Kara za nadmiarowe dane pacjentów
Fiński organ ochrony danych ukarał tamtejszą organizację ubezpieczeniową karą za nadmiarowe przetwarzanie danych osobowych pacjentów szpitali. Sprawdź, jakie wnioski płyną z tego orzeczenia dla polskich administratorów danych.
Dane osobowe pacjentów w związku z dochodzeniem roszczeń
Kontrolą objęto praktyki Fińskiego Centrum Ubezpieczycieli Komunikacyjnych. Organizacja ta żądała dokumentacji pacjentów od placówek medycznych w celu likwidacji szkód. Poza tym gromadziła informacje o wizytach pacjentów w tych placówkach. Miało to na celu ustalenie, czy świadczeniodawca pobierał opłaty za wizyty niezwiązane z badaniem lub leczeniem obrażeń w wypadkach drogowych.
Na czym polegało nadmiarowe przetwarzanie danych
W ocenie administratora taka praktyka była prawidłowa. Uważał on, że może gromadzić dane osobowe pacjentów w szerokim zakresie i żądać dokumentacji pacjenta od placówek medycznych w celu obsługi roszczeń. Nie zgodził się z tym fiński odpowiednik polskiego UODO.
Według fińskiego organu nadzorczego dane osobowe powinny być pozyskiwane przez ubezpieczyciela tylko w takim zakresie, w jakim jest to niezbędne do ustalenia i zaspokojenia roszczenia.
Nie cała dokumentacja, a jedynie oświadczenia
Poza tym firma ubezpieczeniowa powinna żądać tych danych w postaci własnoręcznego oświadczenia pacjenta, a nie pełnej dokumentacji medycznej. W efekcie fiński administrator musi zapłacić 52 tys. euro kary pieniężnej. Dodatkowo został zobligowany do dostosowanie swoich praktyk w zakresie żądania informacji o pacjentach do przepisów o ochronie danych osobowych.
- newsletter UODO (marzec 2022 r.)
- https://edpb.europa.eu/news/national-news/2022/administrative-fine-imposed-finnish-motor-insurerscentre-collection_en
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Obowiązek informacyjny w związku z rozmową telefoniczną - jak przekazać klauzulę informacyjną RODO
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
