03.09.2001 4/2001

Vakuutustoiminta - Luovuttaminen - Arkaluonteinen henkilötieto - Henkilötunnus - Tärkeä yleinen etu - Toimivalta

Tietosuojalautakunta katsoi, että tärkeä yleinen etu edellyttää, että vakuutuslaitoksilla on vakuutusrikollisuuden torjumiseksi mahdollisuus käsitellä tietoja niihin kohdistuneista väärinkäytöksistä. Tämän vuoksi lautakunta myönsi vakuutusyhtiöille luvan käsitellä omia ja toisilta vakuutuslaitoksilta saatavia väärinkäytöstietoja ja vakuutusyhdistyksille luvan käsitellä omia ja toisilta vakuutusyhdistyksiltä saatavia väärinkäytöstietoja. Väärinkäytöstietojen luovuttamiselle ja muu käsittelylle asetettiin lukuisia ehtoja. Tietosuojalautakunta jätti hakemuksen toimivaltaansa kuulumattomana tutkimatta siltä osin kuin kysymys oli luvan myöntämisestä henkilötunnuksen käsittelyyn ja siltä osin kuin kysymys oli vakuutusyhdistysten oikeudesta käsitellä vakuutusyhtiöiltä saatavia väärinkäytöstietoja.

ASIA
Arkaluonteisten henkilötietojen käsittelyä koskeva lupahakemus

HAKIJAT
Suomen Vakuutusyhtiöiden Keskusliitto (SVK) ja Lähivakuutusryhmän Keskusliitto hakemuksen liitteessä mainittujen vakuutuslaitosten (vakuutusyhtiöiden ja vakuutusyhdistysten) puolesta.

HAKEMUS
A. LUPAMÄÄRÄYKSET

Hakijat pyytävät vakuutusyhtiölain 18 luvun 6 b §:n 1 momentin 6 kohdan, vakuutusyhdistyslain 16 luvun 10 §:n 4 momentin 6 kohdan ja ulkomaisista vakuutusyhtiöistä annetun lain 79 §:n 4 momentin 6 kohdan perusteella vakuutuslaitoksiin kohdistuvan rikollisuuden ehkäisemiseen liittyvän tärkeän edun vuoksi, että tietosuojalautakunta tarkemmin määrää henkilötietolain 43 §:n 3 momentin nojalla niistä ehdoista, joilla vakuutuslaitokset voivat luovuttaa tietoja niihin kohdistuneista rikoksista vakuutusyhtiöille ja niistä ehdoista, joilla vakuutusyhdistykset voivat luovuttaa tietoja toisille vakuutusyhdistyksille.

Haettavat lupamääräykset:

1. Toisille vakuutuslaitoksille saa luovuttaa seuraavat tiedot:

· tieto vahinkotapahtumasta · tieto vakuutuslaitoksesta, johon rikos on kohdistunut · tieto väärinkäytöksen ajankohdasta · tieto tallennusajasta · väärinkäyttäjän nimi, henkilötunnus, osoite ja ammatti · tieto tuomioistuimesta, jossa asiaa käsitellään ja · tieto siitä, kuka on ilmoittanut tallennettavan tiedon.

2. Tietoja ei saa rekisteröidä ennen kuin asiasta on tehty rikosilmoitus, tutkintapyyntö tai syytepyyntö taikka rikosprosessi on saatettu muulla tavoin vireille.

3. Merkintä tietojärjestelmään on tehtävä viimeistään 1 vuoden kuluessa siitä, kun rekisterinpitäjä on saattanut rikosprosessin vireille tai kun rekisterinpitäjä on saanut tiedon siitä, että joku muu on saattanut rikosprosessin vireille, taikka kun syyttäjä on päättänyt nostaa syytteen asiassa.

4. Tieto on poistettava välittömästi, kun asianomainen on alioikeuden tuomiolla todettu syyttömäksi väärinkäytökseen tai oikeusprosessista on luovuttu. Tieto on poistettava välittömästi myös silloin, kun ylempi oikeusaste vapauttaa alemman oikeusasteen tuomitseman henkilön.

5. Tiedot saa rekisteröidä uudelleen, jos ylempi oikeusaste tuomitsee henkilön, jonka alempi oikeusaste on vapauttanut.

6. Tieto on poistettava viimeistään 5 vuoden kuluttua siitä, kun väärinkäytös on ensimmäisen kerran rekisteröity. 7. Rekisteröidylle on ilmoitettava väärinkäytöstietojen käytöstä päätöksenteossa sekä siitä, minkä yhtiön rekisteristä väärinkäytöstiedot ovat peräisin ja milloin ne on hankittu, jos vakuutushakemuksen tai luoton epääminen taikka muu rekisteröidylle kielteinen päätös pääasiallisesti johtuu väärinkäytösrekisterissä olevista tiedoista.

8. Rekisteröitävät väärinkäytöstiedot rajoittuvat tapahtumiin ja tilanteisiin, jotka liittyvät vakuutuslaitoksen vakuutusliikkeen puitteissa harjoittamaan luoton- ja sitoumusten antoon.

Lupamääräyksiä haetaan toistaiseksi. Hakijoiden edustaja Hannu Ijäs on puhelimitse 31.7.2001 tarkentanut hakemusta niin, että hakemuksen kohdassa A. 7. sana "yhtiön" korvataan sanalla "vakuutuslaitoksen".

B. Lupa

Viitaten henkilötietolain 11 §:n 1 momenttiin, 12 §:n 1 momenttiin ja 43 §:n 2 momenttiin vakuutuslaitokset pyytävät lupaa käsitellä omia ja toisilta vakuutuslaitoksilta saatuja edellä A-kohdassa määriteltyjä tietoja ja vakuutusyhdistykset luvan rekisteröidä ja käsitellä toisilta vakuutusyhdistyksiltä saatuja edellä A-kohdassa määriteltyjä tietoja.

Hakijat toteavat, että lupaa tarvitaan, koska kysymys on henkilötietolain tarkoittamista arkaluonteisista tiedoista. Hakijat katsovat, että vakuutusrikollisuuden torjuminen on henkilötietolain 43 §:n 2 momentissa tarkoitettu luvan myöntämisen edellytyksenä oleva tärkeää yleistä etua koskeva syy.

Lupaa haetaan toistaiseksi.

HAKEMUKSEN PERUSTELUT

Vakuutusrikollisuuden torjunta ja kiinnijäämisriskin lisääminen

Vakuutusrikollisuudesta on Euroopassa arvioitu aiheutuvan vuosittain vähintään 8 miljardin euron tappiot vakuutusyhtiöille ja vakuutusasiakkaille. Arvio perustuu vakuutusalan Euroopan kattojärjestön CEA:n (Comité Européen des Assurances) jäsenkeskusliitoiltaan vuonna 1996 keräämiin tietoihin. Suomessa vakuutusrikollisuuden vaikutuksen arvioidaan vuonna 1995 tehdyn kyselytutkimuksen perusteella olevan vahinkovakuutusten vakuutusmaksuissa 5-10 prosenttia. Tämä tarkoittaa, että Suomessa vahinkovakuutusyhtiöiltä haetaan vuosittain arviolta 600 miljoonan - 1,2 miljardin markan arvosta vakuutuskorvauksia petollisessa tarkoituksessa. Tämä on se lisäkustannus, joka vakuutusrikollisuudesta tulee vakuutuksenottajien maksettavaksi korkeampina vakuutusmaksuina.

Eurooppalaisten vakuutusyhtiöiden näkemyksen mukaan vakuutusyhtiöitä vastaan suunnattu rikollisuus on viimeisten 20 vuoden aikana huolestuttavasti lisääntynyt. Aiemmin uskottua suurempi määrä vakuutusrikollisuudesta on osoittautunut osaksi laajempaa ammattimaista yhä laajenevaa rikollista toimintaa, johon liittyy muita talousrikoksia ja joka yhtenäisten vakuutusmarkkinoiden syntyessä on yhä enenevässä määrin myös osa kansainvälistä rikollisuutta.

Talousrikollisuuden torjunta eroaa ratkaisevasti niin sanotun perinteisen rikollisuuden torjunnasta. Talousrikokset tapahtuvat liike-elämän alueella, jossa poliisilla on rooli yleensä vasta rikoksen tapahduttua. Käytännössä vakuutusyhtiöiden on itse pyrittävä ennalta ehkäisemään tällaisen rikollisen toiminnan taloudellisia seurauksia. Nykyisessä tietoyhteiskunnassa yksi tehokkaimpia keinoja torjua, ehkäistä ja havaita vakuutusrikollisuutta on automaattisen tietojenkäsittelyn avulla kerätä ja tallentaa vakuutusrikollisuuden torjunnassa tarvittavaa tietoa sekä vaihtaa näitä tietoja eri vakuutusyhtiöiden kesken.

Talousrikollisuudelle on tyypillistä, että rikoksen onnistuttua samaa tai samantyyppistä rikosta yritetään uudelleen useimmiten jotain muuta samalla alalla toimivaa elinkeinonharjoittajaa kohtaan. Lisäksi talousrikollisuuden torjunnassa nimenomaan rikoksen kohteeksi joutuneen elinkeinonharjoittajan omat toimenpiteet ovat lähes aina välttämättömiä, jotta rikos ylipäätään tulee ilmi ja tutkitaan niin, että siitä voidaan tehdä esitutkintaviranomaiselle rikosilmoitus.

Vakuutusrikollisuuden ehkäisyssä onkin ensiarvoisen tärkeää, että vakuutuslaitokset voivat kerätä omiin rekistereihin tietoja henkilöistä, jotka ovat syyllistyneet väärinkäytöksiin vakuutuslaitoksia kohtaan. Lisäksi on tärkeää varmistaa, että rikoksentekijän kiinnijäämisriski lisääntyy ja rikoksen uusimisriski vähenee niissä tilanteissa, joissa rikosta on yritetty tai on ollut tarkoitus yrittää useita vakuutuslaitoksia kohtaan. Tämän vuoksi on tärkeää, että on olemassa mahdollisuus luovuttaa tieto väärinkäytöksiin syyllistyneistä henkilöistä edelleen muille vakuutuslaitoksille. Voidaan lisäksi olettaa, että jo pelkkä yleinen tietoisuus tietojen luovuttamisen olemassaolosta vaikuttaa rikoksia ennalta ehkäisevästi.

Aikaisemmat luvat

Tietosuojalautakunta on päätöksellään 23/10.8.1998 myöntänyt Suomen Vakuutusyhtiöiden Keskusliiton jäsenyhtiöille henkilörekisterilain (471/1987) 37 §:ssä tarkoitetun poikkeusluvan väärinkäytöstietojen keräämiseen, tallettamiseen ja käyttämiseen sekä luovuttamiseen päätöksessä mainituille vakuutusyhtiöille vakuutusyhtiöiden luoton- ja sitoumustenantoon liittyvien riskien pienentämiseen ja väärinkäytösten estämiseen. Lupa myönnettiin määräaikaisena päättymään 30.9.2001.

Vakuutusyhtiöiden yhteiseen tietojärjestelmään on 27.7.2001 mennessä merkitty 421 henkilöä, joista on tehty rikosilmoitus petoksen tai muun vakuutusyhtiöön kohdistuneen rikoksen johdosta. Kynnys henkilön merkitsemiseksi järjestelmään on ollut korkea, millä on pyritty varmistamaan rekisteriin merkittyjen henkilöiden oikeusturva. Tietojärjestelmä on osoittautunut käytännössä tarpeelliseksi välineeksi väärinkäytösten ehkäisyssä eikä sen käytössä ole ilmennyt ongelmia.

Päätöksellään 1/5.3.2001 tietosuojalautakunta on myöntänyt vakuutusyhtiöille henkilötietolain (523/1999) 43 §:n 1 momentissa tarkoitetun luvan käsitellä toisilta vakuutuslaitoksilta saatavia vahinkotietoja ja vakuutusyhdistyksille luvan käsitellä toisilta vakuutusyhdistyksiltä saatavia vahinkotietoja, siltä osin kuin kysymys on henkilötiedoista. Hakijat katsovat, että vahinkotietojen luovuttaminen ja tietojen luovuttaminen ilmitulleista väärinkäytöksistä ovat sisällöltään ja käyttötarkoitukseltaan erilaisia. Kun ns. väärinkäytösrekisteriin merkityltä henkilöltä voidaan evätä vakuutuksen myöntäminen, ei muiden yhtiöiden vahinkotietoja sen sijaan voitaisi käyttää lainkaan asiakasvalinnassa. Molemmat tietojen luovuttamistavat palvelevat eri tavoin rikosten torjuntaa, eivätkä ne siten ole toisiaan poissulkevia.

Tekninen ylläpito ja suojaukset

Tietojen käyttö on rajattu vakuutuslaitoksissa siten, että tietoja voi käyttää vain henkilö, joka tarvitsee tietoja tehtävissään. Tämä toteutetaan käyttöoikeuksien valvonnan, käytön valvonnan, tietoliikenteen suojauksen ja kulunvalvonnan avulla. Tietojen tallennuksessa ja tietoliikenteessä noudatetaan suojausta ja salausta, jolla estetään asiattomilta pääsy tietoihin. Kaikkia vakuutuslaitosten toimihenkilöitä sitoo vakuutusyrityksiä koskevassa lainsäädännössä säädetty vaitiolovelvollisuus.

Järjestelmän teknisestä toteutuksesta on vastannut Suomen Asiakastieto Oy, joka ylläpitää myös pankeilla käytössä olevaa vastaavaa tietojärjestelmää. Tiedot saavalla vakuutuslaitoksella on oikeus ainoastaan katsoa ja käyttää muilta vakuutuslaitoksilta saamiaan tietoja haettujen lupaehtojen mukaisesti, mutta ei muulla tavalla käsitellä niitä.

Luvan ja lupamääräysten voimassaolo

Hakijat katsovat, että lupa ja lupamääräykset tulisi myöntää toistaiseksi voimassa olevina.

Lupa on myönnetty kaksi kertaa määräaikaisena, jotta luvan tarve ja lupamääräysten riittävyys voitaisiin ottaa saatujen kokemusten perusteella uudelleen arvioitavaksi. Ns. väärinkäytösrekisteri on ollut käytössä vuodesta 1996 lukien. Rekisterinpito voidaan katsoa vakiintuneeksi eikä järjestelmän käytöstä ole aiheutunut yksityisyyden suojaan ongelmia. Hakijat katsovat, että luvan määräaikaisuudelle ei ole enää tarvetta. Hakijat viittaavat myös siihen, että tietosuojalautakunta myönsi 23.8.1999 antamallaan päätöksellä pankkien vastaavalle ns. asiakashäiriörekisterille luvan, joka on voimassa toistaiseksi.

KUULEMINEN

Tietosuojalautakunta on pyytänyt hakemuksesta tietosuojavaltuutetun lausunnon. Lausuntoa on pyydetty erityisesti siitä, mitä kokemuksia on saatu vakuutusyhtiöiden ns. väärinkäytösrekisteristä ja poikkeusluvassa 23/10.8.1998 asetettujen lupamääräysten riittävyydestä.

Hakijoille on varattu tilaisuus antaa vastineensa tietosuojavaltuutetun lausunnosta.

Tietosuojavaltuutetun lausunto

Lausunnossaan 27.8.2001 tietosuojavaltuutettu ei tuo esille, että väärinkäytöstietojen käsittelyssä olisi esiintynyt ongelmia tai että lupamääräykset olisivat olleet riittämättömiä.

Koska tietosuojavaltuutettu katsoo, että tietojenvaihdosta vakuutusalalla tulisi säätää lailla, tietosuojavaltuutettu esittää, että lupa myönnettäisiin edelleenkin määräaikaisena.

Tietosuojavaltuutettu katsoo, että hajautunut rekisterinpito voi tuottaa ylitsepääsemättömiä ongelmia tarkastusoikeuden käytössä kun tarkastusoikeuspyyntö tulisi lähettää jokaiselle mukana olevalle rekisterinpitäjälle. Tämän vuoksi tietosuojavaltuutettu esittää, että tietosuojalautakunta varmistaa lupamenettelyssä sen, että rekisteröity voi tarkastusoikeuden nojalla saada itseään koskevat tiedot järjestelmästä yhdellä tarkastusoikeuspyynnöllä. Rekisterinpitäjien olisi samalla annettava tieto siitä, kenelle tai mihin rekisteröityä koskevia väärinkäytöstietoja on luovutettu kahden viimeisen vuoden aikana. Lisäksi tietosuojavaltuutettu ehdottaa harkittavaksi lupaehtoa, jonka mukaan vakuutusyhtiöiden olisi informoitava henkilötietolain 24 §:n mukaan väärinkäytöstietojen käsittelystä jo vakuutusta haettaessa. Tietosuojavaltuutetun mielestä olisi myös harkittava sitä, että lupamääräyksenä vahvistettaisiin velvollisuus informoida nimenomaisesti ensimmäisen rekisterimerkinnän tekemisestä.

Hakijoiden vastine

Vastineessaan 30.8.2001 hakijat katsovat, että sillä, miten lainsäädäntöä mahdollisesti joskus tulevaisuudessa kehitetään, ei ole merkitystä harkittaessa sitä, voidaanko lupa myöntää toistaiseksi voimassa olevana. Kun tietosuojavaltuutetun taholta ei ole esitetty eikä hakijoiden tiedossa ole, että rekisteriä olisi käytetty luvan vastaisesti tai sen käytössä olisi ilmennyt muitakaan tietosuojaan liittyviä ongelmia, hakijat katsovat, ettei ole estettä myöntää lupaa toistaiseksi. Hakijat toteavat, että vakuutuslaitosten asiakkaat ovat voineet saada tähän saakka ja saavat jatkossakin itseään koskevat tiedot rekisteristä yhdellä Suomen Asiakastieto Oy:lle tehdyllä tarkastusoikeuspyynnöllä.

Vastineessa katsotaan, että kaikkia vakuutusyhtiöiden asiakkaita ei ole tarpeellista informoida myöhemmästä erittäin epätodennäköisestä mahdollisuudesta, että heidät rekisteröidään yhteiseen tietokantaan heitä koskevan rikosilmoituksen tekemisen jälkeen. Kun tietokantaan on rekisteröity vain muutamia satoja henkilöitä, olisi tällainen informointivelvoite epätarkoituksenmukainen ja tarpeeton.

Lisäksi hakijat kiinnittävät huomiota siihen, että tietosuojavaltuutetun lausunnossa ehdotettuja informointivelvoitteita ei ole asetettu myöskään henkilötietolain voimaantulon jälkeen annetussa tietosuojalautakunnan päätöksessä pankkien vastaavan tyyppiselle rekisterille.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Tietosuojalautakunta katsoo, että hakemuksessa tarkoitetussa henkilötietojen käsittelyssä on kysymys hakijoiden omiin henkilörekistereihin sisältyvien väärinkäytöstietojen luovuttamisesta muille hakijoille yhteisen tietojärjestelmän avulla. Kukin hakija on omiin asiakassuhteisiinsa liittyvien henkilötietojen henkilötietolain 3 §:n 4 kohdassa tarkoitettu rekisterinpitäjä.

Sovellettavat säännökset

Vakuutusyhtiölain 18 luvun 6 §:n 1 momentin (989/1999), ulkomaisista vakuutusyhtiöistä annetun lain 79 §:n (637/2000)1 momentin ja vakuutusyhdistyslain 16 luvun 10 §:n (638/2000)1 momentin mukaan taloudellista asemaa tai terveydentilaa tai muita henkilökohtaisia oloja koskevat seikat ja liike- tai ammattisalaisuudet kuuluvat vaitiolovelvollisuuden piiriin. Hakemuksessa on kysymys rekisteröitävien henkilökohtaisia oloja koskevista vaitiolovelvollisuuden piiriin kuuluvista tiedoista.

Vakuutusyhtiölain 18 luvun 6 b §:n (989/1999) 1 momentin 6 kohdan mukaan vakuutusyhtiöllä on oikeus luovuttaa vaitiolovelvollisuuden piiriin kuuluvia tietoja vakuutusyhtiöön kohdistuneista rikoksista sekä sille ilmoitetuista vahingoista toisille vakuutusyhtiöille vakuutusyhtiöihin kohdistuvan rikollisuuden ehkäisemiseen liittyvän tärkeän edun vuoksi siten kuin tietosuojalautakunta henkilötietolain (523/1999) 43 §:n 3 momentin nojalla tarkemmin määrää. Pykälän 3 momentin mukaan vakuutusyhtiö voi 1 momentissa tarkoitetuissa tilanteissa luovuttaa vain sellaisia tietoja, joita tarvitaan kyseessä olevien tehtävien suorittamiseksi. Asianomainen ministeriö voi 4 momentin mukaan tarvittaessa antaa tarkempia säännöksiä 1 momentin täytäntöönpanosta.

Ulkomaisista vakuutusyhtiöistä annetun lain 79 §:n (637/2000) 4 momentin 6 kohdan mukaan ulkomaisella vakuutusyhtiöllä on oikeus luovuttaa vaitiolovelvollisuuden piiriin kuuluvia tietoja vakuutusyhtiöön kohdistuneista rikoksista sekä sille ilmoitetuista vahingoista toisille vakuutusyhtiöille vakuutusyhtiöihin kohdistuvan rikollisuuden ehkäisemiseen liittyvän tärkeän edun vuoksi siten kuin tietosuojalautakunta henkilötietolain (523/1999) 43 §:n 3 momentin nojalla tarkemmin määrää. Vakuutusyhtiö voi 6 momentin mukaan 4 momentissa tarkoitetuissa tilanteissa luovuttaa vain sellaisia tietoja, joita tarvitaan kyseessä olevien tehtävien suorittamiseksi. Sosiaali- ja terveysministeriön asetuksella voidaan 7 momentin mukaan tarvittaessa antaa tarkempia säännöksiä 4 momentin täytäntöönpanosta.

Vakuutusyhdistyslain 16 luvun 10 §:n (638/2000) 4 momentin 6 kohdan mukaan vakuutusyhdistyksellä on oikeus luovuttaa vaitiolovelvollisuuden piiriin kuuluvia tietoja vakuutusyhdistykseen kohdistuneista rikoksista sekä sille ilmoitetuista vahingoista toisille vakuutuslaitoksille vakuutuslaitoksiin kohdistuvan rikollisuuden ehkäisemiseen liittyvän tärkeän edun vuoksi siten kuin tietosuojalautakunta henkilötietolain (523/1999) 43 §:n 3 momentin nojalla tarkemmin määrää. Pykälän 6 momentin mukaan vakuutusyhdistys voi 4 momentissa tarkoitetuissa tilanteissa luovuttaa vain sellaisia tietoja, joita tarvitaan kyseessä olevien tehtävien suorittamiseksi. Pykälän 7 momentin mukaan sosiaali- ja terveysministeriön asetuksella voidaan tarvittaessa antaa tarkempia säännöksiä 4 momentin täytäntöönpanosta. Henkilötietolain 11 §:n mukaan arkaluonteisina henkilötietoina pidetään mm. henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa. Rikollisella teolla tarkoitetaan sellaista lainvastaista menettelyä, josta on säädetty rangaistus.

Hakijoiden tarkoituksena on rekisteröidä tietoja vahinkotapahtumista, joista on tehty rikosilmoitus, tutkintapyyntö taikka joita koskeva rikosprosessi on saatettu muulla tavoin vireille. Merkintä kertoo siis, että rekisteröity on hakijoiden käsityksen mukaan syyllistynyt rikolliseen tekoon. Väärinkäytöstiedot ovat näin ollen rikollista tekoa koskevia eli arkaluonteisia tietoja.

Henkilötietolain 8 §:n 3 momentin mukaan arkaluonteisten henkilötietojen käsittelystä säädetään henkilötietolain 3 luvussa. Henkilötietolain 3 §:n 2 kohdan mukaan henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä.

Henkilötietolain 3 luvun 11 §:n mukaan arkaluonteisten henkilötietojen käsittely on kielletty. Arkaluonteisten tietojen käsittelykiellon poikkeuksista on säädetty henkilötietolain 12 §:ssä. Arkaluonteisia tietoja saa henkilötietolain 12 §:n 1 momentin 4 kohdan mukaan käsitellä, jos tietojen käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi ja 5 kohdan mukaan, jos tietojen käsittelystä säädetään laissa. Momentin 11 kohdan mukaan kielto ei estä vakuutuslaitosta käsittelemästä sellaisia tietoja vakuutetun, korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi. Henkilötietolain 12 §:n 1 momentin 13 kohdan mukaan arkaluonteisten tietojen käsittely on sallittua myös jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 2 momentissa tarkoitetun luvan. Mainitun lainkohdan mukaan tietosuojalautakunta voi antaa luvan arkaluonteisten henkilötietojen käsittelyyn tärkeää yleistä etua koskevasta syystä. Lupa voidaan 43 §:n 3 momentin mukaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset.

Henkilötietolain 12 §:n 2 momentin mukaan arkaluonteiset tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa mainittua perustetta. Perustetta ja käsittelyn tarvetta on arvioitava vähintään viiden vuoden välein, jollei laista tai 1 momentin 13 kohdassa tarkoitetusta tietosuojalautakunnan luvasta muuta johdu.

Luvan tarve

Väärinkäytöstietojen luovutukset

Tietosuojalautakunta katsoo, että hakijat voivat vakuutusyhtiölain 18 luvun 6 b §:n 1 momentin 6 kohdan, ulkomaisista vakuutusyhtiöistä annetun lain 79 §:n 4 momentin 6 kohdan ja vakuutusyhdistyslain 16 luvun 10 §:n 4 momentin 6 kohdan nojalla luovuttaa hakemuksessa tarkoitetut tiedot tietosuojalautakunnan luovutuksille asettamien ehtojen puitteissa.

Väärinkäytöstietojen muu käsittely

Vaikka hakemuksessa tarkoitetut tiedot voidaan luovuttaa, eivät edellä mainitut vakuutuslainsäädäntöön sisältyvät lainkohdat oikeuta käsittelemään tietoja muulla tavoin.

Tietojen muu käsittely on sallittua henkilötietolain 12 §:n 1 momentin 4 ja 11 kohdan nojalla niin kauan kuin käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi ja siltä osin kuin vakuutuslaitos käsittelee sellaisia tietoja vakuutetun, korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.

Muilta osin henkilötietolain 12 §:n 1 momentin 1-12 kohdissa säädetyt edellytykset arkaluonteisten henkilötietojen käsittelylle eivät täyty ja hakijat tarvitsevat hakemuksessa tarkoitettujen tietojen muuhun käsittelyyn tietosuojalautakunnan henkilötietolain 43 §:ssä tarkoitetun luvan.

Tietosuojalautakunnan toimivalta

Henkilötunnuksen käsittely

Hakijoiden tarkoituksena on käsitellä mm. väärinkäyttäjien henkilötunnuksia. Henkilötietolain 8 §:n 3 momentin mukaan henkilötunnuksen käsittelystä säädetään henkilötietolain 3 luvussa. Tietosuojalautakunnan lupatoimivaltaa koskevassa henkilötietolain 43 §:ssä ei viitata henkilötunnuksen käsittelyä koskevaan 3 luvun 13 §:ään. Tietosuojalautakunnalla ei näin ollen ole toimivaltaa myöntää henkilötietolain 43 §:ssä tarkoitettua lupaa henkilötunnuksen käsittelyyn. Tämän vuoksi tietosuojalautakunta jättää hakemuksen tutkimatta siltä osin kuin kysymys on luvan myöntämisestä henkilötunnuksen käsittelyyn.

Vakuutusyhdistysten oikeus käsitellä vakuutusyhtiöiltä saatavia väärinkäytöstietoja

Edellä mainitut vakuutuslainsäädäntöön sisältyvät säännökset väärinkäytöstietojen luovuttamisesta muille vakuutuslaitoksille oikeuttavat vakuutusyhtiöt luovuttamaan tietoja ainoastaan toisille vakuutusyhtiöille, ei vakuutusyhdistyksille. Tietosuojalautakunnalla ei ole toimivaltaa myöntää lupaa vaitiolovelvollisuuden piiriin kuuluvien henkilötietojen käsittelyyn. Tämän vuoksi tietosuojalautakunta jättää hakemuksen toimivaltaansa kuulumattomana tutkimatta siltä osin kuin kysymys on vakuutusyhdistysten oikeudesta käsitellä vakuutusyhtiöiltä saatavia väärinkäytöstietoja.

Päätös

Väärinkäytöstietojen käsittely

Hallitus on edellä mainitun vakuutusyhtiölain 18 luvun 6 b §:n 1 momentin 6 kohdan säätämiseen johtaneessa esityksessään (HE 37/1999) todennut, että vakuutusyhtiöitä vastaan suunnattu rikollisuus on viime vuosina lisääntynyt ja yhä suurempi osa tästä rikollisuudesta on osa ammattimaista rikollista toimintaa, johon liittyy myös muuta talousrikollisuutta. Vakuutusala on arvioinut vakuutusrikollisuudesta aiheutuvan Suomessa vuosittain 500-1000 miljoonan markan menetykset vakuutusyhtiöille ja tätä kautta kaikille vakuutuksenottajille korkeampina vakuutusmaksuina. Monissa Euroopan maissa yhdeksi tehokkaimmista tavoista taistella vakuutusrikollisuutta vastaan on todettu automaattisen tietojenkäsittelyn tarjoamat mahdollisuudet rikosten torjunnassa ja tutkinnassa käytettävien tietojen käsittelyssä ja tietojen vaihdossa vakuutusyhtiöiden kesken. Yhtenäisten vakuutusmarkkinoiden syntyessä on perusteltua, että myös suomalaisilla vakuutusyhtiöillä on käytettävissään vastaavat keinot rikosten torjumiseksi. Asiassa saadun selvityksen mukaan väärinkäytösrekisteri on osoittautunut käytännössä tarpeelliseksi petosten ehkäisyssä eikä rekisterin käytössä ole ilmennyt ongelmia.

Edellä mainituista syistä tietosuojalautakunta katsoo, että tärkeä yleinen etu edellyttää, että vakuutuslaitoksilla on vakuutusrikollisuuden torjumiseksi mahdollisuus käsitellä hakemuksessa tarkoitettuja tietoja niihin kohdistuneista väärinkäytöksistä. Tämän vuoksi tietosuojalautakunta myöntää

- hakijoina oleville, päätöksen liitteessä 1 mainituille vakuutusyhtiöille luvan käsitellä omia ja toisilta vakuutuslaitoksilta saatavia hakemuksen A-kohdassa tarkoitettuja väärinkäytöstietoja ja - hakijoina oleville, päätöksen liitteessä 2 mainituille vakuutusyhdistyksille luvan käsitellä omia ja toisilta vakuutusyhdistyksiltä saatavia hakemuksen A-kohdassa tarkoitettuja väärinkäytöstietoja.

Lupamääräykset

Rekisteröidyn yksityisyyden suojaamiseksi tietosuojalautakunta asettaa hakemuksen A-kohdassa tarkoitettujen väärinkäytöstietojen luovuttamiselle ja muulle käsittelylle seuraavat lupamääräykset:

1. Tietoja ei saa rekisteröidä ennen kuin asiasta on tehty rikosilmoitus, tutkintapyyntö tai syytepyyntö taikka rikosprosessi on saatettu muulla tavoin vireille.

2. Merkintä tietojärjestelmään on tehtävä viimeistään 1 vuoden kuluessa siitä, kun rekisterinpitäjä on saattanut rikosprosessin vireille tai kun rekisterinpitäjä on saanut tiedon siitä, että joku muu on saattanut rikosprosessin vireille, taikka kun syyttäjä on päättänyt nostaa syytteen asiassa.

3. Tieto on poistettava välittömästi, kun asianomainen on alioikeuden tuomiolla todettu syyttömäksi väärinkäytökseen tai oikeusprosessista on luovuttu. Tieto on poistettava välittömästi myös silloin, kun ylempi oikeusaste vapauttaa alemman oikeusasteen tuomitseman henkilön.

4. Tiedot saa rekisteröidä uudelleen, jos ylempi oikeusaste tuomitsee henkilön, jonka alempi oikeusaste on vapauttanut.

5. Tieto on poistettava viimeistään 5 vuoden kuluttua siitä, kun väärinkäytös on ensimmäisen kerran rekisteröity. 6. Rekisteröidylle on ilmoitettava ensimmäisen häntä koskevan rekisterimerkinnän tekemisestä väärinkäytösrekisteriin.

7. Rekisteröidylle on ilmoitettava väärinkäytöstietojen käytöstä päätöksenteossa sekä siitä, minkä vakuutuslaitoksen rekisteristä väärinkäytöstiedot ovat peräisin ja milloin ne on hankittu, jos vakuutushakemuksen tai luoton epääminen taikka muu rekisteröidylle kielteinen päätös johtuu väärinkäytösrekisterissä olevista tiedoista.

8. Rekisteröitävien väärinkäytöstietojen tulee rajoittua tapahtumiin ja tilanteisiin, jotka liittyvät vakuutuslaitoksen vakuutusliikkeen puitteissa harjoittamaan luoton- ja sitoumusten antoon.

Lupamääräysten perustelut

1. Rekisteröidyn oikeusturva edellyttää, että rekisteröitävä väärinkäytös saatetaan viranomaisten tutkittavaksi asianomistajan itsensä tai jonkun muun aloitteesta.

2. Lupamääräys on asetettu, jottei väärinkäytöksen rekisteröinnin viivästyminen kohtuuttomasti viivästyttäisi tiedon säilyttämisajan alkua.

3. Rekisterinpitäjän on huolehdittava siitä, että rekisterissä oleva, tietojenkäsittelyn tarkoituksen kannalta virheellinen tieto poistetaan. Väärinkäytöstietojen laatu huomioon ottaen tieto on poistettava välittömästi. 4-5. Tieto on poistettava asetetussa määräajassa, koska tiedon voidaan arvioida tässä ajassa menettäneen merkityksensä kyseessä olevan henkilötietojen käsittelyn tarkoituksen kannalta. Tämä määräaika koskee myös tilanteita, joissa tieto halutaan rekisteröidä uudelleen silloin, kun ylempi oikeusaste on tuominnut henkilön, jonka alempi oikeusaste on vapauttanut.

6-7. Lupamääräykset on asetettu, jotta rekisteröity saisi henkilötietolain 24 §:ssä tarkoitetun yleisen informaation lisäksi tiedon rekisterimerkinnän käyttämisestä häntä koskevassa päätöksenteossa. Koska väärinkäytöstiedot ovat rinnastettavissa luottotietoihin, on väärinkäytöstietojen käytöstä ilmoittamisessa perusteltua noudattaa samaa menettelyä, joka on henkilöluottotietojen osalta säädetty henkilötietolain 25 §:n 2 momentissa.

8. Väärinkäytösrekisterin tarkoituksesta johtuen rekisteröitävien tietojen on liityttävä vakuutuslaitoksen vakuutusliikkeen puitteissa harjoittamaan luoton- ja sitoumustenantoon.

LUVAN JA LUPAMÄÄRÄYSTEN VOIMASSAOLO

Lupa ja lupamääräykset myönnetään olemaan voimassa toistaiseksi.

Lupamääräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on perusteltua. Tietosuojalautakunta voi peruuttaa luvan, kun edellytyksiä luvan myöntämiselle ei enää ole tai kun rekisterinpitäjä toimii luvan tai siihen liitettyjen määräysten vastaisesti.

SOVELLETUT SÄÄNNÖKSET

Vakuutusyhtiölaki 18 luku 6 b § 1 mom 6 kohta
Laki ulkomaisista vakuutusyhtiöistä 79 § 4 mom 6 kohta
Vakuutusyhdistyslaki 16 luku 10 § 4 mom 6 kohta
Henkilötietolaki 3 § 4 kohta
Henkilötietolaki 8 § 3 mom
Henkilötietolaki 11 §
Henkilötietolaki 12 § 1 mom 4 kohta
Henkilötietolaki 12 § 1 mom 5 kohta
Henkilötietolaki 12 § 1 mom 11 kohta
Henkilötietolaki 12 § 1 mom 13 kohta
Henkilötietolaki 12 § 2 mom
Henkilötietolaki 43 §

ILMOITUS EY:N KOMISSIOLLE

Tietosuojalautakunta tekee tästä päätöksestä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 8 artiklan 6 kohdan mukaisen ilmoituksen EY:n komissiolle päätöksen tultua lainvoimaiseksi.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.