Skoðun TM hf. á upplýsingum um kvartanda við ósk sambýlismaka um tilboð í tryggingar
Mál nr. 2017/1302
Persónuvernd hefur úrskurðað um að TM hf. hafi verið heimilt að skoða upplýsingar um kvartanda í viðskiptasögu félagsins þegar sambýliskona hans óskaði eftir tilboði í tryggingar hjá félaginu. Í úrskurðinum vísar Persónuvernd til þess að TM hafi hag af því að hafa yfirsýn yfir eigin fjármál og viðskiptasögu og geta litið til hennar þegar ákvörðun er tekin um hvort stofnað skuli til viðskipta og þá á hvaða kjörum. Hagsmunir kvartanda af því uppfletting færi ekki fram voru ekki taldir þess eðlis að þeir vægju þyngra.
Úrskurður
Hinn 22. nóvember 2019 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr.
2017/1302:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 19. september 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga um hann hjá Tryggingamiðstöðinni hf. (hér eftir TM). Í kvörtuninni segir að sambýliskona kvartanda hafi leitað tilboða í tryggingar hjá TM og fengið þau svör að kvartandi þyrfti að hafa samband við TM vegna fyrri viðskipta hans við félagið áður en tilboð yrði gert. Kvartandi hafi síðan haft samband við TM og fengið þau svör að þegar leitað væri tilboða í tryggingar fyrir heimili væri meðal annars skoðuð viðskiptasaga sambýlismaka hjá félaginu, en það væri hluti af áhættumati félagsins. Í kvörtuninni segir að kvartandi telji þetta óheimilt samkvæmt persónuverndarlögum.
2.
Bréfaskipti
Með bréfi, dags. 26. apríl 2019, var TM boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 7. maí 2019. Í því er staðfest að sambýliskona kvartanda hafi óskað eftir tilboði í vátryggingar (heimili, fasteign og ökutæki) hjá félaginu og í kjölfarið hafi verið óskað eftir því að kvartandi hefði samband við félagið. Í bréfinu segir að ástæða þess hafi verið upplýsingar í viðskiptasögu kvartanda hjá félaginu en þær væru hluti af áhættumati félagsins og kæmu til skoðunar í þeim tilgangi að hægt væri að taka ákvörðun um tilboð í vátryggingar einstaklinga.
Í bréfi TM er eðli vátrygginga lýst með hliðsjón af lögum nr. 30/2004, um vátryggingarsamninga, ásamt vátryggingaskilmálum félagsins. Segir meðal annars að vátryggingartaki sé sá sem geri einstaklingsbundinn samning við vátryggingafélagið, og að í því tilviki sem hér um ræði hafi sambýliskona kvartanda verið vátryggingartaki. Hins vegar séu vátryggðir í skaðatryggingum þeir sem eigi rétt á að krefja um bætur, vátryggðir í ábyrgðartryggingum séu þeir sem njóti vátryggingaverndar á skaðabótaskyldri háttsemi sinni og vátryggðir í persónutryggingum séu þeir hverra lífs eða heilsu vátryggingin tekur til. Í heimilistryggingu TM séu vátryggðir vátryggingartaki, maki hans eða sambýlismaki og ógift börn, enda eigi þessir einstaklingar sameiginlegt lögheimili á Íslandi, þeir búi á sama stað og hafi sameiginlegt heimilishald. Þá segir að í lögboðinni ábyrgðartryggingu ökutækis séu vátryggðir vátryggingartaki og hver sá sem með samþykki hans notar ökutækið eða ekur því. Að sama skapi taki slysatrygging ökumanns og eiganda sem farþega til þeirra sem séu ökumenn ökutækisins hverju sinni. Sambúðarmaki sé því beinlínis vátryggður í heimilistryggingu TM og hvað varði ökutækjatryggingu sé við það miðað í áhættumati TM, í tilviki einstaklinga, að maki/sambúðarmaki vátryggingartaka hafi möguleika á og komi til með að nota ökutæki vátryggingartaka.
Í bréfinu segir jafnframt að af fyrrgreindum ástæðum sé það hluti af áhættumati félagsins í tilviki einstaklinga, við ákvörðun um hvort gera eigi tilboð og við verðlagningu tilboðs í vátryggingar, að sækja fjölskylduupplýsingar viðkomandi í þjóðskrá. Eigi viðkomandi einstaklingur maka eða sambúðarmaka samkvæmt þjóðskrá verði viðskiptasaga þess síðarnefnda (þ. á m. upplýsingar um vanskil hjá TM) hluti af áhættumati félagsins í því tilviki, séu slíkar upplýsingar fyrir hendi í viðskiptamannakerfi félagsins. Ástæða þess sé að það sé tölfræðilega marktæk fylgni milli þess að eiga sögu um vanskil og að vera líklegri að valda tjóni eða verða fyrir tjóni.
Hvað varðar heimild til vinnslunnar bendir TM á að það sé kjarni vátryggingastarfsemi að leggja sem réttast mat á þá áhættu sem standi til að vátryggja. Með vísan til þess telur TM að félaginu hafi verið heimilt, með vísan til lögmætra hagsmuna sinna, sbr. 7. tölul. 1. mgr. 8. gr. þágildandi laga nr. 77/2000, að nýta viðskiptasögu kvartanda sem hluta af þeim upplýsingum sem lagðar voru til grundvallar við áhættumat félagsins þegar sambúðarkona hans óskaði eftir tilboði í vátryggingar heimilis, fasteignar og ökutækis.
Með bréfi, dags. 5. júní 2019, var kvartanda veitt færi á athugasemdum við framangreindar skýringar TM. Svarað var með tölvupósti, dags. 27. júní 2019. Þar segir að kvartandi telji málsatvik í málinu sambærileg og í máli nr. 2014/999 hjá Persónuvernd og að hafa beri það mál til hliðsjónar hér. Þá vísar kvartandi rökum TM í málinu á bug.
II.
Forsendur og niðurstaða
1.
Lagaskil og afmörkun máls
Atvik máls þessa gerðust fyrir gildistöku núgildandi laga, nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar byggjast því á ákvæðum eldri laga, nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, en með gildistöku laga nr. 90/2018 voru ekki gerðar efnislegar breytingar á þeim reglum sem hér reynir á.
Um valdheimildir Persónuverndar frá og með 15. júlí 2018 fer hins vegar eftir núgildandi lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
2.
Gildissvið – Ábyrgðaraðili
Lög nr. 77/2000 giltu um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem voru eða áttu að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar voru skilgreindar í 1. tölulið 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint mátti rekja til tiltekins einstaklings, látins eða lifandi, og vinnsla sem sérhver aðgerð eða röð aðgerða þar sem unnið var með persónuupplýsingar, hvort heldur vinnslan var handvirk eða rafræn, sbr. 2. tölulið sömu greinar. Í athugasemdum við það ákvæði í frumvarpi að lögum nr. 77/2000 kom fram að hver sú aðferð, sem nota mátti til að gera upplýsingar tiltækar, teldist til vinnslu. Athugun Persónuverndar í máli þessu lýtur að því hvort TM hafi, með skoðun á viðskiptasögu kvartanda hjá félaginu vegna beiðni sambýliskonu hans um tilboð í tryggingar, brotið í bága við þágildandi lög nr. 77/2000. Mál þetta fellur þar af leiðandi undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga hafi samrýmst lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna var þar átt við þann sem ákvað tilgang vinnslu persónuupplýsinga, þann búnað sem notaður var, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Tryggingamiðstöðin hf. vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu
Samkvæmt lögum nr. 77/2000 þurfti öll vinnsla persónuupplýsinga að byggjast á einhverri þeirra heimilda sem tilgreindar voru í 8. gr. laganna.
Uppfletting í viðskiptamannasögu TM um kvartanda, í tengslum við ákvörðun um gerð tilboðs í tryggingar gagnvart sambýliskonu hans, gæti einkum stuðst við 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, vegi þyngra.
Við mat á því hvort vinnsluheimild er til staðar samkvæmt persónuverndarlögum getur jafnframt þurft að líta til annarra laga. Í 19. gr. laga nr. 30/2004 um vátryggingarsamninga er að finna ákvæði um skyldu vátryggingartaka til að veita upplýsingar um áhættuna. Segir þar í 1. mgr. að við gerð eða endurnýjun vátryggingarsamnings geti félagið óskað eftir upplýsingum um atvik sem haft geti þýðingu fyrir mat þess á áhættu. Slíkra upplýsinga skuli aflað beint hjá vátryggingartaka, eða eftir atvikum vátryggðum, sem skuli veita rétt og tæmandi svör við spurningum félagsins. Sama eigi við þegar vátryggingartaki veiti upplýsingar fyrir hönd vátryggðs. Sé upplýsinganna aflað hjá öðrum en vátryggingartaka eða vátryggðum skuli áður en þeirra er aflað liggja fyrir sannanlegt, upplýst samþykki þess sem aflað er upplýsinga um.
Við mat á því hvort fyrrgreint ákvæði laga um vátryggingarsamninga getur átt við hér verður að líta til þess að þær upplýsingar um kvartanda sem TM skoðaði voru þegar til staðar í viðskiptasögu félagsins. Þeirra var því ekki aflað í skilningi ákvæðisins.
Með hliðsjón af framangreindum skýringum TM, þar sem meðal annars var vísað til þess að kvartandi hefði beinlínis verið vátryggður í þeim tryggingum sem sambýliskona hans óskaði eftir tilboði í, verður að telja að félagið hafi haft hagsmuni af því að fletta kvartanda upp í viðskiptamannakerfi félagsins í umrætt sinn. Líta má svo á að TM hafi hag af því að hafa yfirsýn yfir eigin fjármál og viðskiptasögu og geta litið til hennar þegar tekin er ákvörðun um hvort stofnað skuli til viðskipta og þá á hvaða kjörum. Ekki verður séð að hagsmunir kvartanda af því að uppflettingin færi ekki fram hafi verið þess eðlis að þeir vægju þyngra, eins og hér háttar til.
Líkt og áður kom fram vísaði kvartandi til þess, í tölvupósti til Persónuverndar 27. júní 2019, að málsatvik væru sambærileg og í máli nr. 2014/999 hjá stofnuninni og því bæri að hafa það til hliðsjónar í þessu máli. Úrskurður í máli nr. 2014/999 tók til uppflettingar fjármálastofnunar á nafni manns í afskriftarlista þegar sambýliskona hans sótti um yfirtöku á bílaláni. Í fyrirliggjandi máli er hins vegar kvartað yfir skoðun tryggingafélags á upplýsingum um kvartanda í þágu áhættumats félagsins í tengslum við tilboðsgerð. Er það því mat Persónuverndar að málsatvik í þessu máli séu ekki sambærileg við mál nr. 2014/999.
Auk heimildar samkvæmt framangreindu þurfti vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Var þar meðal annars kveðið á um að persónuupplýsingar skyldu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.), að upplýsingar skyldu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul. sömu málsgreinar); að þær skyldu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt var miðað við tilgang vinnslu (3. tölul.); og að þær skyldu varðveittar í því formi að ekki væri unnt að bera kennsl á hina skráðu lengur en þörf kræfi miðað við sama tilgang (5. tölul.). Ekki verður séð að vinnsla TM á persónuupplýsingum um kvartanda hafi brotið í bága við framangreindar grunnkröfur.
Að öllu framangreindu virtu er það niðurstaða Persónuverndar að vinnsla TM á persónuupplýsingum kvartanda, þegar félagið fletti honum upp í viðskiptamannakerfi sínu í tilefni af ósk sambýliskonu hans um tilboð í tryggingar, hafi samrýmst lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Meðferð málsins hefur dregist vegna
mikilla anna hjá Persónuvernd.
Ú r s k u r ð a r o r ð:
Vinnsla TM á persónuupplýsingum um vanskil
kvartanda samrýmdist lögum nr. 77/2000, um persónuvernd og meðferð
persónuupplýsinga.
Í Persónuvernd, 22. nóvember 2019
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir