Umsögn um frumvarp til laga um vátryggingarsamninga
Umsögn til efnahags- og viðskiptanefndar Alþingis, dags. 12. janúar 2004
Persónuvernd vísar til bréfa yðar, dags. 12. og 18. nóvember f.á., þar sem óskað er umsagnar um frumvarp til laga um vátryggingarsamninga. Persónuvernd hefur nú farið yfir þetta frumvarp. Þau ákvæði frumvarpsins, sem með einum eða öðrum hætti varða meðferð persónuupplýsinga, eru einkum 19.–24. gr., 29. gr., 36. gr., 47. gr., 4. mgr. 50. gr., d-liður 2. mgr. 54. gr., 1. mgr. 56. gr., 1. og 2. mgr. 58. gr., e-liður 2. mgr. 70. gr., 73. gr., 2. mgr. 76. gr., 1. mgr. 80. gr., 1. mgr. 81. gr., 82.–89. gr., 2. mgr. 100. gr., 1. mgr. 101. gr., 1. og 2. mgr. 105. gr., 112. gr., 113. gr., 120. gr., 3. mgr. 123. gr., e-liður 1. mgr. 127. gr., 128. gr., 1. mgr. 129. gr., 1. og 2. mgr. 131. gr., 135. gr. og 140. gr.
Persónuvernd telur ekki ástæðu til að gera athugasemdir við öll þessi ákvæði frumvarpsins. Hins vegar bendir stofnunin á að verði það að lögum verður þeim beitt í samræmi við fyrirmæli laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, þ. á m. kröfur 1. mgr. 7. gr. um, m.a., að með persónuupplýsingar skal unnið í málefnalegum tilgangi, sbr. 1. og 2. tölul., að aldrei skal unnið með meiri persónuupplýsingar en nauðsynlegt er vegna tilgangsins með vinnslunni, sbr. 3. tölul., og að persónuupplýsingar skulu vera áreiðanlegar, sbr. 4. tölul. Er því lagt til að þetta verði sérstaklega tekið fram í lögunum sjálfum. Hefur Persónuvernd auk þessa ákveðið að gera sérstakar athugasemdir við nokkur ákvæði frumvarpsins, eða sem hér greinir:
1. Í 19. gr. er kveðið á um skyldu vátryggingartaka til að veita vátryggingafélagi upplýsingar um atvik sem haft geta þýðingu við mat þess á áhættu af gerð vátryggingarsamnings um skaðatryggingu (þ.e. tryggingu fyrir munatjóni). Segir að upplýsinganna skuli aflað beint frá vátryggingartaka, eða eftir atvikum vátryggðum. Þá segir að sé upplýsinga aflað hjá öðrum en vátryggingartaka eða vátryggðum skuli skriflegt, upplýst samþykki viðkomandi liggja fyrir áður en upplýsinganna er aflað. Í athugasemdum við þetta ákvæði kemur fram að skylda til að veita upplýsingar hvílir ekki á vátryggðum, heldur aðeins á vátryggingartaka, sbr. og 4. gr. gildandi laga um vátryggingarsamninga nr. 20/1954, nema í undantekningartilvikum, þ.e. þegar reglur 29. gr. frumvarpsins um samsömun í ákveðnum tegundum vátrygginga við vissa einstaklinga, m.a. ættingja, eiga við. Í ljósi þessa telur Persónuvernd ákvæðið geta leitt til þess að vátryggingartaki veiti upplýsingar um vátryggðan, s.s. um heilsufar, án þess að sá síðarnefndi hafi veitt heimild til slíkrar upplýsingagjafar. Á þetta getur t.d. reynt í hópvátryggingum þegar einn vátryggingartaki tekur að sér að semja um vátryggingu fyrir marga vátryggða. Þó að ekki sé unnt að fullyrða að 19. gr. veiti heimild til upplýsingagjafar sem þessarar, verði frumvarpið að lögum, telur Persónuvernd nauðsynlegt, í ljósi þess um getur verið að ræða viðkvæmar persónuupplýsingar, að kveðið verði sérstaklega á um hvernig einkalífsréttur vátryggðs skuli varinn við upplýsingagjöf vátryggingartaka. Leggur Persónuvernd því til að á eftir 3. málsl. 1. mgr. 19. gr., um nauðsyn upplýsts samþykkis við öflun upplýsinga frá öðrum en vátryggingartaka eða vátryggðum, verði bætt við nýjum málsl., svohljóðandi: "Hið sama á við þegar vátryggingartaki veitir upplýsingar fyrir hönd vátryggðs."
2. Í 73. gr. er kveðið á um að þegar vátryggingafélag taki ákvörðun um hvort það veiti vátryggingu og meti áhættu sína skuli það leggja til grundvallar heilsu hins vátryggða á því tímamarki er vátryggingartaki afhenti fullbúna umsókn um tiltekna vátryggingu. Félagið geti hins vegar einnig tekið tillit til þess að heilsu vátryggðs hafi hrakað eftir að umsókn var afhent ef það tengist aðstæðum sem voru fyrir hendi við afhendingu hennar og skýrt er frá við athuganir þess. Í þessu ákvæði er gert ráð fyrir sjálfstæðri öflun vátryggingafélags á heilsufarsupplýsingum um vátryggðan eftir að því hefur borist umsókn um vátryggingu, eins og nánar kemur fram í athugasemdum við það, þ.e. til að kanna hvort heilsu hans hafi hrakað og meta áhættu sína og hæfilega fjárhæð iðgjalds í ljósi þess. Ljóst er að þessi upplýsingaöflun verður að byggjast á skriflegu, upplýstu samþykki, sbr. 19. gr. frumvarpsins. Í því sambandi leggur Persónuvernd áherslu á að í slíku samþykki skal koma skýrt fram hvaða upplýsinga vátryggingafélag má afla um vátryggðan, frá hverjum og í hvaða tilgangi.
3. Í 1. mgr. 82. gr. er kveðið á um skyldu vátryggingartaka til að veita vátryggingafélagi upplýsingar um atvik sem haft geta þýðingu við mat þess á áhættu af gerð vátryggingarsamnings um persónutryggingu (þ.e. tryggingu fyrir líkamstjóni og dauða). Er ákvæðið samhljóða 1. mgr. 19. gr. frumvarpsins og vísast því hér til athugasemda við það ákvæði í 1. tölul. þessarar umsagnar. Leggur Persónuvernd að við 1. mgr. 82. gr. verði bætt nýju ákvæði, samhljóða því sem þar er gerð tillaga um.
4. Í 2. mgr. 82. gr. er kveðið á um að vátryggingafélagi sé óheimilt, fyrir eða eftir gerð samnings um persónutryggingu, að óska eftir, afla með einhverjum öðrum hætti, taka við eða hagnýta sér upplýsingar um erfðaeiginleika manns og áhættu á því að hann þrói með sér eða fái sjúkdóma. Félaginu sé einnig óheimilt að óska eftir rannsóknum sem teljast nauðsynlegar til þess að kostur sé á að fá slíkar upplýsingar. Persónuvernd fagnar þessu ákvæði en gerir þó athugasemd við niðurlag þess, þ.e. að þetta bann gildi þó ekki um athugun á núverandi eða fyrra heilsufari mannsins eða annarra einstaklinga. Í athugasemdum við ákvæðið kemur fram að samkvæmt þessari undanþágu má athuga heilsufar skyldmenna til að meta tilefni til að rannsaka fyrra eða núverandi heilsufar þess sem óskar vátryggingar. Ekki sé hins vegar heimilt að athuga heilsufar skyldmenna til að kanna arfgenga þætti. Persónuvernd telur ekki unnt að aðgreina þetta tvennt. Í athugasemdunum segir raunar að ljóst sé að munurinn á þessu tvennu sé ekki glöggur. Aftur á móti telur Persónuvernd að athugun á heilsufari skyldmenna til að meta tilefni til að rannsaka heilsufar vátryggðs geti eðli málsins samkvæmt ekki falið í sér annað en könnun á því hvort telja megi hættu á arfgengum sjúkdómi og hvort sérstök könnun á heilsufari vátryggðs sé þar af leiðandi nauðsynleg. Leggur Persónuvernd því til að orðin "eða annarra einstaklinga" aftast í 2. mgr. 82. gr. frumvarpsins verði felld brott.
5. Í 112. gr. eru ákvæði um skrá sem hvert líftryggingafélag á að halda um alla þá líftryggingarsamninga sem það gerir, þ.e. svonefnda líftryggingaskrá. Í skránni skulu koma fram vátryggingarskilmálar um hvern og einn samning, réttindi um greiðslur í framtíðinni, iðgjaldagreiðslur og hver sé vátryggingartaki og hver sé vátryggður. Þá skal það og koma fram ef einhver hefur öðlast rétt til vátryggingarinnar (t.d. samkvæmt framsali eða veðsetningu, sbr. athugasemdir við ákvæðið), hvort vátryggingartaka hafi verið veitt heimild til nauðasamninga, hvort bú hans hafi verið tekið til skipta og hvort hann hafi verið sviptur lögræði. Samkvæmt athugasemdum við ákvæðið er líftryggingaskrám ætlað að fullnægja kröfum viðskiptaöryggis. Þá segir í athugasemdunum að skrá megi önnur atriði en talin eru upp í ákvæðinu, einkum ef þau samrýmast því markmiði að tryggja viðskipti með réttindin. Persónuvernd telur hins vegar vandséð að málefnalegt geti verið að skrá í skrána upplýsingar um önnur þau atiði en sem tengjast viðskiptaöryggi, enda verður hvorki séð af ákvæðinu né athugasemdum við það að skráin hafi nokkurt annað hlutverk. Vísast í þessu sambandi til grundvallarkrafna 1. mgr. 7. gr. laga nr. 77/2000 til vinnslu persónuupplýsinga, m.a. að ekki sé unnið með meiri upplýsingar en nauðsyn krefur vegna yfirlýsts tilgangs með vinnslunni, sbr. 3. tölul. Hins vegar tekur Persónuvernd undir þau orð í athugasemdum við XVII. kafla frumvarpsins, þar sem 112. gr. er að finna, að skráning yfir líftryggingarsamninga skuli ekki vera í verðbréfamiðstöð skv. lögum nr. 131/1997 um eignarskráningu verðbréfa, sem og þau rök sem færð eru fyrir því, m.a. að þar sem um viðkvæmar persónuupplýsingar geti verið að ræða kunni Persónuvernd að gera aðrar kröfur til varðveislu þeirra en varðveislu upplýsinga skv. lögum nr. 131/1997. Ljóst er og að gera verður strangar kröfur til öryggis persónuupplýsinga í líftryggingaskrám, sbr. 2. mgr. 11. gr. þar sem kemur m.a. fram að öryggisráðstafanir eiga að tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á.
6. Í 113. gr. er kveðið á um hverjum veita má aðgang að upplýsingum, þ.e. endurriti, úr líftryggingaskrá. Þá er þar og kveðið á um að endurrit skuli aðeins hafa að geyma upplýsingar sem þýðingu hafi fyrir þann sem krefst þess, sem og að vátryggingafélag hafi að öðru leyti þagnarskyldu um efni líftryggingaskrár. Persónuvernd fagnar því að sérstaklega sé kveðið á um þessi atriði. Þó að grundvallarkröfur 1. mgr. 7. gr. laga nr. 77/2000 um, m.a., að eingöngu skal unnið með persónuupplýsingar í málefnalegum tilgangi, sbr. 1. og 2. tölul., og að ekki skal unnið með meiri persónuupplýsingar en nauðsynlegt er vegna tilgangsins með vinnslunni, sbr. 3. tölul., gildi um meðferð persónuupplýsinga í vátryggingarstarfsemi, er mikilvægt að þetta sé áréttað í 113. gr. frumvarpsins, enda kunna upplýsingar í líftryggingaskrám að vera viðkvæmar, einkum þar sem þær kunna að lúta að heilsuhögum, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000. Er það raunar tekið fram í athugasemdum við ákvæðið.
7. Samkvæmt 3. mgr. 140. gr. getur viðskiptaráðherra ákveðið með reglugerð að ákvæðum 113.–115. gr. um líftryggingaskrár skuli beitt um skrár yfir þátttakendur hópvátrygginga sem haldnar er af vátryggingartökum. Þegar um er að ræða skrár vátryggingartaka yfir vátryggða samkvæmt líftryggingarsamningum telur Persónuvernd hins vegar í öllum tilvikum nauðsynlegt að 113. gr. gildi, enda geta slíkar skrár haft að geyma upplýsingar sama eðlis. Því er lagt til að við 3. mgr. 140. gr. verði bætt nýjum málsl. sem komi í lok ákvæðisins, svohljóðandi: "Ákvæði 113. gr. skal þó ávallt beitt um slíka skrá sé um að ræða líftryggingu."