21.9.2017 10/2017
Henkilötietojen käsittely - Oikeutettu etu - Lupamääräykset - Vakuutustoiminta - Vahinkotiedot
| Diaarinumero: | 6/932/2017 ja 7/932/2017 |
|---|---|
| Antopäivä: | 21.9.2017 |
| Taltio: | 10/2017 |
Tietosuojalautakunta myönsi hakijoille henkilötietolain 43 §:n mukaisen luvan vahinkotietojen käsittelyyn sellaisena kuin lupa on päätöksessä 4/14.12.2009. Mainitun päätöksen lupamääräystä 9 kuitenkin muutettiin siten, että tietoja ei saa luovuttaa vahingoista, joiden rekisteröinnistä on kulunut viisi vuotta aiemman kymmenen vuoden sijaan. Tietosuojalautakunta jätti hakemuksen tutkimatta siltä osin kuin muutosta haettiin päätöksen 4/14.12.2009 lupamääräykseen nro 3 katsoen, että automatisoidusta päätöksenteosta on säädetty tyhjentävästi henkilötietolaissa.
HAKIJA Finanssiala ry eräiden vakuutusyhtiöiden ja Liikennevakuutuskeskuksen puolesta sekä OP Vakuutus Oy, Vakuutusosakeyhtiö Eurooppalainen ja A-Vakuutus Oy (jäljempänä edellä mainitut yhdessä hakija)
HAKEMUS
Finanssiala ry hakee hakemuksen (dnro 6/932/2017) liitteessä mainittujen vakuutusyhtiöiden ja Liikennevakuutuskeskuksen puolesta lupaa ja lupamääräyksiä henkilötietojen käsittelemiseksi.
OP Vakuutus Oy, Vakuutusosakeyhtiö Eurooppalainen ja A-Vakuutus Oy ovat yhtyneet Finanssiala ry:n tekemään hakemukseen erillisellä hakemuksella (dnro 7/932/2017).
TIETOSUOJALAUTAKUNNAN PÄÄTÖS
Tietosuojalautakunta myöntää hakijoille henkilötietolain 43 §:n mukaisen luvan sellaisena kuin se on päätöksessä 4/14.12.2009 ja alla esitetyin muutoksin. Tietosuojalautakunta jättää hakemuksen tutkimatta siltä osin kuin muutosta on haettu päätöksen 4/14.12.2009 lupamääräykseen nro 3.
Mainitun päätöksen 4/14.12.2009 lupamääräystä nro 9 muutetaan siten, että se kuuluu seuraavasti:
9. Tietoja ei saa luovuttaa vahingoista, joiden rekisteröinnistä on kulunut viisi vuotta.
Luvan kesto muutetaan määräaikaiseksi siten, että lupa on voimassa enintään siihen asti, kunnes EU:n yleinen tietosuoja-asetus tulee jäsenvaltioissa sovellettavaksi eli 25.5.2018 saakka.
HAKEMUKSEN TAUSTA JA PERUSTELUT
Tietosuojalautakunta on päätöksellään 4/14.12.2009 myöntänyt tuolloin hakijoina olleille vakuutusyhtiölaissa tarkoitetuille vakuutusyhtiöille luvan luovuttaa tietoja niille ilmoitetuista vahingoista toisille hakijana oleville vakuutuslaitoksille. Lisäksi tietosuojalautakunta myönsi päätöksessä luvan hakijoina olleille vakuutusyhtiöille ja vakuutusyhdistyksille luvan käsitellä toisilta hakijoina olevilta vakuutusyhtiöiltä ja vakuutusyhdistyksiltä saatavia vahinkotietoja. Lupaan asetettiin useita lupamääräyksiä.
Hakija pyytää, että lupaa täydennetään koskemaan uusia vakuutuslaitoksia ja että samalla luvassa päivitetään vakuutusyhtiöiden nimet vastaamaan markkinatilannetta hakemuksen liitteen mukaisesti.
Lisäksi lupamääräykseen nro 3 haetaan muutosta, jonka mukaan tietoja voitaisiin käsitellä myös automatisoidussa vahinkokäsittelyssä. Lupamääräykseen haetaan muutosta, koska vahinkokäsittelyä tehdään huomattavasti aikaisempaa enemmän automatisoituna ja manuaalisen vahinkokäsittelyn määrä on vähentynyt. Lupamääräys ehdotetaan kokonaisuudessaan kuuluvan seuraavasti:
3. Tietoja saa luovuttaa ainoastaan silloin, kun tiedot saavalle toiselle vakuutuslaitokselle on tehty korvaushakemus tai muutoin ilmenee sellaista uutta tietoa, jonka perusteella tehty korvauspäätös on otettava uuteen käsittelyyn virheellisten tai puutteellisten tietojen vuoksi.
Tietoja saavat vakuutuslaitoksessa käsitellä vain korvausasioita tai vakuutuslaitoksiin kohdistuvia rikoksia käsittelevät ja tutkivat henkilöt.
Tietoja voidaan käsitellä myös automatisoidussa vahinkokäsittelyssä.
Myös luvan 4/14.12.2009 lupamääräykseen nro 9 haetaan muutosta. Haetun muutoksen mukaan henkilötietoja ei saisi luovuttaa vahingoista, joiden rekisteröinnistä on kulunut viisi vuotta. Nykyisen lupamääräyksen mukaan vahinkotietojen enimmäissäilytysaika on kymmenen vuotta. Käytännössä hakijat ovat kuitenkin todenneet, että viisi vuotta on riittävä aika.
Lupa ja lupamääräykset pyydetään toistaiseksi voimassa olevina.
KUULEMINEN
Tietosuojavaltuutetun lausunto 18.7.2017
Tietosuojalautakunta on varannut tietosuojavaltuutetulle mahdollisuuden antaa lausuntonsa hakemuksesta. Tietosuojavaltuutettu on antanut asiassa lausunnon.
Tietosuojavaltuutettu kiinnittää lausunnossaan huomiota siihen, että hakemuksessa ei oteta kantaa siihen seikkaan, että Liikennevakuutuskeskuksen toiminta ja tehtävät ovat melko erilaiset kuin vakuutusyhtiöiden. Toisaalta on selvää, ettei Liikennevakuutuskeskus saa käyttää mahdollisesti saamiaan tietoja muihin, kuin luvan mukaisiin tarkoituksiin lupaehtojen mukaisesti.
Uutena lupaehtona pyydetään, että tietoja voitaisiin käsitellä myös automatisoidussa vahinkokäsittelyssä. Hakemuksessa ei juurikaan ole lisätietoja asiasta. Hakemuksessa ei esimerkiksi esitetä, kuinka henkilötietolain 5 §:ssä säädetyn huolellisuusvaatimuksen noudattamisesta varmistuttaisiin ja miten turvattaisiin käsiteltävien tietojen virheettömyys siten kuin henkilötietolain 9 §:ssä säädetään. Vahinkokäsittelyssä lienee kyse automatisoidusta päätöksenteosta, jolloin mahdollisen tietosuojalautakunnan luvan ehtojen lisäksi on noudatettava henkilötietolain 31 §:ää sekä 36–37 §:ssä säädettyä ilmoitusvelvollisuutta.
Tietosuojavaltuutettu kiinnittää lisäksi huomiota siihen, että EU:n yleistä tietosuoja-asetusta (EU) 679/2016 sovelletaan 25.5.2018 alkaen. Tämän ajankohdan jälkeen henkilötietolain 8 §:ssä säädettyjen käsittelyn oikeusperusteiden sijaan sovelletaan yleisen tietosuoja-asetuksen 6 artiklassa säädettyjä käsittelyn oikeusperusteita. Tästä syystä mahdollinen lupa tulisi myöntää määräaikaisena siten, että se on voimassa 25.5.2018 asti.
Hakijan selitys 11.8.2017
Tietosuojalautakunta on varannut hakijalle mahdollisuuden antaa selityksensä tietosuojavaltuutetun lausunnon johdosta. Hakija on antanut asiassa selityksen.
Automatisoitu vahinkokäsittely
Vakuutusyhtiöissä vahinkokäsittelyssä otetaan automaatiota ja esimerkiksi analytiikkaa käyttöön enenevässä määrin. Myös vakuutusyhtiöiden asiakkaat käyttävät vahinkoilmoituksia tehdessään sähköisiä kanavia huomattavasti aiempaa enemmän. Finanssiala ry:n teettämän Vakuutustutkimus 2016 mukaan lähes 75 % vahinkoilmoituksista tulee internetin kautta.
Automatisoidusta vahinkokäsittelyssä ja myös dataan pohjautuvassa, avustetussa päätöksenteossa datan eheys ja varmentaminen ovat keskeisiä seikkoja. Sen vuoksi testaus-, kehittämis- ja tuotantojärjestelmät ja myös käyttövaltuudet ovat tarkoin rajatut ja määritellyt.
Hakijat toteavat lisäksi, että finanssilaitosten on suojattava käsittelemänsä tiedot erittäin huolellisesti ja varmistettava niiden virheettömyys, koska finanssialan sääntely tätä edellyttää. Hakijat korostavat, että käsitellyt henkilötiedot ovat aina välittömästi tarpeellisia vahinkokäsittelyn toteuttamiseksi eikä ylimääräisiä tämän tarkoituksen vastaisia tietoja käsitellä.
Automatisoidussa käsittelyssä on eri vaiheita, joissa dataa käytetään eri vaiheissa eri tavoilla. Vahinkotietojen käsittelyn kannalta keskeinen vaihe on se, jatkuuko vahingon automaattinen käsittely vai tarvitseeko vahinko siirtää manuaaliseen käsittelyyn. Jos korvaus voidaan maksaa korvaushakemuksen mukaisena, prosessi jatkuu automaattisena ja korvaus maksetaan asiakkaan tilille. Jos taas näin ei voida tehdä, ottaa korvauskäsittelijä hakemuksen käsiteltäväkseen ja hakemukseen annetaan päätös perusteluineen ja muutoksenhakuohjeineen. Näin ollen henkilötietolain 31 §:n asettamat edellytyksen täyttyvät.
Liikennevakuutuskeskus
Hakija toteaa, että Liikennevakuutuskeskus on erityislakiin perustuva liikennevakuutuksen toimeenpanon ja kehittämisen yhteiselin. Liikennevakuutuskeskuksesta ja sen tehtävistä säädetään Liikennevakuutuskeskuksesta annetussa laissa (461/2016) liikennevakuutuslaissa (460/2016) ja tie- ja maastoliikenneonnettomuuksien tutkinnasta annetussa laissa (24/2001).
Jäsenyhtiöiden yhteiselimenä toimiva Liikennevakuutuskeskus hoitaa tuntemattomien, vakuuttamattomien, ulkomaisten ja siirtovakuutettujen ajoneuvojen aiheuttamat vahingot sekä ajoneuvojen aiheuttamat porovahingot. Tämän lisäksi Liikennevakuutuskeskus perii vakuuttamattomien ajoneuvojen laiminlyöntimaksut, myöntää liikennevakuutuksia ulkomaisille ajoneuvoille ja toimii kansallisena vihreä kortti -järjestelmän toimistona ja takuurahastona sekä liikennevakuutusdirektiivin edellyttämänä tietokeskuksena ja korvauselimenä Suomessa. Edelleen Liikennevakuutuskeskus kokoaa liikennevakuutuksen yhteiset vahinkotilastot, tekee riskimaksulaskelmia ja antaa vakuutustointa edistäviä ja korvaustointa yhdenmukaistavia ohjeita.
Mitä liikennevakuutuslaissa säädetään esine- ja henkilövahingon korvaamisesta sekä korvausmenettelystä, koskee pääosin myös Liikennevakuutuskeskusta, eli Liikennevakuutuskeskuksen vastuu vahingosta on pääsääntöisesti samanlainen kuin vakuutusyhtiön vastuu vakuutetun ajoneuvon aiheuttamasta vahingosta.
Vuonna 2016 Liikennevakuutuskeskus käsitteli 7 400 vahinkotapausta ja maksoi korvauksia 13 miljoonaa euroa (korvausvastuu 55,1 miljoonaa euroa). Vakuutusmaksutuloja (raja- ja siirtoliikennevakuutus) kerättiin 800 000 euroa. Tunnusluvut vastaavat pienen vakuutusyhtiön liikennevakuutustoimintaa.
Liikennevakuutuskeskuksen tiedonsaantitarve vahinko- ja väärinkäytösrekisterien osalta ei eroa liikennevakuutustoimintaa harjoittavista vakuutusyhtiöstä. Liikennevakuutuskeskuksen liittyminen rekistereihin lisää osaltaan niiden kattavuutta ja luotettavuutta torjuen vakuutusrikollisuutta.
Luvan kesto
Luvan määräaikaisuuden osalta hakija toteaa, että EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen. Koska tämän jälkeen tullaan soveltamaan yleisessä tietosuoja-asetuksessa säädettyjä oikeusperusteita, katsoo hakija, että lupien määräaikaisuus on tästä syystä perusteltua.
TIETOSUOJALAUTAKUNNAN PÄÄTÖKSEN PERUSTELUT
Sovellettava lainsäädäntö
Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.
Henkilötietolain 8 §:ssä säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Henkilötietojen saa pykälän 1 momentin 9 kohdan nojalla käsitellä, jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.
Henkilötietolain 9 §:n 1 momentin mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus).
Henkilötietolain 31 §:ssä säädetään automatisoiduista päätöksistä. Pykälän mukaan sellaisen rekisteröidyn tiettyjen ominaisuuksien arviointiin tarkoitetun päätöksen tekeminen, joka tapahtuu ainoastaan automatisoidun tietojenkäsittelyn perusteella ja josta aiheutuu rekisteröidylle oikeudellisia vaikutuksia tai joka muuten vaikuttaa häneen merkittävällä tavalla, on sallittu vain, jos siitä on laissa säädetty tai päätös tehdään sopimuksen tekemisen tai täytäntöönpanon yhteydessä edellytyksellä, että rekisteröidyn oikeuksien suojaaminen varmistetaan tai että päätöksellä täytetään rekisteröidyn sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö.
Henkilötietolain 43 §:n 1 momentin mukaan tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn, jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa taikka yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Pykälän 3 momentin mukaan lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset. Määräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on tarpeen.
Luvan myöntämisen edellytykset
Tietosuojalautakunta katsoo edelleen päätöksen 4/14.12.2009 mukaisesti, että toisilta vakuutuslaitoksilta saatavien vahinkotietojen käsittely on vakuutuslaitosten oikeutetun vakuutusrikollisuuden ehkäisemiseen liittyvän edun mukaista. Ottaen huomioon, että Liikennevakuutuskeskuksen tiedonsaantitarve vahinkorekisterien osalta ei eroa liikennevakuutustoimintaa harjoittavista vakuutusyhtiöstä, voidaan myös sillä katsoa olevan henkilötietolain 43 §:n 1 momentissa tarkoitettu oikeutettu etu hakemuksessa tarkoitettuun henkilötietojen käsittelyyn.
Lupamääräykset
Hakija on hakenut lupamääräykseen nro 3 muutosta, jonka mukaan tietoja voitaisiin käsitellä myös automatisoidussa vahinkokäsittelyssä. Henkilötietolain 31 §:ssä säädetään automatisoiduista päätöksistä. Henkilötietolain esitöiden (HE 96/1998 vp) mukaan kyseinen pykälä sääntelee tyhjentävästi ne tilanteet, joissa automatisoitujen päätösten tekeminen on sallittua. Hakijat voivat käsitellä automatisoidussa vahinkokäsittelyssä noudattaen, mitä henkilötietolain 31 §:ssä on säädetty. Näin ollen tietosuojalautakunnan lupa ei tältä osin ole tarpeen. Koska asiasta on säädetty tyhjentävästi henkilötietolaissa, tietosuojalautakunnalla ei myöskään ole toimivaltaa asettaa haettua lupamääräystä.
Päätöksessä 4/14.12.2009 asetettua lupamääräystä nro 9 muutetaan hakijoiden hakemuksessaan esittämän mukaisesti.
Luvan voimassaolo
EU:n uusi yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus 679/2016 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) on tulossa sovellettavaksi jäsenvaltioissa 25.5.2018. Asetusta on sovellettava sellaisenaan kaikissa jäsenvaltioissa. Yleisen tietosuoja-asetuksen myötä henkilötietojen käsittelyn oikeusperusta ja valvontaviranomaisten toimivalta tulevat Suomessa muuttumaan. Näin ollen tietosuojalautakunta pitää perusteltuna luvan myöntämistä määräaikaisena siten, että luvan voimassaolo päättyy, kun tietosuoja-asetus tulee sovellettavaksi.
SOVELLETUT SÄÄNNÖKSET
Henkilötietolaki (523/1999) 6 §, 8 §, 9 §:n 1 momentti, 31 ja 43 §
Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Ahti Saarenpää, Eila Ratasvuori, Pertti Saloranta, Tuula Sario, Hannu Rautiainen ja Sanna Helopuro.