimenpiteet, joiden avulla estetään asiaton pääsy luvan perusteella käsiteltäviin tietoihin ja tietojen muu laiton käsittely.

12. Hakijat luovat menettelytavat, joiden avulla valvotaan, että vakuutuslaitokset noudattavat lupaehtoja.

Lupamääräyksiä haetaan toistaiseksi.

Tietosuojalautakunta katsoo hakemuksessa tältä osin tarkoitetun hakea samalla myös lupaa vakuutusyhtiölain 30 luvun 3 §:n 1 momentin 6 kohdassa tarkoitettuun henkilötietojen luovuttamiseen.

Hakijan edustaja vakuutusasiantuntija on 11.12.2009 tarkentanut puhelimitse, että myös kohdan 7 lupaehtoa haetaan vahvistettavan voimassaolevan lupaehdon mukaisena siten, että vakuutuksenottajia ja korvauksenhakijoita on informoitava vahinkotietojen luovuttamisesta vakuutusta haettaessa ja korvauksenhakulomakkeissa.

Lupa

Viitaten henkilötietolain 8 §:n 1 momentin 9 kohtaan ja lain 43 §:ään hakijat pyytävät lupaa käsitellä toisilta vakuutuslaitoksilta saatuja A-kohdan mukaisia henkilötietoja. Lupaa tarvitaan, jotta vakuutuslaitokset voivat käyttää toisilta vakuutuslaitoksilta saatuja vahinkotietoja, joiden käsittelyltä muutoin puuttuu henkilötietolain 8 §:ssä määritellyt henkilötietojen käsittelyn yleiset edellytykset. Hakijat katsovat, että lupa tulisi myöntää vakuutuslaitosten oikeutetun vakuutusrikollisuuden ehkäisemiseen liittyvän edun vuoksi. Vahinkotietojen käsittely ei vaaranna henkilön yksityisyyden suojaa tai oikeuksia.

Lupaa haetaan toistaiseksi.

HAKEMUKSEN PERUSTELUT

Vakuutusrikollisuus ja sen taloudellinen merkitys

Vakuutuslaitoksiin kohdistuvat petorikokset aiheuttavat vuosittain noin sadan-kahdensadan miljoonan euron menetykset vakuutusyhtiöille ja sitä kautta menetyksiä myös vakuutuksenottajille. Tämä on se lisäkustannus, joka vakuutusrikollisuudesta tulee vakuutuksenottajien maksettavaksi korkeampina vakuutusmaksuina. Summa on arviolta 5-10 % vahinkovakuutuksen korvausmenosta. Vakuutuksenottajien tulee voida luottaa siihen, että vakuutusala torjuu ja tutkii näitä rikoksia ja muita väärinkäytöksiä tehokkaasti sekä rajoittaa aktiivisesti väärin perustein haettavista vakuutuskorvauksista vakuutuksenottajille aiheutuvaa vahinkoa.

Vakuutusrikosten torjuminen on myös osa vakuutusalan yhteiskuntavastuuta. Vakuutuslaitosten tulee omassa toiminnassaan vähentää niihin kohdistuvia rikoksentekomahdollisuuksia sekä havaita, tutkia ja tarvittaessa ilmoittaa viranomaisille ilmitulleita rikoksia.

Tehokas ja ammattimaisesti toteutettu vakuutuslaitoksen oma, tietoteknisten sovellusten tukema, tutkintatoiminta on tärkeä vakuutusrikostorjunnan väline, jolla

  • ehkäistään lisääntyneen kiinnijäämisriskin kautta tehokkaasti ennalta vakuutuslaitoksiin kohdistuvia petosrikosten yrityksiä
  • alennetaan olennaisesti rikoksentekijöiden saaman taloudellisen hyödyn määrää ja näin vähennetään tekojen houkuttelevuutta
  • saadaan tietoa siitä, miten vakuutuslaitoksen tuotteita, ehtoja, työprosesseja ja muita toimintatapoja tulee kehittää rikoksentekomahdollisuuksien vähentämiseksi ja
  • hankitaan perusteet oikeelliselle korvauspäätökselle ja päätökselle siitä, onko asiassa tehtävä rikosilmoitus poliisin suorittaman esitutkinnan käynnistämiseksi.

Vakuutusrikollisuudelle, kuten muullekin rikollisuudelle on tyypillistä, että rikoksen onnistuttua samaa rikosta yritetään myös muita elinkeinonharjoittajia kohtaan. Keskeistä petosrikollisuuden torjunnassa onkin varmistaa, että rikoksentekijän kiinnijäämisriski lisääntyy ja rikoksen uusimisriski vähenee näissä tilanteissa. Tämän vuoksi on tärkeää, että vakuutuslaitokset voivat luovuttaa tiedot sille ilmoitetuista vahingoista tosille vakuutuslaitoksille.

Vahinkorekisteri on osoittautunut tärkeäksi työkaluksi vakuutusrikostorjunnassa. Vahinkorekisterillä on merkittävä yleis- ja erityisestävä vaikutus.

Vahinkorekisterin rekisterinpitäjät, ylläpito ja tekninen toteutus

Vahinkorekisterin teknisenä ylläpitäjänä oli vuoden 2008 loppuun saakka Suomen Vakuutusdata Oy (SVD) siten, että Tieto Oyj tarjosi palvelin- ja osan muista tietoteknisistä palveluista. SVD:n toiminnan loputtua 1.1.2009 lukien Tieto Oyj toimii teknisenä ylläpitäjänä.

Finanssialan Keskusliitto (FK) osallistuu Tieto Oyj:n kanssa rekisterin ohjausryhmän työskentelyyn.

Rekisteriin liittyneet vakuutuslaitokset ja Lähivakuutus osk ovat tehneet sopimuksen tietojen käsittelystä ja rekisterin ylläpidosta. Vahinkorekisterin rekisterinpitäjinä toimivat järjestelmään liittyneet vakuutuslaitokset kukin omien tietojensa osalta. Kukin vakuutuslaitos vastaa asiakkaidensa vahinkotietojen oikeellisuudesta, mahdollisten muutosten tekemisestä ja virheiden korjaamisesta.

Vahinkorekisteriin rekisteröityjen vahinkotietojen käsittely jakautuu kahteen osaan: perustiedot ja tarkemmat tiedot. Perustietojen tarkastaminen on osa vakuutuslaitoksen vahinkokäsittelyn automatisoitua rutiinia. Rekisteröidessään uuden vahinkoilmoituksen vahinkorekisteriin käyttäjä saa automaattisena palautteena nähtäväkseen ko. korvauksenhakijan muille yhtiöille ilmoittamat vahinkotiedot haettavan lupamääräyksen n:o 1 laajuudessa.

Tarkempien tietoja koskevan kyselyn tekevät vain erikseen nimetyt henkilöt (pääkäyttäjät ja vakuutustutkijat).

Vahinkorekisterin käytön määrä

Vahinkorekisteriin on elokuun 2009 loppuun mennessä rekisteröity noin 6,6 miljoonaa vahinkoilmoitusta. Vuonna 2009 elokuun loppuun mennessä tarkempien tietojen pyytämistä tehtiin 149 kertaa ja asiakkaan tarkastusoikeuskyselyjä tehtiin 277 kappaletta.

Tunnusluvut osoittavat, että vahinkohistoria- ja tarkempien tietojen pyytämistä on tehty hyvin pidättyvästi. Suomen Vakuutusyhtiöiden Keskusliiton, sittemmin FK:n kokoamien vakuutustutkinnan tunnuslukujen mukaan vahinkorekisteri on yksin toiminut tutkintaherätteenä 1.7.2002 - 31.12.2008 yhteensä 150 kertaa. Suomessa, kuten myös Ruotsissa ja Norjassa, suurin osa tutkintaherätteistä tulee vahinkokäsittelijöiltä kuitenkin siten, että vahinkorekisterillä on oma tärkeä osuutensa tutkintaherätteen antamisessa. Näin ollen tarkkaa tunnuslukua vahinkorekisterin antamista tutkintaherätteistä on vaikea ilmoittaa.

Käytön valvonta

Suomen Vakuutusdata yhdessä FK:n edustajien kanssa valvoi vuoden 2008 loppuun saakka lupamääräysten noudattamista ja avusti vakuutuslaitosten sisäistä valvontaa nimitettyjen vastuuhenkilöiden kanssa. Vuoden 2009 alusta lukien käytön valvontaa tekevät FK:n ja Tieto Oyj:n edustajat. Lisäksi FK:n ja Vahinkovakuutuksen johtokunnan asettama vakuutusrikostoimikunta seuraa ja analysoi vahinkorekisterin käyttöä. Toimikunnan tehtävänä on varmistaa vahinkorekisterin yhdenmukainen ja lupamääräysten mukainen käyttö sekä suunnitella vahinkorekisterin jatkokehitystä.

FK tuottaa huoltokäyttöliittymänsä kautta vahinkorekisteriraportteja: rekisteriin lisätyt ja muutetut vahinkotiedot vakuutuslajeittain ja yhtiöittäin (kpl), vahinkohistoriakyselyjen lukumäärä, asiakkaan tietosuojakyselyjen lukumäärä ja tarkempien tietojen pyyntöjen lukumäärä pyyntöä vastaanottavan yhtiön mukaan.

Raportit käsitellään järjestelmään liittyneiden vakuutuslaitosten edustajien kanssa. Raporttien avulla tarkastetaan, että vahinkojen rekisteröinti ja kyselykäytäntö pysyvät kaikissa vakuutuslaitoksissa yhtenäisenä ja lupamääräysten mukaisena.

Lisäksi FK tekee yhdessä Tieto Oyj:n kanssa käyttäjätunnuskohtaista lokiseurantaa. Vahinkorekisterin käytössä ja sen valvonnassa ei ole tullut esille lupamääräysten vastaista toimintaa, eikä myöskään tietosuoja- tai tietoturvaongelmia.

Tietojen rekisteröimisessä ja tietoliikenteessä käytetään salausta ja suojaustoimenpiteistä, jolla estetään asiattomilta pääsy tietoihin ja tietojärjestelmätiloihin.

Kaikkia vakuutuslaitosten toimihenkilöitä sitoo vakuutusyrityksiä koskevassa lainsäädännössä säädetty vaitiolovelvollisuus.

Asiakkaan informointi

Vakuutuksenottajia ja korvauksenhakijoita on informoitu vahinkotietojen luovuttamisesta tuote-esitteissä ja korvauksenhakulomakkeissa. Henkilötietolain mukaan rekisteröidyllä on oikeus tarkistaa häntä koskevat tiedot. Vakuutuksenottaja, vakuutettu tai muu korvauksenhakija voi tarkistaa häntä koskevat tiedot siitä vakuutusyhtiöstä, johon hänellä on asiakassuhde tai jossa muutoin hänen tietojaan on käsitelty. Vakuutusyhtiö voi antaa tällöin kaikki vahinkorekisteriin tallennetut vahinkotiedot. Asiakkaan tarkastusoikeuden perusteella tehdystä kyselystä jää erillinen merkintä vahinkorekisterin lokitietoihin.

KUULEMINEN

Tietosuojavaltuutetun lausunto 27.10.2009

Tietosuojalautakunta on pyytänyt tietosuojavaltuutetulta lausunnon nyt kyseessä olevasta lupahakemuksesta. Lausuntopyynnössä tietosuojalautakunta tiedusteli erityisesti sitä, onko tietosuojavaltuutetun tietoon tullut kyseessä olevaa järjestelmää koskevia seikkoja, jotka tulisi ottaa huomioon hakemusta käsiteltäessä.

Tietosuojavaltuutettu on lausunnossaan todennut, ettei näe estettä luvan myöntämiselle edelleen samansisältöisenä. Lausunnossa kuitenkin katsotaan, ettei luvan myöntäminen toistaiseksi ole tarkoituksenmukaista, sillä vakuutusalan toimintaympäristö on jo nykyisen luvan voimassaoloaikana muuttunut. Tarkoituksenmukaista olisi luvan myöntäminen enintään viiden vuoden määräajaksi.

Finanssialan Keskusliiton ja Lähivakuutus osk:n selitys 14.11.2009

Tietosuojalautakunta on varannut Finanssialan Keskusliitolle (FK) ja Lähivakuutus osk:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun lausunnosta.

Finanssialan Keskusliitto ja Lähivakuutus osk toteavat selityksessään, että tietosuojalautakunnan edelliset luvat vakuutusyhtiöiden ja vakuutusyhdistysten vahinkotietojen käsittelylle ja luovuttamiselle ovat olleet määräaikaisia. Ensimmäinen lupa myönnettiin vuonna 2001 lähes kuudeksi vuodeksi (Päätös nro 1/5.3.2001). Toinen lupa myönnettiin vuonna 2006 kolmeksi vuodeksi (Päätös nro 4/19.12.2006). Tämän päätöksen mukaan lupa myönnettiin määräaikaisena siksi, että saataisiin lisää kokemuksia vahinkorekisterin toimimisesta käytännössä ja vakuutusalan muuttuvassa toimintaympäristössä.

Tietosuojavaltuutettu toteaa lausunnossaan, että vakuutusalan toimintaympäristö on muuttunut nykyisen luvan voimassaoloaikana. Sen vuoksi tietosuojavaltuutettu katsoo, että lupa tulisi myöntää enintään viiden vuoden määräajaksi.

FK ja Lähivakuutus osk toteavat tältä osin, ettei tietosuojavaltuutetun lausunnossa tarkemmin eritellä millaisia muutoksia vakuutusalan toimintaympäristössä on tapahtunut ja mikä niiden vaikutus on vahinkorekisteriä koskevalle yhteistyölle. FK ja Lähivakuutus osk toteavat, ettei niiden tiedossa ole sellaisia luvan voimassaolon aikana tapahtuneita muutoksia, joilla olisi vaikutusta vakuutuslaitosten vahinkorekisterin käyttötarpeisiin, rekisterin ylläpitoon taikka vahinkotietojen käsittelyyn tai niiden luovuttamiseen. Vahinkorekisterin käyttö on muodostunut oleelliseksi osaksi vahinkokäsittelyä. Tämän vuoksi FK ja Lähivakuutus osk katsovat, että luvan myöntäminen määräaikaisena ei ole perusteltua. FK ja Lähivakuutus osk katsovat, että lupa vahinkotietojen käsittelyyn ja luovuttamiseen tulisi myöntää toistaiseksi voimassa olevana.

Tietosuojavaltuutetun toimistolta 25.11.2009 saatu vastaselitys

Tietosuojavaltuutetulle on varattu tilaisuus vastaselityksen antamiseen Finanssialan Keskusliiton ja Lähivakuutus osk:n selityksen johdosta. Tietosuojavaltuutetun toimistosta on 25.11.2009 toimitettu sähköposti, jossa on huomautettu uuden vakuutusyhtiölain tulleen voimaan 3.8.2009 ja poimittu ote FK:n kotisivuilta, kyseisessä otteessa todetaan, että Finanssialan Keskusliitto (FK) on etujärjestö, joka edustaa jäsenkuntaansa kuuluvia Suomessa toimivia finanssialan yrityksiä. Järjestö syntyi Pankkiyhdistyksen, Vakuutusyhtiöiden Keskusliiton, Rahoitusyhtiöiden Yhdistyksen ja Finanssityönantajien yhdistettyä voimansa vuoden 2007 alusta. Vuoden 2009 alusta alkaen mukana on myös Arvopaperivälittäjien yhdistys. Suomen Sijoitusrahasto liittyi mukaan 1.9.2009.

Finanssialan Keskusliiton ja Lähivakuutus osk:n 8.12.2009 toimittama vastaselitys

Finanssialan Keskusliitto ja Lähivakuutus osk ovat niinikään sähköpostitse 8.12.2009 toimittamissaan kommenteissa huomauttaneet, että edellä mainitut muutokset eivät vaikuta FK:n vakuutusalaa koskevaan toimintaan taikka vahinkorekisterin hallinnointiin ja käyttöön. Vahinkorekisterin toiminnassa ovat mukana vain hakemuksessa mainitut vakuutusyhtiöt. Vakuutusyhtiölakia koskevan muutoksen osalta FK toteaa, että uusi vakuutusyhtiölaki tuli voimaan 1.10.2008. Vaikka lakiin on tehty 3.8.2009 voimaan tulleella lailla eräitä yhtiökokousta ja osakkaiden asemaa koskevia muutoksia, on vakuutusyhtiölain 30 luvun 3 § 1 momentin 6 kohta, joka sääntelee vakuutusyhtiön oikeutta luovuttaa salassapitovelvollisuuden piiriin kuuluvia tietoja toisille vakuutuslaitoksille vahinkorekisteriä koskevaan yhteistyöhön liittyvissä asioissa, voimassa alkuperäisen sisältöisenä. Säännös vastaa lisäksi sisällöltään ja sanamuodoltaan käytännössä aikaisemman vakuutusyhtiölain vastaavaa, jo vuodesta 2002 voimassa ollutta säännöstä. FK ja Lähivakuutus osk toteavat sähköpostissa, ettei alan toimintaympäristössä ole tapahtunut muitakaan muutoksia, jotka voisivat vaikuttaa vahinkorekisterin käyttötarpeisiin ja rekisterin ylläpitoon taikka vahinkotietojen käsittelyyn tai niiden luovuttamiseen niin, että lupa olisi näiden muutosten vaikutusten arvioimiseksi myönnettävä ainoastaan määräaikaisena.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Tietosuojalautakunta katsoo, että hakemuksessa tarkoitetussa henkilötietojen käsittelyssä on kysymys hakijoiden omiin henkilörekistereihin sisältyvien vahinkotietojen luovuttamisesta muille hakijoille yhteisen tietojärjestelmän avulla. Kukin hakija on omiin asiakassuhteisiinsa liittyvien henkilötietojen henkilötietolain 3 § :n 4 kohdassa tarkoitettu rekisterinpitäjä.

Sovelletut säännökset

Vakuutusyhtiölain 30 luvun 3 §:n 1 momentin 6 kohdan (521/2008) mukaan vakuutusyhtiöllä on oikeus luovuttaa salassapitovelvollisuuden piiriin kuuluvia tietoja vakuutusyhtiöihin kohdistuneista rikoksista sekä sille ilmoitetuista vahingoista toisille vakuutuslaitoksille vakuutuslaitoksiin kohdistuvan rikollisuuden ehkäisemiseen liittyvän tärkeän edun vuoksi, jos tietosuojalautakunta on antanut tähän henkilötietolain 43 §:n 3 momentissa tarkoitetun luvan. Pykälän 4 momentin mukaan vakuutusyhtiö voi 1 momentissa tarkoitetuissa tilanteissa luovuttaa vain tietoja, joita tarvitaan kyseessä olevan tehtävän suorittamiseksi.

Ulkomaisista vakuutusyhtiöistä annetun lain 79 §:n 4 momentin 6 kohdan (50/2002) mukaan ulkomaisella vakuutusyhtiöllä on oikeus luovuttaa salassapitovelvollisuuden piiriin kuuluvia tietoja vakuutusyhtiöön kohdistuneista rikoksista sekä sille ilmoitetuista vahingoista toisille vakuutuslaitoksille vakuutuslaitoksiin kohdistuvan rikollisuuden ehkäisemiseen liittyvän tärkeän edun vuoksi siten kuin tietosuojalautakunta henkilötietolain 43 §:n 3 momentin nojalla tarkemmin määrää. Vakuutusyhtiö voi 7 momentin mukaan 4 momentissa tarkoitetuissa tilanteissa luovuttaa vain sellaisia tietoja, joita tarvitaan kyseessä olevien tehtävien suorittamiseksi (525/2008).

Vakuutusyhdistyslain 16 luvun 10 §:n 4 momentin 6 kohdan (638/2000) mukaan vakuutusyhdistyksellä on oikeus luovuttaa vaitiolovelvollisuuden piiriin kuuluvia tietoja vakuutusyhdistyksiin kohdistuneista rikoksista sekä sille ilmoitetuista vahingoista toisille vakuutuslaitoksille vakuutuslaitoksiin kohdistuvan rikollisuuden ehkäisemiseen liittyvän tärkeän edun vuoksi siten kuin tietosuojalautakunta henkilötietolain (523/1999) 43 §:n 3 momentin nojalla tarkemmin määrää. Pykälän 7 momentin mukaan vakuutusyhdistys voi 4 momentissa tarkoitetuissa tilanteissa luovuttaa vain sellaisia tietoja, joita tarvitaan kyseessä olevien tehtävien suorittamiseksi (638/2000).

Henkilötietolain 8 §:n 1 momentin 1-9 kohdassa säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Momentin 4 kohdan mukaan henkilötietoja saa käsitellä, jos käsittelystä säädetään laissa. Momentin 9 kohdan mukaan henkilötietoja saa käsitellä, jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Henkilötietolain 43 §:n 1 momentin mukaan tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn mm. rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi, edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Lupa voidaan 43 §:n 3 momentin mukaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset.

Luvan tarve

Tietosuojalautakunta katsoo, että siltä osin kuin on kysymys hakemuksessa tarkoitetuista henkilötietojen luovutuksista, joista säädetään vakuutusyhtiölain 30 luvun 3 §:n 1 momentin 6 kohdassa, tarvitsevat hakijat tietosuojalautakunnan henkilötietolain 43 §:ssä tarkoitetun luvan. Lupaan on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset.

Lisäksi tietosuojalautakunta katsoo, että siltä osin kuin kysymys on hakemuksessa tarkoitetuista luovutuksista, joista säädetään ulkomaisista vakuutusyhtiöistä annetun lain 79 §:n 4 momentin 6 kohdassa ja vakuutusyhdistyslain 16 luvun 10 §:n 4 momentin 6 kohdassa, hakijat eivät tarvitse tietosuojalautakunnan lupaa henkilötietojen luovuttamiseen. Henkilötietojen luovutukset, joista mainituissa lainkohdissa säädetään, ovat sallittuja tietosuojalautakunnan luovutukselle asettamien ehtojen puitteissa.

Siltä osin kuin kysymys on toisilta vakuutuslaitoksilta saatavien henkilötietojen käsittelystä, henkilötietolain 8 §:n 1-8 momentissa säädetyt edellytykset henkilötietojen käsittelylle eivät täyty. Tämän vuoksi hakijat tarvitsevat näiden henkilötietojen käsittelyyn tietosuojalautakunnan henkilötietolain 43 §:ssä tarkoitetun luvan.

Luvan myöntämisen edellytykset

Henkilötietolain 43 §:n 1 momentin mukaan tietosuojalautakunta voi antaa luvan henkilötietojen käsittelyyn rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Pykälän 3 momentin mukaan lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset.

Päätös

Tietosuojalautakunta katsoo, että toisilta vakuutuslaitoksilta saatavien vahinkotietojen käsittely on vakuutuslaitosten oikeutetun vakuutusrikollisuuden ehkäisemiseen liittyvän edun mukaista.

Hakijoiden antaman selvityksen mukaan vahinkorekisteri on osoittautunut tärkeäksi työkaluksi vakuutusrikostorjunnassa ja sillä on merkittävä yleis- ja erityisestävä vaikutus. Hakijoiden mukaan vahinkorekisterin käytössä ja valvonnassa ei ole tullut esille lupamääräysten vastaista toimintaa, eikä tietosuoja- ja tietoturvaongelmia. Myöskään tietosuojavaltuutetun tietoon ei ole tullut hakemuksessa tarkoitettuun vahinkotietojen käsittelyyn liittyviä ongelmia.

Tämän vuoksi tietosuojalautakunta myöntää alla mainituin lupamääräyksin luvan

  • hakijoina oleville vakuutusyhtiölaissa tarkoitetuille vakuutusyhtiöille luovuttaa tietoja niille ilmoitetuista vahingoista toisille hakijoina oleville vakuutuslaitoksille ja
  • hakijoina oleville vakuutusyhtiöille ja vakuutusyhdistyksille luvan käsitellä toisilta hakijoina olevilta vakuutusyhtiöiltä ja vakuutusyhdistyksiltä saatavia vahinkotietoja.

Lupamääräykset

Rekisteröidyn yksityisyyden ja oikeuksien vaarantumisen estämiseksi ja ottaen huomioon sen, minkä hakijat ovat hakemuksessaan esittäneet ja mitä aikaisempia päätöksiä Nro 1/5.3.2001 ja Nro 4/20.5.2002 ja 4/19.12.2006 koskevissa hakemuksissa on esitetty, tietosuojalautakunta asettaa vahinkotietojen luovuttamiselle ja muulle käsittelylle seuraavat määräykset.

1. Toisille vakuutuslaitoksille saa luovuttaa seuraavat tiedot

a. henkilö- tai LY-tunnus

b. vakuutuslaitos

c. vahingon sattumisajankohta

d. vahinkonumero

e. moottoriajoneuvon ja veneen rekisterinumero liikenne-, auto- ja venevakuutuksissa

f. vakuutuslaji koodina

g. vahinkotyyppi koodina

2. Tietoja ei saa luovuttaa vahingoista, joita on haettu luotto-, takaus-, oikeusturva- ja sairasvakuutuksista eikä tapaturmavakuutuslain mukaisista sellaisista vakuutuksista, joiden ottaminen on pakollista.

3. Tietoja saa luovuttaa ainoastaan silloin, kun tiedot saavalle toiselle vakuutuslaitokselle on tehty korvaushakemus tai muutoin ilmenee sellaista uutta tietoa, jonka perusteella tehty korvauspäätös on otettava uuteen käsittelyyn virheellisten tai puutteellisten tietojen vuoksi.

Tietoja saavat vakuutuslaitoksessa käsitellä vain korvausasioita tai vakuutuslaitoksiin kohdistuvia rikoksia käsittelevät ja tutkivat henkilöt.

4. Vakuutuslaitos saa pyytää muilta vakuutuslaitoksilta asianomaisia vahinkoja koskevat tarkemmat tiedot, jos edellä kohdassa 1 lueteltujen tietojen perusteella voidaan arvioida, että

a. useille vakuutuslaitoksille on tehty korvaushakemus saman vahingon perusteella

b. korvauksenhakija on ilmoittanut lyhyen ajan sisällä useita vahinkoja

c. korvauksenhakija on tehnyt useita samantyyppisiä vahinkoilmoituksia

5. Tarkempia tietoja ei saa luovuttaa muille vakuutuslaitoksille laajemmin kuin on tarpeen, ottaen huomioon tavoite, jota varten tietoja pyydetään. Tarkempia tietoja voi kysyä vain vakuutuslaitoksen korvauskäsittelijä, vakuutusrikostutkija tai muu korvausasioiden selvittelyyn erikoistunut ja nimetty asiantuntija.

6. Terveydentilaa koskevia tietoja saa luovuttaa vain asianomaisen henkilön nimenomaisella suostumuksella.

7. Vakuutuksenottajia ja korvauksenhakijoita on informoitava vahinkotietojen luovuttamisesta vakuutusta haettaessa ja korvauksenhakulomakkeissa.

8. Toisilta vakuutuslaitoksilta saatuja tietoja saa käyttää vain vakuutuslaitoksiin kohdistuvan rikollisuuden ehkäisemiseen. Tietoja ei saa käyttää asiakasvalinnassa, vakuutusta myönnettäessä, vakuutusten markkinoinnissa, vakuutusten hinnoittelussa tai muissa vastaavissa tarkoituksissa.

9. Tietoja saa luovuttaa vain sellaisista vahingoista, joista on haettu korvausta 1.1.2002 jälkeen. Tietoja ei saa luovuttaa vahingoista, joiden rekisteröinnistä on kulunut 10 vuotta.

10. Kun toiselta vakuutuslaitokselta on pyydetty tarkempia tietoja, on korvauspäätöksessä informoitava korvauksenhakijaa tietojen pyytämisestä.

11. Hakijoiden on henkilötietolain 32 §:ssä säädetyin tavoin toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet, joiden avulla estetään asiaton pääsy luvan perusteella käsiteltäviin tietoihin ja tietojen muu laiton käsittely.

12. Hakijoiden tulee ylläpitää menettelytapoja, joiden avulla voidaan valvoa, että vakuutuslaitokset noudattavat tässä päätöksessä asetettuja määräyksiä.

Luvan voimassaolo

Nykyinen lupa ja lupamääräykset ovat olleet samansisältöisinä voimassa noin kahdeksan vuotta eikä järjestelmän toiminnassa saadun selvityksen mukaan tänä aikana ole ilmennyt ongelmia. Tietosuojalautakunta katsoo, että asiassa ei ole muutoinkaan esitetty seikkoja, joiden vuoksi lupa ja määräykset tulisi edelleen asettaa määräaikaisina.

Lupa ja määräykset ovat voimassa toistaiseksi.

SOVELLETUT SÄÄNNÖKSET

Vakuutusyhtiölaki 30 luku 3 § 1 mom 6 kohta
Vakuutusyhtiölaki 30 luku 3 § 4 mom

Laki ulkomaisista vakuutusyhtiöistä 79 § 4 mom 6 kohta
Laki ulkomaisista vakuutusyhtiöistä 79 § 7 mom

Vakuutusyhdistyslaki 16 luku 10 § 4 mom 6 kohta
Vakuutusyhdistyslaki 16 luku 10 § 7 mom

Laki tietosuojalautakunnasta ja tietosuojavaltuutetusta 2 § 1 kohta

Henkilötietolaki 1 §
Henkilötietolaki 3 §
Henkilötietolaki 3 § 1 kohta
Henkilötietolaki 3 § 3 kohta
Henkilötietolaki 3 § 4 kohta
Henkilötietolaki 8 § 1mom
Henkilötietolaki 8 § 4 mom
Henkilötietolaki 8 § 9 mom
Henkilötietolaki 9 § 1 mom
Henkilötietolaki 43 § 1 mom
Henkilötietolaki 43 § 3 mom

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.