Upplýsingar í rannsóknarskýrslu fyrir tryggingarfélag - mál nr. 2014/472
Úrskurður
Á fundi stjórnar Persónuverndar þann 19. nóvember 2014 var kveðinn upp svohljóðandi úrskurður í máli nr. 2014/472:
I.
Málavextir og bréfaskipti
Hinn 10. mars 2014 barst Persónuvernd kvörtun frá [X] sf., f.h. umbjóðanda síns [A] (hér eftir nefndur „kvartandi“), dags. 5. mars 2014, yfir vinnslu persónuupplýsinga um hann hjá Sjóvá-Almennum tryggingum hf. (hér eftir Sjóvá) og Aðstoð og öryggi ehf. (hér eftir AÖ). Í kvörtuninni kemur fram að kvartandi telji að brotið hafi verið gegn friðhelgi hans, að heilsufarsupplýsingum hafi verið miðlað án heimildar frá Sjóvá til AÖ í kjölfar tilkynningar sem Sjóvá barst um hugsanleg tryggingasvik af hans hálfu, að vinnslan hafi verið ómálefnanleg og að brotið hafi verið gegn 7., 8. gr. og 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Með bréfi, dags. 14. mars 2014, óskaði Persónuvernd eftir því að kvartandi afmarkaði kvörtunefni málsins nánar, n.t.t. yfir hvaða vinnslu persónuupplýsinga væri kvartað og hvern hann teldi vera ábyrgðaraðila og vinnsluaðila vinnslunnar.
Lögmaður kvartanda svaraði með bréfi, dags. 4. apríl 2014. Þar segir að kvartandi telji að söfnun, miðlun og meðferð viðkvæmra persónuupplýsinga um hann, milli þeirra aðila sem kvörtunin beinist að og eins og þær koma fram í skýrslu AÖ samræmist ekki ákvæðum laga nr. 77/2000. Munnlegum upplýsingum hafi verið aflað um kvartanda sem séu í öllum meginatriðum rangar, en þessar upplýsingar hafi ekki verið bornar undir hann áður en lokið var við gerð skýrslunnar. Þá telji kvartandi að AÖ hafi tekið og notað ljósmyndir af kvartanda og fasteign hans í skýrsluna, án hans samþykkis. Sumar þessara mynda hafi verið teknar af lokaðri Facebook síðu kvartanda og aðrar myndir hafi verið fengnar annars staðar frá. Verði þeir aðilar sem kvörtun beinist að, að skýra með hvaða hætti þessara gagna og mynda hafi verið aflað og hvort notkun og miðlun þessara upplýsinga hafi verið kynnt kvartanda eða verið með samþykki hans. Sé svo ekki þá telji kvartandi að í því felist brot gegn lögum nr. 77/2000 og rétti hans til friðhelgi einkalífs, heimilis og fjölskyldu. Þá er þess óskað í bréfinu að umræddir aðilar leggi fram vinnslusamning sem vinnsla persónuupplýsinga um kvartanda byggi á og upplýsi hvaða persónuupplýsingar um kvartanda hafi verið sendar frá Sjóvá til AÖ.
Með bréfi, dags. 14. apríl 2014, veitti Persónuvernd AÖ færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 6. maí 2014. Þar segir að Sjóvá hafi óskað eftir aðkomu AÖ vegna rannsóknar í kjölfar tilkynningar sem þeim barst um meint tryggingasvik kvartanda. Óskað hafi verið eftir því að rætt yrði við vitnið sem kom fram með ábendinguna og leitað yrði staðfestingar jafnt til að sanna eða afsanna ávirðingarnar.
Þá segir í bréfinu að á fundi þann 12. september 2013 hafi starfsmanni AÖ verið tjáð í stuttu máli hvers eðlis slysið var sem kvartandi hafi orðið fyrir og lýsing á meiðslum hans, [...]. Sjóvá hafi sagt að í málinu lægi fyrir matsgerð lækna vegna meiðslanna og að ósamræmi væri á milli þess sem vitnið hafi haldið fram varðandi vinnugetu kvartanda og áður metna óvinnufærni hans. Fram hafi komið á fundinum að metin örorka kvartanda væri [...]. Þá hafi Sjóvá einnig tilgreint dagsetningu slyss og tjónsstað. Engin gögn hafi verið afhent til AÖ frá Sjóvá að undanskildu nafni og símanúmeri tilkynnanda.
Enn fremur segir í bréfi AÖ að í rannsóknarskýrslunni sem AÖ hafi unnið hafi mátt finna tvær myndir í ljósmyndamöppu, sem sta[r]fsmaður AÖ hafi tekið utan við heimili kvartanda [...]. Ekki hafi verið teknar myndir inn í húsið né inn um neina glugga og ekki hafi verið farið inn á lóð kvartanda né á annan hátt brotið gegn friðhelgi einkalífs kvartanda eða fjölskyldu hans. Aðrar ljósmyndir úr rannsóknarskýrslunni séu af Facebooksíðu kvartanda sem hafi verið opin öllum sem fletta upp hans nafni á þeim tíma sem þær hafi verið skoðaðar. Þá hafi tvær myndir úr rannsóknarskýrslunni verið teknar úr [blaðinu X]. Auk þess hafi tvær myndir úr skýrslunni verið teknar af starfsmanni AÖ á [...]. Starfsmaður AÖ hafi gætt þess að tjá viðmælendum sínum ekkert um málið.
Með bréfi, dags. 2 september 2014, veitti Persónuvernd Sjóvá tækifæri á að tjá sig um framangreinda kvörtun. Var sérstaklega óskað eftir upplýsingum um á hvaða heimild í 8. og 9. gr. laga nr. 77/2000 umrædd vinnsla byggðist á og hvernig vinnslan samræmdist 7. gr. sömu laga. Svarað var með bréfi, dags. 13. september 2014. Þar segir að eftir að örorkumatsgerð kvartanda kom fram hafi Sjóvá borist símtal frá einstaklingi búsettum í heimabæ kvartanda, sem þekkti vel til kvartanda, og vildi upplýsa félagið um meint vátryggingasvik hans. Að mati starfsmanns Sjóvá var frásögn tilkynnanda bæði ítarleg og trúverðug og var því ákveðið að leita til AÖ sem að á þeim tíma hafði í gildi vinnslusamning við Sjóvá vegna tjónarannsókna. Eigandi AÖ hafi farið til heimabæjar kvartanda í þeim tilgangi að ræða við tilkynnanda og önnur vitni og athuga hvort sæist til kvartanda við vinnu á almannafæri.
Sjóvá segir í bréfi sínu að samkvæmt 6. gr. laga nr. 56/2010, um vátryggingastarfsemi, skuli starfsemi rekin í samræmi við góða viðskiptahætti og venjur í vátryggingaviðskiptum og með hag vátryggingartaka og vátryggðra fyrir augum. Tjónaafgreiðsla sé órjúfanlegur hluti af vátryggingastarfsemi og viðskiptavinir vátryggingafélaga hafi mikla hagsmuni af því að aðhalds sé gætt í rekstri þeirra og virkt eftirlit sé haft með réttmæti bótagreiðslna. Það sé því skylda vátryggingafélaga gagnvart öðrum viðskiptavinum að bregðast við ábendingum um möguleg bótasvik eða aðra misnotkun og láta slíkt ekki um eyru þjóta án skoðunar. Verði að játa vátryggingafélögum nokkuð svigrúm til eigin rannsókna, formlegra eða óformlegra til þess að þeim sé unnt að rækja hlutverk sitt og stemma stigum við bótasvikum, þó innan þess ramma að gætt sé meðalhófs og virðingar fyrir persónuréttindum einstaklinga.
Þá segir í bréfinu að félagið telji að fullnægjandi lagaheimild hafi staðið til vinnslunnar samkvæmt 3. og 7. tölul. 1. mgr. 8. gr., sbr. einnig 6. og 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Félagið telji að ekki hafi verið gengið lengra en þörf krafði vegna eðlis þeirra upplýsinga sem því bárust, þeirra hagsmuna sem séu í húfi og þeirra hagsmuna félagsins vegi í þessu tilviki mun þyngra en hagsmunir kvartanda af friðhelgi einkalífs. Rannsóknin hafi verið unnin upp úr gögnum frá þriðja aðila eða gögnum sem tjónþoli hafi sjálfur gert opinber, sbr. 6. tölul. 1. mgr. 9. gr. laganna. Skýrsluhöfundur hafi sjálfur tekið ljósmyndir á almannafæri og aðrar myndir hafi verið teknar af opinni Facebook-síðu kvartanda. Aðrar upplýsingar hafi verið fengnar frá vitnum. Vinnslan hafi verið nauðsynleg og ekki umfram það sem nauðsynlegt var til þess að kanna sannleiksgildi ábendingar um möguleg bótasvik. Eðli málsins samkvæmt fari vinnsla að þessu tagi fram án vitneskju eða vilja hins skráða og ekki hafi verið unnt að tilkynna kvartanda eða lögmanni hans um vinnsluna fyrr en að henni yfirstaðinni. Skýrslan hafi verið send lögmanni kvartanda þegar hún hafi legið fyrir og hafi hann komið athugasemdum kvartanda á framfæri við félagið í framhaldi.
Með bréfi, dags. 24. september 2014, veitti Persónuvernd kvartanda tækifæri á að tjá sig um framkomnar skýringar AÖ og Sjóvá. Svarað var með tölvupósti, dags. 3. október 2014. Þar segir að kvartandi telji að gengið hafi verið alltof langt í bersýnilega tilgangslausri viðleitni þessara aðila til að draga úr trúverðugleika fyrirliggjandi upplýsinga um alvarlegar afleiðingar vinnuslyss kvartanda. Hafi Sjóvá og AÖ mátt vera það ljóst frá upphafi, að skýrsla vinnsluaðila hefði enga þýðingu til sönnunar um afleiðingar vinnuslyss kvartanda og þegar af þeim sökum hafi meðferð og vinnsla persónuupplýsinga um kvartanda verið með öllu óþörf í málinu. Fyrstu matsgerð um afleiðingar vinnuslyss kvartanda yrði ekki hnekkt nema með því að afla endurmats á afleiðingum slyssins. Hafi því ekki verið gætt hófs eða sanngirni í þeirri leið sem valin var, til þess að freista þess að hnekkja niðurstöðum matsgerðarinnar.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að öflun upplýsinga um kvartanda og afhending þeirra til ábyrgðaraðila er vinnsla persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Samkvæmt 1. mgr. 13. gr. laga nr. 77/2000 er ábyrgðaraðila heimilt að semja við tiltekinn aðila um að annast vinnslu persónuupplýsinga sem hann ber ábyrgð á. Í máli þessu liggur fyrir vinnslusamningur milli Sjóvá og AÖ sem Persónuvernd hefur borist. Þar kemur fram að vinnsla persónuupplýsinga vinnsluaðila skuli fullnægja skilyrðum 8. gr. laga nr. 77/2000. Þá kemur fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg. Að mati Persónuverndar fullnægir framangreindur samningur þeim skilyrðum sem gerð eru í 13. gr. laga nr. 77/2000.
3.
Svo að heimilt sé að vinna með persónuupplýsingar verður ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Svo að heimilt sé að vinna með viðkvæmar persónuupplýsingar verður að auki að vera fullnægt einhverju skilyrðanna í 9. gr. sömu laga. Upplýsingar um heilsufar kvartanda eru viðkvæmar persónuupplýsingar, sbr. c-lið 8 tölul. 2. gr. laga nr. 77/2000.
3.1
Í svarbréfi Sjóvá kemur fram að félagið telji að fullnægjandi lagaheimild hafi staðið til vinnslunnar samkvæmt 3. og 7. tölul. 1. mgr. 8. gr., sbr. einnig 6. og 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Þá vísar félagið til 6. gr. laga nr. 56/2010, um vátryggingastarfsemi, þar sem segir að starfsemi vátryggingafélaga skuli rekin í samræmi við góða viðskiptahætti og venjur í vátryggingaviðskiptum og með hag vátryggingataka og vátryggðra fyrir augum.
Samkvæmt 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna sem vega þyngra en grundvallarréttindi og frelsi hins skráða, sbr. 7. tölul. 1. mgr. 8. gr. Þá segir í 6. tölul. 1. mgr. 9. gr. að vinnsla sé heimil ef hún taki einungis til upplýsinga sem hinn skráði hefur sjálfur gert opinberar. Enn fremur segir í 7. tölul. 1. mgr. 9. gr. að vinna megi með viðkvæmar persónuupplýsingar sé vinnslan nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.
Í 6. gr. laga nr. 56/2010, um vátrggingastarfsemi, er fjallað um starfsemi vátryggingafélaga. Þar segir í 1. mgr. að vátryggingastarfsemi, sem vátrggingafélögum er heimilt að stunda, skal rekin í samræmi við góða viðskiptahætti og venjur í vátryggingaviðskiptum og með hag vátryggingataka og vátrggðra fyrir augum. Þá segir jafnframt að vátryggingafélög skuli rekin á heilbrigðan og traustan hátt. Verður því ekki séð að lagaheimild hafi staðið til vinnslu persónuupplýsinga með þeim hætti sem gert var í rannsóknarskýrslu AÖ.
3.2
Í 7. tölul. 1. mgr. 8. gr. segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna ábyrgðaraðila. Í svarbréfi Sjóvá kemur fram að vátryggingafélög og viðskiptavinir þeirra hafi mikla hagsmuni af því að aðhalds sé gætt í rekstri þeirra og virkt eftirlit sé haft með réttmæti bótagreiðslna. Það sé því skylda vátryggingafélaga gagnvart öðrum viðskiptavinum að bregðast við ábendingum um möguleg bótasvik eða aðra misnotkun og láta slíkt ekki um eyru þjóta án skoðunar. Í svarbréfinu segir jafnframt að játa verði vátryggingafélögum nokkuð svigrúm til eigin rannsókna, formlegra eða óformlegra til þess að þeim sé unnt að rækja hlutverk sitt og stemma stigum við bótasvikum, þó innan þess ramma að gætt sé meðalhófs og virðingar fyrir persónuréttindum einstaklinga.. Að mati Persónuverndar er hér um að ræða lögmæta hagsmuni í skilningi 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Til að vinnsla geti átt sér stoð í því ákvæði er skilyrði að grundvallarréttindi og frelsi hins skráða vegi ekki þyngra en tilgreindir hagsmunir ábyrgðaraðila. Við mat á því í máli þessu skiptir í fyrsta lagi máli að ábyrgðaraðili skráir persónuupplýsingar aðeins til innanhússnota, þ.e. til afgreiðslu bótakröfu kvartanda. Í öðru lagi að ábyrgðaraðili safnaði aðeins saman upplýsingum sem annars vegar voru opinberar og hins vegar upplýsingum sem var aflað af starfsmanni AÖ með ljósmyndum á almannafæri. Er það því mat Persónuverndar að umrædd vinnsla Sjóvá og AÖ samrýmist 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
3.3
Samkvæmt 6. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla viðkvæmra persónuupplýsinga heimil taki hún aðeins til upplýsinga sem hinn skráði hafi sjálfur gert opinberar. Hvað varðar þau gögn er aflað var af Facebook-síðu kvartanda þá kemur fram í svarbréfi Sjóvá að þeirra gagna hafi verið aflað af opinni Facebook-síðu kvartanda. Kvartandi hefur hins vegar haldið því fram að Facebook-síða hans hafi verið lokuð þegar gagnanna var aflað. Starfsmaður AÖ, sem vann við gerð skýrslunnar, hefur þá bent á að hann hafi engin rannsóknarúrræði til að afla upplýsinga af lokaðri Facebook-síðu. Ljóst er að Persónuvernd getur ekki, í ljósi þeirra úrræða, sem henni eru búin að lögum, sannreynt hvort Facebook-síða kvartanda var opin á þeim tímapunkti sem upplýsinganna var aflað. Af þeim gögnum sem liggja fyrir í málinu verður því ekki annað ráðið en að unnið hafi verið með upplýsingar sem kvartandi gerði opinberar sjálfur og fellur vinnslan því undir 6. tölul. 1. mgr. 9. gr. laga nr. 77/2000.
Þá segir í 7. tölul. 1. mgr. 9. gr. laganna að heimilt sé að vinna með viðkvæmar persónuupplýsingar sé það nauðsynlegt til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Eins og fram kemur í athugasemdum við ákvæðið í greinargerð með því frumvarpi, sem varð að lögum nr. 77/2000, er ekki nauðsynlegt að mál sé lagt fyrir dómstóla til að ákvæðið eigi við heldur nægir að vinnsla sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Af gögnum málsins er ljóst að í máli þessu er um að ræða öflun upplýsinga um kvartanda í þeim tilgangi að kanna réttmæti bótakröfu hans.
3.4
Auk þess sem heimild verður að vera til vinnslu viðkvæmra persónuupplýsinga í 8. og 9. gr. laga nr. 77/2000 verður, eins og endranær við vinnslu persónuupplýsinga, að vera fullnægt öllum skilyrðum 1. mgr. 7. gr. laganna. Þar er meðal annars mælt fyrir um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Fyrir liggur að persónuupplýsinga um kvartanda var aflað með viðtölum við einstaklinga sem þekktu til kvartanda. Þá voru myndir teknar af heimili hans af almannafæri og á vinnusvæði þar sem kvartandi átti að hafa unnið. Ljóst er að veita þarf tryggingarfélögum ákveðið svigrúm við könnun á bótakröfum tryggingartaka. Þegar litið er til þeirra upplýsinga unnið var með í þessu tiltekna máli og þeirra aðferða sem beitt var við öflun þeirra telur Persónuvernd að ekki hafi verið farið gegn kröfum um meðalhóf þannig að brotið hafi verið í bága við ákvæði 7. gr. með umræddri öflun persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Vinnsla AÖ fyrir hönd Sjóvá á rannsóknarskýrslu um kvartanda, var heimil samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.