Tryggingafélag A

1.6.2006

Samkvæmt 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er það eitt af hlutverkum Persónuverndar "að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum." Með bréfi Persónuverndar, dags. 20. júní 2003, var, með með vísan til nefnds ákvæðis, boðuð úttekt í samræmi við framangreint lagaákvæði. Samkvæmt 10. gr. laga um vátryggingastarfsemi, nr. 60/1994, verður að reka líf-, slysa- og sjúkdómatryggingar í sjálfstæðu líftryggingafélagi en ekki skaðatryggingafélagi. [A] er skaðatryggingafélag sem hefur gert verktökusamning um rekstur líf-, slysa- og sjúkdómatrygginga við [B]. Þar sem þau bréf sem Persónuvernd bárust vegna úttektarinnar voru rituð á bréfsefni [A] óskaði hún staðfestingar frá [B] um að umrædd bréf væru rituð fyrir þess hönd. Slík staðfesting hefur borist með bréfi [B], dags. 28. júní 2005.


Umrædd úttekt er liður í heildstæðu og almennu eftirliti með lögmæti og öryggi við vinnslu persónuupplýsinga í tengslum við sölu á líf-, slysa- og sjúkdómatryggingum. Um er að ræða þær upplýsingar sem [B] leggur til grundvallar við ákvörðun um hvort selja eigi einstaklingi líf-, slysa- eða sjúkdómatryggingu, s.s. um heilsufar og lyfjanotkun viðkomandi.


[B] starfar samkvæmt lögum nr. 20/1954 um vátryggingarsamninga og lögum nr. 60/1994 um vátryggingastarfsemi. Hafa þessi lög ekki að geyma sérstök ákvæði varðandi vinnslu persónuupplýsinga í tengslum við slíka starfsemi. Slík ákvæði er aftur á móti að einhverju leyti að finna í XIII. kafla nýrra laga um vátryggingarsamninga nr. 30/2004, en sá kafli fjallar um almennar forsendur fyrir ábyrgð vátryggingafélaga. Lög þessi öðlast gildi 1. janúar 2006, en samkvæmt gildistökuákvæði í 146. gr. munu þau gilda um alla vátryggingarsamninga sem gerðir verða frá og með þeim degi, svo og um alla aðra vátryggingarsamninga sem eru í gildi á þeim degi. Af þessu má ráða að lögin munu hafa afturvirk áhrif varðandi þá vátryggingarsamninga sem undirritaðir eru fyrir gildistöku laganna. Byggir niðurstaða Persónuverndar um lögmæti vinnslu persónuupplýsinga þar af leiðandi, eftir því sem við á, á þeim lögum.

Úttekt Persónuverndar á því hvort öryggi persónuupplýsinga hjá [B] fullnægi kröfum 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. og reglna nr. 299/2001 um öryggi persónuupplýsinga, tekur eðli málsins samkvæmt eingöngu til þeirra persónuupplýsinga sem félaginu er að lögum heimilt að vinna með. Því þarf fyrst að taka afstöðu til lögmætis umræddrar upplýsingavinnslu. Í tengslum við mat á því óskaði Persónuvernd, með bréfi, dags. 3. febrúar 2005, eftir því að [B] gerði sérstaklega grein fyrir eftirfarandi:


a) Við hvaða kringumstæður félagið afli heilsufarsupplýsinga um vátryggingartaka á grundvelli samþykkis hans, hvort honum væri þá gert kunnugt um það og hvernig framkvæmdinni væri að öðru leyti háttað, s.s. hvort félagið fengi afrit af sjúkraskrá viðkomandi eða einungis upplýsingar um tiltekin atriði úr henni.


b) Kröfu um að umsækjandi gefi félaginu eða trúnaðarlækni þess heimild til að afla heilsufarsupplýsinga um sig frá sjúkrastofnunum og læknum sem hafa annast hann, einkum með tilliti til skilgreiningar samþykkis samkvæmt 7. tölul. 2. gr. laga nr. 77/2000 og meginreglna 7. gr. laganna.


Í bréfi, dags. 3. júní 2005, var auk þess farið fram á að [B] gerði grein fyrir hvaða heimild félagið teldi standa til þess að safna og vinna með upplýsingar um foreldra og systkini umsækjanda um líf- og sjúkdómatryggingu, sbr. 11. og 12. lið VI. kafla eyðublaðsins "Vátryggingarumsókn".

Bréfi Persónuverndar, dags. 3. febrúar 2005, var svarað með bréfi [B], dags. 10. s.m. Þar segir:

Bréfi Persónuverndar, dags. 3. júní 2005, var svarað með bréfi [B], dags. 28. s.m. Þar segir:

Í áðurgreindu bréfi, dags. 20. júní 2003, var óskað eftir því að [B] legði fram skrifleg gögn um öryggi persónuupplýsinga, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum.


Með bréfi, dags. 29. ágúst 2003, barst Persónuvernd frá [B] skjalið "Stjórnun upplýsingaöryggis – útgáfa 1.0", dags. 18. s.m. Hafði það að geyma öryggisstefnu og lýsingu á ýmsum öryggisráðstöfunum, en jafnframt kom fram að gert hefði verið áhættumat. Eintak af áhættumati barst síðan Persónuvernd með bréfi, dags. 31. mars 2004, auk Starfsmannahandbókar sem hefur að geyma sérstakar vinnureglur varðandi meðferð og öryggi persónuupplýsinga. Eins og fram kemur í öryggisstefnu [B] hefur við mótun öryggiskerfis persónuupplýsinga verið tekið mið af staðlinum ÍST ISO/IEC 17799:2000.


Með bréfi Persónuverndar, dags 18. maí 2004, var [B] tilkynnt að stofnunin hygðist leita aðstoðar sérfræðings varðandi framkvæmd vettvangsathugunar. Var vísað til heimildar Persónuverndar, samkvæmt 4. mgr. 37. gr. laga nr. 77/2000, til þess að leggja kostnað sem af eftirliti hlýst á þann aðila sem því sætir. Ekki voru gerðar athugasemdir af hálfu [B] og samþykkti félagið kostnaðaráætölulun sérfræðingsins, sbr. tölvupóst frá 7. júlí 2004.

Hinn 26. júlí 2004 gerði Persónuvernd samning við [D] um framkvæmd vettvangsathugunar á starfsstöð [B] og gerð skýrslu um niðurstöðu hennar. Samið var um að [E], sérfræðingur á vegum fyrirtækisins, myndi annast verkið. Áður en vettvangsathugunin færi fram skyldi hann rýna gögn og semja gátölulista fyrir athugunina, m.a. í ljósi þess hvernig öryggiskerfi [B] er lýst í fram lögðum gögnum. Að vettvangsathugun lokinni skyldi hann skila Persónuvernd lokaskýrslu um niðurstöður sínar. Skilaði hann umræddri skýrslu hinn 14. október 2004. Er hann samkvæmt samningnum bundinn trúnaðar- og þagnarskyldu. Sérfræðingurinn er hér eftir nefndur skýrsluhöfundur.


Með bréfum, dags. 18. október og 18. nóvember 2004, bauð Persónuvernd [B] að tjá sig um framangreinda skýrslu. Persónuvernd hafa ekki borist athugasemdir frá félaginu varðandi skýrsluna.

Skýrsluhöfundur rýndi gögn [B], þ.e. þau skriflegu gögn sem félagið hafði lagt fram um öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum. Í lokakafla skýrslunnar greinir skýrsluhöfundur frá niðurstöðum rýni sinnar.


2.1. Öryggisstefna
Í skýrslu sinni segir höfundur eftirfarandi um öryggisstefnu [B]:

2.2. Áhættumat
Varðandi áhættumat [B] gerir skýrsluhöfundur svofelldar athugasemdir:

2.3. Lýsing á öryggisráðstöfunum
Eins og fyrr er getið fékk Persónuvernd, með bréfi, dags. 31. mars 2004, afhenta öryggishandbók sem hefur að geyma sérstakar vinnureglur varðandi meðferð og öryggi persónuupplýsinga. Í þessum vinnureglum felst lýsing á öryggisráðstöfunum, sbr. 5. mgr. 11. gr. laga nr. 77/2000. Um hana segir skýrsluhöfundur eftirfarandi:

Einnig fjallaði skýrsluhöfundur um skjal nefnt "Verklagsreglur" sem honum var sýnt við framkvæmd úttektarinnar á rafrænu formi. Um það skjal segir hann m.a. eftirfarandi:

Vettvangsathugun fór fram í september 2004 og í eftirmála skýrslunnar er lagt heildstætt mat á niðurstöður hennar. Kemst skýrsluhöfundur svo að orði:

Í skýrslunni kemur fram að vettvangsathugunin hafi verið framkvæmd með þeim hætti að lagðar hafi verið spurningar fyrir tiltekna starfsmenn [B] með tilliti til staðalsins ÍST ISO/IEC 17799:2000, en eins og áður er getið tekur öryggiskerfi persónuupplýsinga hjá félaginu mið af honum. Persónuvernd telur að ekki séu efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem við þessa athugun skýrsluhöfundar reyndust vera í samræmi við staðalinn og framlögð gögn. Hins vegar verður farið yfir hvaða öryggisráðstafanir þótti vanta eða reyndust vera með öðrum hætti en lýst hafði verið í framlögðum gögnum. Þær eru:


3.1. Niðurstöður almennra spurninga
Lutu ýmsar athugasemdir skýrsluhöfundar að almennri umgengni starfsmanna um upplýsingar fyrirtækisins, s.s. flokkun og meðhöndlun upplýsinga.


a. Leiðbeiningar um flokkun
Í öryggisstefnu [B] eru upplýsingar flokkaðar með tilliti til leyndar, réttleika og tiltækileika þeirra. Þá hefur regla A.5.2.1 Leiðbeiningar um flokkun í staðlinum ÍST ISO/IEC 17799:2000 verið innleidd. Skýrsluhöfundur segir hins vegar að vinnureglur hafi ekki verið rýndar í ljósi þessarar reglu. Því eigi eftir að koma í ljós hvernig verklagsreglan komi til með að virka.


b. Merking og meðferð upplýsinga
Um þetta, þ.e. merkingu upplýsinga og viðeigandi meðferð eftir flokkun með tilliti til leyndar, réttleika og tiltækileika, segir skýrsluhöfundur:

Eins og fram kemur í skýrslunni beindust spurningar þessa hluta að ýmsum þáttum í rekstri upplýsingatæknibúnaðar.


a. Reglur um notendanöfn og lykilorð
Í skýrslunni segir um þennan þátt upplýsingaöryggiskerfis [B] að hann hafi staðist prófun en með athugasemdum. Vinnureglur hafi ekki verið rýndar í ljósi þeirra reglna í staðlinum ÍST ISO/IEC 17799:2000 sem þennan öryggisþátt varði og innleiddar hafi verið, þ.e. A.9.2.1 Notendaskráning, A.9.2.2 Sérréttindaskráning, A.9.2.3 Stýring á aðgangsorðum notenda, A.9.2.4 Rýni á aðgangsréttindum notenda og A.9.3.1 Notkun aðgangsorða.


b. Skráning á breytingum á kerfum í rekstri
Í skýrslunni segir að til að tryggja réttan og öruggan rekstur upplýsingavinnslubúnaðar, þ.e. búnaðar sem sér um vistun eða vinnslu upplýsinga, ættu fyrirtæki að koma á verklagsreglum varðandi stjórnun og rekstur hans. Ófullnægjandi stýring á breytingum á upplýsingavinnslubúnaði og -kerfum sé algeng orsök þess að kerfi bili eða öryggi bresti. Innleidd hafi verið regla úr framangreindum staðli varðandi þetta, þ.e. regla A.8.2.1 Stýring á breytingum. Í skýrslunni segir hins vegar:

Lutu spurningar þessa hluta að innra skipulagi upplýsingastjórnunar, þ.e. hvernig háttað er stjórnun og eftirliti með upplýsingaöryggiskerfi fyrirtækisins.


a. Viðhald og stjórnun á upplýsingaöryggi
Í skýrslunni segir að þegar fyrirtæki hafi komið sér upp upplýsingaöryggiskerfi þurfi að tryggja að það hlíti öryggisstefnu fyrirtækisins og þeim öryggisstöðlum sem það hyggst fara eftir. Það sé gert með með því að fyrirtæki komi sér upp kerfi til endurskoðunar og viðhalds á upplýsingaöryggiskerfinu. Um þetta segir í skýrslunni:

Í skýrslunni segir að til að vinna gegn röskun á rekstri og vernda mikilvæg rekstrarferli fyrir áhrifum af meiri háttar bilunum eða stóráföllum þurfi að vera til ferli til stjórnunar á rekstrarsamfellu. Rekstrarsamfellan eigi m.a. að fela í sér áætölulun um endurheimt á upplýsingatæknibúnaði. Um þetta segir í skýrslunni:

[B] starfar samkvæmt lögum nr. 20/1954 um vátryggingarsamninga og lögum nr. 60/1994 um vátryggingastarfsemi. Hafa þessi lög ekki að geyma sérstök ákvæði varðandi vinnslu persónuupplýsinga í tengslum við slíka starfsemi. Slík ákvæði er aftur á móti að einhverju leyti að finna í XIII. kafla nýrra laga um vátryggingarsamninga nr. 30/2004, en sá kafli fjallar um almennar forsendur fyrir ábyrgð vátryggingafélaga. Lög þessi öðlast gildi 1. janúar 2006, en samkvæmt gildistökuákvæði í 146. gr. munu þau gilda um alla vátryggingarsamninga sem gerðir verða frá og með þeim degi, um alla vátryggingarsamninga sem verða endurnýjaðir eða framlengdir frá og með þeim degi, svo og um alla aðra vátryggingarsamninga sem eru í gildi á þeim degi. Munu lögin því hafa afturvirk áhrif varðandi þá vátryggingarsamninga sem undirritaðir eru fyrir gildistöku laganna. Byggir mat Persónuverndar á vinnslu persónuupplýsinga hjá [B] því, eftir því sem við á, á þeim lögum.


Eins og fyrr greinir tekur úttektin aðeins til persónuupplýsinga sem [B] vinnur með í tengslum við sölu á líf-, slysa- og sjúkdómatryggingum. Til þess að geta keypt slíkar tryggingar þurfa viðskiptavinir félagsins að fylla út eyðublað. Um fjögur eyðublöð er að ræða, þ.e. eyðublað fyrir líf- og sjúkdómatryggingu (nefnt "Vátryggingarumsókn"), eyðublað fyrir slysatryggingu, eyðublað fyrir sjúkra- og slysatryggingu og eyðublað fyrir sjúkrakostnaðartryggingu. Með útfyllingu þessara eyðublaða veita umsækjendur tilteknar upplýsingar um sjálfa sig. Auk grunnupplýsinga um nafn, kennitölu, heimilisfang og starf umsækjanda er fyrst og fremst óskað heilsufarsupplýsinga af ýmsum toga.


Nánar til tekið er á eyðublöðunum, að umsókn fyrir sjúkrakostnaðartryggingu undanskilinni, spurt um aðrar persónutryggingar umsækjanda, sbr. III. kafla eyðublaðs fyrir líf- og sjúkdómatryggingu og IV. kafla eyðublaða fyrir slysatryggingu og sjúkra- og slysatryggingu. Í V. kafla eyðublaðs fyrir líf- og sjúkdómatryggingu, II. kafla eyðublaðs fyrir sjúkrakostnaðartryggingu og III. kafla eyðublaða fyrir slysatryggingu og sjúkra- og slysatryggingu er og óskað eftir upplýsingum um hvort umsækjandi hafi áhugamál eða stundi íþróttir sem hafi í för með sér sérstaka áhættu. Þá er í VI. kafla eyðublaðs fyrir líf- og sjúkdómatryggingu, III. kafla eyðublaðs fyrir sjúkrakostnaðartryggingu og V. kafla eyðublaða fyrir slysatryggingu og sjúkra- og slysatryggingu gert ráð fyrir að umsækjandi veiti víðtækar upplýsingar er lúta að heilsufari.


Á eyðublöðum fyrir líf- og sjúkdómatryggingu og sjúkra- og slysatryggingu er þannig óskað upplýsinga um hvort umsækjandi reyki og neyti áfengis og þá hversu mikils. Á þessum eyðublöðum, sem og á eyðublaði fyrir slysatryggingu, er og óskað upplýsinga um hvort umsækjandi neyti lyfja og þá hvaða lyfja, við hverju og hvaða magns sé neytt. Á öllum eyðublöðunum er óskað upplýsinga um hvort umsækjandi sé með eða hafi verið haldinn sjúkdómi eða heilsufarsvanda af ákveðnum flokkum. Eru þessir flokkar mismargir eftir því hvaða eyðublað um ræðir, fæstir á eyðublaði fyrir slysatryggingu. Hafi umsækjandi verið eða sé haldinn sjúkdómi eða heilsufarsvanda, sem fellur undir flokkana á eyðublöðunum, er farið fram á ítarlegri upplýsingar, þ.e. um nafn sjúkdóms eða slyss, hvenær sjúkdóms varð vart eða slys varð, hvenær ummönnun hófst og hvenær henni lauk, hvort bati varð alger eða að hluta og hvaða læknir eða sjúkrastofnun stundaði umsækjandann.


Á eyðublaði fyrir líf- og sjúkdómatryggingu og eyðublaði fyrir sjúkrakostnaðartryggingu er ennfremur óskað eftir því að umsækjandi upplýsi hvort hann sé eða hafi verið í meðferð hjá lækni eða á sérmataræði að læknisráði og, ef svo sé, hvenær, af hverju, hjá hvaða lækni, hve lengi og hver árangur meðferðar hafi verið; og hvort umsækjandi hafi leitað læknis eða sjúkrastofnunar undanfarna 12 mánuði eða hafi það í hyggju vegna annars en umgangspesta og, sé svo, hvers vegna og hvert nafn og heimilisfang læknis sé. Einnig er á þessum eyðublöðum, sem og eyðublaði fyrir slysatryggingu, spurt hvort umsækjandi sé fullkomlega heilsuhraustur og vinnufær og, sé svo ekki, hvers vegna.


Á eyðublaði fyrir líf- og sjúkdómatryggingu er loks óskað upplýsinga um hvort foreldri eða systkini sé látið og, sé svo, hvers vegna og hver dánaraldur var; og hvort foreldrar eða systkini séu með arfgenga sjúkdóma eða hafi greinst með hjarta- eða æðasjúkdóma, heilablóðfall, háan blóðþrýsting, sykursýki, nýrnasjúkdóma, krabbamein, MS-sjúkdóm, MND-sjúkdóm, parkinson-sjúkdóm eða alzheimer-sjúkdóm fyrir 60 ára aldur. Sé svo er óskað nánari skýringa þar að lútandi.


Að endingu hafa bæði eyðublöðin að geyma yfirlýsingu um heimild vátryggingafélagsins til að afla heilsufarsupplýsinga um umsækjanda hjá læknum og sjúkrastofnunum, sbr. svohljóðandi orðalag: "Ég veiti hér með læknum, sjúkrahúsum og öðrum er hafa með höndum upplýsingar um heilsufar mitt og sjúkrasögu heimild til að veita félaginu og trúnaðarlækni þess þær upplýsingar er nauðsynlegar kunna að vera við ákvörðun um veitingu vátryggingarinnar."


Af framangreindu má ráða að aflað er upplýsinga um umsækjanda, bæði frá honum sjálfum og frá öðrum, og auk þess, þegar sótt er um líf- og sjúkdómatryggingu, um foreldra og systkini umsækjanda. Þeirra síðarnefndu er aflað frá umsækjanda.

Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við "[s]érhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla "sérhver[ja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af þessu leiðir að söfnun, úrvinnsla og varðveisla [B] á framangreindum upplýsingum felur í sér vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.


Öll þessi vinnsla þarf, eins og önnur vinnsla persónuupplýsinga, að eiga sér stoð í einhverju af skilyrðum 8. og, eftir atvikum, 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Auk þess þarf vinnslan að vera í samræmi við meginreglur 1. mgr. 7. gr. laganna, m.a. um að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti (1. tölul.); fengnar í yfirlýstum, skýrum og málefnalegum tilgangi (2. tölul.); og vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Felur ákvæðið í sér þá meðalhófsreglu að ekki skal unnið með persónuupplýsingar nema það sé nauðsynlegt og málefnalegt.


Samkvæmt c.-lið 8. tölul. 2. gr. laganna teljast upplýsingar um "heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun" til viðkvæmra persónuupplýsinga. Sé litið til þeirra persónuupplýsinga, sem [B] safnar um umsækjendur um líf- og sjúkdómatryggingar með notkun framangreinds eyðublaðs, er ljóst að þær teljast til viðkvæmra persónuupplýsinga í skilningi laganna. Verður heimild til vinnslu þeirra þar með bæði að uppfylla eitthvert af skilyrðum 1. mgr. 8. gr. og 1. mgr. 9. gr. fyrrgreindra laga. Þá ber að geta þess að þegar upplýsinga er aflað frá hinum skráða sjálfum ber að virða ákvæði 20. gr. laganna um fræðsluskyldu og að þegar upplýsinga er aflað frá öðrum en hinum skráða sjálfum ber að líta til ákvæðis 21. gr. um skyldu til að láta hinn skráða vita um vinnsluna.


Loks hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001, sjá nánari umfjöllun í 3. lið hér að neðan.

Af þeim skilyrðum er greinir í 1. mgr. 8. gr. kemur helst til skoðunar ákvæði 1. tölul. um að vinnsla sé heimil hafi hinn skráði ótvírætt samþykkt vinnsluna eða veitt samþykki skv. 7. tölul. 2. gr. Með samþykki í skilningi 7. tölul. 2. gr. laga nr. 77/2000 er átt við sérstaka, ótvíræða yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Ekkert liggur fyrir í gögnum málsins um að slíks samþykkis sé aflað frá þeim sem leggur inn beiðni um líf-, slysa- eða sjúkdómatryggingu. Til þess að samþykki teljist vera upplýst þarf honum að hafa verið veitt fræðsla í samræmi við ákvæði 20. gr. laga nr. 77/2000, sbr. nánar lið 2.2. hér að neðan. Þrátt fyrir það verður engu að síður að telja umsækjanda ótvírætt hafa samþykkt vinnsluna með útfyllingu beiðninnar og undirritun hennar, sbr. 1. tölul. 1. mgr. 8. gr. laganna.


Með vísun til framangreinds verður hins vegar ekki fullyrt að vinnslan eigi sér stoð í 1. tölul. 1. mgr. 9. gr. sömu laga. Af skilyrðum 9. gr. kemur þá helst til álita 2. tölul. 1. mgr. um að vinna megi með viðkvæmar persónuupplýsingar standi til þess sérstök heimild samkvæmt öðrum lögum. Í 82. gr. laga nr. 30/2004 segir að á meðan vátryggingafélag hafi ekki samþykkt að veita vátryggingu geti það óskað eftir upplýsingum sem hafi þýðingu fyrir mat þess á áhættunni. Kemur fram að slíkra upplýsinga má bæði afla beint frá vátryggingartaka, eða eftir atvikum vátryggðum, sem og hjá öðrum en vátryggingartaka eða vátryggðum. Í síðarnefnda tilvikinu skal upplýsingaöflunin byggjast á skriflegu, upplýstu samþykki þess sem aflað er upplýsinga um. Af framangreindu ákvæði má ráða að vilji löggjafans standi til þess að við öflun upplýsinga í tengslum við slíka starfsemi frá vátryggingartaka eða vátryggðum nægi samþykki samkvæmt 1. tölul. 1. mgr. 8. gr.


Öflun upplýsinga hjá vátryggingartaka eða vátryggða sjálfum telst þar með fullnægja skilyrðum þessa ákvæðis. Þegar litið er til þess á hún sér því bæði stoð í 1. tölul. 1. mgr. 8. gr. og 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000.


Að því er varðar öflun upplýsinga um umsækjanda hjá þriðja aðila ber að hafa í huga að samkvæmt 2. mgr. 82. gr. laga nr. 30/2004 skal það ekki gert nema fyrir liggi skriflegt, upplýst samþykki hans. Til þess að samþykki teljist upplýst þarf honum að hafa verið veitt tiltekin fræðsla í samræmi við ákvæði 21. gr. laga nr. 77/2000, s.s. um hvaða upplýsinga verði óskað, hjá hverjum o.s.frv., sbr. nánar lið 2.2. hér að neðan. Ella uppfyllir öflun persónuupplýsinga um vátryggingartaka hjá öðrum en honum sjálfum ekki kröfur 82. gr. laga nr. 30/2004.

Kemur þá til skoðunar lögmæti þess þegar umsækjandi um vátryggingu, n.t.t. líf- og sjúkdómatryggingu, lætur vátryggingafélagi í té viðkvæmar persónuupplýsingar um aðra en hann sjálfan, þ.e. um sjúkdóma foreldra og systkina sem kunna að vera arfgengir. Enda þótt eyðublað fyrir líf- og sjúkdómatryggingu geri ekki ráð því að umsækjandi nafngreini þessa ættingja eru þetta persónuupplýsingar um þá enda að jafnaði ljóst hverjir í hlut eiga. Er bent á að umsækjandi getur ekki án umboðs samþykkt vinnslu um aðra en sjálfa sig. Má hér vísa til athugasemda við 1. tölul. 1. mgr. 9. gr. í greinargerð sem fylgdi frumvarpi því sem varð að lögum nr. 77/2000, en þar segir: "[Getur] komið til þess að ekki nægi að fá samþykki hins skráða, t.d. ef hann veitir með því upplýsingar um aðra menn en sjálfan sig, eða ef lögboðið er að fleira þurfi til, sbr. a-lið 2. mgr. 8. gr. tilskipunar ESB." Það ákvæði sem hér á við er að finna í 82. gr. laga nr. 30/2004 um vátryggingasamninga. Hún hljóðar svo:

Af framangreindu ákvæði og skýringum við það í athugasemdum frumvarpsins má ráða að vátryggingafélagi sé heimilt að afla upplýsinga um heilsufar skyldmenna til þess að meta tilefni til þess að athuga fyrra eða núverandi heilsufar þess sem óskar vátryggingar. Vátryggjendum er m.ö.o. heimilt að spyrja um þessi atriði í þeim tilgangi að meta hvort rannsaka þurfi frekar núverandi eða fyrra heilsufar þess sem óskar vátryggingar. Enga heimild er hins vegar að finna fyrir vátryggjendur til að afla upplýsinga um hvort vátryggður sé líklegur til þess að fá eða þróa með sér tiltekna sjúkdóma í framtíðinni. Þvert á móti er vátryggjendum óheimilt, fyrir eða eftir gerð samnings um persónutryggingu, að óska eftir, afla með einhverjum öðrum hætti, taka við eða hagnýta sér upplýsingar um erfðaeiginleika manns og áhættu á því að hann þrói með sér eða fái sjúkdóma. Í ljósi þess banns verður að líta svo á að vátryggingafélagi sé óheimilt að afla upplýsinga um heilsufar skyldmenna sem eru til þess fallnar að gefa til kynna erfðaeiginleika umsækjandans. Ber hér að hafa í huga að margir algengir sjúkdómar orskast af samspili erfða- og umhverfisþátta. Verður því að líta svo á að öflun upplýsinga arfgenga sjúkdóma foreldra og systkina jafngildi hagnýtingu upplýsinga um erfðaeiginleika umsækjandans sjálfs. Verður enda vart komið auga á það í hvaða tilgangi öðrum tryggingafélag ætti að sækjast eftir upplýsingum um slíka sjúkdóma hjá einstaklingum. Að því er varðar öflun annarra heilsufarsupplýsinga um þessa einstaklinga verður hins vegar ekki fullyrt að hún sé óheimil, enda byggi hún á samþykki þeirra, sbr. 7. tölul. 2. gr. laga 77/2000.


Má í þessu sambandi minna á dóm Hæstaréttar frá 27. nóvember 2003 í máli 151/2003. Þar er m.a. byggt á 1. mgr. 71. gr. stjórnarskrárinnar er veitir sérhverjum manni friðhelgi um einkalíf sitt og minnt á að til að tryggja þá friðhelgi verði meðal annars að gæta að því að lög leiði ekki af sér raunhæfa hættu á að upplýsingar um einkahagi tiltekins manns komist í hendur annarra. Því var í dóminum byggt á því að áfrýjandi gæti sjálfur haft hagsmuni af því að upplýsingar úr sjúkraskrám látins föður hans yrðu ekki fluttar í þann gagnagrunn, sem málið laut að, vegna hættu á að af þeim yrði ályktað um einkahagi hans sjálfs.


Með vísun til alls framangreinds og að því virtu að samkvæmt lögunum er vátryggjendum beinlínis bannað að afla eða hagnýta sér með nokkrum hætti erfðafræðilegar upplýsingar eða óska eftir rannsóknum sem leitt geta slíkar upplýsingar í ljós, er það niðurstaða Persónuverndar að [B] sé óheimilt að afla upplýsinga um heilsufar þeirra sem að einhverju leyti fela í sér upplýsingar um arfgerð umsækjandans.

Eins og áður segir þarf vinnsla sem uppfyllir eitthvert skilyrða 8. og 9. gr. ennfremur að vera í samræmi við meginreglur 7. gr. laganna. Samkvæmt 1. mgr. 7. gr. skal þess m.a. gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul., að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul., og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul.


Persónuvernd hefur farið yfir eyðublöð þau sem umsækjendur um líf-, slysa- og sjúkdómatryggingu fylla út, þ.e. eyðublað fyrir slysatryggingu, eyðublað fyrir sjúkra- og slysatryggingu, eyðublað fyrir sjúkrakostnaðartryggingu og eyðublað fyrir líf- og sjúkdómatryggingu. Á því síðastnefnda er gert ráð fyrir að umsækjandi veiti viðkvæmar persónuupplýsingar um foreldra og systkini án þess að samþykki þeirra liggi fyrir. Á öllum eyðublöðunum skortir og fræðslu varðandi öflun viðbótarupplýsinga um umsækjanda frá öðrum en honum sjálfum, sbr. 21. gr. laga nr. 77/2000. Hafa verður í huga að samkvæmt 1. tölul. 1. mgr. 7. gr. á vinnsla að vera sanngjörn, en því skilyrði er ekki fullnægt nema vinnsla uppfylli kröfur um ákveðið gagnsæi. Í því felst m.a. að hinn skráði á almennt að eiga kost á vitneskju um vinnsluna, auk þess sem almennt verður að veita fræðslu sem uppfyllir tiltekin skilyrði, sbr. m.a. 20. og 21. gr laga nr. 77/2000. Í ljósi þessa telur Persónuvernd öflun persónuupplýsinga um foreldra og systkini umsækjanda, sem og öflun upplýsinga frá öðrum en honum sjálfum, ekki samrýmast 1. tölul. 1. mgr. 7. gr.


Hvað síðarnefndu upplýsingaöflunina varðar telur Persónuvernd æskilegt að höfð verði hliðsjón af skilgreiningu hugtaksins samþykki í 7. tölul. 2. gr. laga nr. 77/2000. Er þannig einkum æskilegt að fram komi hvaða upplýsinga kann að verða óskað og í hvaða tilvikum, í hvaða tilgangi, hvernig þær verði meðhöndlaðar og að umsækjanda sé heimilt að afturkalla samþykki sitt. Um fræðslu við öflun umrædds samþykkis vísast að öðru leyti til þess sem fram kemur þar að lútandi í A-lið kafla 2.1 hér að ofan.


Aðra vinnslu persónuupplýsinga á grundvelli umræddra eyðublaða en þá sem hér hefur verið fjallað um telur Persónuvernd ekki fara í bága við ákvæði 7. gr. laga nr. 77/2000.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.


Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.


Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.


Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.


Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, hefur Persónuvernd gert athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga og reglna hjá [B]. Athugunin byggist annars vegar á rýni gagna frá félaginu og hins vegar á niðurstöðu vettvangsathugunar.


a. Öryggisstefna
Í 1. tölul. 3. gr. reglna nr. 299/2001 segir eftirfarandi: "Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til sinnar eigin vinnslu. Gert er ráð fyrir því að kröfur um öryggi persónuupplýsinga taki mið af þeim þáttum sem ábyrgðaraðili telur einkenna vinnsluna, s.s. hvort það sé aðgengileiki, áreiðanleiki eða öryggi viðkomandi persónuupplýsinga sem varði mestu.


Persónuvernd hefur farið yfir öryggisstefnu [B] og telur hana vera í samræmi við þær kröfur sem gerðar eru til slíks skjals samkvæmt reglum nr. 299/2001.


b. Áhættumat
Í 2. tölul. 3. gr. reglna nr. 299/2001 er að finna reglur sem veita ábyrgðaraðilum persónuupplýsinga leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir: "Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglna þessara. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega."


Persónuvernd hefur farið yfir áhættumat [B]. Að áliti Persónuverndar stenst matið þær kröfur sem gerðar eru til áhættumats samkvæmt 2. tölul. 3. gr. reglna nr. 299/2001.


c. Lýsing á öryggisráðstöfunum
Samkvæmt 3. tölul. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: "Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og setja fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ.á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega."


Eins og áður hefur komið fram kemur lýsing [B] á öryggisráðstöfunum fram í tveimur skjölum, annars vegar sérstökum vinnureglum varðandi meðferð og öryggi persónuupplýsinga í öryggishandbók félagsins og hins vegar í skjali sem nefnist "Verklagsreglur". Vinnureglurnar í öryggishandbókinni verður að telja fullnægjandi til að gegna því hlutverki sem þeim er ætlað, þ.e. að veita starfsmönnum almennar leiðbeiningar, þó svo að æskilegt væri að tengja þær skjalinu "Verklagsreglur" sem hefur að geyma ítarlegri lýsingu á öryggisráðstöfunum. Í úttektarskýrslu segir m.a. um það skjal: "Ekki staðist – Erfitt er að meta einstakar verklagsreglur þar sem eingöngu var farið lauslega yfir þær á rafrænu formi við úttekt. Kom þar í ljós að umfang í einstökum verklagsregl[um] þarf að skilgreina betur þar sem það er skilgreint sem 'Allt' án frekari útskýringar."


Er lagt fyrir [B], sbr. 1. mgr. 40. gr. laga nr. 77/2000, að betrumbæta skjalið "Verklagsreglur" fyrir 1. janúar 2006 þannig að orðið verði við þessari ábendingu. Eins og fram kemur hér að neðan þarf og að móta áætlun um viðbrögð vegna meiriháttar bilana og stófáfalla.


2. Einstakar öryggisráðstafanir
Ljóst er, varðandi einstakar öryggisráðstafanir, sem við prófun voru ekki álitnar vera sem skyldi, að flestar hafa þær í raun verið innleiddar en ekki fengist á þær slík reynsla að talið hafi verið unnt að fullyrða að þeim væri beitt. Telur Persónuvernd í því ljósi að mestu leyti ekki þörf á að gera athugasemdir varðandi þessar ráðstafanir að öðru leyti en því að brýnt er fyrir [B] að viðhafa þær með þeim hætti sem ætlað er. Hins vegar liggur fyrir að áætlun skortir um stjórnun á rekstrarsamfellu, þ.e. viðbrögðum við röskun á rekstri sem miða að því að vernda hann fyrir meiriháttar bilunum eða stóráföllum. Brýnt er að áætlun þessu að lútandi liggi fyrir og er lagt fyrir [B], sbr. 1. mgr. 40. gr. laga nr. 77/2000, að útbúa hana fyrir 1. janúar 2006.

Úttekt Persónuverndar, framkvæmd á grundvelli laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og með tilliti til ákvæða laga um vátryggingarsamninga nr. 30/2004 sem munu gilda frá og með 1. janúar 2006, hefur leitt í ljós að vinnsla persónuupplýsinga á vegum [B], sem aflað er frá umsækjendum um líf-, slysa- og sjúkdómatryggingar, uppfyllir skilyrði 7.–9. gr. laga nr. 77/2000 að öðru leyti en því að:


a) Öflun upplýsinga hjá þriðja aðila, um mann sem sækir um líf- og sjúkdómatryggingu, er óheimil nema fyrir liggi skriflegt, upplýst samþykki hans og honum hafi verið veitt fræðsla í samræmi við ákvæði 21. gr. laga nr. 77/2000.


b) Öflun upplýsinga um arfgenga sjúkdóma foreldra og systkina umsækjenda er óheimil.

Úttekt Persónuverndar, sem boðuð var með bréfi, dags. 20. júní 2003, og fram fór á grundvelli gagna, sem [B] lagði fram í febrúar og mars 2004, leiddi ekki í ljós að öryggi við vinnslu persónuupplýsinga hjá félaginu í tengslum við líf-, slysa- og sjúkdómatryggingar, væri í ósamræmi við 11.–13. gr. laga nr. 77/2000 og reglur nr. 299/2001, að undanskildum tveimur atriðum. Þessi atriði eru (a) að endurbæta þarf skjalið "Verklagsreglur" þannig að það fullnægi kröfum 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, sbr. 5. mgr. 11. gr. laga nr. 77/2000, og (b) að gera þarf áætlun um viðbrögð við meiriháttar bilunum og stóráföllum.

Er þeim tilmælum hér með beint til [B] að gera nauðsynlegar breytingar samkvæmt framanrituðu þannig að starfsemi félagsins uppfylli skilyrði laga nr. 77/2000 og laga nr. 30/2004 við gildistöku þeirra hinn 1. janúar 2006.