Álit á túlkun og framkvæmd tiltekinna ákvæða í lögum um vátryggingarsamninga

Mál nr. 2020092334

26.11.2020

Álit

Hinn 2. október 2020 samþykkti Persónuvernd svohljóðandi álit í máli nr. 2020092334:

1.

Álitsbeiðni

Hinn 8. september 2020 barst Persónuvernd bréf Trygginga og ráðgjafar ehf. Í bréfinu er óskað álits Persónuverndar á túlkun og framkvæmd ákvæða laga nr. 30/2004, um vátryggingarsamninga, með hliðsjón af lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í álitsbeiðni Trygginga og ráðgjafar ehf. er rakið hvernig félagið hefur túlkað og framkvæmt ákvæði laga nr. 30/2004, um vátryggingarsamninga, sem lúta að lögbundinni þarfagreiningu. Einnig er farið yfir túlkun Fjármálaeftirlitsins á sömu ákvæðum. Nánar tiltekið er um að ræða 6. og 140. gr. e. laganna, sem kveða á um þarfagreiningar áður en gerðir eru vátryggingarsamningar eða samningar um vátryggingatengdar fjárfestingarafurðir, og 140. gr. g. laganna, sem kveður á um að dreifingaraðilar vátrygginga skuli varðveita öll skjöl sem liggja til grundvallar viðskiptum, þar sem fram koma réttindi og skyldur aðila og aðrir skilmálar þjónustunnar.

Óskað er álits Persónuverndar á eftirfarandi:

1. Hefur einstaklingur rétt til þess að hafna því að veita um sig persónuupplýsingar þrátt fyrir framangreind ákvæði laga nr. 30/2004, um vátryggingarsamninga?

2. Hefur dreifingaraðili heimild til þess að gera vátryggingarsamninga við viðskiptavin þótt viðkomandi hafi hafnað því að veita um sig skriflegar upplýsingar samkvæmt framangreindum lagaákvæðum að einhverju eða öllu leyti?

3. Telur Persónuvernd réttlætanlegt að dreifingaraðilar varðveiti öll skjöl sem liggja til grundvallar viðskiptum, samkvæmt 1. mgr. 140. gr. g. laga nr. 30/2004, þegar vinnslu persónu­upplýsinganna er lokið?

2.

Afmörkun máls

Í upphafi er rétt að árétta að Fjármálaeftirlitið hefur eftirlit með því að gerðar séu þarfagreiningar samkvæmt 6. gr. og 140. gr. e. og f. laga nr. 30/2004, um vátryggingarsamninga, sbr. 145. gr. b. laganna.

Gildissvið persónuverndarlaga nr. 90/2018 og reglugerðar (ESB) 2016/679, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og um vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 4. gr. laganna. Samkvæmt 1. mgr. 39. gr. laganna annast Persónuvernd eftirlit með framkvæmd laganna og reglugerðarinnar, sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna um efnið. Af þeim sökum hefur Persónuvernd ekki heimildir til þess að skoða aðra þætti við framkvæmd laga nr. 30/2004, um vátryggingarsamninga, en þá sem lúta að vinnslu persónuupplýsinga. Enn fremur hefur Persónuvernd ekki valdheimildir til þess að endurskoða túlkun Fjármálaeftirlitsins á ákvæðum laga nr. 30/2004 sem lúta að eftirliti þess.

Þá hefur Persónuvernd ekki borist kvörtun eða ábending um að ekki hafi verið farið að lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, við framkvæmd þarfagreiningar hjá álitsbeiðanda, Tryggingum og ráðgjöf ehf. Persónuvernd mun því, í áliti þessu, einungis fjalla almennt um þá vinnslu persónuupplýsinga sem fram fer í tengslum við umræddar þarfagreiningar.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður hvort tveggja, að byggjast á fullnægjandi vinnsluheimild og samrýmast öllum meginreglum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679.

Ábyrgðaraðilar ákveða, einir eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðarinnar. Það er á þeirra ábyrgð að tryggja og sýna fram á að vinnsla persónuupplýsinga á þeirra vegum fari fram í samræmi við lögin og reglugerðina, sbr. 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. og 1. mgr. 24. gr. reglugerðarinnar. Dreifingaraðilar vátrygginga, í þessu tilviki Tryggingar og ráðgjöf ehf., teljast vera ábyrgðaraðilar að vinnslu persónuupplýsinga í tengslum við þarfagreiningar samkvæmt 6. og 140. gr. e. laga nr. 30/2004, um vátryggingarsamninga.

Kveðið er á um almennar heimildir fyrir vinnslu persónuupplýsinga í 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðarinnar. Vinnsla viðkvæmra persónuupplýsinga verður jafnframt að uppfylla eitt af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Þegar metið er hvort heimild sé fyrir vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni.

Samkvæmt 1. mgr. 6. gr. laga nr. 30/2004, skulu dreifingaraðilar vátrygginga skilgreina kröfur og þarfir vátryggingartaka á grundvelli upplýsinga frá honum sjálfum. Þarfagreiningin skal taka mið af eðli vátryggingarinnar sem mælt er með og þekkingu vátryggingartaka á vátryggingunni, sbr. 2. mgr. sömu greinar. Samkvæmt 1. mgr. 140. gr. e. laganna, sem varðar vátryggingatengdar fjárfestingarafurðir, skulu dreifingaraðilar, til viðbótar við upplýsingar samkvæmt 1. og 2. mgr. 6. gr., fá nauðsynlegar upplýsingar um reynslu og þekkingu viðskiptavinar á fjárfestingum vegna vátryggingatengdrar fjárfestingar­afurðar, fjárhagsstöðu hans, þ.m.t. getu hans til að þola tap, og fjárfestingarmarkmið, þ.m.t. áhættuþol, svo að hægt sé að mæla með hentugri afurð.

Í lögunum er ekki kveðið á um hvaða upplýsinga nákvæmlega dreifingaraðilar vátrygginga skuli afla frá vátryggingartaka í tengslum við þarfagreiningarnar. Ljóst er að þarfagreiningar eru mismunandi eftir eðli og umfangi fyrirhugaðra vátrygginga og þar með þær upplýsingar sem nauðsynlegt er að afla. Má telja ljóst að þar geti í ákveðnum tilvikum, þá sér í lagi í tengslum við sjúkra- og slysatryggingar, verið um að ræða viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018.

Að mati Persónuverndar er dreifingaraðilum vátrygginga heimil vinnsla persónuupplýsinga í tengslum við þarfagreiningar, samkvæmt 1. og 2. mgr. 6. gr. og 1. mgr. 140. gr. e. laga nr. 30/2004, á grundvelli 3. tölul. 9. gr. laga nr. 90/2018, sem kveður á um að vinnsla persónuupplýsinga geti verið heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. c-lið 1. mgr. 6. gr. reglugerðarinnar.

Þá telur Persónuvernd að dreifingaraðilum vátrygginga sé heimil vinnsla viðkvæmra persónuupplýsinga, í tengslum við umræddar þarfagreiningar, á grundvelli 7. tölul. 11. gr. laga nr. 90/2018, sem kveður á um að vinnsla viðkvæmra persónuupplýsinga geti verið heimil ef hún telst nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fari fram á grundvelli laga, sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, sbr. g-lið 2. mgr. 9. gr. reglugerðarinnar. Vísar Persónuvernd í því sambandi til þess að lög nr. 61/2019, um breytingu á lögum nr. 30/2004, sem lögfestu framangreind ákvæði, voru sett með það að markmiði að efla og tryggja vernd neytenda.

Það er mat Persónuverndar að með hliðsjón af kröfum 7. tölul. 11. gr. laga nr. 90/2018, væri æskilegra ef löggjafinn hefði sett skýrari ákvæði um meðferð þeirra persónuupplýsinga sem lögin gera kröfu um að dreifingaraðilar vátrygginga afli hjá vátryggingartaka í tengslum við þarfagreiningu, t.d. hvað varðar varðveislutíma og öryggi. Hins vegar er til þess að líta að samkvæmt 31. gr. laga nr. 62/2019, um dreifingu vátrygginga, hvílir þagnarskylda á dreifingaraðila vátrygginga sem lýtur að öllu því sem þeir fá vitneskju um við framkvæmd starfa síns og varðar viðskipta- eða einkamálefni viðskiptavina, nema skylt sé að veita upplýsingar samkvæmt lögum. Þá ber dreifingaraðilum vátrygginga, við alla vinnslu persónuupplýsinga, sem fellur undir gildissvið laga nr. 90/2018, að fara að meginreglum laganna, sbr. umfjöllun hér á eftir, m.a. um öryggi við vinnslu persónuupplýsinga.

Hvað varðar það sem fram kemur í álitsbeiðni um vilja viðskiptavina og samþykki þeirra til að veita upplýsingar í tengslum við þarfagreiningar er til þess að líta að ef byggja á vinnslu persónuupplýsinga á samþykki samkvæmt 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. og a-lið 1. mgr. 9. gr. reglugerðarinnar, skal samþykki vera óþvingað, samkvæmt skilgreiningu 8. tölul. 3. gr. laga nr. 90/2018, sbr. 11. tölul. 4. gr. reglugerðarinnar. Telur Persónuvernd að í því sambandi verði að líta til fyrrnefndra ákvæða 6. og 140. gr. e. laga nr. 30/2004. Samkvæmt þeim er það skilyrði fyrir gerð vátryggingarsamnings að dreifingaraðili framkvæmi þarfagreiningu á grundvelli upplýsinga frá vátryggingartaka og getur því ekki verið um óþvingað samþykki að ræða, sbr. skilgreiningu 8. tölul. 3. gr. laga nr. 90/2018, sbr. 11. tölul. 4. gr. reglugerðarinnar.

Auk heimildar samkvæmt framangreindu þarf öll vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. ákvæðis laganna), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.), að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum (4. tölul.), að þær skuli vera varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefji miðað við tilgang vinnslu (5. tölul.), og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).

Til þess að vinnsla persónuupplýsinga teljist lögmæt, sanngjörn og gagnsæ þurfa ábyrgðaraðilar m.a. að fullnægja fræðsluskyldu sinni. Þar sem hér er um að ræða persónuupplýsingar sem fást hjá hinum skráðu sjálfum ber að fræða viðkomandi á grundvelli 13. gr. reglugerðarinnar, sbr. 1. og 2. mgr. 17. gr. laga nr. 90/2018.

Aðeins skal aflað upplýsinga frá vátryggingartaka í tengslum við þarfagreiningar, samkvæmt 1. og 2. mgr. 6. gr. og 1. mgr. 140. gr. e. laga nr. 30/2004, sem nauðsynlegar eru og viðeigandi með hliðsjón af lögmæltum tilgangi, þ.e. til þess að skilgreina kröfur og þarfir vátryggingartaka, sem og til að meta reynslu, þekkingu og getu viðkomandi til að þola tap o.s.frv. ef um er að ræða vátryggingatengdar fjárfestingarafurðir. Í 3. mgr. 140. gr. h. laganna er kveðið á um að ráðherra skuli setja reglugerð þar sem tilgreint sé nánar hvaða upplýsingar skuli fá frá viðskiptavini við þarfagreiningu samkvæmt 140. gr. e. en ekki hefur enn verið sett reglugerð þar að lútandi.

Dreifingaraðilar vátrygginga skulu ekki vinna persónuupplýsingar sem fengnar eru í tengslum við umræddar þarfagreiningar í öðrum og ósamrýmanlegum tilgangi.

Dreifingaraðilar vátrygginga þurfa enn fremur að tryggja að þær persónuupplýsingar sem unnið er með í tengslum við umræddar þarfagreiningar séu áreiðanlegar og uppfærðar eftir þörfum til þess að þær gefi sem réttasta mynd af hinum skráða.

Líkt og að framan greinir skulu persónuupplýsingar ekki varðveittar lengur en þörf krefur miðað við tilgang vinnslunnar. Þar sem ekki eru skýr ákvæði í lögum um varðveislutíma tiltekinna upplýsinga þurfa ábyrgðaraðilar að ákveða viðeigandi varðveislutíma þeirra. Skjalfesta ætti það mat sem liggur að baki ákvörðun um viðeigandi varðveislutíma persónuupplýsinga og upplýsinga um vinnslu þeirra, sbr. 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðarinnar. Að mati Persónuverndar er dreifingaraðilum vátrygginga heimilt að varðveita persónuupplýsingar vátryggingartaka, sem fengnar eru vegna þarfagreiningar, í þann tíma sem nauðsynlegt er til þess að uppfyllt séu ákvæði um varðveislu í 140. gr. g. laga nr. 30/2004. Þótt ekki verði ráðið af ákvæðum 140. gr. g. að þau eigi við um upplýsingar sem aflað er á grundvelli 1. og 2. mgr. 6. gr. laganna verður að hafa í huga að varðveisla upplýsinganna er forsenda þess að Fjármálaeftirlitið geti sinnt eftirlitshlutverki sínu, samkvæmt 145. gr. a. og b. laganna, og að tilgangurinn með upplýsinga­söfnuninni, og þar með varðveislu upplýsinganna, er að tryggja vernd neytenda. Þegar tekin er ákvörðun um viðeigandi varðveislutíma þessara persónuupplýsinga þarf að hafa framangreint í huga.

Loks ber dreifingaraðilum vátrygginga að gæta þess að persónuupplýsingarnar séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt. Í því skyni þarf að gæta að þagnarskylduákvæði 31. gr. laga nr. 62/2019. Með hliðsjón af eðli umræddra upplýsinga og þeirri áhættu sem er fyrir hendi í tengslum við varðveislu þeirra væri einnig eðlilegt að Tryggingar og ráðgjöf ehf. legði mat á, eftir atvikum með gerð áhættumats eða mati á áhrifum á persónuvernd, hvort tilefni er til að takmarka aðgang að persónuupplýsingum vátryggingartaka við tiltekna starfsmenn og tiltekinn tilgang og notast við atvikaskráningu þar að lútandi.

4.

Réttur hins skráða

Í álitsbeiðninni er vikið að andmælarétti hins skráða. Samkvæmt 21. gr. reglugerðarinnar, sbr. 21. gr. laga nr. 90/2018, skal hinn skráði eiga rétt á að andmæla vinnslu persónuupplýsinga sinna sem byggist á e- eða f-lið 1. mgr. 6. gr. reglugerðarinnar. Að mati Persónuverndar byggist vinnsla persónuupplýsinga sem hér er til skoðunar á c-lið 1. mgr. 6. gr. reglugerðarinnar, eins og þegar hefur verið rakið, og eiga ákvæðin um andmælarétt hins skráða því ekki við. Það kemur hins vegar ekki í veg fyrir að ábyrgðaraðilar geti, í þeim tilvikum, heimilað hinum skráðu að koma á framfæri andmælum sínum þegar við á.

Einnig er í álitsbeiðninni vísað til réttar hins skráða til að gleymast. Samkvæmt 1. mgr. 17. gr. reglugerðarinnar, sbr. 20. gr. laga nr. 90/2018, á skráður einstaklingur rétt á að ábyrgðaraðili eyði persónuupplýsingum hans án ótilhlýðilegrar tafar ef ein þeirra ástæðna á við sem tilgreindar eru í stafliðum a-f. Það ákvæði sem helst kemur til skoðunar í þessu sambandi er a-liður 1. mgr. 17. gr. reglugerðarinnar um að eyða skuli persónuupplýsingum ef þær eru ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra eða annarri vinnslu þeirra. Ákvæði 1. mgr. 17. gr. gilda þó ekki ef vinnslan er nauðsynleg til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðilanum, sbr. b-lið 3. mgr. 17. gr.

5.

Svör við spurningum í álitsbeiðni

Að mati Persónuverndar þarf að svara spurningum 1 og 2 saman. Með hliðsjón af því sem að framan greinir um verkefni og valdsvið Persónuverndar er það ekki á forræði stofnunarinnar að kveða á um hvort dreifingaraðilum vátrygginga sé heimilt að gera vátryggingarsamninga við einstaklinga ef þeir neita að veita um sig skriflegar upplýsingar samkvæmt ákvæðum 1. og 2. mgr. 6. gr. og 140. gr. e laga nr. 30/2004, um vátryggingarsamninga, sbr. 1. mgr. 140. gr. g. laganna.

Hins vegar telur Persónuvernd að vinnsla persónuupplýsinga samkvæmt framangreindum ákvæðum geti ekki byggst á samþykki hinna skráðu þar sem ekki er hægt að líta svo á að þeir geti veitt óþvingað samþykki sitt fyrir vinnslunni.

Að mati Persónuverndar þarf vinnsla persónuupplýsinga í tengslum við þarfagreiningar samkvæmt 6. og 140. gr. e. laga nr. 30/2004 að byggjast á þeim vinnsluheimildum persónuverndarlöggjafarinnar sem vísa annars vegar til lagaskyldu ábyrgðaraðila og hins vegar, hvað varðar viðkvæmar persónuupplýsingar, almannahagsmuna. Til þess að vinnsla persónuupplýsinganna teljist lögmæt þarf jafnframt að tryggja að hún samrýmist öllum meginreglum umræddrar löggjafar.

Þá telur Persónuvernd að hinir skráðu eigi ekki andmælarétt um þá tilteknu vinnslu persónuupplýsinga, sem hér um ræðir, á grundvelli persónuverndarlöggjafarinnar.

Hvað varðar spurningu 3 telur Persónuvernd að varðveisla persónuupplýsinga, sem aflað hefur verið á grundvelli 1. og 2. mgr. 6. gr. og 140. gr. e. laga nr. 30/2004, sé heimil ábyrgðaraðilum með vísan til sömu vinnsluheimilda og að framan greinir, þ.e. á grundvelli lagaskyldu og með vísan til almannahagsmuna. Samkvæmt meginreglum persónuverndarlöggjafarinnar skulu persónuupplýsingar hins vegar ekki varðveittar lengur en þörf krefur. Dreifingaraðilum vátrygginga er því heimilt að varðveita persónuupplýsingar vátryggingartaka, sem fengnar eru vegna þarfagreiningar, í þann tíma sem nauðsynlegt er til að uppfyllt séu ákvæði um varðveislu í 140. gr. g. laga nr. 30/2004 og til að Fjármáleftirlitið geti sinnt eftirlitshlutverki sínu samkvæmt 145. gr. a. og b. sömu laga. Ákveða ætti og skjalfesta mat um viðeigandi varðveislutíma þessara persónuupplýsinga og upplýsinga um vinnslu þeirra með hliðsjón af framangreindu.