Miðlun Sjóvár-Almennra trygginga hf. á persónuupplýsingum til sérfræðings

Mál nr. 2020061826

18.3.2022

Úrskurður

Hinn 18. mars 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020061826.

I.
Málsmeðferð
1.
Tildrög máls

Hinn 6. júní 2020 barst Persónuvernd kvörtun frá [X] lögmanni f.h. [A] (hér eftir kvartandi) yfir meðferð Sjóvár-Almennra trygginga hf. (Sjóvá) á persónuupplýsingum um kvartanda. Annars vegar er kvartað yfir miðlun tryggingarfélagsins á lögregluskýrslu til sérfræðings [B] til útreikninga á hraða- og höggáhrifum í tilteknu umferðaratviki (PC Crash-skýrsla) og hins vegar yfir notkun Sjóvár á umræddri skýrslu við mat á réttmæti bótakröfu sem kvartandi beindi að félaginu. Miðlun tryggingarfélagsins á persónuupplýsingum kvartanda til sérfræðingsins sem og notkun félagsins á skýrslunni hafi verið án samþykkis eða vitundar kvartanda. Með kvörtuninni fylgdi skýrsla lögreglustjórans á Suðurnesjum (lögregluskýrsla), tölvupóstur lögmanns tryggingarfélagsins til umræddra matsmanna, PC Crash-skýrsla, matsgerð kvartanda og læknisvottorð.

Með bréfi, dags. 5. mars 2021, var Sjóvá boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi þann 12. apríl 2021. Með bréfi, dags. 25. júní s.á., var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Sjóvár. Þann 9. júlí s.á. óskaði kvartandi eftir lengri fresti til að andmæla framkomnum skýringum Sjóvár. Með beiðni kvartanda fylgdi matsgerð dómkvaddra matsmanna og athugasemdir lögmanns kvartanda við hana. Athugasemdir kvartanda bárust með bréfi, dags. 12. júlí s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Kvartandi byggir á því að Sjóvá hafi miðlað persónuupplýsingum um hann úr lögregluskýrslu til þriðja aðila, sérfræðings [B], sem síðan hafi unnið PC Crash-skýrslu á grundvelli hennar um áhrif og afleiðingar umferðaratviks, sem kvartandi lenti í þann 9. febrúar 2019. Miðlunin hafi farið fram án samþykkis eða vitundar kvartanda. Sjóvá hafi síðan notað umrædda skýrslu við mat á bótaábyrgð félagsins gagnvart kvartanda.

Kvartandi telur að ekki hafi verið gætt að meginreglum um vinnslu persónuupplýsingar við vinnsluna, svo sem um gagnsæi og meðalhóf. Kvartandi hafi áttað sig fullvel á því að Sjóvá myndi taka lögregluskýrslu, sem kvartandi lagði sjálfur fram við tjónstilkynninguna, til skoðunar við mat á því hvort bótaréttur væri fyrir hendi, en hann hafi ekki verið upplýstur eða fræddur um að persónuupplýsingum um hann yrði miðlað til þriðja aðila. Þá hafi það ekki komið fram í vátryggingarskilmálum, eyðublaði vegna tjónstilkynningar eða í persónuverndarstefnu tryggingarfélagsins, sem aðgengileg er á vefsíðu félagsins.

Þá kemur fram í skýringum kvartanda að hann telji að með vinnslu á persónuupplýsingum úr lögregluskýrslunni hafi sérfræðingurinn farið út fyrir vinnsluheimildir sínar þar sem honum hafi verið látnar í té persónuupplýsingar langt umfram það sem nauðsynlegt var til þess að vinna það verk sem honum hafi verið falið, auk þess sem Sjóvá hafi ekki framkvæmt hagsmunamat líkt og krafist er þegar vinnsla byggist á lögmætum hagsmunum.

3.
Sjónarmið Sjóvár

Sjóvá byggir á því að vinnsla félagsins styðjist við bæði 3. og 6. tölul. 9. gr. laga nr. 90/2018, sem heimili vinnslu persónuupplýsinga sé hún nauðsynleg annars vegar til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, og hins vegar vegna lögmætra hagsmuna. Félagið hafi bæði lögbundnar skyldur og lögvarða hagsmuni af því að leitt verði í ljós með sem skýrustum hætti hvernig aðstæður voru og hverjar voru mögulegar afleiðingar slyss til að unnt sé að taka afstöðu til réttmætis bótakröfu sem beint sé að félaginu.

Hvað varðar nauðsyn til að fullnægja lagaskyldu, sbr. 3. tölul. 9. gr. laga nr. 90/2018, byggir félagið á því að í 1. mgr. 47. gr. laga nr. 30/2004 um vátryggingarsamninga segi að við uppgjör bóta skuli vátryggður veita vátryggingarfélaginu þær upplýsingar og þau gögn sem hann hafi undir höndum og félagið þarf til þess að meta ábyrgð sína og greiða bætur. Einnig hvíli sú lagaskylda á Sjóvá að veita slysatryggingar ökumanna og gera upp bótakröfur á grundvelli þeirra samkvæmt 5. mgr. 10. gr., sbr. 9. gr. laga nr. 30/2019 um ökutækjatryggingar.

Félagið hafi aukinheldur lögvarða hagsmuni af því að upplýsa um atvik, alvarleika og þá krafta sem verka á bifreiðar í umferðaróhöppum, þegar um sé að ræða fjárkröfur á hendur félaginu. Þá geti PC Crash-skýrsla verið nauðsynleg til að koma í veg fyrir svik og verja þannig lögmæta hagsmuni Sjóvár, sbr. 6. tölul. 9. gr. laga nr. 90/2018.

Fram kemur í skýringum Sjóvár að PC Crash-skýrslur geti skipt miklu við mat á orsakatengslum milli umferðarslyss og meintra einkenna tjónþola. Félagið sé með skýrar verklagsreglur um það hvenær óskað skuli eftir slíkri skýrslu. Persónutjónahópur Sjóvár meti og taki ákvörðun, á grundvelli fyrrgreindra verklagsreglna, um það hvenær afla skuli PC Crash-skýrslna og hvaða aðferðum skuli beitt við vinnslu persónuupplýsinga við gerð þeirra. Þeirra sé aflað í undantekningartilvikum, einkum í vafatilvikum, svo hægt sé að taka afstöðu til réttmætis fjárkröfu sem lögð hafi verið fram. Einnig sé vinnslan nauðsynleg til að styðja kröfu fullnægjandi rökum.

Jafnframt kemur fram í skýringum Sjóvár að félagið taki sjálft ákvörðun um það hvenær þörf sé á gerð PC Crash-skýrslu. Sérfræðingur [B] sé sjálfstætt starfandi verktaki sem vinni samkvæmt vinnslusamningi sem Sjóvá, sem ábyrgðaraðili, hafi gert við hann sem vinnsluaðila. Í grein 2.1. í vinnslusamningnum komi fram að vinnsluaðila sé heimilt að vinna fyrir hönd ábyrgðaraðila þær persónuupplýsingar sem séu afhentar af ábyrgðaraðila og séu nauðsynlegar til að framkvæma hraða- og höggútreikninga sem og veita ráðgjöf um hvort árekstur hafi getað orðið með þeim hætti sem lýst er af aðila/aðilum/vitnum o.s.frv. Í grein 2.2.e í vinnslusamningnum sé síðan tilgreint hvaða upplýsingar ábyrgðaraðili skuli veita vinnsluaðila. Þar sé lögregluskýrsla tilgreind meðal annarra gagna. Fari það eftir málum hverju sinni hvers konar upplýsingar sé nauðsynlegt að afhenda vinnsluaðila til að unnt sé að fá skýra mynd af aðstæðum og orsakatengslum árekstrar og tjóns. Upplýsingar úr slíkum skýrslum geti varpað ljósi á þýðingarmikil atriði, svo sem aðstæður á slysstað og aðrar breytur sem kunni að skipta máli. Í fyrirliggjandi máli telur félagið að aðeins hafi verið unnið með þær upplýsingar sem töldust nauðsynlegar í þessu skyni og ekki gengið lengra en nauðsynlegt var til að varpa skýrara ljósi á aðstæður.

Þá telur Sjóvá sig uppfylla kröfur um lögmæti, sanngirni og gagnsæi. Kvartandi hafi sjálfur leitað til félagsins með það að markmiði að krefjast bóta úr hendi þess vegna umferðarslyss. Kvartandi hafi því áttað sig á vinnslu félagsins á persónuupplýsingum um hann, m.a. í þeim tilgangi að taka afstöðu til réttmætis kröfu hans. Auk þess komi fram í persónuverndarstefnu Sjóvár, sem sé aðgengileg á vefsíðu félagsins, upplýsingar um þær persónuupplýsingar sem félagið vinnur með. Þá gæti félagið að meðalhófi við vinnsluna enda sé umrædd vinnsla einungis framkvæmd í afmörkuðum tilvikum þegar vafi leiki á réttmæti bótakröfu. Vísar félagið einnig til 39. liðar formálsorða reglugerðar (ESB) 2016/679 þar sem fram kemur að meginreglan um gagnsæi eigi einkum við upplýsingar til skráðra einstaklinga um það hver ábyrgðaraðilinn er og tilgang vinnslunnar.

II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili og vinnsluaðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að veitingu aðgangs og afhendingu Sjóvár á persónuupplýsingum kvartanda til sérfræðings [B] og að eftirfarandi vinnslu þess síðarnefnda á sömu persónuupplýsingum. Þá lýtur málið að notkun Sjóvár á skýrslu sérfræðingsins við mat á bótakröfu kvartanda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Eins og hér háttar til teljast Sjóvá-Almennar tryggingar hf. vera ábyrgðaraðili að umræddri vinnslu.

Vinnsluaðili er skilgreindur í 7. tölul. 3. gr. laganna sem einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. einnig 8. tölul. 1. mgr. 4. gr. reglugerðarinnar. Sérfræðingur [B] er sjálfstæður verktaki sem vinnur samkvæmt vinnslusamningi og fyrirmælum Sjóvár sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinganna. Eins og hér háttar til telst sérfræðingur [B] því vera vinnsluaðili að umræddri vinnslu.

2.
Lagaumhverfi

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar ef það er nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, ef vinnslan er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sbr. 2. tölul. 9. gr. lagaákvæðisins og b-lið reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.

Við mat á heimild til vinnslu verður að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma hér einkum til skoðunar lög nr. 30/2019 um ökutækjatryggingar og lög nr. 30/2004 um vátryggingarsamninga.

Í 1. mgr. 47. gr. laga nr. 30/2004, sem Sjóvá vísar til, segir að við uppgjör bóta skuli vátryggður veita félaginu þær upplýsingar og þau gögn sem hann hefur undir höndum og félagið þarf til þess að meta ábyrgð sína og greiða bætur. Umrædd regla leggur skyldur á herðar hinum skráða en ekki ábyrgðaraðila.

Í 5. mgr. 10. gr. laga nr. 30/2019 um ökutækjatryggingar segir að vátryggingarfélagi, sem hefur starfsleyfi skv. 10. tölul. 1. mgr. 20. gr. laga um vátryggingarstarfsemi, sé skylt að veita lögboðnar ökutækjatryggingar sérhverjum þeim vátryggingarskylda aðila sem undirgengst boðna vátryggingarskilmála.

Í 1. mgr. 1. gr. laga nr. 30/2004 um vátryggingarsamninga segir um gildissvið laganna að þau gildi um samninga um skaða- og persónutryggingar og vátryggingatengdar fjárfestingarafurðir. Af því má leiða að við kaup kvartanda á lögboðnum ökutækjatryggingum hjá Sjóvá hafi stofnast samningssamband milli Sjóvár og kvartanda. Uppgjör bóta samkvæmt umræddum lögum byggist því á samningssambandi aðila.

Í lögskýringargögnum með frumvarpi er varð að lögum nr. 90/2018 segir meðal annars um 3. tölul. 9. gr. laganna að með lagaskyldu sé átt við hvers konar skyldu sem leiðir af lögum í rúmri merkingu, þ.e. bæði lögum og stjórnvaldsfyrirmælum settum á grundvelli þeirra, en samningsskyldur falli hins vegar ekki undir ákvæðið. Með vísan til framangreinds kemur því til skoðunar hvort vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að, sbr. áðurnefnt ákvæði 2. tölul. 9. gr. laga nr. 90/2018 og b-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

3.
Lögmæti vinnslu
3.1.
Vinnsluheimildir

Í gögnum málsins kemur fram að ábyrgðaraðili bjóði lögboðnar ökutækjatryggingar og að kvartandi hafi sem vátryggingarskyldur aðili undirgengist boðna vátryggingarskilmála. Með því komst á samningssamband milli kvartanda og Sjóvár. Kvartandi lagði fram fjárkröfu á hendur Sjóvá á grundvelli framangreinds samnings og óskaði uppgjörs bóta. Uppgjör bóta samkvæmt samningsskilmálum telst því til efnda samnings.

Fyrir liggur í gögnum málsins að þegar vafi leikur á atvikum máls og orsakasamhengi aflar Sjóvá ítarlegri upplýsinga svo að varpa megi skýrara ljósi á viðkomandi tilvik. Það gerir félagið samkvæmt verklagsreglum sínum meðal annars með því að óska eftir PC Crash-skýrslu hjá vinnsluaðila sínum. Í skýringum Sjóvár kemur fram að nauðsynlegt hafi verið, til þess meta réttmæti fjárkröfu kvartanda, að afla slíkrar skýrslu sem notuð hafi verið við mat á réttmæti bótakröfu kvartanda.

Til þess að vinnsluaðili geti unnið skýrslu um atvik máls eru honum nauðsynleg tiltekin gögn, m.a. persónuupplýsingar aðila máls, sem nánar er kveðið á um í vinnslusamningi aðila og persónuverndarstefnu Sjóvár.

Persónuvernd telur með vísan til alls framangreinds að umrædd vinnsla geti stuðst við 2. tölul. 9. gr. laga nr. 90/2018, sbr. einnig b-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

3.2.
Vinnslusamningur

Samkvæmt 1. mgr. 25. gr. laga nr. 90/2018, sbr. 1. mgr. 28. gr. reglugerðar (ESB) 2016/679, er ábyrgðaraðila heimilt að fela öðrum vinnslu persónuupplýsinga fyrir sína hönd. Skal slík vinnsla byggjast á samningi eða annarri réttargerð, sbr. 3. mgr. sama ákvæðis laganna og 3. mgr. ákvæðis reglugerðarinnar.

Fyrir liggur að Sjóvá hefur gert vinnslusamning, dags. 23. janúar 2019, við sérfræðing [B] um vinnslu PC Crash-skýrslna.

Í kafla 2 í vinnslusamningi aðila kemur fram að vinnsluaðila er heimilt að vinna fyrir hönd ábyrgðaraðila þær persónuupplýsingar sem hann fær afhentar frá ábyrgðaraðila og eru nauðsynlegar til að framkvæma hraða- og höggútreikninga, sem og veita ráðgjöf um hvort árekstur hafi getað orðið með þeim hætti sem lýst er af aðilum og vitnum. Þá er í c- og e-lið kaflans tilgreint hvaða persónuupplýsingar vinnsluaðili megi vinna með. Í e-lið er meðal annars tilgreint að ábyrgðaraðili skuli veita vinnsluaðila aðgang að lögregluskýrslu sem vinnsluaðila er heimilt að vinna með.

Þá ber að gefnu tilefni að geta þess að samkvæmt 25. gr. laga nr. 90/2018 og 28. gr. reglugerðar (ESB) 2016/679 verður vinnsluaðili ekki talinn þriðji aðili í skilningi laganna eða reglugerðarinnar. Vinnsla sérfræðings [B], eins og hér háttar til, telst því vinnsla á vegum Sjóvár sem ábyrgðaraðila. Af því leiðir jafnframt að aðgangur sérfræðings [B] að persónuupplýsingum kvartanda er byggður á vinnslusamningi, sbr. áðurnefnt ákvæði 3. mgr. 25. gr. laga nr. 90/2018, sbr. 3. mgr. 28. gr. reglugerðarinnar, en ekki sérstakri vinnsluheimild í 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðarinnar.

Það er því mat Persónuverndar að afhending Sjóvár á persónuupplýsingum kvartanda til sérfræðings [B] í tengslum við vinnslu PC Crash-skýrslu hafi farið fram á grundvelli gilds vinnslusamnings sem kvað á um heimildir vinnsluaðila með fullnægjandi hætti.

3.3.
Fræðsluskylda – meginreglur

Fram kemur í skýringum kvartanda að hann hafi haft vitneskju um að Sjóvá myndi vinna persónuupplýsingar úr lögregluskýrslu en hann hafi hvorki verið upplýstur né fengið um það fræðslu að persónuupplýsingum um hann yrði miðlað til vinnsluaðila og að Sjóvá myndi nota skýrslu sérfræðingsins til að meta bótaábyrgð sína gagnvart kvartanda.

Þegar persónuupplýsinga er aflað hjá hinum skráða fer um fræðsluskyldu samkvæmt 13. gr. reglugerðarinnar. Í 1. mgr. ákvæðisins segir að þegar persónuupplýsinga um hinn skráða sé aflað hjá honum sjálfum skuli ábyrgðaraðilinn, við söfnun persónuupplýsinganna, skýra honum frá meðal annars viðtakendum eða flokkum viðtakenda persónuupplýsinganna, ef einhverjir eru, sbr. e-lið 1. mgr. 13. gr. Þá ber að veita hinum skráða umræddar upplýsingar í tengslum við vinnslu persónuupplýsinga um hann á þeim tíma þegar upplýsinganna er aflað hjá hinum skráða, sbr. 61. lið formálsorða reglugerðarinnar. Þetta ákvæði reglugerðarinnar á samkvæmt framansögðu við um þann hluta kvörtunarinnar sem snýr að miðlun Sjóvár á persónuupplýsingum kvartanda til vinnsluaðila, þ.e. sérfræðings [B], vegna gerðar PC Crash-skýrslu.

Hugtakið „viðtakandi“ er skilgreint í 9. tölul. 4. gr. reglugerðar (ESB) 2016/679 sem einstaklingur eða lögaðili, opinber yfirvald, sérstofnun eða annar aðili sem fær í hendur persónuupplýsingar, hvort sem hann er þriðji aðili eða ekki. Viðtakandi í þessum skilningi getur því verið ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili. Er sú túlkun í samræmi við leiðbeiningar um gagnsæi (WP260 rev. 01 frá 11. apríl 2018) sem Evrópska persónuverndarráðið staðfesti á fyrsta fundi sínum 25. maí 2018, en leiðbeiningarnar voru unnar af forvera ráðsins, svokölluðum 29. gr. vinnuhópi (Article 29 Working Party) sem skipaður var fulltrúum evrópskra persónuverndarstofnana.

Af fyrirliggjandi málsgögnum verður ekki ráðið að Sjóvá hafi veitt kvartanda fræðslu um notkun vinnsluaðila í tengslum við þá vinnslu sem kvörtunin tekur til. Er þá til þess að líta að slíkar upplýsingar er ekki að finna í persónuverndarstefnu Sjóvár, en jafnframt liggur raunar ekki fyrir staðfesting á að kvartanda hafi verið vísað á persónuverndarstefnuna. Þá hefur ekki verið staðfest að kvartandi hafi fengið umrædda fræðslu með öðrum hætti. Í því sambandi ber að líta til þess að samkvæmt 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, er ábyrgðaraðili ábyrgur fyrir því að farið sé að meginreglum löggjafarinnar, þ. á m. um gagnsæi, og skal geta sýnt fram á það.

Með vísan alls framangreinds og ábyrgðarskyldu Sjóvár skv. 2. mgr. 8. gr. laga nr. 90/2018 er það niðurstaða Persónuverndar að tryggingarfélagið hafi ekki veitt kvartanda fræðslu samkvæmt e-lið 13. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, auk þess sem skilyrði meginreglu 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar, um gagnsæja vinnslu persónuupplýsinga var ekki uppfyllt.

Að því er varðar meginreglur 2.-3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-c-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, um skýrt tilgreindan, lögmætan og málefnalegan tilgang og meðalhóf við vinnslu persónuupplýsinga, telur Persónuvernd mega miða við að ábyrgðaraðila hafi verið nauðsynlegt, vegna vafa um réttmæti kröfu kvartanda, að afla PC-Crash-skýrslu og nota hana við mat á bótaábyrgð félagsins. Verður því ekki séð að vinnsla ábyrgðaraðila hafi farið í bága við þau ákvæði.

Ú r s k u r ð a r o r ð:

Vinnsla Sjóvár-Almennra trygginga hf. á persónuupplýsingum um [A] í tengslum við uppgjör bótakröfu vegna umferðaratviks samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um fræðsluskyldu og gagnsæi hvað varðar aðkomu vinnsluaðila.

F.h. Persónuverndar,

 Helga Sigríður Þórhallsdóttir            Rebekka Rán Samper