Úrlausnir

Sjálfvirk ákvarðanataka við útgáfu trygginga hjá Verði tryggingum hf.

Mál nr. 2024020418

9.10.2024

Ákvörðun


í máli nr. 2024020418 hjá Persónuvernd, frumkvæðisathugun á sjálfvirkri ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá Verði tryggingum hf. og Verði líftryggingum hf.:

 

Málsmeðferð

Tildrög máls

 

 

  1. Persónuvernd tilkynnti Verði tryggingum hf. og Verði líftryggingum hf. (hér eftir saman nefnt Vörður) um að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í tryggingar, með bréfi 6. mars 2024.
  2. Ákvörðun um að hefja ofangreinda frumkvæðisathugun var tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2024, sbr. 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar. Samkvæmt stefnunni er vinnsla persónuupplýsinga í snjalllausnum og hugbúnaðar­kerfum vátryggingafélaga meðal annars í forgangi á árinu.

    Rannsókn máls

  3. Með fyrrgreindu bréfi Persónuverndar til Varðar 6. mars 2024 óskaði stofnunin upplýsinga um allar persónuupplýsingar sem notaðar eru við gerð persónusniðs sem lagt er til grundvallar sjálfvirkri ákvarðanatöku hjá félaginu, þ.m.t. allar upplýsingar sem unnt er að tengja beint eða óbeint við tiltekinn einstakling, hvaða vægi tilteknar upplýsingar hafa í sjálfvirkri ákvarðanatöku og hvernig það vægi er ákveðið. Einnig var óskað upplýsinga um með hvaða hætti skráðum einstaklingum er tilkynnt um að sjálfvirk ákvarðanataka fari fram, hvaða vinnsla persónuupplýsinga fari fram í tengslum við hana, á hvaða rökum ákvarðanatakan sé byggð og afleiðingar slíkrar vinnslu. Þá fór stofnunin fram á að Vörður sendi afrit af vinnsluskrá félagsins, þ.e. þeim hluta sem varðar vinnslu persónuupplýsinga á grundvelli afmörkunar umræddrar frumkvæðisathugunar, og afrit af mati á áhrifum á persónuvernd (MÁP) vegna vinnslunnar. Svör Varðar, ásamt fylgigögnum, bárust Persónuvernd með tölvupósti 20. mars s.á.
  4. Með hliðsjón af svörum Varðar ákvað Persónuvernd að afmarka athugunina við vinnslu persónuupplýsinga sem fram fer í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá félaginu. Með erindi 15. maí 2025 óskaði Persónuvernd nánari upplýsinga um allar persónuupplýsingar sem Vörður aflar eða óskar eftir frá hinum skráða sjálfum og þriðja aðila í kaupferli fyrir líf- og sjúkdómatryggingar og eru notaðar í tengslum við sjálfvirka ákvarðanatöku, þ. á m. sundurliðun á öllum heilsufarsupplýsingum, svo og allar upplýsingar sem kunna með einhverjum hætti að vera eða vera gerðar persónugreinanlegar. Einnig var óskað upplýsinga um hvernig öflun framangreindra upplýsinga frá hinum skráða eða þriðja aðila og frekari vinnsla þeirra er talin samrýmast meginreglum um persónuvernd, sem lúta að lögmæti, sanngirni og gagnsæi vinnslu, tilgangstakmörkun og lágmörkun gagna. Þá óskaði Persónuvernd jafnframt eftir afriti af gögnum með tölfræði- eða stærðfræðilegum útreikningum sem sýna fram á að tilteknar upplýsingar, sem notaðar eru við sjálfvirka ákvörðunartöku við umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar, séu nauðsynlegar í þágu framangreindrar ákvarðanatöku. Svör Varðar, ásamt fylgigögnum, bárust 10. júní s.á.
  5. Með erindi 14. júní 2024 óskaði Persónuvernd eftir nánari tilgreiningu á spurningum félagsins úr áhættumati þess, skjáskotum af útskýringum og fræðsluefni sem umsækjendur fengju í umsóknarferli líf- og sjúkdómatrygginga og upplýsingum um hvernig fræðslu til umsækjenda væri háttað í umsóknarferlinu, þegar viðbótariðgjald bættist á tryggingartilboð. Svör Varðar, ásamt fylgigögnum, bárust 28. júní s.á.

    Álitamál

  6. Markmið frumkvæðisathugunarinnar var í fyrsta lagi að staðreyna hvort réttindi einstaklinga eru tryggð við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá Verði, í samræmi við 22. gr. laga nr. 90/2018, sbr. nánari fyrirmæli 22. gr. reglugerðar (ESB) 2016/679. Í öðru lagi var kannað hvort gagnsæis og sanngirnis er gætt gagnvart hinum skráða í tengslum við framangreinda vinnslu, í samræmi við kröfur 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. gr. reglugerðarinnar. Í þriðja lagi beindist athugun Persónuverndar að því hvort tryggt er að við útgáfu líf- og sjúkdómatrygginga óski Vörður aðeins upplýsinga sem eru nauðsynlegar í þágu framangreindrar ákvarðanatöku og þær fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, í samræmi við 2. og 3. tölulið lagaákvæðisins, sbr. b- og c-lið reglugerðarákvæðisins.

    Fyrirliggjandi gögn og upplýsingar um vinnsluna

  7. Í svörum Varðar kemur fram að viðskiptavinir geti keypt líf- og sjúkdómatryggingar í gegnum sjálfvirkt kaupferli sem byggir á reiknilíkani og þeim forsendum sem tilboðstaki setur inn í ferlinu. Slík leið kallast stafræn tryggingasala hjá félaginu og styðst við sjálfvirka ákvarðanatöku og sjálfvirkt áhættumat fyrir persónutryggingar í gegnum hugbúnaðinn Reflex frá endurtryggjanda Varðar, Hannover Re. Samkvæmt framlagðri vinnsluskrá er tilgangurinn með þessari vinnslu persónuupplýsinga rafræn ráðgjöf á grundvelli fyrirliggjandi upplýsinga, tilboðsgerð og veiting tryggingar. Í vinnsluskránni segir einnig að viðskiptavinum sé alltaf fært að hætta við í ferlinu eða óska eftir mannlegri íhlutun. Loks segir þar að vinnslan byggist á samþykki hins skráða og nauðsyn til að efna samning sem hinn skráði er aðili að, sbr. 1. og 2. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018.
  8. Samkvæmt skjáskotum sem fylgdu svörum Varðar til Persónuverndar eru viðskiptavinir upplýstir um sjálfvirka ákvarðanatöku með leiðbeinandi textabroti í Arion smáforritinu og á heimasíðu Varðar þar sem þeir eru beðnir um að veita samþykki sitt með því að smella á tiltekinn hnapp eða haka við tiltekinn reit. Viðskiptavinum stendur einnig til boða að smella á „Skoða nánar“ valmöguleika þar sem ítarlegar upplýsingar um sjálfvirka ákvarðanatöku birtast ásamt fræðslu um hvað samþykki viðkomandi felur í sér. Þar eru viðskiptavinir upplýstir um að tryggingarráðgjöfin byggist á sjálfvirkri vinnslu persónuupplýsinga og að matið í umsóknarferlinu byggist á þeim grunnupplýsingum sem umsækjandi veitir um aldur, búsetu, fjölskylduhagi og fjárhag. Í leiðbeinandi textanum er jafnframt útskýrt af hverju félagið styðst við sjálfvirka ákvarðanatöku og upplýst um að umsækjandi geti ávallt fengið útskýringar á ákvörðuninni, mótmælt henni sem og fengið starfsmann hjá Arion banka eða Verði til að yfirfara forsendur og endurmeta niðurstöðuna. Þá stendur umsækjendum til boða að hafna sjálfvirkri ákvarðanatöku með því að hafa samband við teymi persónutrygginga með símtali eða tölvupósti.
  9. Í svarbréfum Varðar segir að félagið óski upplýsinga frá tilboðsbeiðanda um aldur, tekjur, stéttarfélagsaðild, viðskiptasögu og tóbaks- og nikótínnotkun í þágu sjálfvirkrar ákvarðanatöku um líf- og sjúkdómatryggingar en um heilsufar, fjölskyldusögu og áhættuhegðun viðkomandi vegna sjálfvirka áhættumatsins. Meðfylgjandi svörum Varðar fylgdu afrit af spurningalistum sem félagið styðst við í stafrænni tryggingasölu og sjálfvirku áhættumati en fjöldi spurninga sem umsækjendur eru beðnir um að svara í tengslum við sjálfvirka áhættumatið fer að miklu leyti eftir því hvernig viðkomandi svarar grunnspurningum í upphafi ferlisins. Á umræddum listum er hægt að sjá veftré allra spurninga sem útskýrir hvaða áhrif einstök svör hafa á næstu spurningu og frekari öflun upplýsinga. Ef umsækjandi svarar spurningu játandi, til að mynda vegna veikinda, er viðkomandi spurður nánar út í slík veikindi. Sama gildir með spurningar um áfengisnotkun, reykingar og áhættuhegðun, svo sem fallhlífastökk, flug, akstursíþróttir og fjallaklifur. Ef umsækjandi óskar eftir sambærilegri tryggingu fyrir maka er unnið með upplýsingar um kennitölu maka, grunnupplýsingar úr Þjóðskrá og reykingastöðu. Ef sótt er um örorkutryggingu fyrir barn er unnið með sambærilega spurningaflokka.
  10. Þá greindi Vörður frá vægi tiltekinna upplýsinga við sjálfvirka ákvarðanatöku í stafrænni sölu persónutrygginga. Þar hafa aldur og reykingar áhrif á hvar í iðgjaldaskrá tilboðstaki lendir og upplýsingar um laun og stéttarfélag eru notaðar til að veita nákvæmari ráðgjöf á hentugri vátryggingarfjárhæð vegna mögulegs launataps í tiltekinn tíma.
  11. Sjálfvirkt áhættumat Varðar fer fram í hugbúnaðinum Reflex í kjölfar þess að einstaklingur óskar eftir tilboði í persónutryggingar. Um er að ræða ítarlegan spurningalista um heilsufar tilboðstaka og nánustu fjölskyldumeðlima. Áhættumatskerfið Reflex er byggt upp á læknisfræðilegum og tryggingarfræðilegum grunni. Niðurstöðurnar byggjast á þeim forsendum sem tilboðstaki veitir og vægi spurninganna er misjafnt eftir tegund og eðli þeirra og út frá þeim svörum sem veitt eru. Í áhættumati hugbúnaðarins felst að upplýsingar sem tilboðstaki veitir eru notaðar til að meta hvort auknar líkur eru á því að tryggingartaki þrói með sér alvarlega sjúkdóma í framtíðinni og hverjar lífshorfur eru. Umsóknin er þá annað hvort samþykkt eða send til yfirferðar hjá starfsmanni félagsins og fær tilboðstaki þá tilkynningu þess efnis.
  12. Í leiðbeinandi textanum, sbr. efnisgrein 8, er útskýrt hver tilgangurinn er með grunnspurningum um stéttarfélag, reykingar og laun. Í kjölfar hverrar spurningar er umsækjandi einnig upplýstur um þá bótafjárhæða líf- og sjúkdómatrygginga, sem mælt er með. Svörum Varðar fylgdu jafnframt skjáskot með skýringum, sem félagið veitir viðskiptavinum, þegar tekin er ákvörðun á grundvelli sjálfvirkrar gagnavinnslu um útgáfu líf- og sjúkdómatrygginga með viðbótariðgjaldi ofan á grunniðgjald. Viðskiptavini er þá gerð grein fyrir því hver hækkunin er og ástæða hennar, til að mynda fjölskyldusaga um hjarta- eða æðasjúkdóma eða notkun á nikótíni. Í ferlinu upplýsir Vörður viðskiptavin einnig ef sérskilmálar gilda um viðkomandi tryggingu, hafi viðskiptavinur svarað spurningum með ákveðnum hætti. Líkt og þegar hefur verið rakið, sbr. umfjöllun í efnisgrein 8, stendur umsækjanda alltaf til boða að fá mannlega íhlutun og nánari útskýringar á einstökum spurningum og þáttum ferlisins.

    Sjónarmið Varðar

  13. Vörður byggir vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar á samþykki og nauðsyn til að efna samning, sbr. 1. og 2. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 6. gr. og a-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Tilgangurinn með sjálfvirkri ákvarðanatöku sé að gera umsækjendum mögulegt að fá umsókn sína afgreidda fljótt og örugglega og án þess að þurfa að heimsækja starfsstöð félagsins, senda umsókn inn á tilgreindum opnunartíma eða þurfa að bíða eftir úrvinnslu starfsmanns félagsins. Félagið vinni ekki með neinar viðbótarupplýsingar í tengslum við stafræna ferlið, umfram það sem á við ef umsækjandi fyllir út umsókn á pappír. Vísað er til þess að viðskiptavinir séu í upphafi upplýstir um að notast er við sjálfvirka ákvarðanatöku sem byggist á þeim upplýsingum sem þeir veita og að þeir geti ávallt óskað frekari upplýsinga um niðurstöður sjálfvirkrar ákvarðanatöku, mótmælt henni eða fengið starfsmann Varðar til að yfirfara eða endurmeta ákvörðunina.
  14. Hvað varðar öflun upplýsinga og hvernig frekari vinnsla þeirra er talin samrýmast meginreglum um lögmæta, sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, vísar Vörður til þess að félagið vinni með persónuupplýsingar á grundvelli lagaskyldu, sbr. 82. gr. laga um vátryggingarsamninga, nr. 30/2004. Samkvæmt lagaákvæðinu sé vátryggingafélagi heimilt að óska upplýsinga sem hafa þýðingu fyrir mat þess á áhættu, á meðan það hefur ekki samþykkt að veita vátryggingu. Í ákvæðinu segi að umræddra upplýsinga skuli aflað beint hjá vátryggingartaka eða, eftir atvikum, vátryggðum, sem skuli veita rétt og tæmandi svör eftir bestu vitund við spurningum félagsins.
  15. Hvað varðar meginregluna um skýrt tilgreindan, lögmætan og málefnalegan tilgang, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, vísar Vörður til ákvæða 6. og 73. gr. laga nr. 30/2004. Þar segi að áður en vátryggingarsamningur sé gerður skuli dreifingaraðili skilgreina kröfur og þarfir viðskiptavinar á grundvelli upplýsinga sem aflað er frá viðskiptavini og að félagið skuli leggja slíkar upplýsingar til grundvallar þegar það taki ákvörðun um hvort það veiti vátryggingu. Verði sé því nauðsynlegt að framkvæma áhættumat til að leggja mat á heilsu hins vátryggða og eigi það sérstaklega við í tengslum við persónutryggingar. Tilgangur félagsins með umræddri vinnslu sé þannig skýrt afmarkaður í lögum og félagið vinni ekki með umbeðnar upplýsingar í öðrum óskyldum tilgangi.
  16. Í umfjöllun Varðar um meðalhóf, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, segir að þrátt fyrir að vinnslan sé umfangsmikil og áhættumatið flókið séu umsækjendur ekki spurðir um annað en það sem skipti beinlínis máli við mat félagsins. Ekki sé spurt um allt af spurningalistanum, sbr. efnisgrein 9, í öllum tilvikum, heldur komi aðeins til frekari upplýsingaöflunar ef svör umsækjanda eru með ákveðnum hætti og leitað er atriða sem raunverulega hafi áhrif á mat félagsins. Áhættumatslisti félagsins, í Reflex, sé byggður á alþjóðlegum stöðlum, aðlagaður að Norðurlöndunum og í samræmi við bestu framkvæmd hverju sinni.

    Forsendur og niðurstaða

    Lagaumhverfi

  17. Málið varðar vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna. Vörður telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
  18. Vinnsla persónuupplýsinga er aðeins heimil ef hún heyrir undir eitthvert heimildarákvæða 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim getur vinnsla meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Samþykki, samkvæmt löggjöfinni, er óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sinna, sbr. 8. tölul. 3. gr. laganna og 11. tölul. 4. gr. reglugerðarinnar. Til þess að vinnsla geti talist heimil á grundvelli samþykkis hins skráða þurfa öll skilyrði 10. gr. laganna, sbr. og nánari skilyrði 7. gr. reglugerðarinnar, að vera uppfyllt. Er þar m.a. mælt fyrir um að hinn skráði skuli geta dregið samþykki sitt til baka hvenær sem er og að þegar metið er hvort samþykki telst óþvingað skuli taka ítrasta tillit til þess m.a. hvort það er skilyrði fyrir framkvæmd samnings, þ. á m. veitingu þjónustu, að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem er ekki nauðsynleg vegna framkvæmdar samningsins, sbr. 3. og 4. mgr. 10. gr. laganna og 3. og 4. mgr. 7. gr. reglugerðarinnar.
  19. Upplýsingar um heilsufar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun, teljast til viðkvæmra persónuupplýsinga, eins og þær eru skilgreindar í a-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, og þarf vinnsla þeirra að styðjast við eitthvert viðbótarskilyrða 1. mgr. 11. gr. laganna og 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt framangreindum ákvæðum getur vinnsla viðkvæmra persónuupplýsinga meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins.
  20. Samkvæmt 22. gr. laga nr. 90/2018 skal skráður einstaklingur eiga rétt á því að ekki sé tekin ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusniðs, sem hefur réttaráhrif að því er hann sjálfan varðar eða snertir hann á sambærilegan hátt að verulegu leyti samkvæmt nánari fyrirmælum 22. gr. reglugerðar (ESB) 2016/679, með þeim undantekningum sem þar greinir. Ákvæði 1. mgr. 22. gr. reglugerðarinnar er efnislega samhljóða 22. gr. laganna en í 2. mgr. reglugerðarákvæðisins er að finna undantekningar á framangreindum rétti hins skráða. Eiga undantekningar við í þeim tilvikum þegar ákvörðunin er forsenda þess að unnt sé að gera eða efna samning milli hins skráða og ábyrgðaraðila, sbr. a-lið, ef ákvörðunin er heimiluð í lögum og þar sem einnig er kveðið á um viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, sbr. b-lið, eða ef ákvörðunin byggist á afdráttarlausu samþykki hins skráða, sbr. c-lið. Í þeim tilvikum, sem um getur í a- og c-lið 2. mgr. 22. gr. reglugerðarinnar, skal ábyrgðaraðili gagna gera viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, a.m.k. réttinn til mannlegrar íhlutunar af hálfu ábyrgðaraðilans, til að láta skoðun sína í ljós og til að véfengja ákvörðunina, sbr. 3. mgr. reglugerðarákvæðisins. Þá segir í 4. mgr. 22. gr. reglugerðarinnar að ákvarðanir, sem um getur í 2. mgr., skulu ekki vera byggðar á sérstökum flokkum persónuupplýsinga, sem um getur í 1. mgr. 9. gr., nema a- eða g-liður 2. mgr. 9. gr. eigi við og fyrir hendi séu viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða.
  21. Til þess að vinnsla persónuupplýsinga sé heimil þarf hún enn fremur að samrýmast meginreglum um persónuvernd, samkvæmt 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sem mæla meðal annars fyrir um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og að þær séu nægilegar og viðeigandi miðað við tilganginn.
  22. Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Þá skal gera einstaklingum ljósa áhættu, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga og hvernig þeir geta neytt réttar síns í tengslum við vinnsluna.
  23. Í samræmi við 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins skal tilgangur vinnslu persónuupplýsinga vera nægjanlega vel skilgreindur og afmarkaður til að vinnslan sé gagnsæ og auðskilin og aðeins ætti að vinna persónuupplýsingar að ekki sé unnt að ná tilganginum með vinnslunni á annan aðgengilegan hátt. Því viðkvæmari persónuupplýsingar sem unnið er með og því meiri afleiðingar sem notkun þeirra getur haft í för með sér þeim mun mikilvægara er að tilgangurinn sé skýrt afmarkaður. Við mat á meðalhófi, samkvæmt 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, verður ábyrgðaraðili einnig að leggja mat á hvort hægt sé að ná fram sama markmiði og stefnt er að með viðaminni hætti.

    Niðurstaða

  24. Vörður byggir vinnslu persónuupplýsinga, þ.m.t. vinnslu viðkvæmra persónuupplýsinga, sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar, á samþykki viðskiptavina. Af gögnum málsins verður ráðið að viðskiptavinir samþykki sérstaklega, með sérstakri aðgerð, að vinnsla fari fram með sjálfvirkri ákvarðanatöku og þeir eru upplýstir um rétt sinn til að draga samþykki sitt til baka hvenær sem er. Samþykki viðskiptavinir ekki að vinnsla fari fram með sjálfvirkri ákvarðanatöku hafa þeir val um að fá tilboð í tryggingar í gegnum teymi persónutrygginga með símtali eða tölvupósti. Verður því talið að öll skilyrði 10. gr. laga nr. 90/2018, sbr. einnig 7. gr. reglugerðar (ESB) 2016/679, séu uppfyllt. Er það jafnframt niðurstaða Persónuverndar að vinnslan geti verið heimil á grundvelli 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og 1. tölul. 1. mgr. 11. gr. laganna og a-lið 2. mgr. 9. gr. reglugerðarinnar. Með vísan til fyrirliggjandi gagna og umfjöllunar í efnisgrein 8 er það einnig niðurstaða Persónuverndar að þar sem tryggður er réttur hinna skráðu til frekari upplýsinga um niðurstöður sjálfvirkrar ákvarðanatöku, réttinn til að mótmæla ákvörðuninni og til mannlegrar íhlutunar uppfylli vinnslan jafnframt skilyrði 22. gr. laga nr. 90/2018 og 22. gr. reglugerðar (ESB) 2016/679.
  25. Af svörum Varðar, sbr. nánari umfjöllun í efnisgreinum 8 og 12, og fyrirliggjandi gögnum málsins má ráða að einstaklingum, sem sækja um eða óska tilboðs í líf- og sjúkdómatryggingar hjá Verði, er gert það ljóst, með viðunandi hætti, hvaða persónuupplýsingum um þá er safnað, hvernig þær verða unnar, það er að notuð sé sjálfvirk ákvarðanataka, og í hvaða tilgangi. Enn fremur að hinum skráðu er gert ljóst að þeir geta óskað frekari upplýsinga um niðurstöður ákvörðunarinnar eða mótmælt henni og hafi rétt á mannlegri íhlutun við vinnsluna af hálfu ábyrgðaraðila. Að þessu virtu telur Persónuvernd að vinnslan, sem mál þetta varðar, sé í samræmi við framangreinda meginreglu um sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
  26. Með hliðsjón af því sem frem kemur í efnisgreinum 9, 10 og 16 telur Persónuvernd að Vörður hafi einnig sýnt fram á að hafa lagt viðeigandi mat á nauðsyn þeirra upplýsinga sem óskað er eftir frá viðskiptavinum í kaupferli fyrir líf- og sjúkdómatryggingar, að tilgangur vinnslunnar er skýrt afmarkaður, meðal annars með tilgreiningu á þeim flokkum persónuupplýsinga sem hægt er að óska upplýsinga um og afmörkun á fjölda spurninga út frá svörum viðskiptavina, og að persónuupplýsingarnar sem óskað er eftir séu nægilegar og viðeigandi fyrir vinnsluna. Er það því niðurstaða Persónuverndar að vinnslan samrýmist einnig meginreglum 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
  27. Með vísan til alls þess sem að framan greinir er það niðurstaða Persónuverndar að vinnsla persónuupplýsinga, sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá Verði, samrýmist 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679, og 22. gr. laganna og 22. gr. reglugerðarinnar. Vinnslan er jafnframt talin samrýmast 1.-3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
  28. Þessi niðurstaða útilokar ekki að Persónuvernd muni síðar hefja frumkvæðisathugun á vinnslu persónuupplýsinga í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um aðrar tryggingar sem Vörður gefur út, svo sem sjálfvirka ákvarðanatöku sem fram fer í tengslum við umsókn og útgáfu skaðatrygginga.

 

Á k v ö r ð u n a r o r ð:

Vinnsla persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá Verði byggist á fullnægjandi vinnsluheimild, uppfyllir viðbótarskilyrði fyrir vinnslu viðkvæmra persónuupplýsinga og samrýmist meginreglum um persónuvernd sem lúta að sanngirni og gagnsæi, takmörkun vegna tilgangs og lágmörkun gagna, samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Persónuvernd, 23. september 2024

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir         Björn Geirsson

Vilhelmína Haraldsdóttir                                  Þorvarður Kári Ólafsson

Var efnið hjálplegt? Nei