Úrlausnir

Sjálfvirk ákvarðanataka við útgáfu trygginga hjá TM tryggingum hf.

Mál nr. 2024020415

9.10.2024

Ákvörðun


í máli nr. 2024020415 hjá Persónuvernd, frumkvæðisathugun á sjálfvirkri ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá TM tryggingum hf. og TM líftryggingum hf.:

 

Málsmeðferð

Tildrög máls

 

  1. Persónuvernd tilkynnti TM tryggingum hf. og TM líftryggingum hf. (hér eftir saman nefnt TM) um að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í tryggingar, með bréfi 6. mars 2024.
  2. Ákvörðun um að hefja ofangreinda frumkvæðisathugun var tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2024 sbr. 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar. Samkvæmt stefnunni er vinnsla persónuupplýsinga í snjalllausnum og hugbúnaðar­kerfum vátryggingafélaga meðal annars í forgangi á árinu.

    Rannsókn máls

  3. Með fyrrgreindu bréfi Persónuverndar til TM 6. mars 2024 óskaði stofnunin upplýsinga um allar persónuupplýsingar sem notaðar eru við gerð persónusniðs sem lagt er til grundvallar sjálfvirkri ákvarðanatöku hjá félögunum tveimur, þ.m.t. allar upplýsingar sem unnt er að tengja beint eða óbeint við tiltekinn einstakling, hvaða vægi tilteknar upplýsingar hafa í sjálfvirkri ákvarðanatöku og hvernig það vægi er ákveðið. Einnig var óskað upplýsinga um með hvaða hætti skráðum einstaklingum er tilkynnt um að sjálfvirk ákvarðanataka fari fram, hvaða vinnsla persónuupplýsinga fari fram í tengslum við hana, á hvaða rökum ákvarðanatakan sé byggð og afleiðingar slíkrar vinnslu. Svör TM, ásamt fylgigögnum, bárust Persónuvernd með tölvupósti 20. mars s.á.
  4. Með hliðsjón af svörum TM ákvað Persónuvernd að afmarka athugunina við vinnslu persónuupplýsinga sem fram fer í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá félaginu. Með erindi 15. maí 2024 og 13. júní s.á. óskaði Persónuvernd nánari upplýsinga um allar persónuupplýsingar sem TM aflar eða óskar eftir frá hinum skráða sjálfum og þriðja aðila í kaupferli fyrir líf- og sjúkdómatryggingar og eru notaðar í tengslum við sjálfvirka ákvarðanatöku, þ. á m. sundurliðun á öllum heilsufarsupplýsingum, svo og allar upplýsingar sem kunna með einhverjum hætti að vera eða vera gerðar persónugreinanlegar. Einnig var óskað upplýsinga um hvernig öflun framangreindra upplýsinga frá hinum skráða eða þriðja aðila og frekari vinnsla þeirra er talin samrýmast meginreglum um persónuvernd, sem lúta að lögmæti, sanngirni og gagnsæi vinnslu, tilgangstakmörkun og lágmörkun gagna. Þá óskaði Persónuvernd jafnframt eftir afriti af gögnum með tölfræði- eða stærðfræðilegum útreikningum sem sýna fram á að tilteknar upplýsingar, sem notaðar eru við sjálfvirka ákvörðunartöku við umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar, séu nauðsynlegar í þágu framangreindrar ákvarðanatöku. Frekari svör TM, ásamt fylgigögnum, bárust með tölvupósti 29. maí og 21. júní s.á.

    Álitamál

  5. Markmið frumkvæðisathugunarinnar var í fyrsta lagi að staðreyna hvort réttindi einstaklinga eru tryggð við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá TM, í samræmi við 22. gr. laga nr. 90/2018, sbr. nánari fyrirmæli 22. gr. reglugerðar (ESB) 2016/679. Í öðru lagi var kannað hvort gagnsæis og sanngirnis er gætt gagnvart hinum skráða í tengslum við framangreinda vinnslu, í samræmi við kröfur 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar. Í þriðja lagi beindist athugun Persónuverndar að því hvort tryggt er að við útgáfu líf- og sjúkdómatrygginga að TM óski aðeins upplýsinga sem eru nauðsynlegar í þágu framangreindrar ákvarðanatöku og að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, í samræmi við 2. og 3. tölulið lagaákvæðisins, sbr. b- og c-lið reglugerðarákvæðisins.

    Fyrirliggjandi gögn og upplýsingar um vinnsluna

  6. Í svörum TM kemur fram að áhættumat við meðferð umsókna um líf- og sjúkdómatryggingar fari fram í gegnum forritið Magnum GO, þar sem útgáfa trygginga og iðgjald er ákveðið með sjálfvirkri ákvarðanatöku. Samkvæmt vinnsluskrá vegna vinnslu persónuupplýsinga í kaupferlinu eru persónuupplýsingar um viðskiptavini notaðar í þeim tilgangi að framkvæma áhættumat við útgáfu tryggingar. Þá segir í skýringum TM að vinnslan byggist á samþykki viðskiptavina, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018.
  7. Samkvæmt skjáskoti sem fylgdi með svörum TM til Persónuverndar veita viðskiptavinir samþykki sitt með því að haka við tiltekinn reit og tekið er fram að hægt sé að afturkalla samþykkið hvenær sem er. Viðskiptavinir eru upplýstir um tilgang vinnslunnar. Samkvæmt skjáskotinu eru viðskipavinir einnig upplýstir um að ákvörðun, um hvort trygging verði gefin út og á hvaða verði, fari fram með sjálfvirkri ákvarðanatöku. Þá fylgdi með svörum félagsins skjáskot af veittri fræðslu til viðskiptavina varðandi sjálfvirka ákvarðanatöku. Þar kemur fram að sjálfvirk ákvarðanataka byggist á þeim upplýsingum sem viðskiptavinir veita um heilsufar sitt, lífsstíl og fjölskyldusögu. Tekið er fram að ávallt sé hægt að óska frekari upplýsinga um niðurstöður sjálfvirkrar ákvarðanatöku, mótmæla henni eða fá starfsmann TM til þess að yfirfara eða endurmeta ákvörðunina. Viðskiptavinur er beðinn um að staðfesta skilmála um sjálfvirka ákvarðanatöku í umsóknarferli.
  8. Greint er frá því í svörum TM að viðskiptavinir hafi val um það hvort þeir óska eftir að kaupa líf- eða sjúkdómatryggingu á vefsíðu félagsins eða hjá ráðgjafa í gegnum síma eða í útibúi. Ávallt sé óskað sömu upplýsinga og auk þess skoði heilbrigðismenntaðir sérfræðingar í áhættumati almennt allar þær umsóknir, þegar til skoðunar kemur að gefa út tryggingu með álagi á iðgjald eða takmörkun á gildissviði, t.a.m. vegna heilsufarsáhættu. Almennt séu allar þær tryggingar sem gefnar eru út með sjálfvirkum hætti með lægsta mögulega iðgjald og án takmarkana og sjálfvirk ákvarðanataka ætti því almennt ekki að hafa neikvæð áhrif á réttindi eða frelsi hins skráða. Reykingarálag sé eina undantekningin á þessu. Tryggingar geti verið gefnar út sjálfvirkt með reykingarálagi en útgáfa líf- og sjúkdómatrygginga byggist á tveimur mismunandi gjaldskrám sem taki eingöngu tillits til þessarar breytu. Að öðru leyti séu líf- og sjúkdómatryggingar eingöngu gefnar út ef það eru engin atriði sem heilbrigðismenntaðir sérfræðingar TM í áhættumati þurfa að skoða hvort kunni að valda álagi á iðgjald eða takmörkun á gildissviði tryggingarinnar. Af þessum sökum sé aðeins brot af líf- og sjúkdómatryggingum gefið út á grundvelli sjálfvirkrar ákvarðanatöku.
  9. Samkvæmt skýringum TM lítur félagið svo á að upplýsingar um sjálfvirka ákvarðanatöku vegna reykingarálags falli undir skilmála um sjálfvirka ákvarðanatöku. Reykingar séu hluti af lífsstíl sem upplýst er um að geti haft áhrif á sjálfvirka ákvarðanatöku og leitt til þess að trygging sé veitt með sérstöku álagi. Þá sé einnig upplýst um forsendur tryggingarinnar í vátryggingarskírteinum og fylgdi svörum félagsins afrit af tveimur skírteinum sem dæmi, með og án reykingarálags. Sjá má á skírteinunum að einn reitur ber heitið „Reykir“. Á afriti vátryggingaskírteinis án reykingarálags segir þar „Nei“. Á afriti vátryggingaskírteinis með reykingarálagi segir þar „Já“.
  10. Samkvæmt skýringum TM er ferlið með þeim hætti að viðskiptavinur byrjar á að auðkenna sig með rafrænum skilríkjum og fær félagið þá upplýsingar um nafn, kennitölu, símanúmer, heimilisfang og aldur viðkomandi. Viðskiptavinur er einnig beðinn um upplýsingar um starf sitt, laun og hvort hann hefur reykt síðustu 24 mánuði. Er umsækjandi svo beðinn um að upplýsa um hjúskaparstöðu sína og býður kerfið í kjölfarið upp á að maki viðkomandi kaupi einnig líf- og sjúkdómatryggingu. Næst er viðskiptavinur beðinn um að svara tilteknum spurningum um heilsufar og lífsstíl, líkamsbyggingu og venjur og heilsufar fjölskyldu. Er hann þá beðinn um að svara því játandi eða neitandi hvort hann hefur nú eða áður haft tiltekna sjúkdóma eða sjúkdómseinkenni eða leitað til læknis vegna þeirra. Skjáskot af ferlinu fylgdi svörum TM, þar sem sjá má hvaða heilsufarsupplýsingar og upplýsingar um fjölskyldusögu beðið er um.

    Sjónarmið TM

  11. TM byggir vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar á samþykki, sbr. 1. tölul. 9. gr. og 1. tölul. 1. mgr. 11. gr. laga nr. 90/2018. Vinnsla heilbrigðisupplýsinga sem hinn skráði veiti í umsókn byggist á því að hún sé nauðsynleg vegna efnda samnings og almannahagsmuna, sbr. 2. tölul. 9. gr. og 7. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 6. gr. og g-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Vinnsla upplýsinga um hjúskaparstöðu og hvort maki hafi áhuga á líf- eða sjúkdómatryggingu byggist á lögmætum hagsmunum, sbr. 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar. Þá byggist vinnsla heilbrigðisupplýsinga sem veittar séu af þriðja aðila á því að hún sé nauðsynleg til að efna samning og á afdráttarlausu samþykki, sbr. fyrrgreind ákvæði.
  12. Hvað varðar öflun upplýsinga og hvernig frekari vinnsla þeirra er talin samrýmast meginreglunni um lögmæta, sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, vísar TM til þess að vinnslan sé lögmæt og byggist á fullnægjandi vinnsluheimildum. Viðskiptavinum sé jafnframt veitt fræðsla í gegnum persónuverndarstefnu TM, sem birt sé á heimasíðu félagsins og vísað til við upphaf söluferlis á tryggingum á heimasíðu TM. Viðskiptavinir séu beðnir um að haka við að þeir hafi kynnt sér þá stefnu áður en söluferlið hefst. Viðskiptavinir séu upplýstir um í hvaða skyni TM aflar viðkomandi persónuupplýsinga, þ.e. til að leggja mat á viðeigandi fjárhæð vátryggingar, fjárhæð iðgjalda og til að ákvarða hvort trygging verði veitt með sérstöku álagi á iðgjald, tilteknar áhættur verði undanskildar eða tryggingu synjað. Áður en umsækjandi svari spurningum um heilsufar sé hann upplýstur um hvers konar upplýsinga er óskað og að um sjálfvirka ákvarðanatöku sé að ræða, auk þess sem niðurstöður geti leitt til þess að afla þurfi frekari gagna um heilsufar eða sjúkrasögu. Þá sé hann upplýstur um að upplýsingarnar sem hann veiti geti leitt til þess að hann fái trygginguna með sérstöku álagi á iðgjöld, tilteknar áhættur verði undanskildar eða tryggingu verði synjað. Umsækjanda sé veitt fræðsla um hvert hann geti leitað ef hann vill fá útskýringar á niðurstöðu áhættumats eða mótmæla niðurstöðunum. Þá skrifi hann undir heimild til handa TM til öflunar heilsufarsupplýsinga hjá læknum og öðrum sem hafa með höndum upplýsingar um heilsufar og sjúkrasögu, sem kunni að vera nauðsynlegar við ákvörðun um veitingu vátryggingar og afgreiðslu bótakröfu. Þá heldur TM því fram að eðli athafnarinnar, það er að svara spurningalista við kaup á vátryggingu, geri það fyrirsjáanlegt að svör við þeim spurningum verði notuð til að ákvarða iðgjald eða mögulegar takmarkanir á gildissviði tryggingar.
  13. Hvað varðar tilgangstakmörkun og lágmörkun gagna, sé tilgangur vinnslunnar, að undanskildum spurningum um áhuga maka á líf- og sjúkdómatryggingu, að útbúa tilboð og gera samning við væntanlegan vátryggingartaka. Tilgangurinn sé nánar tiltekið að framkvæma áhættumat og komast að nákvæmri niðurstöðu um fjárhæð trygginga, iðgjalda og hvort takmörk skuli sett á gildissvið vátryggingar. Heilbrigðis- og tengiliðaupplýsingar séu ekki notaðar í öðrum tilgangi en að efna samning og upplýsingar um maka eingöngu notaðar til að kanna hvort maki hefur einnig áhuga á líf- og sjúkdómatryggingu, og þar með að veita betri þjónustu.
  14. Hvað reykingarálag varðar segir í svörum TM að félagið líti svo á að upplýsingar um sjálfvirka ákvarðanatöku vegna reykingarálags falli undir skilmála um sjálfvirka ákvarðanatöku, sbr. umfjöllun í efnisgrein 9. Reykingar séu hluti af lífsstíl sem upplýst er um að geti haft áhrif á sjálfvirka ákvarðanatöku og leitt til þess að trygging sé veitt með sérstöku álagi. Þá sé einnig upplýst um forsendur tryggingarinnar í vátryggingarskírteinum.

    Forsendur og niðurstaða

    Lagaumhverfi

  15. Málið varðar vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna. TM telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
  16. Vinnsla persónuupplýsinga er aðeins heimil ef hún heyrir undir eitthvert heimildarákvæða 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim getur vinnsla meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Samþykki, samkvæmt löggjöfinni, er óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sinna, sbr. 8. tölul. 3. gr. laganna og 11. tölul. 4. gr. reglugerðarinnar. Til þess að vinnsla geti talist heimil á grundvelli samþykkis hins skráða þurfa öll skilyrði 10. gr. laganna, sbr. og nánari skilyrði 7. gr. reglugerðarinnar, að vera uppfyllt. Er þar m.a. mælt fyrir um að hinn skráði skuli geta dregið samþykki sitt til baka hvenær sem er og að þegar metið er hvort samþykki telst óþvingað skuli taka ítrasta tillit til þess m.a. hvort það er skilyrði fyrir framkvæmd samnings, þ. á m. veitingu þjónustu, að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem er ekki nauðsynleg vegna framkvæmdar samningsins, sbr. 3. og 4. mgr. 10. gr. laganna og 3. og 4. mgr. 7. gr. reglugerðarinnar.
  17. Upplýsingar um heilsufar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun, teljast til viðkvæmra persónuupplýsinga, eins og þær eru skilgreindar í a-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, og þarf vinnsla þeirra að styðjast við eitthvert viðbótarskilyrða 1. mgr. 11. gr. laganna og 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt framangreindum ákvæðum getur vinnsla viðkvæmra persónuupplýsinga meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins.
  18. Samkvæmt 22. gr. laga nr. 90/2018 skal skráður einstaklingur eiga rétt á því að ekki sé tekin ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusniðs, sem hefur réttaráhrif að því er hann sjálfan varðar eða snertir hann á sambærilegan hátt að verulegu leyti samkvæmt nánari fyrirmælum 22. gr. reglugerðar (ESB) 2016/679, með þeim undantekningum sem þar greinir. Ákvæði 1. mgr. 22. gr. reglugerðarinnar er efnislega samhljóða 22. gr. laganna en í 2. mgr. reglugerðarákvæðisins er að finna undantekningar á framangreindum rétti hins skráða. Eiga undantekningar við í þeim tilvikum þegar ákvörðunin er forsenda þess að unnt sé að gera eða efna samning milli hins skráða og ábyrgðaraðila, sbr. a-lið, ef ákvörðunin er heimiluð í lögum og þar sem einnig er kveðið á um viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, sbr. b-lið, eða ef ákvörðunin byggist á afdráttarlausu samþykki hins skráða, sbr. c-lið. Í þeim tilvikum, sem um getur í a- og c-lið 2. mgr. 22. gr. reglugerðarinnar, skal ábyrgðaraðili gagna gera viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, a.m.k. réttinn til mannlegrar íhlutunar af hálfu ábyrgðaraðilans, til að láta skoðun sína í ljós og til að vefengja ákvörðunina, sbr. 3. mgr. reglugerðarákvæðisins. Þá segir í 4. mgr. 22. gr. reglugerðarinnar að ákvarðanir, sem um getur í 2. mgr., skulu ekki vera byggðar á sérstökum flokkum persónuupplýsinga, sem um getur í 1. mgr. 9. gr., nema a- eða g-liður 2. mgr. 9. gr. eigi við og fyrir hendi séu viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða.
  19. Til þess að vinnsla persónuupplýsinga sé heimil þarf hún enn fremur að samrýmast meginreglum um persónuvernd, samkvæmt 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sem mæla meðal annars fyrir um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og að þær séu nægilegar og viðeigandi miðað við tilganginn.
  20. Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Þá skal gera einstaklingum ljósa áhættu, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga og hvernig þeir geta neytt réttar síns í tengslum við vinnsluna.
  21. Í samræmi við 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins skal tilgangur vinnslu persónuupplýsinga vera nægjanlega vel skilgreindur og afmarkaður til að vinnslan sé gagnsæ og auðskilin og aðeins ætti að vinna persónuupplýsingar að ekki sé unnt að ná tilganginum með vinnslunni á annan aðgengilegan hátt. Því viðkvæmari persónuupplýsingar sem unnið er með og því meiri afleiðingar sem notkun þeirra getur haft í för með sér þeim mun mikilvægara er að tilgangurinn sé skýrt afmarkaður. Við mat á meðalhófi, samkvæmt 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, verður ábyrgðaraðili einnig að leggja mat á hvort hægt sé að ná fram sama markmiði og stefnt er að með viðaminni hætti.

    Niðurstaða

  22. TM byggir vinnslu persónuupplýsinga, þ.m.t. vinnslu viðkvæmra persónuupplýsinga, sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar, á samþykki viðskiptavina. Af gögnum málsins verður ráðið að viðskiptavinir samþykki sérstaklega, með sérstakri aðgerð, að vinnsla fari fram með sjálfvirkri ákvarðanatöku og þeir eru upplýstir um rétt sinn til að draga samþykki sitt til baka hvenær sem er. Samþykki viðskiptavinir ekki að vinnsla fari fram með sjálfvirkri ákvarðanatöku hafa þeir val um að fá tilboð í tryggingar í útibúi TM eða í gegnum síma. Verður því talið að öll skilyrði 10. gr. laga nr. 90/2018, sbr. einnig 7. gr. reglugerðar (ESB) 2016/679, séu uppfyllt. Er það jafnframt niðurstaða Persónuverndar að vinnslan geti verið heimil á grundvelli 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og 1. tölul. 1. mgr. 11. gr. laganna og a-lið 2. mgr. 9. gr. reglugerðarinnar. Með vísan til fyrirliggjandi gagna og umfjöllunar í efnisgrein 7 er það einnig niðurstaða Persónuverndar að þar sem tryggður er réttur hinna skráðu til frekari upplýsinga um niðurstöður sjálfvirkrar ákvarðanatöku, réttinn til að mótmæla ákvörðuninni og til mannlegrar íhlutunar uppfylli vinnslan jafnframt skilyrði 22. gr. laga nr. 90/2018 og 22. gr. reglugerðar (ESB) 2016/679.
  23. Af svörum TM, sbr. nánari umfjöllun í efnisgrein 7 og 12, og fyrirliggjandi gögnum málsins má ráða að einstaklingum, sem sækja um eða óska tilboðs í líf- og sjúkdómatryggingar hjá TM, er gert það ljóst með viðunandi hætti að um sé að ræða sjálfvirka ákvarðanatöku, hvaða persónuupplýsingum um þá er safnað, hvernig þær verða unnar, og í hvaða tilgangi. Enn fremur að hinum skráðu er gert ljóst að þeir geta óskað frekari upplýsinga um niðurstöður ákvörðunarinnar eða mótmælt henni og hafi rétt á mannlegri íhlutun við vinnsluna af hálfu ábyrgðaraðila. Upplýsingar um að reykingar umsækjanda leiði til álags í sjálfvirka ákvörðunarferlinu eru veittar í almennum skilmálum, sem upplýst er um og vísað til við upphaf umsóknarferils. Á hinn bóginn fær Persónuvernd ekki séð, af þeim gögnum sem aflað var við rannsókn málsins, að ljóst sé af útgefnum vátryggingaskírteinum að reykingar leiði til álags á iðgjöld trygginga. Má viðskiptavini því ekki vera ljóst, hverju sinni, hvort reykingar leiði í raun til álags við útreikning iðgjalda hans og að hvaða marki. Telur Persónuvernd að umrædd vinnsla sé að þessu leyti ekki í fullu samræmi við meginreglu persónuverndar um sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
  24. Með hliðsjón af því sem hér hefur verið rakið, sbr. helst efnisgreinar 11-13, telur Persónuvernd að TM hafi sýnt fram á að hafa lagt viðeigandi mat á nauðsyn þeirra upplýsinga sem óskað er eftir frá viðskiptavinum í kaupferli fyrir líf- og sjúkdómatryggingar, að tilgangur vinnslunnar er skýrt afmarkaður, meðal annars með tilgreiningu á þeim flokkum persónuupplýsinga sem hægt er að óska upplýsinga um og að persónuupplýsingarnar sem óskað er eftir séu nægilegar og viðeigandi fyrir vinnsluna. Er það því niðurstaða Persónuverndar að vinnslan samrýmist meginreglum 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
  25. Með vísan til alls þess sem að framan greinir er það niðurstaða Persónuverndar að vinnsla persónuupplýsinga, sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá TM, samrýmist 9. gr. og 1. mgr. 11. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. og 2. mgr. 9. gr. reglugerðar (ESB) 2016/679, og 22. gr. laganna og 22. gr. reglugerðarinnar. Vinnslan er jafnframt talin samrýmast 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
  26. Á hinn bóginn telur Persónuvernd að vinnsla upplýsinga um reykingar umsækjenda við útgáfu trygginga með álagi, samrýmist ekki að fullu meginreglu um lögmæta, sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
  27. Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir TM að færa vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um útgáfu líf- og sjúkdómatrygginga með álagi til samræmis við 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
  28. Þessi niðurstaða útilokar ekki að Persónuvernd muni síðar hefja frumkvæðisathugun á vinnslu persónuupplýsinga í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um aðrar tryggingar sem TM gefur út, svo sem sjálfvirka ákvarðanatöku sem fram fer í smáforritinu Verna.

 

 

Á k v ö r ð u n a r o r ð:

Vinnsla persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá TM byggist á fullnægjandi vinnsluheimild, uppfyllir viðbótarskilyrði fyrir vinnslu viðkvæmra persónuupplýsinga og samrýmist meginreglum um persónuvernd sem lúta að takmörkun vegna tilgangs og lágmörkun gagna, samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Vinnsla persónuupplýsinga um reykingar umsækjenda við útgáfu trygginga með álagi samrýmist ekki að fullu meginreglu laganna og reglugerðarinnar um lögmæta, sanngjarna og gagnsæja vinnslu persónuupplýsinga.

Lagt er fyrir TM að færa vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um útgáfu líf- og sjúkdómatrygginga með álagi til samræmis við meginreglu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 um lögmæta, sanngjarna og gagnsæja vinnslu persónuupplýsinga. Staðfesting á að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 21. október 2024.

Persónuvernd, 23. september 2024

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir                 Björn Geirsson

Vilhelmína Haraldsdóttir                                          Þorvarður Kári Ólafsson

Var efnið hjálplegt? Nei