Vinnsla persónuupplýsinga af hálfu Varðar tryggingar hf.

Mál nr. 2020123129

26.6.2023

Úrskurður

 

Hinn 26. júní 2023 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020123129

I. 
Málsmeðferð
1. 
Tildrög máls

Hinn 22. desember 2020 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga hennar hjá Verði tryggingum hf. (hér eftir Vörður). Nánar tiltekið kvartaði hún yfir því að starfsmaður Varðar hefði í tölvupóstsamskiptum 18. og 19. ágúst 2020 aflað upplýsinga frá mannauðsstjóra vinnuveitanda hennar án hennar samþykkis í tengslum við umsókn hennar um slysabætur. Þá er kvartað yfir að í þessum tölvupóstsamskiptum hafi viðkomandi starfsmaður Varðar miðlað upplýsingum um heilsufar og skerta vinnugetu kvartanda til mannauðsstjórans. Samkvæmt kvörtuninni komu þessar upplýsingar fram í yfirlýsingum yfirmanns kvartanda frá 6. janúar og 14. ágúst 2020 til lögmanns hennar sem voru á meðal umsóknargagna. Því er lýst að Vörður hafi vitað að þessar yfirlýsingar væru ekki ætlaðar mannauðsdeild en hafi engu að síður vitnað til þeirra í þessum tölvupóstsamskiptum og látið þær fylgja sem viðhengi.

Með bréfi, dags. 6. maí 2021, tilkynnti Persónuvernd Verði tryggingum hf. um framangreinda kvörtun og veitti félaginu færi á að tjá sig um hana. Af hálfu Varðar var svarað með bréfi, dags. 27. maí 2021.

Við úrlausn málsins hefur verið tekið tillit til þessara gagna þótt ekki sé gerð sérstaklega grein fyrir þeim að öllu leyti í úrskurði þessum.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Í kvörtuninni segir að kvartandi hafi lent í umferðarslysi og að tjónið sé bótaskylt hjá Verði tryggingum hf. Starfsmaður Varðar hafi sent mannauðsstjóra vinnuveitanda kvartanda tölvuskeyti 18. ágúst 2020 með fyrrnefndum yfirlýsingum hengdum við, auk þess sem upplýsingar úr þeim hafi verið ritaðar í tölvuskeytið, m.a. um að kvartandi hefði misst úr vinnu vegna verkja í kjölfar slyssins. Þá hafi verið upplýsingar í yfirlýsingunum um kjör kvartanda sem ekki hefðu verið á allra vitorði. Til að mynda hafi mannauðsdeild vinnuveitanda kvartanda ekki haft þessar upplýsingar áður en starfsmaður Varðar sendi þær. Með tölvuskeytinu hafi starfsmaður Varðar jafnframt óskað eftir upplýsingum um kvartanda frá mannauðsdeildinni sem mannauðsstjórinn hefði svarað með almennum hætti enda hefði hún ekki vitað um samkomulag kvartanda við vinnuveitandann. Telur kvartandi að Vörður hafi ekki haft heimild til að miðla framangreindum upplýsingum eða óska eftir upplýsingum frá vinnuveitanda hennar í tengslum við uppgjör bótakröfu hennar.

3. 
Sjónarmið Varðar trygginga hf.

Í bréfi Varðar trygginga hf. segir að fyrirspurn umrædds starfsmanns til vinnuveitanda kvartanda hafi verið nauðsynleg við afgreiðslu bótakröfu hennar, þ.e. í því skyni að eyða misræmi í gögnum og til að meta fjárhæð skaðabóta. Sú vinnsla persónuupplýsinga sem í því fólst hafi verið nauðsynleg til að fullnægja lagaskyldu sem hvíli á Verði samkvæmt almennum reglum skaðabótaréttar um skyldu til greiðslu bóta vegna bótaskylds tjóns, sbr. 3. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Vinnslan hafi enn fremur byggst á ákvæðum 248., sbr. 20. gr. almennra hegningarlaga. Verði beri skylda til að sporna við vátryggingasvikum. Hvað viðkvæmar persónuupplýsingar varðar byggir Vörður á því að vinnslan hafi uppfyllt skilyrði 6. tölul. 11. gr. laga nr. 90/2018. Kvartandi hafi átt rétt á skaðabótum frá Verði og hafi upplýsingarnar sem starfsmaður félagsins hafi óskað eftir verið nauðsynlegar. Þá hafi orðið að afla upplýsinganna beint frá vinnuveitanda kvartanda þar sem ekki hafi borist svör frá lögmanni hennar en jafnframt hafi félagið talið eðlilegt að leita til vinnuveitandans vegna áðurnefndra yfirlýsinga sem gefnar hefðu verið út í hans nafni.

Vörður telur vinnsluna hafa verið lögmæta, sanngjarna og gagnsæja og að einungis hafi verið unnið með upplýsingarnar í þeim tilgangi sem að framan greinir. Þá hafi félagið gætt þess að upplýsingaöflun væri ekki umfram það sem nauðsynlegt hefði verið miðað við tilgang vinnslunnar. Þær upplýsingar sem aflað hafi verið með umræddum tölvupóstsamskiptum hafi leitt til þess að metin örorka kvartanda hafi verið lækkuð í mati matsmanna. Það staðfesti að upplýsingarnar hafi verið nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt hafi verið miðað við tilgang vinnslunnar.

II.
Forsendur og niðurstaða
1. 
Gildissvið - Ábyrgðaraðili

Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að söfnun og miðlun Varðar trygginga hf. á persónuupplýsingum kvartanda í tölvupósti. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Vörður tryggingar hf. vera ábyrgðaraðili að umræddri vinnslu.

2. 
Lagaumhverfi

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Kemur 6. tölul. lagaákvæðisins einkum til skoðunar í þessu sambandi en samkvæmt ákvæðinu getur vinnsla viðkvæmra persónuupplýsinga verið heimil sé hún nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur. Samkvæmt fyrirliggjandi gögnum voru upplýsingar um heilsufar kvartanda meðal þess sem fram kom í tölvupóstsamskiptum starfsmanns Varðar trygginga hf. og mannauðsstjóra vinnuveitanda kvartanda og teljast þær til viðkvæmra persónuupplýsinga samkvæmt b-lið 3. tölul. 3. gr. laganna.

Við mat á því hvort heimild til vinnslu sé til staðar í samræmi við framangreint getur þurft að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma hér einkum til skoðunar lög nr. 30/2004 um vátryggingarsamninga.

Í 1. mgr. 47. gr. laga nr. 30/2004 segir að við uppgjör bóta skuli vátryggður veita félaginu þær upplýsingar og þau gögn sem hann hefur undir höndum og félagið þarf til þess að meta ábyrgð sína og greið bætur. Umrædd regla leggur skyldur á herðar hinum skráða en ekki ábyrgðaraðila.

Í 1. mgr. 1. gr. laga nr. 30/2004 segir um gildissvið laganna að þau gildi um samninga um skaða- og persónutryggingar og vátryggingatengdar fjárfestingarafurðir. Af því má leiða að við kaup kvartanda á tryggingum hjá Verði hafi stofnast samningssamband milli Varðar og kvartanda.

Til viðbótar við framangreint verður vinnsla persónuupplýsinga að fullnægja öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Í bréfi Persónuverndar til Varðar, dags. 6. maí 2021, var sérstaklega óskað skýringa á því hvernig umrædd vinnsla persónuupplýsinga samrýmdist meginreglum þessara ákvæða um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti, að þær skuli fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar frekar í ósamrýmanlegum tilgangi og að þær skuli vera nægilegar, viðeigandi og takmarkast við það sem nauðsynlegt er miðað við tilgang vinnslu, sbr. 1.-3. tölul. 1. mgr. 8. gr. laganna og a-c-liði 1. mgr. 5. gr. reglugerðarinnar.

Ábyrgðaraðili skal vera ábyrgur fyrir því að farið sé að framangreindum meginreglum og geta sýnt fram á það, sbr. 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Í meginreglunni um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti felst að einstaklingi á að vera ljóst þegar persónuupplýsingum um hann er safnað, og þær eru notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu vera unnar. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu geta ábyrgðaraðilar eftir atvikum þurft að gera sérstakar og viðeigandi ráðstafanir sem lúta að fræðslu til hins skráða, sbr. 1. mgr. 17. gr. laganna og 1. mgr. 12. gr. reglugerðarinnar. Þá er í 13. gr. reglugerðarinnar kveðið á um þá fræðslu sem ábyrgðaraðila ber að veita við öflun persónuupplýsinga hjá hinum skráða og í 14. gr. reglugerðarinnar kveðið á um þá fræðslu sem ábyrgðaraðila ber að veita þegar persónuupplýsingar hafa ekki fengist hjá hinum skráða.

3. 
Lögmæti vinnslu
3.1.
Vinnsluheimildir

Af hálfu Varðar trygginga hf. er byggt á því að söfnun og miðlun persónuupplýsinga kvartanda, þ.m.t. upplýsinga um heilsufar hennar, í tölvupóstsamskiptum við mannauðsstjóra vinnuveitanda hennar, hafi verið heimil á grundvelli 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim ákvæðum er vinnsla heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.

Í lögskýringargögnum með frumvarpi er varð að lögum nr. 90/2018 segir meðal annars um 3. tölul. 9. gr. laganna að með lagaskyldu sé átt við hvers konar skyldu sem leiðir af lögum í rúmri merkingu, þ.e. bæði lögum og stjórnvaldsfyrirmælum settum á grundvelli þeirra, en samningsskyldur falli hins vegar ekki undir ákvæðið. Sem fyrr greinir segir um gildissvið laga nr. 30/2004 að þau gildi um samninga um skaða- og persónutryggingar og vátryggingatengdar fjárfestingarafurðir. Af því má leiða að við kaup kvartanda á tryggingum hjá Verði hafi stofnast samningssamband milli Varðar og kvartanda. Með vísan til framangreinds kemur því til skoðunar hvort vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að, sbr. áðurnefnt ákvæði 2. tölul. 9. gr. laga nr. 90/2018 og b-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Ljóst er að kvartandi lagði fram fjárkröfu á hendur Verði á grundvelli framangreinds samnings og óskaði uppgjörs bóta vegna tjóns sem hún varð fyrir í kjölfar umferðaslyss. Uppgjör bóta samkvæmt samningsskilmálum telst því til efnda samnings.

Af hálfu Varðar hefur komið fram að fyrirtækið taldi nauðsynlegt að óska eftir staðfestingu frá vinnuveitanda kvartanda á þeim upplýsingum sem bárust frá vinnuveitandanum í ljósi þess að misræmi var í þeim gögnum sem höfðu borist fyrirtækinu. Umrædd vinnsla hafi því verið nauðsynleg svo Verði væri unnt að afgreiða bótakröfu kvartanda. Persónuvernd telur með vísan til framangreinds að umrædd vinnsla geti stuðst við 2. tölul. 9. gr. laga nr. 90/2018, sbr. einnig b-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Þá telur Persónuvernd að eins og hér háttar til hafi einnig verið uppfyllt viðbótarskilyrði 6. tölul. 1. mgr. 11. gr. laganna og f-liðar 2. mgr. 9. gr. reglugerðarinnar fyrir öflun upplýsinga um heilsufar kvartanda í tengslum við bótauppgjör enda hafi vinnslan verið nauðsynleg til að stofna, hafa uppi eða verja réttarkröfu. Er þá til þess að líta að þessi viðbótarskilyrði fela ekki í sér að mál hafi verið lagt fyrir dómstóla heldur nægir að vinnsla sé nauðsynleg til að styðja kröfu fullnægjandi rökum, að því marki sem hún verður ekki afmörkuð eða staðreynd með öðrum hætti.

3.2.
Meginreglur

Til þess að vinnsla teljist heimil samkvæmt framangreindu þarf hún einnig að samrýmast meginreglum persónuverndarlöggjafarinnar. Með hliðsjón af skýringum Varðar og því sem að framan greinir verður talið að persónuupplýsingar kvartanda hafi verið unnar í skýrt tilgreindum og lögmætum tilgangi og að þær hafi verið nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt var miðað við þann tilgang, sbr. 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-liðir 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Hvað varðar meginregluna um að persónuupplýsingar skuli unnar með sanngjörnum og gagnsæjum hætti samkvæmt 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar er helst að líta til þeirrar fræðslu sem Vörður veitir um vinnslu persónuupplýsinga. Í svarbréfi Varðar er vísað til persónuverndarstefnu félagsins sem finna má á vefsíðu þess. Þar segir að ef tjón verði þurfi félagið að kalla eftir ýmsum upplýsingum um viðkomandi og um tjónið, svo sem úr lögregluskýrslum og tjónamatsskýrslum. Í tilviki heilsutrygginga og ábyrgðartrygginga þurfi að fá upplýsingar um heilsufar viðkomandi og ýmsar læknisfræðilegar upplýsingar til þess að tryggja rétta meðhöndlun bótakröfu og til að staðfesta tjónið. Án þessara upplýsinga sé ekki hægt að meta bótakröfu. Þá segir að félagið hafi heimild til að vinna persónuupplýsingar ef það er nauðsynlegt í þeim tilgangi að setja fram eða verjast réttarkröfu, til að mynda þegar reka þurfi mál fyrir stjórnvaldi eins og úrskurðarnefnd í vátryggingamálum eða fyrir almennum dómstólum.

Þegar persónuupplýsinga er aflað hjá hinum skráða, eins og hér háttar til, fer um fræðsluskyldu samkvæmt 13. gr. reglugerðarinnar. Fræðsluskylda ábyrgðaraðila, þ.e. skyldan til að veita hinum skráða upplýsingar um vinnslu persónuupplýsinga hans, á almennt við óháð þeim lagagrundvelli sem vinnslan byggist á. Í 1. mgr. ákvæðisins segir að þegar persónuupplýsinga um hinn skráða sé aflað hjá honum sjálfum skuli ábyrgðaraðilinn, við söfnun persónuupplýsinganna, skýra honum frá meðal annars viðtakendum eða flokkum viðtakenda persónuupplýsinganna, ef einhverjir eru, sbr. e-lið 1. mgr. 13. gr.

Af fyrirliggjandi málsgögnum er ljóst að Vörður veitti kvartanda ekki fræðslu um að félagið hygðist miðla og afla upplýsinga um hana frá vinnuveitanda hennar í tengslum við uppgjör bótakröfu hennar. Samkvæmt því sem fram kemur í kvörtun varð kvartanda ekki ljóst að Vörður hefði aflað og miðlað upplýsingunum fyrr en lögmaður hennar fékk, ásamt matsmönnum, rafrænan aðgang að gögnum félagsins rúmum mánuði seinna. Ekkert liggur heldur fyrir um að kvartanda hafi verið vísað á slíka fræðslu í persónuverndarstefnu Varðar. Þá hefur ekki verið staðfest að kvartandi hafi fengið umrædda fræðslu með öðrum hætti. Í því sambandi ber að líta til þess að samkvæmt 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerpar (ESB) 2016/679, er ábyrgðaraðili ábyrgur fyrir því að farið sé að meginreglum löggjafarinnar, þ. á m. um gagnsæi, og skal geta sýnt fram á það.

Með vísan til framangreinds er það niðurstaða Persónuverndar að Vörður hafi ekki veitt kvartanda fræðslu samkvæmt e-lið 13. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, auk þess sem skilyrði 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar, um gagnsæja vinnslu persónuupplýsinga var ekki uppfyllt.

Í máli þessu var ekki kvartað yfir óviðunandi öryggi við öflun og miðlun persónuupplýsinga kvartanda. Af þeim sökum óskaði Persónuvernd ekki sérstaklega skýringa Varðar á þeirri framkvæmd að nota tölvupóst til að miðla og óska eftir persónuupplýsingum eða persónugreinanlegum upplýsingum, sem teljast til viðkvæmra persónuupplýsinga, sbr. skilgreiningu 3. tölul. 3. gr. laga nr. 90/2018, eða upplýsinga viðkvæms eðlis. Að því virtu tekur Persónuvernd ekki afstöðu til þeirrar framkvæmdar í þessum úrskurði en áréttar að almennt skal ekki nota óvarinn tölvupóst til þess að óska eftir eða miðla viðkvæmum persónuupplýsingum eða persónuupplýsingum viðkvæms eðlis án þess að gerðar séu sérstakar ráðstafanir til að tryggja öryggi þeirra, svo sem með því að læsa viðkomandi skjölum eða dulkóða upplýsingarnar.

Ú r s k u r ð a r o r ð:

Vinnsla Varðar trygginga hf. á persónuupplýsingum [A] í tengslum við uppgjör bótakröfu hennar á hendur félaginu samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um fræðsluskyldu og gagnsæi.

Persónuvernd, 26. júní 2023,

Helga Sigríður Þórhallsdóttir                             Valborg Steingrímsdóttir