Sjálfvirk ákvarðanataka við útgáfu trygginga hjá Vátryggingafélagi Íslands hf.
Mál nr. 2024020417
Ákvörðun
í máli nr. 2024020417 hjá Persónuvernd, frumkvæðisathugun á sjálfvirkri ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá Vátryggingafélagi Íslands hf. og Líftryggingafélagi Íslands hf.:
Málsmeðferð
Tildrög máls
- Persónuvernd tilkynnti Vátryggingafélags Íslands hf. og Líftryggingafélagi Íslands hf. (hér eftir saman nefnt VÍS) um að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í tryggingar, með bréfi 6. mars 2024.
- Ákvörðun um að hefja ofangreinda frumkvæðisathugun var tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2024 sbr. 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar. Samkvæmt stefnunni er vinnsla persónuupplýsinga í snjalllausnum og hugbúnaðarkerfum vátryggingafélaga meðal annars í forgangi á árinu.
Rannsókn máls
- Með fyrrgreindu bréfi Persónuverndar til VÍS 6. mars 2024 óskaði stofnunin upplýsinga um allar persónuupplýsingar sem notaðar eru við gerð persónusniðs sem lagt er til grundvallar sjálfvirkri ákvarðanatöku hjá félögunum tveimur, þ.m.t. allar upplýsingar sem unnt er að tengja beint eða óbeint við tiltekinn einstakling, hvaða vægi tilteknar upplýsingar hafa í sjálfvirkri ákvarðanatöku og hvernig það vægi er ákveðið. Einnig var óskað upplýsinga um með hvaða hætti skráðum einstaklingum er tilkynnt um að sjálfvirk ákvarðanataka fari fram, hvaða vinnsla persónuupplýsinga fari fram í tengslum við hana, á hvaða rökum ákvarðanatakan sé byggð og afleiðingar slíkrar vinnslu. Svör VÍS, ásamt fylgigögnum, bárust Persónuvernd með tölvupósti 3. apríl s.á.
- Með hliðsjón af svörum VÍS ákvað Persónuvernd að afmarka athugunina við vinnslu persónuupplýsinga sem fram fer í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá félaginu. Með erindi 15. maí 2024 og 13. júní s.á. óskaði Persónuvernd nánari upplýsinga um allar persónuupplýsingar sem VÍS aflar eða óskar eftir frá hinum skráða sjálfum og þriðja aðila í kaupferli fyrir líf- og sjúkdómatryggingar og eru notaðar í tengslum við sjálfvirka ákvarðanatöku, þ. á m. sundurliðun á öllum heilsufarsupplýsingum, svo og allar upplýsingar sem kunna með einhverjum hætti að vera eða vera gerðar persónugreinanlegar. Einnig var óskað upplýsinga um hvernig öflun framangreindra upplýsinga frá hinum skráða eða þriðja aðila og frekari vinnsla þeirra er talin samrýmast meginreglum um persónuvernd, sem lúta að lögmæti, sanngirni og gagnsæi vinnslu, tilgangstakmörkun og lágmörkun gagna. Þá óskaði Persónuvernd jafnframt eftir afriti af gögnum með tölfræði- eða stærðfræðilegum útreikningum sem sýna fram á að tilteknar upplýsingar, sem notaðar eru við sjálfvirka ákvarðanatöku við umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar, séu nauðsynlegar í þágu framangreindrar ákvarðanatöku. Frekari svör VÍS, ásamt fylgigögnum, bárust með tölvupósti 29. maí og 20. júní s.á.
Álitamál
- Markmið frumkvæðisathugunarinnar var í fyrsta lagi að staðreyna hvort réttindi einstaklinga eru tryggð við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá VÍS, í samræmi við 22. gr. laga nr. 90/2018, sbr. nánari fyrirmæli 22. gr. reglugerðar (ESB) 2016/679. Í öðru lagi var kannað hvort gagnsæis og sanngirnis er gætt gagnvart hinum skráða í tengslum við framangreinda vinnslu, í samræmi við kröfur 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. gr. reglugerðarinnar. Í þriðja lagi beindist athugun Persónuverndar að því hvort tryggt er að við útgáfu líf- og sjúkdómatrygginga óski VÍS aðeins upplýsinga sem eru nauðsynlegar í þágu framangreindrar ákvarðanatöku og þær fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, í samræmi við 2. og 3. tölulið lagaákvæðisins, sbr. b- og c-lið reglugerðarákvæðisins.
Fyrirliggjandi gögn og upplýsingar um vinnsluna
- Í svörum VÍS kemur fram að viðskiptavinir geti keypt líf- og sjúkdómatryggingar í gegnum sjálfvirkt kaupferli, sem ber nafnið Lífís, þar sem útgáfa trygginga og iðgjald er ákveðið með sjálfvirkri ákvarðanatöku. Samkvæmt vinnsluskrá vegna vinnslu persónuupplýsinga í kaupferlinu eru persónuupplýsingar um viðskiptavini notaðar í þeim tilgangi að framkvæma áhættumat við útgáfu tryggingar. Þá segir í vinnsluskrá að vinnslan byggist á samþykki viðskiptavina, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018.
- Samkvæmt skjáskoti sem fylgdi með svörum VÍS til Persónuverndar veita viðskiptavinir samþykki sitt með því að haka við tiltekinn reit og tekið er fram að hægt sé að afturkalla samþykkið hvenær sem er. Viðskiptavinir eru upplýstir um tilgang vinnslunnar og að um vinnslu viðkvæmra persónuupplýsinga er að ræða. Samkvæmt skjáskotinu eru viðskipavinir einnig upplýstir um að ákvörðun, um hvort trygging verði gefin út og á hvaða verði, fari fram með sjálfvirkri ákvarðanatöku. Einnig fylgdi með svörum félagsins skjáskot af veittri fræðslu til viðskiptavina varðandi sjálfvirka ákvarðanatöku. Þar kemur fram að sjálfvirk ákvarðanataka byggist á þeim upplýsingum sem viðskiptavinir veita um heilsufar sitt, lífsstíl og fjölskyldusögu. Tekið er fram að ávallt sé hægt að óska frekari upplýsinga um niðurstöður sjálfvirkrar ákvarðanatöku, mótmæla henni eða fá starfsmann VÍS til þess að yfirfara eða endurmeta ákvörðunina.
- Greint er frá því í svörum VÍS að sjálfvirk ákvarðanataka í kaupferli fyrir líf- og sjúkdómatryggingar byggist á upplýsingum frá viðskiptavinum um kyn, fæðingardag, heilsufar, fjölskyldusögu, lífsstíl, möguleg ferðalög næsta árið og val viðskiptavinar á vátryggingafjárhæð. Félagið vísar til þess að vægi tiltekinna upplýsinga frá viðskiptavinum sé háð tegund vöru þar sem iðgjald sé uppbyggt út frá grunniðgjaldi hverrar vöru sem taki breytingum út frá fjölda breyta sem hafa áhrif á verð. Breyturnar séu valdar út frá sögulegri og líklegri áhættu sem fylgi hverri vöru fyrir sig og vægi hvers þáttar í jöfnunni sé ákvarðað út frá tjónasögu síðustu ára hjá félaginu. Framangreindu til skýringar sendi VÍS dæmi um hvaða níu breytur hafa áhrif á verð á kaskótryggingu fyrir einkabíl, dreifingu á gildum fyrir breyturnar, lægsta og hæsta gildi hverrar breytu og fjölda gilda fyrir hverja breytu.
- Samkvæmt skýringum VÍS er ferlið þegar aflað er heilsufarsupplýsinga frá viðskiptavinum sett upp á þann hátt að viðskiptavinur fær spurningar tengdar heilsufari, lífsstíl og fjölskyldusögu. Ef viðkomandi svarar spurningu neitandi fer hann áfram í næstu spurningu en ef svarið við spurningunni er já þá opnast í flestum tilvikum fleiri spurningar þar sem spurt er nánar út í heilsufar, lífsstíl eða fjölskyldusögu. Spurningar til viðskiptavina geti því verið fjölmargar og mjög mismunandi eftir einstaklingum. Meðfylgjandi svörum VÍS var yfirlit yfir kaupferli við útgáfu líf- og sjúkdómatrygginga þar sem sjá má hvernig svör við spurningum hafa áhrif á hvaða upplýsinga er í kjölfarið aflað frá hverjum og einum viðskiptavini. Mat á áhrifum á persónuvernd og yfirlit yfir kortlagningu persónuupplýsinga vegna vinnslunnar var einnig meðfylgjandi. Einn áhættuþáttanna sem þar er tilgreindur er að félagið safni meiri persónuupplýsingum um viðskiptavini en nauðsyn krefur. Lagt er mat á afleiðingu þess fyrir hinn skráða og tilgreint hvaða ráðstafanir félagið getur gripið til í þeim tilgangi að tryggja lágmörkun gagna.
- Með svörum VÍS fylgdi einnig skjáskot af fræðslu sem viðskiptavinir fá þegar tekin er ákvörðun á grundvelli sjálfvirkrar gagnavinnslu um útgáfu líf- og sjúkdómatryggingar með álagi ofan á grunniðgjald og þegar tekin er ákvörðun á grundvelli sjálfvirkrar gagnavinnslu um útgáfu líf- og sjúkdómatryggingar með áritun. Ef trygging er gefin út með álagi ofan á grunniðgjald fær viðskiptavinur upp textabox með fyrirsögninni „breyting á verði“. Í textaboxinu kemur fram hvers vegna breyting er á verði og að viðskiptavinur geti haft samband við félagið ef óskað er frekari útskýringar. Ef trygging er gefin út með áritun fær viðskiptavinur upp textabox með fyrirsögninni „breyting á tryggingu“. Í textaboxinu kemur fram hvað átt er við með breytingu á tryggingu og að viðskiptavinur geti haft samband við félagið ef óskað er frekari útskýringar.
- Loks voru meðfylgjandi svörum VÍS upplýsingar um Magnum Go skýjalausn sem félagið notar við sjálfvirkt áhættumat í kaupferli fyrir líf- og sjúkdómatryggingar og er í eigu endurtryggingafélagsins Swiss Re. Þar segir meðal annars að lausnin nýti sér upplýsingar úr svörum viðskiptavina í tölfræðilega- og stærðfræðilega útreikninga til að framkvæma eins nákvæmt áhættumat og unnt er. Fram kemur að lausnin noti söguleg tölfræðigögn og rannsóknir á sviði heilbrigðisvísinda til þess að meta áhættu við útgáfu trygginga með sem nákvæmasta hætti. Til nánari skýringa fylgdi sýnidæmi um hvernig Magnum Go nýtir upplýsingar úr svörum viðskiptavina til þess að meta áhættu við útgáfu líf- og sjúkdómatrygginga.
Sjónarmið VÍS
- VÍS byggir vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar á samþykki, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018. Vísað er til þess að viðskiptavinir séu í upphafi upplýstir um að notast er við sjálfvirka ákvarðanatöku sem byggist á þeim upplýsingum sem viðskiptavinir veita og að þeir geti ávallt óskað frekari upplýsinga um niðurstöður sjálfvirkrar ákvarðanatöku, mótmælt henni eða fengið starfsmann VÍS til að yfirfara eða endurmeta ákvörðunina, í samræmi við 22. gr. laga nr. 90/2018, sbr. nánari fyrirmæli 22. gr. reglugerðar (ESB) 2016/679.
- Hvað varðar öflun upplýsinga og hvernig frekari vinnsla þeirra er talin samrýmast meginreglum um lögmæta, sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, vísar VÍS til þess að á heimasíðu félagsins sé ítarlega fjallað um hvernig VÍS vinnur með persónuupplýsingar viðskiptavina og útskýrt hvernig einstaklingar geta nýtt sér réttindi sín samkvæmt persónuverndarlögum. Í kaupferli fyrir líf- og sjúkdómatrygginga sé viðskiptavinur jafnframt upplýstur á skýran hátt um að notast sé við sjálfvirka ákvarðanatöku sem byggist á þeim upplýsingum sem hann veiti, sbr. nánari umfjöllun í efnisgrein 8. Þá sé kaupferlið eingöngu að fullu sjálfvirkt í ákveðnum fyrirfram skilgreindum tilvikum. Í fyrsta lagi geti líf- og sjúkdómatrygging verið gefin út með sjálfvirkri ákvarðanatöku þegar trygging er gefin út á grunniðgjaldi. Í öðru lagi, ef niðurstaðan úr áhættumati er að gefa trygginguna út með álagi, sem er lagt ofan á grunniðgjald byggt á þeim heilsufarsupplýsingum sem koma fram í umsókn. Í þriðja lagi, ef niðurstaðan úr áhættumatinu er að gefa út trygginguna með áritun, sem hefur áður verið fyrirfram skilgreind við sjálfvirka ákvarðanatöku, í samræmi við 86. gr. laga um vátryggingarsamninga, nr. 30/2004. Ef tekin er ákvörðun um útgáfu líf- og sjúkdómatryggingar með álagi ofan á grunniðgjald eða með áritun fái viðskiptavinur upplýsingar um breytingu á tryggingu og hvers vegna, sbr. umfjöllun í efnisgrein 10. Umsókn um líf- og sjúkdómatryggingu sé aldrei hafnað með sjálfvirkri ákvarðanatöku og fari sjálfkrafa í handvirkt ferli til starfsmanns ef álag ofan á grunniðgjald fer yfir ákveðin fyrirfram samþykkt mörk eða ef niðurstaðan úr áhættumatinu er að gefa út trygginguna með áritun, öðrum en þeim sem hafa verið fyrirfram skilgreindar.
- Hvað varðar meginreglurnar um skýrt tilgreindan tilgang og lágmörkun gagna byggir VÍS á því að upplýsingar um fjölskyldustærð og tekjur séu nauðsynlegar til að framkvæma þarfagreiningu í samræmi við skyldur vátryggingafélaga, sbr. 1. mgr. 6. gr. laga um vátryggingasamninga, nr. 30/2004. Þá séu upplýsingar um kyn viðskiptavinar nauðsynlegar þar sem kynin fá mismunandi spurningar við áhættumat vegna heilsu, t.d. eru konur spurðar út í sjúkdóma í kvenlíffærum og karlar um sjúkdóma í blöðruhálsi. VÍS sé nauðsynlegt að afla heilsufarsupplýsinga og upplýsinga um fjölskyldusögu til að geta framkvæmt viðeigandi áhættumat, koma í veg fyrir neikvætt úrtak í stofninum og til að meta með hlutlausum hætti þá áhættu sem vátryggja á, í því skyni að ákveða iðgjald og hvort vátrygging skal gefin út samkvæmt almennum skilmálum. Vinnsla upplýsinganna sé í samræmi við 82. gr. laga nr. 30/2004 þar sem fjallað er um skyldur vátryggingartaka og vátryggðs til að veita upplýsingar um áhættuna. Kaupferlið fyrir líf-og sjúkdómatryggingar sé hannað með innbyggða og sjálfgefna persónuvernd í huga frá upphafi til enda með það að markmiði að spyrja einungis út í og vinna með þær persónuupplýsingar sem eru nauðsynlegar til að framkvæma áhættumatið, sbr. nánari umfjöllun í efnisgrein 9. Áhættumatið sé forsenda ákvörðunar um verð trygginga, hvort gefa eigi út tryggingu samkvæmt almennum skilmálum og meta bótaskyldu félagsins ef til tjóns kemur og upplýsingarnar eingöngu nýttar í framangreindum tilgangi. Vinnslan sé því einnig í samræmi við meginreglur persónuverndar um tilgagnstakmörkun og lágmörkun gagna, sbr. 2.-3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. b- og c-liði 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Forsendur og niðurstaða
Lagaumhverfi
- Málið varðar vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna. VÍS telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
- Vinnsla persónuupplýsinga er aðeins heimil ef hún heyrir undir eitthvert heimildarákvæða 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim getur vinnsla meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Samþykki, samkvæmt löggjöfinni, er óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sinna, sbr. 8. tölul. 3. gr. laganna og 11. tölul. 4. gr. reglugerðarinnar. Til þess að vinnsla geti talist heimil á grundvelli samþykkis hins skráða þurfa öll skilyrði 10. gr. laganna, sbr. og nánari skilyrði 7. gr. reglugerðarinnar, að vera uppfyllt. Er þar m.a. mælt fyrir um að hinn skráði skuli geta dregið samþykki sitt til baka hvenær sem er og að þegar metið er hvort samþykki telst óþvingað skuli taka ítrasta tillit til þess m.a. hvort það er skilyrði fyrir framkvæmd samnings, þ. á m. veitingu þjónustu, að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem er ekki nauðsynleg vegna framkvæmdar samningsins, sbr. 3. og 4. mgr. 10. gr. laganna og 3. og 4. mgr. 7. gr. reglugerðarinnar.
- Upplýsingar um heilsufar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun, teljast til viðkvæmra persónuupplýsinga, eins og þær eru skilgreindar í a-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, og þarf vinnsla þeirra að styðjast við eitthvert viðbótarskilyrða 1. mgr. 11. gr. laganna og 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt framangreindum ákvæðum getur vinnsla viðkvæmra persónuupplýsinga meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins.
- Samkvæmt 22. gr. laga nr. 90/2018 skal skráður einstaklingur eiga rétt á því að ekki sé tekin ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusniðs, sem hefur réttaráhrif að því er hann sjálfan varðar eða snertir hann á sambærilegan hátt að verulegu leyti samkvæmt nánari fyrirmælum 22. gr. reglugerðar (ESB) 2016/679, með þeim undantekningum sem þar greinir. Ákvæði 1. mgr. 22. gr. reglugerðarinnar er efnislega samhljóða 22. gr. laganna en í 2. mgr. reglugerðarákvæðisins er að finna undantekningar á framangreindum rétti hins skráða. Eiga undantekningar við í þeim tilvikum þegar ákvörðunin er forsenda þess að unnt sé að gera eða efna samning milli hins skráða og ábyrgðaraðila, sbr. a-lið, ef ákvörðunin er heimiluð í lögum og þar sem einnig er kveðið á um viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, sbr. b-lið, eða ef ákvörðunin byggist á afdráttarlausu samþykki hins skráða, sbr. c-lið. Í þeim tilvikum, sem um getur í a- og c-lið 2. mgr. 22. gr. reglugerðarinnar, skal ábyrgðaraðili gagna gera viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, a.m.k. réttinn til mannlegrar íhlutunar af hálfu ábyrgðaraðilans, til að láta skoðun sína í ljós og til að vefengja ákvörðunina, sbr. 3. mgr. reglugerðarákvæðisins. Þá segir í 4. mgr. 22. gr. reglugerðarinnar að ákvarðanir, sem um getur í 2. mgr., skulu ekki vera byggðar á sérstökum flokkum persónuupplýsinga, sem um getur í 1. mgr. 9. gr., nema a- eða g-liður 2. mgr. 9. gr. eigi við og fyrir hendi séu viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða.
- Til þess að vinnsla persónuupplýsinga sé heimil þarf hún enn fremur að samrýmast meginreglum um persónuvernd, samkvæmt 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sem mæla meðal annars fyrir um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og að þær séu nægilegar og viðeigandi miðað við tilganginn.
- Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Þá skal gera einstaklingum ljósa áhættu, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga og hvernig þeir geta neytt réttar síns í tengslum við vinnsluna.
- Í samræmi við 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins skal tilgangur vinnslu persónuupplýsinga vera nægjanlega vel skilgreindur og afmarkaður til að vinnslan sé gagnsæ og auðskilin og aðeins ætti að vinna persónuupplýsingar að ekki sé unnt að ná tilganginum með vinnslunni á annan aðgengilegan hátt. Því viðkvæmari persónuupplýsingar sem unnið er með og því meiri afleiðingar sem notkun þeirra getur haft í för með sér þeim mun mikilvægara er að tilgangurinn sé skýrt afmarkaður. Við mat á meðalhófi, samkvæmt 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, verður ábyrgðaraðili einnig að leggja mat á hvort hægt sé að ná fram sama markmiði og stefnt er að með viðaminni hætti.
Niðurstaða
- VÍS byggir vinnslu persónuupplýsinga, þ.m.t. vinnslu viðkvæmra persónuupplýsinga, sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar, á samþykki viðskiptavina. Af gögnum málsins verður ráðið að viðskiptavinir samþykki sérstaklega, með sérstakri aðgerð, að vinnsla fari fram með sjálfvirkri ákvarðanatöku og þeir upplýstir um rétt sinn til að draga samþykki sitt til baka hvenær sem er. Samþykki viðskiptavinir ekki að vinnsla fari fram með sjálfvirkri ákvarðanatöku hafa þeir val um að fá tilboð í tryggingar í gegnum þjónustuver VÍS. Verður því talið að öll skilyrði 10. gr. laga nr. 90/2018, sbr. einnig 7. gr. reglugerðar (ESB) 2016/679, séu uppfyllt. Er það jafnframt niðurstaða Persónuverndar að vinnslan geti verið heimil á grundvelli 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og 1. tölul. 1. mgr. 11. gr. laganna og a-lið 2. mgr. 9. gr. reglugerðarinnar. Með vísan til fyrirliggjandi gagna og umfjöllunar í efnisgrein 7 er það einnig niðurstaða Persónuverndar að þar sem tryggður er réttur hinna skráðu til frekari upplýsinga um niðurstöður sjálfvirkrar ákvarðanatöku, réttinn til að mótmæla ákvörðuninni og til mannlegrar íhlutunar uppfylli vinnslan jafnframt skilyrði 22. gr. laga nr. 90/2018 og 22. gr. reglugerðar (ESB) 2016/679.
- Af svörum VÍS, sbr. nánari umfjöllun í efnisgrein 7 og 10, og fyrirliggjandi gögnum málsins má ráða að einstaklingum, sem sækja um eða óska tilboðs í líf- og sjúkdómatryggingar hjá VÍS, er gert það ljóst, með viðunandi hætti, hvaða persónuupplýsingum um þá er safnað, hvernig þær verða unnar, það er að notuð sé sjálfvirk ákvarðanataka, og í hvaða tilgangi. Enn fremur að hinum skráðu er gert ljóst að þeir geta óskað frekari upplýsinga um niðurstöður ákvörðunarinnar eða mótmælt henni og hafi rétt á mannlegri íhlutun við vinnsluna af hálfu ábyrgðaraðila. Að þessu virtu telur Persónuvernd að vinnslan, sem mál þetta varðar, sé í samræmi við framangreinda meginreglu um sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
- Með hliðsjón af því sem frem kemur í efnisgreinum 9 og 11 telur Persónuvernd að VÍS hafi einnig sýnt fram á að hafa lagt viðeigandi mat á nauðsyn þeirra upplýsinga sem óskað er eftir frá viðskiptavinum í kaupferli fyrir líf- og sjúkdómatryggingar, að tilgangur vinnslunnar er skýrt afmarkaður, meðal annars með tilgreiningu á þeim flokkum persónuupplýsinga sem hægt er að óska upplýsinga um og afmörkun á fjölda spurninga út frá svörum viðskiptavina, og að persónuupplýsingarnar sem óskað er eftir séu nægilegar og viðeigandi fyrir vinnsluna. Er það því niðurstaða Persónuverndar að vinnslan samrýmist einnig meginreglum 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
- Með vísan til alls þess sem að framan greinir er það niðurstaða Persónuverndar að vinnsla persónuupplýsinga, sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá VÍS, samrýmist 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679, og 22. gr. laganna og 22. gr. reglugerðarinnar. Vinnslan er jafnframt talin samrýmast 1.-3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
- Þessi niðurstaða útilokar ekki að Persónuvernd muni síðar hefja frumkvæðisathugun á vinnslu persónuupplýsinga í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um aðrar tryggingar sem VÍS gefur út, svo sem sjálfvirka ákvarðanatöku sem fram fer í Ökuvísi.
Á k v ö r ð u n a r o r ð:
Vinnsla persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá VÍS byggist á fullnægjandi vinnsluheimild, uppfyllir viðbótarskilyrði fyrir vinnslu viðkvæmra persónuupplýsinga og samrýmist meginreglum um persónuvernd sem lúta að sanngirni og gagnsæi, takmörkun vegna tilgangs og lágmörkun gagna, samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Persónuvernd, 23. september 2024
Ólafur Garðarsson
formaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson