Miðlun Sjóvár-Almennra trygginga hf. á persónuupplýsingum til sérfræðings

Mál nr. 2020041418

25.1.2022

Úrskurður

Hinn 25. janúar 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020041418.

I.
Málsmeðferð
1.
Tildrög máls

Hinn 8. apríl 2020 barst Persónuvernd kvörtun frá [X] lögmanni f.h. [A] (hér eftir kvartandi) yfir miðlun Sjóvár-Almennra trygginga hf. (Sjóvá) á persónuupplýsingum hans, þar á meðal viðkvæmum persónuupplýsingum, til sérfræðings [B] í kjölfar umferðaslyss sem kvartandi lenti í 29. desember 2019. Einnig er kvartað yfir vinnslu sérfræðings [B] á persónuupplýsingum kvartanda í þeim tilgangi að gera PC Crash-skýrslu fyrir tryggingarfélagið án samþykkis eða vitneskju kvartanda. Með kvörtuninni fylgdi tölvupóstur tryggingarfélagsins til lögmanns kvartanda, skýrsla sérfræðings [B] vegna útreiknings í PC-Crash (PC-Crash-skýrsla), skýrsla lögreglustjórans á höfuðborgarsvæðinu (lögregluskýrsla) og bráðamóttökuskrá.

Með bréfi, dags. 23. mars 2021, ítrekuðu með símtali og tölvupósti 17. maí s.á. og ítrekuðu öðru sinni með símtali 25. s.m., var Sjóvá boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, þann sama dag. Með bréfi, dags. 25. júní s.á., var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Sjóvár. Bárust athugasemdir kvartanda með bréfi, dags. 12. júlí s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Kvartandi byggir á því að engar heimildir hafi staðið til miðlunar Sjóvár á persónuupplýsingum um hann, hvorki almennum né viðkvæmum persónuupplýsingum, til þriðja aðila. Þá hafi engar heimildir verið til eftirfarandi vinnslu sérfræðings [B] á sömu persónuupplýsingum kvartanda.

Í skýringum kvartanda kemur fram að hann hafi látið Sjóvá í té umrædda lögregluskýrslu í því skyni að félagið sjálft, en ekki þriðji aðili, ynni með upplýsingarnar og tæki afstöðu til bótaskyldu. Hann hafi ekki veitt samþykki sitt fyrir miðlun Sjóvár eða eftirfarandi vinnslu sérfræðings [B] á persónuupplýsingum um sig.

Einnig byggir kvartandi á því að Sjóvá hafi ekki sýnt fram á nauðsyn miðlunar lögregluskýrslunnar til sérfræðings [B] né hafi hagsmunamat aðila farið fram. Læknisfræðileg gögn ásamt myndum af bifreiðum eftir árekstur, viðgerðarkostnaðarnótur o.fl. hafi legið fyrir og PC-Crash-skýrsla hafi verulega takmarkað sönnunargildi um höggþunga eða mögulegar afleiðingar áreksturs. Því vegi hagsmunir kvartanda af því að viðkvæmum persónuupplýsingum sé ekki miðlað til þriðja aðila mun þyngra heldur en takmarkaðir hagsmunir tryggingarfélagsins af skýrslunni.

Þá byggir kvartandi á því að sérfræðingur [B] hafi farið út fyrir vinnsluheimildir sínar samkvæmt vinnslusamningi hans og Sjóvár þegar hann hafi fengið afrit lögregluskýrslu kvartanda. Samkvæmt vinnslusamningi hafi honum einungis verið heimilt að vinna með þær persónuupplýsingar sem nauðsynlegar voru til að útbúa umrædda skýrslu og viðkvæmar persónuupplýsingar, þ. á m. upplýsingar um þjóðerni, heilsufar og andlegt ástand, hafi ekki haft þýðingu fyrir verkefni hans. Auk þess sé ekki tilgreint í vinnslusamningi að vinnsluaðila sé heimilt að vinna með viðkvæmar persónuupplýsingar og almenn heimild hans í vinnslusamningi um að honum sé heimilt að fá afhenta lögregluskýrslu breyti þar engu um. Auk þess hafi ekki verið gætt að meðalhófsreglu persónuverndarlaganna þegar öðrum og ónauðsynlegum persónuupplýsingum var miðlað í lögregluskýrslu til sérfræðingsins. Miðlunin hafi því verið langt umfram það sem nauðsynlegt var miðað við tilgang vinnslunnar.

Þá byggir kvartandi á því að þrátt fyrir að hann hafi vitað að Sjóvá myndi taka til skoðunar lögregluskýrslu hans við mat á bótaábyrgð hafi hann ekki verið upplýstur um né fengið um það fræðslu að persónuupplýsingum um hann yrði miðlað til þriðja aðila. Um slíka miðlun hafi ekki verið fjallað í vátryggingarskilmálum nr. 500, eyðublaði vegna tjónstilkynningar eða í persónuverndarstefnu Sjóvár, sem sé aðgengileg á vef félagsins. Með því telji kvartandi að Sjóvá hafi brotið gegn meginreglu um gagnsæi við vinnslu persónuupplýsinga.

3.
Sjónarmið Sjóvár

Sjóvá byggir á því að vinnslan geti stuðst við bæði 3. og 6. tölul. 9. gr. laga nr. 90/2018, sem heimila vinnslu persónuupplýsinga sé hún nauðsynleg annars vegar til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, og hins vegar vegna lögmætra hagsmuna. Félagið hafi bæði lögbundnar skyldur og lögvarða hagsmuni af því að leitt verði í ljós með sem skýrustum hætti hvernig aðstæður voru og hverjar voru mögulegar afleiðingar slyss til að unnt sé að taka afstöðu til réttmætis bótakröfu á félagið vegna umferðarslyss.

Hvað varðar nauðsyn vegna lagaskyldu, sbr. 3. tölul. 9. gr. laga nr. 90/2018, byggir félagið á því að í 1. mgr. 47. gr. laga nr. 30/2004 um vátryggingasamninga segi að við uppgjör bóta skuli vátryggður veita vátryggingarfélaginu þær upplýsingar og þau gögn sem hann hafi undir höndum og félagið þarf til þess að meta ábyrgð sína og greiða bætur. Einnig hvíli sú lagaskylda á Sjóvá að veita slysatryggingar ökumanna og gera upp bótakröfur á grundvelli þeirra samkvæmt 5. mgr. 10. gr., sbr. 9. gr. laga nr. 30/2019 um ökutækjatryggingar.

Félagið hafi aukinheldur lögvarða hagsmuni af því að upplýsa um atvik, alvarleika og þá krafta sem verka á bifreiðar í umferðaróhöppum, þegar um sé að ræða fjárkröfur á hendur félaginu. Þá geti PC-Crash-skýrsla verið nauðsynleg til að koma í veg fyrir svik og verja þannig lögmæta hagsmuni Sjóvár, sbr. 6. tölul. 9. gr. laga nr. 90/2018.

Fram kemur í skýringum Sjóvár að PC-Crash-skýrslur geti skipt miklu við mat á orsakatengslum milli umferðaslyss og meintra einkenna tjónþola. Félagið sé með skýrar verklagsreglur um það hvenær óskað skuli eftir slíkri skýrslu. Persónutjónahópur Sjóvár meti og taki ákvörðun, á grundvelli fyrrgreindra verklagsreglna, um það hvenær afla skuli PC-Crash-skýrslna og hvaða aðferðum skuli beitt við vinnslu persónuupplýsinga við gerð þeirra. Þeirra sé aflað í undantekningartilvikum, einkum í vafatilvikum, svo hægt sé að taka afstöðu til réttmætis fjárkröfu sem lögð hafi verið fram. Einnig sé vinnslan nauðsynleg til að styðja kröfu fullnægjandi rökum.

Þá styðjist vinnsla viðkvæmra persónuupplýsinga við 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sem kveði á um að vinnslan sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, og vinnsla upplýsinga um refsiverða háttsemi styðjist við 2. tölul. 2. mgr. og 3. mgr. 12. gr. sömu laga, þar sem hún sé nauðsynleg til að verjast réttarkröfum og í þágu lögmætra hagsmuna. Sjóvá telji hagsmuni sína vega þyngra en hagsmuni hins skráða af því að vinnslan fari ekki fram, en félagið hafi til að mynda hagsmuni af því að fá skýra mynd af aðstæðum og orsakatengslum í því skyni að taka afstöðu til réttmætis fjárkröfu og koma í veg fyrir svik. Auk þess sendi tjónþolar sjálfir lögregluskýrslu til Sjóvár en í undantekningartilvikum kunni félagið að óska eftir að fá skýrslurnar sendar frá lögreglu.

Einnig kemur fram í skýringum Sjóvár að sérfræðingur [B] sé sjálfstætt starfandi verktaki sem vinni samkvæmt vinnslusamningi sem Sjóvá, sem ábyrgðaraðili, hafi gert við hann sem vinnsluaðila. Í grein 2.1. í vinnslusamningnum komi fram að vinnsluaðila sé heimilt að vinna fyrir hönd ábyrgðaraðila þær persónuupplýsingar sem séu afhentar af ábyrgðaraðila og séu nauðsynlegar til að framkvæma hraða- og höggreikninga sem og veita ráðgjöf um hvort árekstur hafi getað orðið með þeim hætti sem lýst er af aðila/aðilum/vitnum o.s.frv. Í grein 2.2.e í vinnslusamningnum sé síðan tilgreint hvaða upplýsingar ábyrgðaraðili skuli veita vinnsluaðila. Þar sé lögregluskýrsla tilgreind meðal annarra gagna. Fari það eftir málum hverju sinni hvers konar upplýsingar sé nauðsynlegt að afhenda vinnsluaðila til að unnt sé að fá skýra mynd af aðstæðum og orsakatengslum árekstrar og tjóns. Upplýsingar úr slíkum skýrslum geti varpað ljósi á þýðingamikil atriði, svo sem aðstæður á slysstað og aðrar breytur sem kunni að skipta máli. Í fyrirliggjandi máli telur félagið að aðeins hafi verið unnið með þær upplýsingar sem töldust nauðsynlegar í þessu skyni og ekki gengið lengra en nauðsynlegt var til að varpa skýrara ljósi á aðstæður.

Þá telur Sjóvá sig uppfylla kröfur um lögmæti, sanngirni og gagnsæi. Kvartandi hafi sjálfur leitað til félagsins með það að markmiði að krefjast bóta úr hendi þess vegna umferðaslyss. Kvartandi hafi því áttað sig á vinnslu félagsins á persónuupplýsingum um hann, m.a. í þeim tilgangi að taka afstöðu til réttmætis kröfu hans. Auk þess komi fram í persónuverndarstefnu Sjóvár, sem sé aðgengileg á vefsíðu félagsins, upplýsingar um þær persónuupplýsingar sem félagið vinnur með. Þá gæti félagið að meðalhófi við vinnsluna enda sé umrædd vinnsla einungis framkvæmd í afmörkuðum tilvikum þegar vafi leiki á réttmæti bótakröfu. Vísar félagið einnig til 39. liðar formálsorða reglugerðar (ESB) 2016/679 þar sem fram kemur að meginreglan um gagnsæi eigi einkum við m.a. um upplýsingar til skráðra einstaklinga um það hver ábyrgðaraðilinn er og tilgang vinnslunnar.

II.
Forsendur og niðurstaða
1.
Afmörkun máls

Kvörtun málsins lýtur annars vegar að því að Sjóvá hafi, án samþykkis eða vitneskju kvartanda, afhent sérfræðingi [B] gögn og veitt honum aðgang að persónuupplýsingum kvartanda, þar á meðal viðkvæmum persónuupplýsingum, og hins vegar að eftirfarandi vinnslu sérfræðingsins á sömu persónuupplýsingum. Umfjöllun Persónuverndar afmarkast því af framangreindu.

2.
Gildissvið – Ábyrgðaraðili og vinnsluaðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að veitingu aðgangs og afhendingu Sjóvár á persónuupplýsingum kvartanda til sérfræðings [B] og eftirfarandi vinnslu hans á sömu persónuupplýsingum. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til teljast Sjóvá-Almennar tryggingar hf. vera ábyrgðaraðili að umræddri vinnslu.

Vinnsluaðili er skilgreindur í 7. tölul. 3. gr. laganna sem einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. einnig 8. tölul. 1. mgr. 4. gr. reglugerðarinnar. Sérfræðingur [B] er sjálfstæður verktaki sem vinnur samkvæmt vinnslusamningi og fyrirmælum Sjóvár sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinganna. Eins og hér háttar til telst sérfræðingur [B] því vera vinnsluaðili að umræddri vinnslu.

3.
Lagaumhverfi

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar ef það er nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, ef vinnslan er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sbr. 2. tölul. 9. gr. lagaákvæðisins og b-lið reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.

Enn fremur verður vinnsla viðkvæmra persónuupplýsinga að uppfylla eitthvert af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018, sbr. 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt 3. tölul. 1. mgr. 3. gr. sömu laga teljast upplýsingar um þjóðernislegan uppruna (sbr. a-lið ákvæðisins) til viðkvæmra persónuupplýsinga, sbr. einnig 1. mgr. 9. gr. reglugerðarinnar. Með þjóðernislegum uppruna er þó eingöngu átt við tilvísun til tiltekins þjóðernishóps (e. ethnic group). Upplýsingar um upprunaríki eða fæðingarland einstaklings, einar og sér, verða því almennt ekki taldar til viðkvæmra persónuupplýsinga. Af kvörtuninni verður ráðið að unnið hafi verið meðal annars með upplýsingar um þjóðerni kvartanda en með vísan til framangreinds teljast þær ekki til viðkvæmra persónuupplýsinga í skilningi löggjafarinnar.

Einnig liggur fyrir að unnið var með heilsufarsupplýsingar kvartanda, en slíkar upplýsingar teljast til viðkvæmra persónuupplýsinga, sbr. b-lið 3. tölul. 1. mgr. 3. gr. laganna og 1. mgr. 9. gr. reglugerðarinnar. Eins og hér háttar til kemur þá einkum til skoðunar hvort sú vinnsla uppfyllti skilyrði 6. tölul. 1. mgr. 11. gr., um að vinnslan sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar. Ekki liggur fyrir að unnið hafi verið með upplýsingar um refsiverða háttsemi kvartanda, en um heimild til slíkrar vinnslu færi eftir 3. mgr. 12. gr. laga nr. 90/2018.

Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma hér einkum til skoðunar lög nr. 30/2019 um ökutækjatryggingar og lög nr. 30/2004 um vátryggingarsamninga.

Í 1. mgr. 47. gr. laga nr. 30/2004, sem Sjóvá vísar til, segir að við uppgjör bóta skuli vátryggður veita félaginu þær upplýsingar og þau gögn sem hann hefur undir höndum og félagið þarf til þess að meta ábyrgð sína og greiða bætur. Umrædd regla leggur skyldur á herðar hinum skráða en ekki ábyrgðaraðila.

Í 5. mgr. 10. gr. laga nr. 30/2019 um ökutækjatryggingar segir að vátryggingarfélagi, sem hefur starfsleyfi skv. 10. tölul. 1. mgr. 20. gr. laga um vátryggingastarfsemi, sé skylt að veita lögboðnar ökutækjatryggingar sérhverjum þeim vátryggingarskylda aðila sem undirgengst boðna vátryggingarskilmála.

Í 1. mgr. 1. gr. laga nr. 30/2004 um vátryggingarsamninga segir um gildissvið laganna að þau gildi um samninga um skaða- og persónutryggingar og vátryggingatengdar fjárfestingarafurðir. Af því má leiða að við kaup kvartanda á lögboðnum ökutækjatryggingum hjá Sjóvá hafi stofnast samningssamband milli Sjóvár og kvartanda. Uppgjör bóta samkvæmt umræddum lögum byggist því á samningssambandi aðila.

Í lögskýringargögnum með frumvarpi er varð að lögum nr. 90/2018 segir meðal annars um 3. tölul. 9. gr. laganna að með lagaskyldu sé átt við hvers konar skyldu sem leiðir af lögum í rúmri merkingu, þ.e. bæði lögum og stjórnvaldsfyrirmælum settum á grundvelli þeirra, en samningsskyldur falli hins vegar ekki undir ákvæðið. Með vísan til framangreinds kemur því til skoðunar hvort vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að, sbr. áðurnefnt ákvæði 2. tölul. 9. gr. laga nr. 90/2018 og b-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

4.
Lögmæti vinnslu
4.1.
Vinnsluheimildir

Í gögnum málsins kemur fram að ábyrgðaraðili bjóði lögboðnar ökutækjatryggingar og að kvartandi hafi sem vátryggingarskyldur aðili undirgengist boðna vátryggingarskilmála. Með því komst á samningssamband milli kvartanda og Sjóvár. Kvartandi lagði fram fjárkröfu á hendur Sjóvá á grundvelli framangreinds samnings og óskaði uppgjörs bóta. Uppgjör bóta samkvæmt samningsskilmálum telst því til efnda samnings.

Fyrir liggur í gögnum málsins að þegar vafi leikur á atvikum máls og orsakasamhengi aflar Sjóvá ítarlegri upplýsinga svo að varpa megi skýrara ljósi á viðkomandi tilvik. Það gerir félagið samkvæmt verklagsreglum sínum meðal annars með því að óska eftir PC-Crash-skýrslu hjá vinnsluaðila sínum. Í skýringum Sjóvár kemur fram að nauðsynlegt hafi verið, til þess meta réttmætti fjárkröfu kvartanda, að afla slíkrar skýrslu.

Til þess að vinnsluaðili geti unnið skýrslu um atvik máls eru honum nauðsynleg tiltekin gögn, m.a. persónuupplýsingar aðila máls, sem nánar er kveðið á um í vinnslusamningi aðila og persónuverndarstefnu Sjóvár.

Persónuvernd telur með vísan til alls framangreinds að umrædd vinnsla geti stuðst við 2. tölul. 9. gr. laga nr. 90/2018, sbr. einnig b-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Einnig verður að telja að vinnsla viðkvæmra persónuupplýsinga sem kunna að vera í lögregluskýrslu sé nauðsynlegur liður í að leiða hið sanna í ljós um orsakasamhengi atviksins sem til skoðunar er og tjónsins og kunni því jafnframt að vera nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur, sbr. 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018 og f-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Að framangreindu virtu er það mat Persónuverndar að vinnsla viðkvæmra persónuupplýsinga geti stuðst við 6. tölul. 1. mgr. 11. gr. laganna og f-lið 2. mgr. 9. gr. reglugerðarinnar.

4.2.
Vinnslusamningur

Samkvæmt 1. mgr. 25. gr. laga nr. 90/2018 er ábyrgðaraðila heimilt að fela öðrum vinnslu persónuupplýsinga fyrir sína hönd. Skal slík vinnsla byggjast á samningi eða annarri réttargerð, skv. 3. mgr. sama ákvæðis.

Fyrir liggur að Sjóvá hefur gert vinnslusamning, dags. 23. janúar 2019, við sérfræðing [B] um vinnslu PC-Crash-skýrslna.

Í kafla 2 í vinnslusamningi aðila kemur fram að vinnsluaðila er heimilt að vinna fyrir hönd ábyrgðaraðila þær persónuupplýsingar sem hann fær afhentar frá ábyrgðaraðila og eru nauðsynlegar til að framkvæma hraða- og höggútreikninga, sem og veita ráðgjöf um hvort árekstur hafi getað orðið með þeim hætti sem lýst er af aðilum og vitnum. Þá er í c- og e-lið kaflans tilgreint hvaða persónuupplýsingar vinnsluaðili megi vinna með. Í e-lið er meðal annars tilgreint að ábyrgðaraðili skuli veita vinnsluaðila aðgang að lögregluskýrslu sem vinnsluaðila er heimilt að vinna með.

Þá ber að gefnu tilefni að geta þess að samkvæmt 25. gr. laga nr. 90/2018 og 28. gr. reglugerðar (ESB) 2016/679 verður vinnsluaðili ekki talinn þriðji aðili í skilningi laganna eða reglugerðarinnar. Vinnsla sérfræðings [B], eins og hér háttar til, telst því vinnsla á vegum Sjóvár sem ábyrgðaraðila. Af því leiðir jafnframt að aðgangur sérfræðings [B] að persónuupplýsingum kvartanda er byggður á vinnslusamningi eða annarri réttargerð, sbr. áðurnefnt ákvæði 3. mgr. 25. gr. laga nr. 90/2018, en ekki sérstakri vinnsluheimild í 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðarinnar.

Það er því mat Persónuverndar að afhending Sjóvár á persónuupplýsingum kvartanda til sérfræðings [B] í tengslum við vinnslu PC-Crash-skýrslu hafi farið fram á grundvelli gilds vinnslusamnings sem kvað á um heimildir vinnsluaðila með fullnægjandi hætti.

4.3.
Fræðsluskylda meginreglur

Fram kemur í skýringum kvartanda að hann hafi haft fulla vitneskju um að Sjóvá myndi vinna persónuupplýsingar úr lögregluskýrslu en hann hafi ekki verið upplýstur um né fengið um það fræðslu að persónuupplýsingum um hann yrði miðlað til vinnsluaðila.

Þegar persónuupplýsinga er aflað hjá hinum skráða, eins og hér háttar til, fer um fræðsluskyldu samkvæmt 13. gr. reglugerðarinnar. Fræðsluskylda ábyrgðaraðila, þ.e. skyldan til að veita hinum skráða upplýsingar um vinnslu persónuupplýsinga hans, á almennt við óháð þeim lagagrundvelli sem vinnslan byggist á. Þá ber að veita hinum skráða umræddar upplýsingar í tengslum við vinnslu persónuupplýsinga um hann á þeim tíma þegar upplýsinganna er aflað hjá hinum skráða, sbr. 61. lið formálsorða reglugerðar (ESB) 2016/679.

Í 13. gr. reglugerðarinnar er fjallað um þær upplýsingar sem ber að veita við söfnun persónuupplýsinga hjá skráðum einstaklingi. Í 1. mgr. ákvæðisins segir að þegar persónuupplýsinga um hinn skráða sé aflað hjá honum sjálfum skuli ábyrgðaraðilinn, við söfnun persónuupplýsinganna, skýra honum frá meðal annars viðtakendum eða flokkum viðtakenda persónuupplýsinganna, ef einhverjir eru, sbr. e-lið 1. mgr. 13. gr.

Hugtakið „viðtakandi“ er skilgreint í 9. tölul. 4. gr. reglugerðar (ESB) 2016/679 sem einstaklingur eða lögaðili, opinber yfirvald, sérstofnun eða annar aðili sem fær í hendur persónuupplýsingar, hvort sem hann er þriðji aðili eða ekki. Viðtakandi í þessum skilningi getur því verið ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili. Er sú túlkun í samræmi við leiðbeiningar um gagnsæi (WP260 rev. 01 frá 11. apríl 2018) sem Evrópska persónuverndarráðið staðfesti á fyrsta fundi sínum 25. maí 2018, en leiðbeiningarnar voru unnar af forvera ráðsins, svokölluðum 29. gr. vinnuhópi (Article 29 Working Party) sem skipaður var fulltrúum evrópskra persónuverndarstofnana.

Af fyrirliggjandi málsgögnum verður ekki ráðið að Sjóvá hafi veitt kvartanda fræðslu um notkun vinnsluaðila í tengslum við þá vinnslu sem kvörtunin tekur til. Er þá til þess að líta að slíkar upplýsingar er ekki að finna í persónuverndarstefnu Sjóvár, en jafnframt liggur raunar ekki fyrir staðfesting á að kvartanda hafi verið vísað á persónuverndarstefnuna. Þá hefur ekki verið staðfest að kvartandi hafi fengið umrædda fræðslu með öðrum hætti. Í því sambandi ber að líta til þess að samkvæmt 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, er ábyrgðaraðili ábyrgur fyrir því að farið sé að meginreglum löggjafarinnar, þ. á m. um gagnsæi, og skal geta sýnt fram á það.

Með vísan til framangreinds er það niðurstaða Persónuverndar að Sjóvá hafi ekki veitt kvartanda fræðslu samkvæmt e-lið 13. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, auk þess sem skilyrði 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar, um gagnsæja vinnslu persónuupplýsinga var ekki uppfyllt.

Að því er varðar meginreglur 2.-3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-c-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, um skýrt tilgreindan, lögmætan og málefnalegan tilgang og meðalhóf við vinnslu persónuupplýsinga, telur Persónuvernd mega miða við að ábyrgðaraðila hafi verið nauðsynlegt, vegna vafa um réttmæti kröfu kvartanda, að afla PC-Crash-skýrslu. Með vísan til þess og með hliðsjón af öllu framangreindu verður ekki séð að vinnsla ábyrgðaraðila hafi farið í bága við umrædd ákvæði.

Ú r s k u r ð a r o r ð:

Vinnsla Sjóvár-Almennra trygginga hf. á persónuupplýsingum um [A]í tengslum við uppgjör bótakröfu vegna umferðaslyss samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um fræðsluskyldu og gagnsæi hvað varðar aðkomu vinnsluaðila.

Ólafur Garðarsson

formaður

Björn Geirsson                 Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson