Tryggingafélag B
I.
Grundvöllur úttektar
Samkvæmt 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er það eitt af hlutverkum Persónuverndar "að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum." Með bréfi Persónuverndar, dags. 20. júní 2003, var, með vísan til nefnds ákvæðis, boðuð úttekt í samræmi við framangreint lagaákvæði. Samkvæmt 10. gr. laga um vátryggingastarfsemi, nr. 60/1994, verður að reka líf-, slysa- og sjúkdómatryggingar í sjálfstæðu líftryggingafélagi en ekki skaðatryggingafélagi. [A] er skaðatryggingafélag sem hefur gert verktökusamning um rekstur líf-, slysa- og sjúkdómatrygginga við [B]. Þar sem hluti þeirra bréfa sem Persónuvernd bárust vegna úttektarinnar voru rituð á bréfsefni [A] óskaði hún staðfestingar frá [B] á því að umrædd bréf væru rituð fyrir þess hönd. Slík staðfesting hefur borist með bréfi [B], dags. 20. maí 2005.
Umrædd úttekt er liður í heildstæðu og almennu eftirliti með lögmæti og öryggi við vinnslu persónuupplýsinga í tengslum við sölu á líf-, slysa- og sjúkdómatryggingum. Um er að ræða þær upplýsingar sem [B] leggur til grundvallar við ákvörðun um hvort selja eigi einstaklingi líf-, slysa- eða sjúkdómatryggingu, s.s. um heilsufar og lyfjanotkun viðkomandi.
[A] starfar samkvæmt lögum nr. 20/1954 um vátryggingarsamninga og lögum nr. 60/1994 um vátryggingastarfsemi. Hafa þessi lög ekki að geyma sérstök ákvæði varðandi vinnslu persónuupplýsinga í tengslum við slíka starfsemi. Slík ákvæði er aftur á móti að einhverju leyti að finna í XIII. kafla nýrra laga um vátryggingarsamninga nr. 30/2004, en sá kafli fjallar um almennar forsendur fyrir ábyrgð vátryggingafélaga. Lög þessi öðlast gildi 1. janúar 2006, en samkvæmt gildistökuákvæði í 146. gr. munu þau gilda um alla vátryggingarsamninga sem gerðir verða frá og með þeim degi, um alla vátryggingarsamninga sem verða endurnýjaðir eða framlengdir frá og með þeim degi, svo og um alla aðra vátryggingarsamninga sem eru í gildi á þeim degi. Af þessu má ráða að lögin munu hafa afturvirk áhrif varðandi þá vátryggingarsamninga sem undirritaðir eru fyrir gildistöku laganna. Byggir niðurstaða Persónuverndar um lögmæti vinnslu persónuupplýsinga þar af leiðandi, eftir því sem við á, á þeim lögum.
Lögmæti vinnslunnar
Bréfaskipti
1.
Úttekt Persónuverndar á því hvort öryggi persónuupplýsinga hjá [B] fullnægi kröfum 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. og reglna nr. 299/2001 um öryggi persónuupplýsinga, tekur eðli málsins samkvæmt eingöngu til þeirra persónuupplýsinga sem félaginu er að lögum heimilt að vinna með. Því þarf fyrst að taka afstöðu til lögmætis umræddrar upplýsingavinnslu og síðan meta öryggi þeirrar vinnslu sem heimil er. Í tengslum við mat á lögmæti vinnslunnar óskaði Persónuvernd eftir því að [B] gerði sérstaklega grein fyrir eftirfarandi:
a) Hvaða heimildir félagið teldi standa til þess að safna og vinna með upplýsingar um foreldra og systkini umsækjanda um líf- og sjúkdómatryggingu, sbr. lið 5.8. á eyðublaði um vátryggingabeiðni.
b) Við hvaða kringumstæður félagið afli heilsufarsupplýsinga um vátryggingartaka á grundvelli samþykkis hans, hvort honum sé þá gert kunnugt um það og hvernig framkvæmdinni sé að öðru leyti háttað, s.s. hvort félagið fengi afrit af sjúkraskrá viðkomandi eða einungis upplýsingar um tiltekin atriði úr henni.
c) Að skýrð yrði krafa um að umsækjandi gefi félaginu eða trúnaðarlækni heimild til þess að afla heilsufarsupplýsinga um sig frá sjúkrastofnunum og læknum sem hafa annast hann, einkum með tilliti til skilgreiningar samþykkis samkvæmt 7. tölul. 2. gr. laga nr. 77/2000 og meginreglna 7. gr. laganna.
Framangreindri fyrirspurn Persónuverndar var svarað með bréfi [B], dags. 28. febrúar 2005. Þar segir:
b) Þegar umsækjandi greinir frá alvarlegum sjúkdómum eða slysum í umsókn sinni kann að vera nauðsynlegt að kalla eftir frekari upplýsingum til að meta áhættu félagsins við tryggingatökuna. Þegar ráðgefandi læknir félagsins telur þörf á að afla slíkra upplýsinga, er umsækjanda tilkynnt skriflega um að félagið hafi óskað eftir nánari heilsufarsupplýsingum frá lækni hans. Einungis er leitað eftir upplýsingum um tiltekin atriði er varða umsókn viðkomandi aðila en ekki sjúkraskrá hans í heild.
c) Í umsókn um líf- og sjúkdómatryggingu, er yfirlýsing sem umsækjandi skrifar undir af fúsum og frjálsum vilja, þar sem skýrt kemur fram, að hann veiti læknum, sjúkrahúsum og öðrum, sem hafa undir höndum upplýsingar um heilsufar hans heimild til að veita félaginu eða trúnaðarlækni þess allar slíkar upplýsingar. Eins og fram kemur í b lið hér að framan er félaginu oft nauðsynlegt að afla frekari læknisfræðilegra gagna, þegar umsækjandi greinir frá alvarlegum sjúkdómum eða slysum í umsókn sinni. Upplýsinganna er aflað í þeim tilgangi að meta áhættu félagsins við tryggingatökuna. Trúnaðarlæknir félagsins metur út frá læknisfræðilegum sjónarmiðum, hvaða viðbótarupplýsingar séu nauðsynlegar til að meta heilsufar umsækjanda. Með því móti er tryggt, að aðeins sé aflað viðeigandi gagna, sem nauðsynleg eru við áhættumatið. Trúnaðarlæknir félagsins tekur við þessum upplýsingum og metur þær og gefur starfsmönnum álit sitt á því, hvaða áhættu hann telur fylgja viðkomandi umsækjanda. Upplýsingar þessar eru varðveittar í læstum hirslum, sem aðeins örfáir starfsmenn hafa aðgang að. Upplýsingunum er eytt eftir að samningur er fallin úr gildi og bótakröfur samkvæmt honum eru fyrndar. Eins og fram kemur í b lið er umsækjandi upplýstur um framvindu upplýsingaöflunar félagsins og getur því afturkallað heimild sína, þegar hann vill."
Öryggi vinnslu persónuupplýsinga
Bréfaskipti
Í áðurgreindu bréfi, dags. 20. júní 2003, var óskað eftir því að [B] legði fram skrifleg gögn um öryggi persónuupplýsinga, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum.
Þann 16. febrúar 2004 barst Persónuvernd öryggisstefna [B], útgáfa 1.0 - dags. 13. febrúar 2004. Með bréfi, dags. 31. mars 2004, var Persónuvernd síðan afhent öryggishandbók félagsins, sem auk öryggisstefnunnar hefur að geyma áhættumat, útgáfu 1.0 - dags. 7. mars 2004. Þá fylgdu drög að lýsingu á öryggisráðstöfunum, útgáfa 1.0 - dags. 31. mars 2004 (í handbókinni nefndar verklagsreglur). Enn fremur er að finna í öryggishandbók sérstakar vinnureglur varðandi meðferð og öryggi persónuupplýsinga. Eins og fram kemur í öryggisstefnu [B] var við mótun öryggiskerfis persónuupplýsinga tekið mið af staðlinum ÍST ISO/IEC 17799:2000.
Með bréfi Persónuverndar, dags 5. mars 2004, var [B] tilkynnt að stofnunin hygðist leita aðstoðar sérfræðings varðandi framkvæmd vettvangsathugunar. Var vísað til heimildar Persónuverndar, samkvæmt 4. mgr. 37. gr. laga nr. 77/2000, til þess að leggja kostnað sem af eftirliti hlýst á þann aðila sem því sætir. Ekki voru gerðar athugasemdir af hálfu [B] og samþykkti félagið kostnaðaráætlun sérfræðingsins, sbr. bréf, dags. 10. júní 2004.
Aðkoma sérfræðings að framkvæmd úttektarinnar
Samningur við sérfræðing
Þann 26. júlí 2004 gerði Persónuvernd samning við [D] um framkvæmd vettvangsathugunar á starfsstöð [B] og gerð skýrslu um niðurstöðu hennar. Samið var um að [E], sérfræðingur á vegum fyrirtækisins, myndi annast verkið. Áður en vettvangsathugunin færi fram skyldi hann rýna gögn og semja gátlista fyrir athugunina, m.a. í ljósi þess hvernig öryggiskerfi [B] er lýst í fram lögðum gögnum. Að vettvangsathugun lokinni skyldi hann skila Persónuvernd lokaskýrslu um niðurstöður sínar. Skilaði hann umræddri skýrslu þann 7. september 2004. Er hann samkvæmt samningnum bundinn trúnaðar- og þagnarskyldu. Sérfræðingurinn er hér eftir nefndur skýrsluhöfundur.
2.
Álit skýrsluhöfundar á gögnum [B]
Skýrsluhöfundur rýndi gögn [B], þ.e. þau skriflegu gögn sem félagið hafði lagt fram um öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum. Í lokakafla skýrslunnar greinir skýrsluhöfundur frá niðurstöðum rýni sinnar.
2.1. Öryggisstefna
Í skýrslu sinni segir höfundur eftirfarandi um öryggisstefnu [B]:
2.2. Áhættumat
Varðandi áhættumat [B] gerir skýrsluhöfundur m.a. svofelldar athugasemdir:
2.3. Lýsing á öryggisráðstöfunum
Eins og fyrr er getið voru Persónuvernd, við undirbúning úttektar, aðeins afhent drög að öryggisráðstöfunum. Eru þessar öryggisráðstafanir nefndar verklagsreglur í öryggishandbók [B]. Í henni er enn fremur að finna vinnureglur sem telja má til öryggisráðstafana í skilningi 3. gr. reglna nr. 299/2001. Um þessi gögn segir skýrsluhöfundur eftirfarandi:
[...]
Tengja ætti vinnureglur verklagsreglum gæðahandbóka þar sem stjórnkerfi upplýsingaöryggis byggist á stöðlum um stjórnun upplýsingaöryggis. Með því verður meira samræmi í stjórnun upplýsingaöryggis hjá [B]. Betra samræmi einfaldar starfsmönnum að framfylgja öryggisstefnunni."
Þá telur skýrsluhöfundur, í ljósi þess hversu viðkvæmar persónuupplýsingar um er að ræða, að það væri til bóta að [B] viðhefði eftirfarandi öryggisráðstafanir samkvæmt staðlinum ÍST ISO/IEC 17799:2000:
A.5.2.2 Merking og meðferð upplýsinga – Í þessari verklagsreglu á að skilgreina merkingu og meðferð upplýsinga í samræmi við flokkun þeirra og þar á meðal viðkvæmra upplýsinga eins og líf-, sjúkdóma- og slysatryggingar. Í verklagsreglunni á meðal annars að koma fram hvernig gögnin eru merkt, afrituð, geymd, send/flutt og hvernig og hvenær þeim er eytt.
A.8.6.3 Verklagsregla um meðferð upplýsinga – Í þessari verklagsreglu á að lýsa meðferð og geymslu upplýsinga þar sem sérstaklega er tekið á vörnum gegn því að óviðkomandi aðilar komist í gögnin. Þar á m.a. að koma fram aðgangstakmarkanir, heimildunarskrá viðtakanda gagna og ennfremur rýni á dreifingarlista gagna á borð við líf-, sjúkdóma- og slysatryggingum."
Niðurstöður skýrsluhöfundar að lokinni vettvangsathugun
Vettvangsathugun fór fram í september 2004 og í eftirmála skýrslunnar er lagt heildstætt mat á niðurstöður hennar. Kemst skýrsluhöfundur svo að orði:
Í skýrslunni kemur fram að vettvangsathugunin hafi verið framkvæmd með þeim hætti að lagðar hafi verið spurningar fyrir tiltekna starfsmenn [B] með tilliti til staðalsins ÍST ISO/IEC 17799:2000, en eins og áður er getið tekur öryggiskerfi persónuupplýsinga hjá félaginu mið af honum. Persónuvernd telur ekki vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem prófun reyndust vera í samræmi við framlögð gögn. Hins vegar verður farið yfir þær öryggisráðstafanir sem skýrsluhöfundi taldi skorta eða vera með öðrum hætti en lýst var í framlögðum gögnum. Þær eru:
3.1. Niðurstöður almennra spurninga
Ýmsar athugasemdir skýrsluhöfundar lutu að almennri umgengni starfsmanna um upplýsingar fyrirtækisins, s.s. við flokkun og meðhöndlun upplýsinga.
a. Leiðbeiningar um flokkun
Í öryggisstefnu [B] eru upplýsingar flokkaðar með tilliti til leyndar, réttleika og tiltækileika þeirra. Þó svo að upplýsingar séu flokkaðar með þessum hætti í öryggisstefnu [B] og einnig í vinnureglum telur skýrsluhöfundur að í gæðahandbók [B] skorti verklagsregluna leiðbeiningar um flokkun til að tengja þetta betur saman, einkum í ljósi þess að umrædd verklagsregla er valin í áhættumatinu.
b. Merking og meðferð upplýsinga
Þrátt fyrir að í vinnureglum sé að finna reglur um meðferð á einstökum gögnum telur skýrsluhöfundur að í áhættumat og gæðahandbók [B] vanti verklagsregluna merking og meðferð gagna. Síðan segir eftirfarandi:
c. Öryggismæri og inngangsvarsla
Í skýrslunni segir að verklagsreglur um öryggismæri og inngangsvörslu sé að finna í gæðahandbók [B]. Hins vegar hafi komið í ljós við vettvangsskoðun að engar sýnilegar merkingar séu til staðar til að skilgreina þau svæði sem koma fram í nefndum verklagsreglum. Síðan segir :
d. Vistun gagna á drifum
Skýrsluhöfundur bendir á að verklagsreglan um vistun gagna á drifum sé ekki tilgreind og útfærð í gæðahandbók [B] þrátt fyrir að hún sé valin í áhættumati. Segir í skýrslunni að umrædd verklagsregla eigi "að lýsa því hvernig viðkvæmar upplýsingar, eins og um líf-, sjúkdóma- og slysatryggingar, séu vistaðar á rafrænu formi, hvernig meðferð þeirra er háttað og geymslu til að vernda þær fyrir óheimilli uppljóstrun eða misnotkun."
3.2. Niðurstöður tæknilegra spurninga
Eins og fram kemur í skýrslunni beindust spurningar þessa hluta að ýmsum þáttum í rekstri upplýsingatæknibúnaðar.
a. Reglur um notendanöfn og lykilorð
Í skýrslunni segir að skilgreiningu á lengd lykilorða skorti í samræmi við verklagsreglu þar að lútandi. Þá segir skýrsluhöfundur að skipuleg rýni hafi ekki farið fram samkvæmt skilgreiningu í verklagsreglunni. Ennfremur að skilgreina þurfi betur umfang hennar og hvernig skýrslugjöf er framkvæmd.
b. Skráning á breytingum á kerfum í rekstri
Til að tryggja réttan og öruggan rekstur upplýsingavinnslubúnaðar telur skýrsluhöfundur að betri útskýringu þurfi á því hvernig hátta skuli skýrslugjöf í samræmi við verklagsreglu um skráningu breytinga á kerfum í rekstri.
c. Notkun á Internetinu
Skýrsluhöfundur bendir á að [B] þurfi að fræða starfsmenn betur um eftirlit með internetnotkun þeirra.
3.3. Niðurstöður innra skipulags og stjórnun rekstrarsamfellu
Spurningar þessa hluta lutu að innra skipulagi upplýsingastjórnunar, þ.e. hvernig háttað er stjórnun og eftirliti með upplýsingaöryggiskerfi fyrirtækisins.Í skýrslunni kemur fram að vinna við gerð rekstrarsamfellu fyrir [B] sé ekki lokið. Telur skýrsluhöfundur að útskýra þurfi betur umfang allra verklagsreglna er lúta að rekstrarsamfellu og í einstökum tilfellum hvernig skýrslugjöf skuli framkvæmd.
Athugasemdir [B] við
niðurstöður skýrsluhöfundar
Með bréfi Persónuverndar, dags. 10. september 2004, var [B] send framangreind skýrsla og félaginu boðið að gera athugasemdir við hana. Athugasemdir bárust Persónuvernd með bréfi, dags. 14. október 2004. Í bréfinu segir að félagið hafi leitast við að bæta úr þeim atriðum sem skýrsluhöfundur taldi vera ábótavant varðandi öryggi persónuupplýsinga. Í bréfinu segir m.a.:
Settar hafa verið 3 nýjar verklagsreglur; A.5.2.1 leiðbeiningar um flokkun, A.5.2.2. merkingar og meðferð upplýsinga og A.8.6.3. um meðferð upplýsinga.
Allar verklagsreglur, þar sem umfangið var skilgreint sem "allt" hafa verið teknar til endurskoðunar og umfangið skilgreint að nýju með nákvæmari hætti.
Við verklagsreglu A.7.1.1 öryggismæri hefur verið bætt teikningum af aðalstöðvum félagsins að Ármúla 3 í Reykjavík og öryggissvæði skilgreind með tilteknum lit, þannig að öllum starfsmönnum ætti nú að vera ljóst á hvers konar svæði þeir eru staddir hverju sinni.
Starfsmönnum hafa verið kynntar vinnureglur um meðferð tölvupósts, net- og símanotkun þeirra.
Lokið hefur verið við að gera áætlun um órofinn rekstur og hafa einstakir hlutar hennar þegar verið prófaðir.
Í vinnureglur hafa verið settar tilvísanir í viðeigandi verklagsreglur, þar sem það á við."
Að lokum telur [B] ranga þá athugasemd skýrsluhöfundar að ekki komi fram í verklagsreglum hver lengd lykilorða eigi að vera. Fram komi í verklagsreglu A.9.2.3 að lengd leyniorða skuli vera a.m.k. sex stafir í öllum kerfum.
Niðurstaða
1.
Almennt
[A] starfar samkvæmt lögum nr. 20/1954 um vátryggingarsamninga og lögum nr. 60/1994 um vátryggingastarfsemi. Hafa þessi lög ekki að geyma sérstök ákvæði varðandi vinnslu persónuupplýsinga í tengslum við slíka starfsemi. Slík ákvæði er aftur á móti að einhverju leyti að finna í XIII. kafla nýrra laga um vátryggingarsamninga nr. 30/2004, en sá kafli fjallar um almennar forsendur fyrir ábyrgð tryggingarfélaga. Lög þessi öðlast gildi 1. janúar 2006, en samkvæmt gildistökuákvæði í 146. gr. munu þau gilda um alla vátryggingarsamninga sem gerðir verða frá og með þeim degi, um alla vátryggingarsamninga sem verða endurnýjaðir eða framlengdir frá og með þeim degi, svo og um alla aðra vátryggingarsamninga sem eru í gildi á þeim degi. Munu lögin því hafa afturvirk áhrif varðandi þá vátryggingarsamninga sem undirritaðir eru fyrir gildistöku laganna. Byggir mat Persónuverndar á vinnslu persónuupplýsinga hjá [B] því, eftir því sem við á, á þeim lögum.
Eins og fyrr greinir tekur úttektin aðeins til persónuupplýsinga sem [B] vinnur með í tengslum við sölu á líf-, slysa- og sjúkdómatryggingum. Til þess að geta fengið slíka tryggingu þarf sá sem sækir um hana að fylla út sérstakt eyðublað og þannig veita tilteknar upplýsingar um sig. Auk almennra upplýsinga um nafn, kennitölu, heimilisfang, starf og hjúskaparstöðu umsækjanda er fyrst og fremst óskað heilsufarsupplýsinga af ýmsum toga. Spurt er um aðrar persónutryggingar umsækjanda, sbr. 3. tölulið eyðublaðsins. Í 4. tölulið þess er óskað eftir upplýsingum um hvort umsækjandi hafi áhugamál eða stundi íþróttir sem hafi í för með sér sérstaka áhættu en undir 5. tölulið er gert ráð fyrir að umsækjandi veiti víðtækar upplýsingar um heilsufar sitt. Meðal þess sem þar er óskað upplýsinga um er hvort umsækjandi reyki, neyti áfengis eða lyfja, sé með eða hafi verið með sjúkdóm af ákveðnum flokki. Hafi umsækjandi fengið slíkan sjúkdóm, eða sé haldinn slíkum sjúkdómi, er farið fram á ítarlegri upplýsingar, s.s. um hvenær sjúkdómurinn byrjaði, hve lengi hann varaði, hvort bati varð alger eða að hluta, hverjar séu eða urðu afleiðingar hans og nafn þess læknis sem stundaði umsækjandann. Ennfremur er óskað eftir því að umsækjandi upplýsi hvort foreldrar hans eða systkini séu með eða hafi fengið hjarta- eða æðasjúkdóma, geð- eða taugasjúkdóma, berkla, krabbamein, sykursýki eða sjúkdóma sem gætu verið arfgengir.
Að endingu hefur eyðublaðið að geyma yfirlýsingu sem ætlast er til að umsækjandi undirriti, þ.e. yfirlýsingu um að hann heimili tryggingafélaginu að afla heilsufarsupplýsinga um sig hjá læknum og sjúkrastofnunum, sbr. svohljóðandi orðalag: "Einnig gef ég hér með læknum, sjúkrahúsum og öðrum er hafa með höndum upplýsingar um heilsufar mitt heimild til að veita félaginu eða trúnaðarlækni þess allar slíkar upplýsingar."
Af framangreindu má ráða að aflað er upplýsinga um umsækjanda, bæði frá honum sjálfum og frá öðrum, og um foreldra og systkini umsækjanda. Þeirra síðarnefndu er aflað frá umsækjanda.
Lögmæti vinnslu persónuupplýsinga
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við allar "persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla "sérhver[ja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af þessu leiðir að söfnun, úrvinnsla og varðveisla [B] á framangreindum upplýsingum felur í sér vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Öll þessi vinnsla þarf, eins og önnur vinnsla persónuupplýsinga, að eiga sér stoð í einhverju af skilyrðum 8. og, eftir atvikum, 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Auk þess þarf vinnslan að vera í samræmi við meginreglur 1. mgr. 7. gr. laganna, m.a. um að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti (1. tölul.), fengnar í yfirlýstum, skýrum og málefnalegum tilgangi (2. tölul.) og vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).Felur ákvæðið í sér þá meðalhófsreglu að ekki skal unnið með persónuupplýsingar nema það sé nauðsynlegt og málefnalegt.
Samkvæmt c.-lið 8. tölul. 2. gr. laganna teljast upplýsingar um "heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun" til viðkvæmra persónuupplýsinga. Sé litið til þeirra persónuupplýsinga sem [B] safnar um umsækjendur um líf-, slysa- og sjúkdómatryggingar er ljóst að þær teljast til viðkvæmra persónuupplýsinga í skilningi laganna. Verður heimild til vinnslu þeirra þar með bæði að uppfylla eitthvert af skilyrðum 1. mgr. 8. gr. og 1. mgr. 9. gr. fyrrgreindra laga. Þá ber að geta þess að þegar upplýsinga er aflað frá honum sjálfum ber að virða ákvæði 20. gr. laganna um fræðsluskyldu og að þegar upplýsinga er aflað frá öðrum en hinum skráða sjálfum ber að líta til ákvæðis 21. gr. um skyldu til að láta hann vita um upplýsingaöflunina.
Loks hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001, sjá nánari umfjöllun í 3. lið hér að neðan.
Lögmæti vinnslunnar skv. 8. og 9. gr. laga nr. 77/2000
A
Öflun upplýsinga um umsækjanda - frá honum sjálfum og frá öðrum
Af þeim skilyrðum er greinir í 1. mgr. 8. gr. kemur helst til skoðunar ákvæði 1. tölul. um að vinnsla sé heimil hafi hinn skráði ótvírætt samþykkt vinnsluna eða veitt samþykki skv. 7. tölul. 2. gr. Með samþykki í skilningi 7. tölul. 2. gr. laga nr. 77/2000 er átt við sérstaka, ótvíræða yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Ekkert liggur fyrir í gögnum málsins um að slíks samþykkis sé aflað frá þeim sem leggur inn beiðni um áhættulíftryggingu og/eða sjúkdómatryggingu. Til þess að samþykki teljist vera upplýst þarf honum að hafa verið veitt fræðsla í samræmi við ákvæði 20. gr. laga nr. 77/2000, sbr. nánar lið 2.2. hér að neðan. Þrátt fyrir það verður engu að síður að telja umsækjanda ótvírætt hafa samþykkt vinnsluna með útfyllingu beiðninnar og undirritun hennar, sbr. 1. tölul. 1. mgr. 8. gr. laganna.
Með vísun til framangreinds verður hins vegar ekki fullyrt að vinnslan eigi sér stoð í 1. tölul. 1. mgr. 9. gr. sömu laga. Af skilyrðum 9. gr. kemur þá helst til álita 2. tölul. 1. mgr. um að vinna megi með viðkvæmar persónuupplýsingar standi til þess sérstök heimild samkvæmt öðrum lögum. Í 82. gr. laga nr. 30/2004 segir að á meðan vátryggingafélag hafi ekki samþykkt að veita vátryggingu geti það óskað eftir upplýsingum sem hafa þýðingu fyrir mat þess á áhættunni og er gert ráð fyrir því að slíkra upplýsinga sé aflað beint hjá vátryggingartaka, eða eftir atvikum vátryggðum, og að afla megi upplýsinga hjá öðrum en vátryggingartaka eða vátryggðum standi til þess skriflegt, upplýst samþykki þess sem aflað er upplýsinga um. Af framangreindu ákvæði má ráða að vilji löggjafans standi til þess að við öflun upplýsinga í tengslum við slíka starfsemi frá vátryggingartaka eða vátryggðum nægi samþykki samkvæmt 1. tölul. 1. mgr. 8. gr.
Öflun upplýsinga hjá vátryggingartaka eða vátryggða sjálfum telst þar með fullnægja skilyrðum þessa ákvæðis. Þegar litið er til þess á hún sér því bæði stoð í 1. tölul. 1. mgr. 8. gr. og 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000.
Að því er varðar öflun upplýsinga um umsækjanda hjá þriðja aðila ber að hafa í huga að samkvæmt 2. mgr. 82. gr. laga nr. 30/2004 skal það ekki gert nema fyrir liggi skriflegt, upplýst samþykki hans. Til þess að samþykki teljist upplýst þarf honum að hafa verið veitt tiltekin fræðsla í samræmi við ákvæði 21. gr. laga nr. 77/2000, s.s. um hvaða upplýsinga verði óskað, hjá hverjum o.s.frv., sbr. nánar lið 2.2. hér að neðan. Ella uppfyllir öflun persónuupplýsinga um vátryggingartaka hjá öðrum en honum sjálfum ekki kröfur 82. gr. laga nr. 30/2004.
Öflun upplýsinga um foreldra og systkini umsækjanda - frá umsækjanda
Kemur þá til skoðunar lögmæti þess þegar umsækjandi um vátryggingu lætur vátryggingafélagi í té viðkvæmar persónuupplýsingar um aðra en hann sjálfan, þ.e. um heilsufar foreldra og systkina. Enda þótt eyðublaðið geri ekki ráð fyrir því að umsækjandi nafngreini þessa ættingja eru þetta persónuupplýsingar um þá enda að jafnaði ljóst hverjir í hlut eiga, þ.e. foreldrar eða systkini viðkomandi. Er bent á að umsækjandi getur ekki án umboðs samþykkt vinnslu um aðra en sjálfa sig. Má hér vísa til athugasemda við 1. tölul. 1. mgr. 9. gr. í greinargerð sem fylgdi frumvarpi því sem varð að lögum nr. 77/2000, en þar segir: "[Getur] komið til þess að ekki nægi að fá samþykki hins skráða, t.d. ef hann veitir með því upplýsingar um aðra menn en sjálfan sig, eða ef lögboðið er að fleira þurfi til, sbr. a-lið 2. mgr. 8. gr. tilskipunar ESB." Það ákvæði sem hér á við er að finna í 82. gr. laga nr. 30/2004 um vátryggingasamninga. Hún hljóðar svo:
Á meðan félagið hefur ekki samþykkt að veita vátryggingu getur það óskað eftir upplýsingum sem hafa þýðingu fyrir mat þess á áhættunni. Slíkra upplýsinga skal aflað beint hjá vátryggingartaka, eða eftir atvikum vátryggðum, sem skal veita rétt og tæmandi svör við spurningum félagsins. Sama á við þegar vátryggingartaki veitir upplýsingar fyrir hönd vátryggðs. Sé upplýsinganna aflað hjá öðrum en vátryggingartaka eða vátryggðum skal áður en þeirra er aflað liggja fyrir skriflegt, upplýst samþykki þess sem aflað er upplýsinga um. Vátryggingartaki, og eftir atvikum vátryggður, skal einnig að eigin frumkvæði veita upplýsingar um sérstök atvik sem hann veit, eða má vita, að hafa verulega þýðingu fyrir mat félagsins á áhættu.
Þrátt fyrir ákvæði 1. mgr. er félaginu óheimilt, fyrir eða eftir gerð samnings um persónutryggingu, að óska eftir, afla með einhverjum öðrum hætti, taka við eða hagnýta sér upplýsingar um erfðaeiginleika manns og áhættu á því að hann þrói með sér eða fái sjúkdóma. Félaginu er einnig óheimilt að óska eftir rannsóknum sem teljast nauðsynlegar til þess að kostur sé á að fá slíkar upplýsingar. Framangreint bann gildir þó ekki um athugun á núverandi eða fyrra heilsufari mannsins eða annarra einstaklinga.
Synji félagið að veita persónutryggingu skal það rökstyðja synjunina sé eftir því leitað.
Af framangreindu ákvæði og skýringum við það í athugasemdum frumvarpsins má ráða að vátryggingafélagi sé heimilt að afla upplýsinga um heilsufar skyldmenna til þess að meta tilefni til þess að athuga fyrra eða núverandi heilsufar þess sem óskar vátryggingar. Vátryggjendum er m.ö.o. heimilt að spyrja um þessi atriði í þeim tilgangi að meta hvort rannsaka þurfi frekar núverandi eða fyrra heilsufar þess sem óskar vátryggingar. Enga heimild er hins vegar að finna fyrir vátryggjendur til að afla upplýsinga um hvort vátryggður sé líklegur til þess að fá eða þróa með sér tiltekna sjúkdóma í framtíðinni. Þvert á móti er vátryggjendum óheimilt, fyrir eða eftir gerð samnings um persónutryggingu, að óska eftir, afla með einhverjum öðrum hætti, taka við eða hagnýta sér upplýsingar um erfðaeiginleika manns og áhættu á því að hann þrói með sér eða fái sjúkdóma. Í ljósi þess banns verður að líta svo á að vátryggingafélagi sé óheimilt að afla upplýsinga um heilsufar skyldmenna sem eru til þess fallnar að gefa til kynna erfðaeiginleika umsækjandans. Ber hér að hafa í huga að margir algengir sjúkdómar orskast af samspili erfða- og umhverfisþátta. Verður því að líta svo á að öflun upplýsinga arfgenga sjúkdóma foreldra og systkina jafngildi hagnýtingu upplýsinga um erfðaeiginleika umsækjandans sjálfs. Verður enda vart komið auga á það í hvaða tilgangi öðrum tryggingafélag ætti að sækjast eftir upplýsingum um slíka sjúkdóma hjá einstaklingum. Að því er varðar öflun annarra heilsufarsupplýsinga um þessa einstaklinga verður hins vegar ekki fullyrt að hún sé óheimil, enda byggi hún á samþykki þeirra, sbr. 7. tölul. 2. gr. laga 77/2000.
Má í þessu sambandi minna á dóm Hæstaréttar frá 27. nóvember 2003 í máli 151/2003. Þar er m.a. byggt á 1. mgr. 71. gr. stjórnarskrárinnar er veitir sérhverjum manni friðhelgi um einkalíf sitt og minnt á að til að tryggja þá friðhelgi verði meðal annars að gæta að því að lög leiði ekki af sér raunhæfa hættu á að upplýsingar um einkahagi tiltekins manns komist í hendur annarra. Því var í dóminum byggt á því að áfrýjandi gæti sjálfur haft hagsmuni af því að upplýsingar úr sjúkraskrám látins föður hans yrðu ekki fluttar í þann gagnagrunn, sem málið laut að, vegna hættu á að af þeim yrði ályktað um einkahagi hans sjálfs.
Með vísun til alls framangreinds og að því virtu að samkvæmt lögunum er vátryggjendum beinlínis bannað að afla eða hagnýta sér með nokkrum hætti erfðafræðilegar upplýsingar eða óska eftir rannsóknum sem leitt geta slíkar upplýsingar í ljós, er það niðurstaða Persónuverndar að [B] sé óheimilt að afla upplýsinga um heilsufar þeirra sem að einhverju leyti fela í sér upplýsingar um arfgerð umsækjandans.
Lögmæti vinnslunnar skv. 7. gr. laga nr. 77/2000
Eins og áður segir þarf vinnsla sem uppfyllir eitthvert skilyrða 8. og 9. gr. ennfremur að vera í samræmi við meginreglur 7. gr. laganna. Samkvæmt 1. mgr. 7. gr. skal þess m.a. gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul., að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul., og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul.
Persónuvernd hefur farið yfir eyðublaðið: "Beiðni um vátryggingu". Þar er gert ráð fyrir að umsækjandi veiti viðkvæmar persónuupplýsingar um foreldra og systkini án þess að samþykki þeirra liggi fyrir. Þá skortir þar fræðslu varðandi öflun viðbótarupplýsinga um umsækjanda frá öðrum en honum sjálfum, sbr. 21. gr. laga nr. 77/2000. Hafa verður í huga að samkvæmt 1. tölul. 1. mgr. 7. gr. á vinnsla að vera sanngjörn, en því skilyrði er ekki fullnægt nema vinnsla uppfylli kröfur um ákveðið gagnsæi. Í því felst m.a. að hinn skráði á almennt að eiga kost á vitneskju um vinnsluna, auk þess sem almennt verður að veita fræðslu sem uppfyllir tiltekin skilyrði, sbr. m.a. 20. og 21. gr. laga nr. 77/2000. Í ljósi þessa telur Persónuvernd öflun persónuupplýsinga um foreldra og systkini umsækjanda, sem og öflun upplýsinga frá öðrum en honum sjálfum, ekki samrýmast 1. tölul. 1. mgr. 7. gr.
Hvað síðarnefndu upplýsingaöflunina varðar telur Persónuvernd æskilegt að höfð verði hliðsjón af skilgreiningu hugtaksins samþykki í 7. tölul. 2. gr. laga nr. 77/2000. Er þannig einkum æskilegt að fram komi hvaða upplýsinga kann að verða óskað og í hvaða tilvikum, í hvaða tilgangi, hvernig þær verði meðhöndlaðar og að umsækjanda sé heimilt að afturkalla samþykki sitt. Um fræðslu við öflun umrædds samþykkis vísast að öðru leyti til þess sem fram kemur þar að lútandi í A-lið kafla 2.1 hér að ofan.
Aðra vinnslu persónuupplýsinga á grundvelli umrædds eyðublaðs en þá sem hér hefur verið fjallað um telur Persónuvernd ekki fara í bága við ákvæði 7. gr. laga nr. 77/2000.
Öryggi vinnslu
Almennt um lagaskilyrði
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.
Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.
Öryggi við vinnslu persónuupplýsinga sem fram fer
í tengslum við sölu [B] á líf-, slysa- og sjúkdómatryggingum.
Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, hefur Persónuvernd gert athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga og reglna hjá [B]. Athugunin byggir annars vegar á rýni gagna frá félaginu og hins vegar á niðurstöðu vettvangsathugunar.
a. Öryggisstefna
Í 1. tölul. 3. gr. reglna nr. 299/2001 segir eftirfarandi: "Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til þeirrar vinnslu sem hann ber ábyrgð á. Gert er ráð fyrir því að kröfur um öryggi persónuupplýsinganna taki mið af þeim þáttum sem ábyrgðaraðili telur varða mestu, s.s. hvort það sé aðgengileiki, áreiðanleiki eða leynd viðkomandi persónuupplýsinga.
Persónuvernd hefur farið yfir öryggisstefnu [B] og telur hana vera í samræmi við þær kröfur sem gerðar eru til slíks skjals samkvæmt reglum nr. 299/2001.
b. Áhættumat
Í 2. tölul. 3. gr. reglna nr. 299/2001 er að finna reglur sem veita ábyrgðaraðilum persónuupplýsinga leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir: "Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglna þessara. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega."
Persónuvernd hefur farið yfir áhættumat [B]. Að áliti Persónuverndar stenst matið þær kröfur sem gerðar eru til áhættumats samkvæmt 2. tölul. 3. gr. reglna nr. 299/2001. Er þar m.a. haft í huga að [B] hefur brugðist við athugasemdum sem skýrsluhöfundur gerði, um að í einstökum tilfellum þyrfti breyttar verklagsreglur til að minnka áhættu. Setti [B] þrjár nýjar verklagsreglur, m.a. um merkingu og meðferð upplýsinga.
c. Öryggisráðstafanir
Samkvæmt 3. tölul. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: "Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og setja fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ.á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega."
Í úttektarskýrslu segir, þar sem almennt er fjallað um öryggisráðstafanir [B]: "Umfang í einstökum verklagsreglum þarf að skilgreina betur þar sem það er skilgreint sem 'allt', án nánari útskýringar. Skilgreina þarf í einstökum tilfellum hvernig skýrslugjöf skuli háttað. [...] Tengja ætti vinnureglur verklagsreglum gæðahandbóka þar sem stjórnkerfi upplýsingaöryggis byggist á stöðlum um stjórnun upplýsingaöryggis. Með því verður meira samræmi í stjórnun upplýsingaöryggis hjá [B]. Betra samræmi einfaldar starfsmönnum að framfylgja öryggisstefnunni."
[B] hefur brugðist við þessum athugasemdum og tekið umræddar verklagsreglur til endurskoðunar. Telur Persónuvernd, m.a. með tilliti til þeirra úrbóta sem [B] hefur gert, að lýsing félagsins á öryggisráðstöfunum gefi viðhlítandi yfirsýn yfir þær öryggisráðstafanir sem viðhafðar eru við meðferð persónuupplýsinga.
Þá telur Persónuvernd, varðandi einstakar öryggisráðstafanir, sem við prófun reyndust ekki sem skyldi, að í mörgum tilvikum sé um að ræða æskilegar aðgerðir fremur en nauðsynlegar öryggisráðstafanir samkvæmt reglum nr. 299/2001. Þykir því ekki nauðsynlegt að fjalla um þær sérstaklega, enda hefur [B] þegar gert viðeigandi úrbætur með tilliti til umræddra ábendinga.
4.
Samandregin niðurstaða
Fyrirmæli
Úttekt Persónuverndar, framkvæmd á grundvelli laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og með tilliti til ákvæða laga um vátryggingarsamninga nr. 30/2004 sem munu gilda frá og með 1. janúar 2006, hefur leitt í ljós að vinnsla persónuupplýsinga á vegum [B], sem aflað er frá umsækjendum um líf-, slysa- og sjúkdómatryggingar, uppfyllir skilyrði 7.–9. gr. laga nr. 77/2000 að öðru leyti en því að:
a) Öflun upplýsinga hjá þriðja aðila, um mann sem sækir um líf- og sjúkdómatryggingu, er óheimil nema fyrir liggi skriflegt, upplýst samþykki hans og honum hafi verið veitt fræðsla í samræmi við ákvæði 21. gr. laga nr. 77/2000.
b) Öflun upplýsinga um arfgenga sjúkdóma foreldra og systkina umsækjenda er óheimil.
Úttekt Persónuverndar, sem boðuð var með bréfi, dags. 20. júní 2003, og fram fór á grundvelli gagna, sem [B] lagði fram í febrúar og mars 2004, leiddi ekki í ljós að öryggi við vinnslu persónuupplýsinga hjá félaginu í tengslum við líf-, slysa- og sjúkdómatryggingar væri í ósamræmi við 11.–13. gr. laga nr. 77/2000 og reglur nr. 299/2001.
Er þeim tilmælum hér með beint til [B] að gera nauðsynlegar breytingar samkvæmt framanrituðu þannig að starfsemi félagsins uppfylli skilyrði laga nr. 77/2000 og laga nr. 30/2004 við gildistöku þeirra hinn 1. janúar 2006.