Fiński organ ochrony danych ukarał tamtejszą organizację ubezpieczeniową karą za nadmiarowe przetwarzanie danych osobowych pacjentów szpitali. Sprawdź, jakie wnioski płyną z tego orzeczenia dla polskich administratorów danych.
Kontrolą objęto praktyki Fińskiego Centrum Ubezpieczycieli Komunikacyjnych. Organizacja ta żądała dokumentacji pacjentów od placówek medycznych w celu likwidacji szkód. Poza tym gromadziła informacje o wizytach pacjentów w tych placówkach. Miało to na celu ustalenie, czy świadczeniodawca pobierał opłaty za wizyty niezwiązane z badaniem lub leczeniem obrażeń w wypadkach drogowych.
W ocenie administratora taka praktyka była prawidłowa. Uważał on, że może gromadzić dane osobowe pacjentów w szerokim zakresie i żądać dokumentacji pacjenta od placówek medycznych w celu obsługi roszczeń. Nie zgodził się z tym fiński odpowiednik polskiego UODO.
Według fińskiego organu nadzorczego dane osobowe powinny być pozyskiwane przez ubezpieczyciela tylko w takim zakresie, w jakim jest to niezbędne do ustalenia i zaspokojenia roszczenia.
Poza tym firma ubezpieczeniowa powinna żądać tych danych w postaci własnoręcznego oświadczenia pacjenta, a nie pełnej dokumentacji medycznej. W efekcie fiński administrator musi zapłacić 52 tys. euro kary pieniężnej. Dodatkowo został zobligowany do dostosowanie swoich praktyk w zakresie żądania informacji o pacjentach do przepisów o ochronie danych osobowych.
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
