Vörður tryggingar hf. gætti ekki að grunnkröfu um sanngirni við vinnslu persónuupplýsinga
Mál nr. 2017/1563
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir skráningu persónuupplýsinga hjá Verði tryggingum hf. á upplýsingum sem kvartandi hafði veitt símleiðis til félagsins um slys sem barn kvartanda lenti í þegar hann hafði samband og spurðist fyrir um bótaskyldu. Kvartandi skilaði ekki inn formlegri tjónstilkynningu en slysið var skráð í tjónasögu hans. Komist var að þeirri niðurstöðu að skráning Varðar trygginga hf. á upplýsingunum sem kvartandi veitti símleiðis gæti stuðst við heimild í 2. tölul. 1. mgr. 8. gr. þágildandi laga nr. 77/2000, m.t.t. 1. mgr. 124. gr. laga nr. 30/2004 um vátryggingarsamninga og jafnframt 7. tölul. 1. mgr. 9. gr. núgildandi laga nr. 90/2018.
Í niðurstöðum var ekki fallist á þær röksemdir Varðar trygginga hf. að viðskiptavinir hljóti að gera sér grein fyrir því að efni símtala væri skráð með einhverjum hætti, svo sem félagið bar fyrir sig, og að þar með væri fullnægt þeirri upplýsingaskyldu sem hvíldi á ábyrgðaraðila. Niðurstaðan var því að ekki hafði verið gætt að grunnkröfu um sanngirni samkvæmt 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, við vinnslu Varðar trygginga hf. á persónuupplýsingum kvartanda.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 31. október 2019 var kveðinn upp
svohljóðandi úrskurður í máli nr. 2017/1563:
I.
Málsmeðferð
1.
Tildrög máls
Þann 27. október 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga hjá Verði tryggingum hf. Kvartað er yfir skráningum félagsins á upplýsingum um slys sem [barn] kvartanda lenti í og yfir synjun félagsins á beiðni kvartanda um að upplýsingunum verði eytt.
Í kvörtun er því lýst að [barn] kvartanda hafi lent í slysi árið 2015 þegar hann var á gangi á leið heim úr skóla þegar hann steig í sjóðandi vatn þar sem hitaveiturör við gangbraut hafði sprungið. Kvartandi hafi haft samband við Vörð tryggingar hf. á árinu 2016 og spurst fyrir um hvort tjónið félli undir heimilistryggingu hvað varðaði sjúkrakostnað, og hvort það hefði áhrif á framtíðariðgjöld ef tryggingabætur yrðu greiddar út. Hann hafi fengið þau svör að útgreiddar bætur gætu haft áhrif á iðgjöld en senda þyrfti inn formlega tilkynningu ásamt staðfestingu á útlögðum kostnaði til að fá bætur. Kvartandi hafi fengið sendan tölvupóst frá starfsmanni vátryggingafélagsins með upplýsingum og hlekk á vefsíðu félagsins þar sem tilkynna mátti um tjón. Kvartandi hafi hins vegar ákveðið að fylla ekki út tjónstilkynningu né senda gögn á vátryggingafélagið og því ekki aðhafst frekar.
Í kvörtun er jafnframt greint frá því að á árinu 2017 hafi kvartandi haft hug á að skipta um vátryggingafélag og hafi nýja félagið gert kröfu um að fá tjónayfirlit frá Verði tryggingum hf. Kvartandi hafi því aflað slíks tjónayfirlits og þá orðið þess var að fyrrgreint slys hefði verið skráð og tilgreint líkt og um „tryggingamál“ væri að ræða. Kvartandi hafi í kjölfarið óskað skýringa á því frá Verði tryggingum hf. hvers vegna slysið hafi verið skráð þrátt fyrir að formleg tilkynning um það hafi ekki verið send félaginu. Vörður tryggingar hf. hafi staðið við skráningu sína þrátt fyrir það og ekki orðið við beiðni kvartanda um að afmá upplýsingar um slysið úr kerfum félagsins. Að lokum er á það bent í kvörtuninni að áhrif skráningarinnar séu þau að kvartandi þurfi að greiða hærri iðgjöld hjá nýja vátryggingafélaginu og telur hann að skráningin sé samkeppnishamlandi af þeim sökum.
2.
Skýringar ábyrgðaraðila
Með bréfi, dags. 4. desember 2017, var Verði tryggingum hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Í svarbréfi Varðar trygginga hf., dags. 15. desember 2017, er vísað til símtals kvartanda við starfsmann félagsins þann 8. febrúar 2016, þar sem kvartandi hafi upplýst um fyrrnefnt slys. Stofnað hafi verið tjón í tryggingakerfi félagsins sem skráð hafi verið á kvartanda, í þeim tilgangi að halda utan um samskipti kvartanda við félagið. Tölvupóstur sem kvartandi hafi fengið sendan frá félaginu vegna málsins hafi verið tengdur við tjónið, auk þess sem símasamskipti við kvartanda hafi verið skráð. Kvartandi hafi hins vegar ekki átt frekari samskipti við félagið vegna málsins og félagið hafi því ekki aflað neinna gagna um atvikið.
Í bréfinu er vísað til þess að kvartandi hafi gert vátryggingarsamning við félagið en um hann gildi meðal annars lög nr. 30/2004 um vátryggingarsamninga. Samkvæmt 1. mgr. 124. gr. þeirra laga glatist bótaréttur samkvæmt slysatryggingu ef krafa er ekki gerð um bætur til félagsins innan árs frá því sá sem á rétt á bótum fékk vitneskju um þau atvik sem krafa er reist á eða ef félaginu hefur ekki borist tilkynning um vátryggingaratburð með öðrum hætti. Með vísan til þessa lagaákvæðis telji félagið nauðsynlegt að halda utan um allar upplýsingar sem félaginu berist varðandi einstaka tjónsatvik, en litið hafi verið svo á að túlka bæri orðið „tilkynning“ fremur rúmt, neytendum í hag, þannig að hvers konar vitneskja félagsins um tjónsatburð fullnægi tilkynningarskyldunni. Tilkynning sem berist símleiðis teljist því fullnægjandi í þessu sambandi.
Þá er vísað til þess að ekki falli allt líkamstjón undir skilgreiningu á hugtakinu „slys“ í skilmálum tryggingar kvartanda. Sú staða hafi komið upp hjá félaginu að tjónþolar hafi breytt frásögnum sínum á síðari stigum í því skyni að sækja bætur vegna líkamstjóns, þar sem fyrri tilkynning hafi ekki samrýmst skilgreiningu á slysi samkvæmt vátryggingarskilmálum. Af þeim sökum hafi félagið talið nauðsynlegt að halda utan um allar upplýsingar sem því berist um líkamstjón í einstökum tilvikum og hvernig það atvikuðist.
Hvað varðar heimild til vinnslunnar er í fyrsta lagi vísað til þess að skráning og varðveisla upplýsinganna hafi verið nauðsynleg til þess að efna vátryggingarsamning kvartanda við félagið, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Í öðru lagi sé vinnslan nauðsynleg til að fullnægja lagaskyldu sem hvíli á félaginu, sbr. 3. tölul. sama ákvæðis, en líkt og áður hafi komið fram taki frestur samkvæmt 1. mgr. 124. gr. laga um vátryggingarsamninga mið af því hvenær tilkynning um vátryggingaratburð berist félaginu. Í ljósi þess að tilkynningar um vátryggingaratburði sem berist félaginu rjúfi tilkynningarfrestinn geti félagið ekki túlkað ákvæðið með öðrum hætti en svo að því beri að halda utan um þær tilkynningar sem því berist. Ákvæðið gangi beinlínis út frá því sem vísu að tilkynningar vegna vátryggingaratburða sem kunni að vera bótaskyldir úr slysatryggingu skuli skráðar niður. Í þriðja lagi er vísað til 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, sem heimilar vinnslu persónuupplýsinga sé hún nauðsynleg til að gæta lögmætra hagsmuna. Um það er vísað til þess sem fyrr greinir um tilkynningarfrest og slysahugtak vátryggingarréttar. Félagið hafi hagsmuna að gæta af því að tjónstilkynningar séu skráðar niður, enda geti tiltekin atriði í slíkri tilkynningu skipt sköpum um bótaskyldu félagsins. Einstök atriði sem fram komi í samtölum félagsins við vátryggða einstaklinga vegna hugsanlegra tjónsatvika auðveldi félaginu einnig að koma í veg fyrir bótasvik.
Í bréfinu segir jafnframt að félagið telji vafa leika á um hvort upplýsingarnar sem skráðar hafi verið teljist viðkvæmar persónuupplýsingar í skilningi 8. tölul. 2. gr. laga nr. 77/2000, þar sem aðeins hafi verið skráð þau samskipti sem félagið átti við kvartanda en engra utanaðkomandi gagna aflað vegna líkamstjónsins. Félagið telji þó að vinnslan samrýmist 7. tölul. 1. mgr. 9. gr. laganna, sem heimilar vinnslu viðkvæmra persónuupplýsinga sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Sérstaklega er vísað til orðsins „laganauðsynja“ með vísan til umfjöllunar um tilkynningarfrest samkvæmt 1. mgr. 124. gr. laga um vátryggingarsamninga.
Þá telur félagið vinnsluna að öllu leyti samrýmast meginreglunum í 1. mgr. 7. gr. laga nr. 77/2000. Félagið segir tilgang vinnslunnar aðallega vera þann að gera félaginu kleift að efna skyldur sínar samkvæmt þeim vátryggingarsamningi sem var í gildi en félaginu sé fyrirmunað að veita þá þjónustu sem samningurinn kveði á um, þ.e. að greiða bætur vegna tjóns, ef því sé ekki heimilt að skrá niður hvernig tjón atvikist og þau samskipti sem eigi sér stað við tjónstilkynnanda. Þá segir í bréfinu að þegar einstakir viðskiptavinir ræði við starfsmenn félagsins símleiðis í þeim tilgangi að kanna hvort atvik falli undir ákvæði vátryggingarsamnings hljóti að liggja ljóst fyrir að efni þess samtals sé skráð með einhverjum hætti. Eðli máls samkvæmt geti félagið ekki svarað slíkri fyrirspurn nema skrá upplýsingar niður, kanna málið og veita efnisleg svör í kjölfarið. Því hljóti öllum að vera ljóst að samskiptin séu skráð niður með einhverjum hætti. Einnig er þess getið að sérstaklega sé tekið fram þegar hringt sé í félagið að öll símtöl kunni að vera hljóðrituð og því geri einstaklingar sem hringi í félagið gert sér grein fyrir því að upplýsingar sem veittar séu í símtali séu skráðar með einhverjum hætti.
Hvað varðar beiðni kvartanda um að upplýsingum um slysið verði eytt úr kerfum félagsins er vísað til þess að upplýsingarnar séu ekki rangar, villandi eða ófullkomnar, sbr. orðalag 1. mgr. 25. gr. laga nr. 77/2000. Í tryggingakerfi félagsins komi skýrt fram að tjónið sem kvartandi lét vita af hafi ekki verið tekið til efnislegrar meðferðar og að engar bætur hafi verið greiddar vegna þess. Félagið hefði hæglega getað útbúið yfirlýsingu þess efnis fyrir kvartanda. Þannig hefði mátt ganga úr skugga um að skráning upplýsinganna hefði engin áhrif á hagsmuni hans. Kvartandi hafi hins vegar ekki óskað eftir slíkri yfirlýsingu. Þá hafi félagið haft málefnalega ástæðu til varðveislu upplýsinganna, sbr. orðalag 1. mgr. 26. gr. laga nr. 77/2000. Að lokum er bent á að eyðing upplýsinga um tjónsatvik geti gert tjónþolum kleift að sækja bætur vegna sama tjóns oftar en einu sinni. Sá sem tilkynnir tjón gæti þannig breytt frásögn sinni á síðari stigum. Það sé því gríðarlegt hagsmunamál fyrir félagið að geta varðveitt upplýsingar um hugsanleg tjónsatvik, jafnvel þótt þau hafi ekki verið tilkynnt formlega eða bætur greiddar vegna þeirra.
3.
Athugasemdir kvartanda
Með bréfi, dags. 10. janúar 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Varðar trygginga hf. Í svarbréfi kvartanda, dags. 25. janúar 2018, kemur fram að kvartandi hafi haft samband við félagið til þess að spyrjast fyrir um skilmála vátrygginga, þ.e. hvort umrætt slys félli undir trygginguna. Ekki hafi verið um að ræða tilkynningu um tjón heldur fyrirspurn. Kvartandi hafi hvorki verið spurður hvort hann vildi tilkynna tjónið né verið upplýstur um að slysið yrði skráð sem tjón. Honum hafi hins vegar verið sendur tölvupóstur í kjölfar símtals við félagið, þar sem honum hafi verið boðið að senda félaginu tilkynningu um tjónið. Bendir kvartandi á að það sé óþægilegt að geta ekki haft samband við vátryggingafélag til þess að kanna réttarstöðu sína án þess að félagið skrái slíkt sem tjón.
Í bréfinu er jafnframt fjallað um tjónayfirlit vátryggingarfélaga. Flest félög geri kröfu um slíkt yfirlit eða vottorð frá fyrra félagi þegar neytandi vilji færa viðskipti sín á milli félaga. Þetta geti haft áhrif á iðgjöld viðskiptavina til hækkunar. Skráning tjónsatvika hafi því víðtæk áhrif og mikilvægt sé að hún sé rétt og í samræmi við reglur um persónuvernd.
Kvartandi gerir auk þess athugasemdir við túlkun Varðar trygginga hf. á 1. mgr. 124. gr. laga um vátryggingasamninga, nr. 30/2004, og telur vart hægt að líta svo á að ákvæðið veiti vátryggingafélagi heimild, eða leggi á það skyldu, til að skrá slys og hugsanleg tjónsatvik í tjónayfirlit án vitundar eða gegn vilja vátryggingartaka, telji hann hagsmunum sínum betur borgið án slíkrar skráningar. Lykilatriði sé að sá sem eigi rétt til bóta geri kröfu um bætur og augljós forsenda þess sé að vátryggingarfélagi berist tilkynning um tjón.
Að lokum vísar kvartandi til þeirrar fullyrðingar Varðar trygginga hf. að félagið hefði getað gefið út yfirlýsingu um að tjónið hefði ekki verið tekið til efnislegrar meðferðar og að engar bætur hefðu verið greiddar út vegna þess. Segist kvartandi ítrekað hafa óskað eftir yfirliti sem sýndi rétta tjónasögu en fengið neitun, og engin yfirlýsing af þessu tagi hafi verið boðin. Vörður tryggingar hf. haldi því í raun fram að tjónayfirlit félagsins eigi að sýna öll atvik, slys eða hugsanleg tjónsatvik, óháð því hvort þau hafi verið tilkynnt formlega, tekin til efnislegrar athugunar og leitt til greiðslu bóta. Félagið muni svo gefa út sérstakar yfirlýsingar með hverju yfirliti sem sýni hvaða atvik hafi ekki verið tilkynnt formlega og leitt til bótagreiðslna. Það liggi í hlutarins eðli að tjónayfirlit sé ekki slysasaga eða atvikasaga vátryggingartaka heldur eigi það aðeins að sýna þau tjónsatvik sem vátryggingafélagið hafi þurft að bæta.
II.
Forsendur og niðurstaða
1.
Lagaskil og afmörkun máls
Atvik máls þessa gerðust fyrir gildistöku núgildandi laga, nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar byggjast því á ákvæðum eldri laga, nr. 77/2000, en með gildistöku laga nr. 90/2018 voru ekki gerðar efnislegar breytingar á þeim reglum sem hér reynir á.
2.
Gildissvið – Ábyrgðaraðili
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Vörður tryggingar hf. vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 8. gr. laga nr. 77/2000. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hans áður en samningurinn er gerður, sbr. 2. tölul. 1. mgr. þeirrar greinar. Í því sambandi ber hér að líta til 1. mgr. 124. gr. laga um vátryggingarsamninga, nr. 30/2004, þess efnis að sá sem á rétt til bóta samkvæmt slysa-, sjúkra- eða heilsutryggingu glatar þeim rétti ef krafa er ekki gerð um bætur til vátryggingafélags innan árs frá því að hann fékk vitneskju um þau atvik sem hún er reist á eða því hefur ekki borist tilkynning um vátryggingaratburð með öðrum hætti. Samkvæmt skýringum Varðar trygginga hf. voru umræddar upplýsingar, sem kvartandi veitti félaginu símleiðis, skráðar til að halda utan um tilkynningu um tjónsatvik sem borist hafi með öðrum hætti en sem bótakrafa en gat í ljósi framangreinds ákvæðis orðið grundvöllur bótaréttar samkvæmt samningi við félagið. Með hliðsjón af því er það mat Persónuverndar að skráning Varðar trygginga hf. á upplýsingum um tjónið sem kvartandi lýsti í símtali við félagið á árinu 2016 geti stuðst við heimild í 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 9. gr. laganna, en samkvæmt c-lið 8. tölul. 2. gr. laganna eru upplýsingar um heilsuhagi viðkvæmar. Eins og fram hefur komið vann Vörður tryggingar hf. með upplýsingar um að [barn] kvartanda hefði slasast og verður að líta svo á að þar hafi rætt um heilsufarsupplýsingar jafnvel þó að ekki hafi verið skráð hvaða líkamlegu afleiðingar slysið hafði. Eins og hér háttar til kemur þá einkum til skoðunar 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Í athugasemdum við ákvæðið í frumvarpi því, er varð að lögunum, kemur fram að ekki sé skilyrði að málið verði lagt fyrir dómstóla heldur nægi að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Vinnsla viðkvæmra persónuupplýsinga í þessum tilgangi teljist hins vegar því aðeins vera lögleg að krafan verði hvorki afmörkuð né staðreynd með öðrum hætti. Með hliðsjón af skýringum Varðar trygginga hf. telur Persónuvernd að skráning Varðar trygginga hf. á upplýsingum um fyrrgreind símasamskipti við kvartanda geti átt stoð í 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000.
Í kvörtun er því jafnframt lýst að kvartandi hafi, að beiðni annars vátryggingafélags sem hann hugðist flytja viðskipti sín til, óskað eftir að Vörður tryggingar hf. tæki saman tjónayfirlit. Slysið sem [barn] hans lenti í hafi verið tilgreint á yfirlitinu þrátt fyrir að hann hefði ekki tilkynnt formlega um tjón vegna þess eða krafið félagið um bætur. Af skýringum Varðar trygginga hf. að dæma voru upplýsingar um slysið skráðar vegna þess að slíkar upplýsingar, veittar símleiðis og án formlegrar tilkynningar, voru taldar fela í sér tilkynningu um vátryggingaratburð samkvæmt 1. mgr. 124. gr. laga nr. 30/2004. Þá hefur komið fram að skráningunni hafi verið ætlað að fyrirbyggja bótasvik. Kemur þá til skoðunar hvort sú vinnsla persónuupplýsinga, sem fólst í útgáfu tjónayfirlitsins, hafi stuðst við heimild í 8. og 9. gr. laga nr. 77/2000.
Ekki verður talið að útgáfa tjónayfirlits geti talist hafa verið nauðsynleg til að efna samning kvartanda og Varðar trygginga hf., sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þá verður ekki séð að gerð slíks yfirlits teljist nauðsynleg til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. sama ákvæðis. Þær heimildir í 1. mgr. 8. gr. laga nr. 77/2000, sem einkum verða taldar koma til skoðunar í þessu tilviki, eru því 1. tölul. ákvæðisins, sem heimilar vinnslu persónuupplýsinga á grundvelli samþykkis, og 7. tölul., sem heimilar vinnslu persónuupplýsinga sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Eins og hér háttar til telur Persónuvernd verða að líta til 1. mgr. 82. gr. laga nr. 30/2004, en í upphafi þess ákvæðis kemur fram að vátryggingafélag getur óskað eftir upplýsingum sem hafa þýðingu fyrir mat þess á áhættu af að veita vátryggingu áður en slíkt er samþykkt. Fyrir liggur að í umræddu tilviki var tjónayfirlit gefið út að ósk kvartanda vegna kröfu annars vátryggingafélags um að fá það afhent í tengslum við vátryggingarumsókn. Ætla verður að umrætt tjónstilvik hafi getað talist vera á meðal þess sem þýðingu gat haft samkvæmt fyrrnefndu ákvæði í tengslum við mat þessa félags á áhættu. Þegar litið er til þess er það mat Persónuverndar að það vátryggingafélag, sem óskaði eftir tjónayfirlitinu, geti hafa átt lögmæta hagsmuni af því að afla upplýsinga um þau tjónstilvik sem kvartandi hefur tilkynnt til Varðar trygginga hf. Þá geti vinnslan jafnframt hafa átt sér stoð í áðurnefndum 7. tölul. 1. mgr. 9. gr. laganna, sem heimilar vinnslu viðkvæmra persónuupplýsinga sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.). Eins og fram kemur í athugasemdum við 7. gr. frumvarps þess, sem síðar varð að lögum nr. 77/2000, getur vinnsla persónuupplýsinga vart talist sanngjörn nema hinn skráði geti fengið vitneskju um hana og eigi, þegar söfnun upplýsinganna á sér stað, kost á fullnægjandi upplýsingum um vinnubrögð, vinnuferli og annað er lýtur að vinnslunni. Í svörum Varðar trygginga hf. segir að þegar viðskiptavinir félagsins ræði við starfsmenn félagsins símleiðis í þeim tilgangi að kanna hvort atvik falli undir ákvæði vátryggingarsamnings hljóti að liggja ljóst fyrir að efni þess samtals sé skráð með einhverjum hætti. Af gögnum málsins verður hins vegar ráðið að kvartanda hafi ekki verið gerð grein fyrir því að þær upplýsingar, sem hann veitti Verði tryggingum hf. í fyrrnefndu símtali á árinu 2016, yrðu skráðar og varðveittar hjá félaginu eða að litið yrði á samskipti hans við félagið sem tilkynningu um tjón í skilningi 1. mgr. 124. gr. laga nr. 30/2004. Þegar upplýsingarnar voru skráðar voru kvartanda ekki veittar fullnægjandi upplýsingar um vinnubrögð Varðar trygginga hf. við skráningu upplýsinga en slík skráning gat m.a. haft þau áhrif fyrir stöðu kvartanda að hann þyrfti að greiða hærri iðgjöld. Ekki verður því fallist á þær röksemdir Varðar trygginga hf. að viðskiptavinir hljóti að gera sér grein fyrir því að efni símtala sé skráð með einhverjum hætti, m.a. þar sem upplýst sé um að símtöl geti verið hljóðrituð, og að þar með sé fullnægt þeirri upplýsingaskyldu sem hvíli á ábyrgðaraðila.
Að framangreindu virtu er það niðurstaða Persónuverndar að ekki hafi verið gætt að grunnkröfu um sanngirni samkvæmt 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, við vinnslu Varðar trygginga hf. á persónuupplýsingum kvartanda.
Meðferð þessa máls hefur tafist vegna mikilla anna hjá Persónuvernd.
Ú r s k u r ð a r o r ð:
Vinnsla Varðar trygginga hf. á persónuupplýsingum kvartanda samrýmdist ekki 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Í Persónuvernd, 31. október 2019
Björg Thorarensen
formaður
Aðalsteinn Jónasson Ólafur Garðarsson
Þorvarður Kári Ólafsson