Sjálfvirk ákvarðanataka við útgáfu trygginga hjá Sjóvá-Almennum tryggingum hf.
Mál nr. 2024020416
Ákvörðun
í máli nr. 2024020416 hjá Persónuvernd, frumkvæðisathugun á sjálfvirkri ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá Sjóvá-Almennum tryggingum hf. og Sjóvá-Almennum líftryggingum hf.:
Málsmeðferð
Tildrög máls
- Persónuvernd tilkynnti Sjóvá-Almennum tryggingum hf. og Sjóvá-Almennum líftryggingum hf. (hér eftir saman nefnt Sjóvá) um að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í tryggingar, með bréfi 6. mars 2024.
- Ákvörðun um að hefja ofangreinda frumkvæðisathugun var tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2024 sbr. 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar. Samkvæmt stefnunni er vinnsla persónuupplýsinga í snjalllausnum og hugbúnaðarkerfum vátryggingafélaga meðal annars í forgangi á árinu.
Rannsókn máls
- Með fyrrgreindu bréfi Persónuverndar til Sjóvá 6. mars 2024 óskaði stofnunin upplýsinga um allar persónuupplýsingar sem notaðar eru við gerð persónusniðs sem lagt er til grundvallar sjálfvirkri ákvarðanatöku hjá félögunum tveimur, þ.m.t. allar upplýsingar sem unnt er að tengja beint eða óbeint við tiltekinn einstakling, hvaða vægi tilteknar upplýsingar hafa í sjálfvirkri ákvarðanatöku og hvernig það vægi er ákveðið. Einnig var óskað upplýsinga um með hvaða hætti skráðum einstaklingum er tilkynnt um að sjálfvirk ákvarðanataka fari fram, hvaða vinnsla persónuupplýsinga fari fram í tengslum við hana, á hvaða rökum ákvarðanatakan sé byggð og afleiðingar slíkrar vinnslu. Svör Sjóvá, ásamt fylgigögnum, bárust Persónuvernd með tölvupósti 20. mars s.á.
- Með hliðsjón af svörum Sjóvá ákvað Persónuvernd að afmarka athugunina við vinnslu persónuupplýsinga sem fram fer í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá félaginu. Með erindi 15. maí 2024 og 13. júní s.á. óskaði Persónuvernd nánari upplýsinga um allar persónuupplýsingar sem Sjóvá aflar eða óskar eftir frá hinum skráða sjálfum og þriðja aðila í kaupferli fyrir líf- og sjúkdómatryggingar og eru notaðar í tengslum við sjálfvirka ákvarðanatöku, þ. á m. sundurliðun á öllum heilsufarsupplýsingum, svo og allar upplýsingar sem kunna með einhverjum hætti að vera eða vera gerðar persónugreinanlegar. Einnig var óskað upplýsinga um hvernig öflun framangreindra upplýsinga frá hinum skráða eða þriðja aðila og frekari vinnsla þeirra er talin samrýmast meginreglum um persónuvernd, sem lúta að lögmæti, sanngirni og gagnsæi vinnslu, tilgangstakmörkun og lágmörkun gagna. Þá óskaði Persónuvernd jafnframt eftir afriti af gögnum með tölfræði- eða stærðfræðilegum útreikningum sem sýna fram á að tilteknar upplýsingar, sem notaðar eru við sjálfvirka ákvarðanatöku við umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar, séu nauðsynlegar í þágu framangreindrar ákvarðanatöku. Loks óskaði Persónuvernd upplýsinga um hvernig fræðslu verður háttað til viðskiptavinar þegar viðkomandi fær útgefna tryggingu með álagi í nýju kerfi sem til stendur að Sjóvá taki í notkun. Frekari svör Sjóvá, ásamt fylgigögnum, bárust með tölvupósti 29. maí og 21. júní s.á.
Álitamál
- Markmið frumkvæðisathugunarinnar var í fyrsta lagi að staðreyna hvort réttindi einstaklinga eru tryggð við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá Sjóvá, í samræmi við 22. gr. laga nr. 90/2018, sbr. nánari fyrirmæli 22. gr. reglugerðar (ESB) 2016/679. Í öðru lagi var kannað hvort gagnsæis og sanngirnis er gætt gagnvart hinum skráða í tengslum við framangreinda vinnslu, í samræmi við kröfur 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. gr. reglugerðarinnar. Í þriðja lagi beindist athugun Persónuverndar að því hvort tryggt er að við útgáfu líf- og sjúkdómatrygginga óski Sjóvá aðeins upplýsinga sem eru nauðsynlegar í þágu framangreindrar ákvarðanatöku og þær fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, í samræmi við 2. og 3. tölulið lagaákvæðisins, sbr. b- og c-lið reglugerðarákvæðisins.
Fyrirliggjandi gögn og upplýsingar um vinnsluna
- Í svörum Sjóvá kemur fram að umsókn um líf- og sjúkdómatryggingu hjá félaginu sé útgefin með sjálfvirkri ákvarðanatöku í þeim tilvikum þegar öllum spurningum í áhættumati er svarað með þeim hætti að ekki er merkt við áhættuaukandi möguleika og beiðni um líftryggingarfjárhæð er ekki hærri en [...] kr. Svari viðskiptavinur spurningum um heilsufar með ákveðnum hætti eða beiðni um líftryggingarfjárhæð er hærri en [...] kr. fari umsókn og útgáfa skírteinis hins vegar í handvirka vinnslu hjá starfsfólki Sjóvá. Samkvæmt vinnsluskrá vegna vinnslu persónuupplýsinga í kaupferlinu eru persónuupplýsingar um viðskiptavini notaðar í þeim tilgangi að framkvæma áhættumat við útgáfu tryggingar. Vinnslan byggist á samþykki viðskiptavina, sbr. 1. tölul. 1. mgr. 9. gr. og 1. tölul. 11. gr. laga nr. 90/2018.
- Hjá Sjóvá stendur til að auka sjálfvirka ákvarðanatöku við útgáfu líf- og sjúkdómatrygginga og hyggst félagið innleiða nýtt sjálfvirkt áhættumatskerfi í umsóknarferli um líf- og sjúkdómatryggingar frá endurtryggjanda Sjóvá, Munich RE. Kerfið hefur þó ekki enn verið tekið í notkun hjá Sjóvá og sjálfvirk ákvarðanataka við útgáfa trygginga í algjöru lágmarki hjá félaginu eins og er.
- Samkvæmt skjáskoti sem fylgdi með svörum Sjóvá til Persónuverndar veita viðskiptavinir samþykki sitt með því að staðfesta, áður en umsókn um líf- og sjúkdómatryggingu er send til félagsins, að þeir samþykki vinnslu persónuupplýsinga og þeim hafi verið kynnt hvernig persónuvernd er tryggð hjá félaginu. Viðskiptavinir eru upplýstir um tilgang vinnslunnar og að þeim sé heimilt að afturkalla samþykki sitt til vinnslu persónuupplýsinga.
- Samkvæmt svörum Sjóvá er fræðsla um sjálfvirka ákvarðanatöku veitt í persónuverndarstefnu félagsins. Í persónuverndarstefnunni segir að Sjóvá nýtir sjálfvirka ákvarðanatöku meðal annars við ákvörðun um töku í viðskipti sem byggir á fyrirliggjandi upplýsingum um einstakling og viðskipti hans. Upplýst er um tilgang vinnslu og á hvaða heimild vinnsla persónuupplýsinga byggist. Einnig er upplýst um að einstaklingar eiga alltaf rétt á að fá mannlega íhlutun óski þeir þess, koma sjónarmiðum sínum á framfæri, fá útskýringar á ákvörðun og andmæla henni. Við innleiðingu nýs sjálfvirks áhættumatskerfis er fyrirhugað að fræðsla um sjálfvirka ákvarðanatöku verði tilgreind við upphaf umsóknarferlis.
- Greint er frá því í svörum Sjóvá að sjálfvirk ákvarðanataka í kaupferli fyrir líf- og sjúkdómatryggingar byggist á upplýsingum frá viðskiptavinum um almennar persónuupplýsingar, starf, tómstundaiðju, lífsstíl, svo sem reykingar, neyslu áfengis og fíkniefna, ásamt upplýsingum um heilsufar og sjúkdóma. Einnig er byggt á upplýsingum frá viðskiptavinum um hvort tilgreindir sjúkdómar hafi verið greindir hjá foreldrum eða systkinum. Meðfylgjandi svörum Sjóvá var yfirlit yfir kaupferli við útgáfu líf- og sjúkdómatrygginga þar sem sjá má hvaða upplýsinga er óskað frá viðskiptavinum þegar ákvörðun byggist á sjálfvirkri gagnavinnslu. Samkvæmt yfirlitinu er viðskiptavinum gerð grein fyrir því í upphafi umsóknarferlis að upplýsingarnar sem þeir gefa séu notaðar til að meta hvort trygging verði gefin út og á hvaða kjörum.
- Samkvæmt skýringum Sjóvá byggir ákvörðun um útgáfu og iðgjald líf- og sjúkdómatrygginga á áhættumati sem snýr að mati á tilgreindum áhættuþætti. Áhættumat vegna umsóknar um líf- og sjúkdómatryggingar hjá Sjóvá er að hluta til byggt á töflum endurtryggjanda Sjóvá, Munich RE. Stuðst er við áhættuviðmið endurtryggjanda þannig að sömu áhættur hjá umsækjendum byggi á sömu töflu sem nýtt er til matsins og þannig leitast við að gæta jafnræðis. Eini útreikningurinn sem framkvæmdur er í núverandi kerfi af Sjóvá í umsóknarferli líf- og sjúkdómatrygginga sé útreikningur á líkamsþyngdarstuðli, sem byggir á hæð og þyngd umsækjanda (e. Body Mass Index). Ef líkamsþyngdarstuðull er á ákveðnu bili (18-30) gefur það ekki tilefni til frekara áhættumats og getur það því, ásamt öðrum svörum í hreinni umsókn, talist grundvöllur sjálfvirkrar útgáfu skírteinis. Annars fer umsóknin í ítarlegra áhættumat hjá starfsfólki líftryggingardeildar.
Sjónarmið Sjóvá
- Sjóvá byggir vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar á samþykki, sbr. 1. tölul. 9. gr. og 1. tölul. 11. gr. laga nr. 90/2018. Vísað er til þess að viðskiptavinum sé gerð grein fyrir því að upplýsingarnar sem þeir gefa séu notaðar til að meta hvort trygging verði gefin út og á hvaða kjörum. Fræðsla um hugsanlega sjálfvirka ákvarðanatöku sé veitt í persónuverndarstefnu á vefsíðu félagsins.
- Hvað varðar öflun upplýsinga og hvernig frekari vinnsla þeirra er talin samrýmast meginreglum um lögmæta, sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, vísar Sjóvá til þess að allar spurningar í áhættumati snúi að mati á tilgreindum áhættum. Upplýst sé um tilgang gagnaöflunar í umsóknarferlinu og engar spurningar séu umfram það sem nauðsynlegt er fyrir útgáfu persónutrygginga. Í umsóknarferlinu er óskað grunnupplýsinga um nafn, kennitölu, netfang, símanúmer, heimilisfang og póstnúmer, sem nauðsynlegar séu til að koma á samningi og til að efna samning. Ekki sé aflað grunnupplýsinga umfram lágmarkskröfur til að geta stofnað til og efnt samning og þannig gætt sanngirnis. Grunnupplýsingar séu notaðar til að uppfylla kröfur laga um vátryggingasamninga og til að geta haft samband við umsækjanda á samningstíma. Þá sé engra upplýsinga aflað umfram það sem nauðsynlegt þykir og því gætt að tilgangstakmörkun og lágmörkun gagna.
- Hvað varðar öflun upplýsinga um atvinnu eða séráhættu, heilsufar og fjölskyldusögu byggir Sjóvá á því að slík upplýsingaöflun sé nauðsynleg vegna gerðar áhættumats. Upplýsingaöflun vegna áhættumats við sölu líf- og sjúkdómatrygginga snúi að mati á einstaklingum sem áhættu sem vegur inn í ákvörðun iðgjalds og hvort samningur komist á eða ekki. Umsækjandi veiti samþykki fyrir vinnslu upplýsinga áður en umsókn er send til Sjóvá og vinnslan sé í samræmi við 82. gr. laga nr. 30/2004 um vátryggingasamninga, þar sem fjallað er um skyldur vátryggingartaka og vátryggðs til að veita upplýsingar um áhættuna. Þá vísar Sjóvá til þess að iðgjald ákvarðist á grundvelli áhættumats og að það byggi á sanngirnissjónarmiðum þannig að þeir sem metnir séu til aukinnar áhættu, greiði hærra iðgjald. Áhættumat sé að hluta til byggt á töflum endurtryggjanda, sbr. framangreinda umfjöllun í efnisgrein 11. Upplýst sé í umsókn hvernig upplýsingar eru notaðar til að meta umsókn um tryggingar, ákveða hvort trygging verði gefin út og á hvaða kjörum og þannig sé gagnsæis gætt. Varðandi tilgangstakmörkun og lágmörkun gagna, þá sé aðeins óskað eftir þeim upplýsingum sem nauðsynlegar eru vegna mats á áhættu til grundvallar ákvörðunar um það hvort trygging verði gefin út og ákvörðunar um iðgjald.
Forsendur og niðurstaða
Lagaumhverfi
- Málið varðar vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna. Sjóvá telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
- Vinnsla persónuupplýsinga er aðeins heimil ef hún heyrir undir eitthvert heimildarákvæða 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim getur vinnsla meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Samþykki, samkvæmt löggjöfinni, er óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sinna, sbr. 8. tölul. 3. gr. laganna og 11. tölul. 4. gr. reglugerðarinnar. Til þess að vinnsla geti talist heimil á grundvelli samþykkis hins skráða þurfa öll skilyrði 10. gr. laganna, sbr. og nánari skilyrði 7. gr. reglugerðarinnar, að vera uppfyllt. Er þar m.a. mælt fyrir um að hinn skráði skuli geta dregið samþykki sitt til baka hvenær sem er og að þegar metið er hvort samþykki telst óþvingað skuli taka ítrasta tillit til þess m.a. hvort það er skilyrði fyrir framkvæmd samnings, þ. á m. veitingu þjónustu, að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem er ekki nauðsynleg vegna framkvæmdar samningsins, sbr. 3. og 4. mgr. 10. gr. laganna og 3. og 4. mgr. 7. gr. reglugerðarinnar.
- Upplýsingar um heilsufar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun, teljast til viðkvæmra persónuupplýsinga, eins og þær eru skilgreindar í a-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, og þarf vinnsla þeirra að styðjast við eitthvert viðbótarskilyrða 1. mgr. 11. gr. laganna og 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt framangreindum ákvæðum getur vinnsla viðkvæmra persónuupplýsinga meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins.
- Samkvæmt 22. gr. laga nr. 90/2018 skal skráður einstaklingur eiga rétt á því að ekki sé tekin ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusniðs, sem hefur réttaráhrif að því er hann sjálfan varðar eða snertir hann á sambærilegan hátt að verulegu leyti samkvæmt nánari fyrirmælum 22. gr. reglugerðar (ESB) 2016/679, með þeim undantekningum sem þar greinir. Ákvæði 1. mgr. 22. gr. reglugerðarinnar er efnislega samhljóða 22. gr. laganna en í 2. mgr. reglugerðarákvæðisins er að finna undantekningar á framangreindum rétti hins skráða. Eiga undantekningar við í þeim tilvikum þegar ákvörðunin er forsenda þess að unnt sé að gera eða efna samning milli hins skráða og ábyrgðaraðila, sbr. a-lið, ef ákvörðunin er heimiluð í lögum og þar sem einnig er kveðið á um viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, sbr. b-lið, eða ef ákvörðunin byggist á afdráttarlausu samþykki hins skráða, sbr. c-lið. Í þeim tilvikum, sem um getur í a- og c-lið 2. mgr. 22. gr. reglugerðarinnar, skal ábyrgðaraðili gagna gera viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, a.m.k. réttinn til mannlegrar íhlutunar af hálfu ábyrgðaraðilans, til að láta skoðun sína í ljós og til að vefengja ákvörðunina, sbr. 3. mgr. reglugerðarákvæðisins. Þá segir í 4. mgr. 22. gr. reglugerðarinnar að ákvarðanir, sem um getur í 2. mgr., skulu ekki vera byggðar á sérstökum flokkum persónuupplýsinga, sem um getur í 1. mgr. 9. gr., nema a- eða g-liður 2. mgr. 9. gr. eigi við og fyrir hendi séu viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða.
- Til þess að vinnsla persónuupplýsinga sé heimil þarf hún enn fremur að samrýmast meginreglum um persónuvernd, samkvæmt 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sem mæla meðal annars fyrir um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og að þær séu nægilegar og viðeigandi miðað við tilganginn.
- Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Þá skal gera einstaklingum ljósa áhættu, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga og hvernig þeir geta neytt réttar síns í tengslum við vinnsluna.
- Í samræmi við 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins skal tilgangur vinnslu persónuupplýsinga vera nægjanlega vel skilgreindur og afmarkaður til að vinnslan sé gagnsæ og auðskilin og aðeins ætti að vinna persónuupplýsingar að ekki sé unnt að ná tilganginum með vinnslunni á annan aðgengilegan hátt. Því viðkvæmari persónuupplýsingar sem unnið er með og því meiri afleiðingar sem notkun þeirra getur haft í för með sér þeim mun mikilvægara er að tilgangurinn sé skýrt afmarkaður. Við mat á meðalhófi, samkvæmt 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, verður ábyrgðaraðili einnig að leggja mat á hvort hægt sé að ná fram sama markmiði og stefnt er að með viðaminni hætti.
Niðurstaða
Sjóvá byggir vinnslu persónuupplýsinga, þ.m.t. vinnslu viðkvæmra persónuupplýsinga, sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar, á samþykki viðskiptavina. Af gögnum málsins verður ráðið að viðskiptavinir veiti samþykki sitt með því að fylla út rafræna umsókn um líf- og sjúkdómatryggingu og staðfesti við lok umsóknar að þeir samþykki vinnslu persónuupplýsinga og hafi kynnt sér hvernig persónuvernd er tryggð hjá félaginu. Í umsóknarferlinu kemur hins vegar hvergi fram með skýrum hætti að ákvörðun, um hvort trygging verði gefin út og á hvaða verði, fari fram með sjálfvirkri ákvarðanatöku. Að mati Persónuverndar telst slík samþykkisyfirlýsing ekki uppfylla skilyrði 10. gr. laga nr. 90/2018, sbr. og skilyrði 7. gr. reglugerðar (ESB) 2016/679, um að teljast upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sinna. Í 42. og 43. lið formálsorða reglugerðar (ESB) 2016/679 segir meðal annars að þegar vinnsla er byggð á samþykki skráðs einstaklings ætti að vera tryggt, einkum í tengslum við skriflega yfirlýsingu um annað málefni, að hinum skráða sé kunnugt um að samþykki hafi verið veitt og að hvaða marki. Með upplýstu samþykki er átt við að hinn skráði viti hvað hann sé að samþykkja, hvernig vinnslan fari fram og hvaða afleiðingar meðferð upplýsinganna hafi eða geti haft fyrir hann. Eins og hér háttar til verður ekki talið nægilegt af hálfu Sjóvá að vísa aðeins til persónuverndarstefnu félagsins til að veita hinum skráða upplýsingar um að vinnslan, sem samþykki hans byggir á, fari fram með sjálfvirkri ákvarðanatöku. - Með vísan til framangreinds er það niðurstaða Persónuverndar að engin heimild hafi staðið til vinnslunnar samkvæmt 9. gr. laga nr. 90/2018, sbr. einnig 6. gr. reglugerðar (ESB) 2016/679, 11. gr. laganna, sbr. 9. gr. reglugerðarinnar. Af því leiðir jafnframt að skilyrði 22. gr. laganna og 22. gr. reglugerðarinnar teljast ekki uppfyllt.
- Þegar af þeirri ástæðu er niðurstaða Persónuverndar að vinnslan sé ekki í samræmi við lög nr. 90/2018 og reglugerð (ESB) 2016/679.
- Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Sjóvá að færa vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um útgáfu líf- og sjúkdómatrygginga til samræmis við 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018 og 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679.
Á k v ö r ð u n a r o r ð:
Vinnsla persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá Sjóvá samrýmist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679 um vinnsluheimildir.
Lagt er fyrir Sjóvá að færa vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um útgáfu líf- og sjúkdómatrygginga til samræmis við 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018 og 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679, um vinnsluheimild. Staðfesting á að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 21. október 2024.
Persónuvernd, 23. september 2024
Ólafur Garðarsson
formaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson