Journalnummer: 2020-31-3840.
Datatilsynet vender hermed tilbage til sagen, hvor du den 3. september 2020 har klaget over Tryg Forsikring A/S’ behandling af oplysninger om dig.
Datatilsynet har forstået din henvendelse som en klage over, at Tryg Forsikring A/S har indsamlet oplysninger om dig i form af lægejournaler 10 år tilbage, selvom du kun havde givet samtykke til, at virksomheden måtte indsamle oplysninger for en periode på indtil 5 år forud for skadestidspunktet.
Resume
Datatilsynet har truffet afgørelse i en sag, hvor en borger [klager] har klaget over, at Tryg Forsikring – til brug for vurderingen af et krav om erstatning fremsat af klager – havde indhentet oplysninger om vedkommende i form af lægejournaler.
Datatilsynet fandt, at Tryg Forsikrings indsamling af helbredsoplysninger om klager var sket i overensstemmelse med databeskyttelsesreglerne.
Datatilsynet lagde vægt på, at Tryg Forsikrings indsamling af oplysninger om klager skete med det formål at afgøre, hvorvidt klager var berettiget til erstatning i henhold til de forsikringsbetingelser, som var gældende for forsikringsaftalen. Tilsynet lagde yderligere vægt på, at indsamlingen af oplysningerne skete med henblik på opfyldelse af aftalen mellem Tryg Forsikring og forsikringstager for at fastlægge et eventuelt krav på udbetaling i henhold til forsikringsaftalen.
Datatilsynet fandt i øvrigt ikke grundlag for at tilsidesætte Tryg Forsikrings vurdering af, at de havde indsamlet de oplysninger, som var nødvendige for, at de som forsikringsselskab kunne behandle den anmeldte skade.
Endelig bemærkede Datatilsynet, at det samtykke, som klager i sagen havde givet Tryg Forsikring, ikke var et databeskyttelsesretligt samtykke omfattet af databeskyttelsesforordningens regler.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at Tryg Forsikring A/S’ behandling af oplysninger om dig er sket inden for rammerne af reglerne i databeskyttelsesforordningen[1], jf. artikel 9, stk. 2, og artikel 6, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at du har anmeldt en skade til Tryg Forsikring A/S, hvor du er forsikret.
Den 30. maj 2020 underskrev du en erklæring om, at Tryg Forsikring A/S i forbindelse med behandlingen af din skadesag måtte indhente og videregive de oplysninger, som var nødvendige for virksomhedens vurdering af din sag. Samtykket omfattede oplysninger for en periode på indtil 5 år forud for skadestidspunktet eller tidspunktet for sygdommens opståen og frem til det tidspunkt, hvor Tryg Forsikring A/S havde taget stilling til din sag.
2.1. Dine bemærkninger
Du har anført, at du alene har givet samtykke til, at Tryg Forsikring A/S må indhente oplysninger om dig, herunder helbredsoplysninger, i en periode på fem år forud for skadestidspunktet, og at Tryg Forsikring A/S til trods herfor har indsamlet oplysninger om dig, som går 10 år tilbage.
Du har endvidere anført, at det må anses for unødvendigt, at Tryg Forsikring A/S har indsamlet oplysninger om dig, som går 10 år tilbage. Du har i den forbindelse henvist til, at det af databeskyttelsesforordningen og databeskyttelsesloven fremgår, at der ikke må indhentes flere oplysninger om den enkelte, end hvad der er relevant og tilstrækkeligt for opfyldelsen af de saglige formål, til hvilke oplysningerne indhentes.
2.2. Tryg Forsikring A/S’ bemærkninger
Tryg Forsikring A/S har anført, at Tryg Forsikring A/S har indhentet oplysninger om dig fra din læge for at kunne vurdere, om den af dig anmeldte skade er omfattet af forsikringens betingelser, og om der i givet fald skal betales erstatning for et varigt mén, herunder størrelsen af et evt. varigt mén.
De oplysninger, som Tryg Forsikring A/S har indsamlet om dig, består af helbredsoplysninger i form af en lægejournal 5 år forud for skadestidspunktet, samt en funktionsattest, som indeholder oplysninger om nuværende gener og eventuelle gener 10 år forud for skadestidspunktet. De lægelige oplysninger er nødvendige for, at Tryg kan opgøre kravet om erstatning fra dig. Indsamlingen af oplysninger er sket på baggrund af retskravsreglen i databeskyttelsesforordningens artikel 9, stk. 2, litra f, jf. artikel 6, stk. 1, litra b) for forsikringstagere og litra f) for sikrede under forsikringen.
Tryg Forsikring A/S har endvidere bemærket, at det samtykke, som er indhentet i sagen, ikke udgør behandlingshjemlen for Tryg Forsikring A/S’ behandling af personoplysninger til brug for erstatningsopgørelsen.
Endelig har Tryg Forsikring A/S anført, at indsamlingen af oplysninger om dig er sket i overensstemmelse med de grundlæggende principper for behandling af personoplysninger i databeskyttelsesforordningens artikel 5. Tryg Forsikring A/S har herved lagt vægt på, at indsamlingen af oplysninger er nødvendig for, at Tryg som forsikringsselskab kan behandle din anmeldte skade. Oplysninger om din helbredshistorik er med til at afgøre, hvorvidt du er berettiget til erstatning i henhold til de forsikringsbetingelser, der er gældende for forsikringsaftalen. Her er det bl.a. afgørende, om den anmeldte skade skyldes følger af forudbestående eller tilstedeværende skader/sygdomme.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger til grund, at du har tegnet en forsikring hos Tryg Forsikring A/S, og at de i sagen omhandlede oplysninger angår Tryg Forsikring A/S’ behandling af en anmeldt skade.
Efter databeskyttelsesforordningens artikel 9, stk. 1, gælder der som udgangspunkt et forbud mod behandling af helbredsoplysninger. Forbuddet gælder dog ikke, hvis en af undtagelserne i artikel 9, stk. 2, finder anvendelse.
Det fremgår af artikel 9, stk. 2, litra f, at forbuddet mod behandling ikke finder anvendelse, hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.
Ved behandling af oplysninger omfattet artikel 9, stk. 1, skal der tillige være et lovligt grundlag for behandlingen i databeskyttelsesforordningens artikel 6, stk.
Det følger af databeskyttelsesforordningens artikel 6, stk. 1, litra b, at personoplysninger lovligt kan behandles, hvis behandlingen er nødvendig til opfyldelse af kontrakt, som den registrerede er part i.
Datatilsynet finder, at Tryg Forsikring A/S’ behandling af dine helbredsoplysninger er omfattet af undtagelsen til forbuddet i databeskyttelsesforordningens artikel 9, stk. 2, litra f.
Datatilsynet har herved lagt vægt på, at Tryg Forsikring A/S indsamlede oplysninger om dig fra din læge med det formål at afgøre, hvorvidt du er berettiget til erstatning i henhold til de forsikringsbetingelser, der er gældende for forsikringsaftalen.
Endvidere finder Datatilsynet, at behandlingen kunne ske med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra b.
Datatilsynet har herved lagt vægt på, at indhentelse af de nævnte oplysninger skete med henblik på opfyldelse af aftalen med dig som forsikringstager for at fastlægge et eventuelt krav på udbetaling i henhold til forsikringsaftalen.
På den baggrund finder Datatilsynet, at Tryg Forsikring A/S’ behandling af dine helbredsoplysninger skete i overensstemmelse med databeskyttelsesforordningens artikel 9, stk. 2, litra f og artikel 6, stk. 1, litra b.
Datatilsynet finder i øvrigt, at der ikke er grundlag for at tilsidesætte det af Tryg Forsikring A/S oplyste om, at Tryg Forsikring A/S har indsamlet de oplysninger om dig, som er nødvendige for at Tryg Forsikring A/S, som forsikringsselskab, kan behandle din anmeldte skade, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c. (princippet om dataminimering).
Datatilsynet forudsætter, at Tryg Forsikring A/S ved opfyldelse af sin oplysningspligt efter databeskyttelsesforordningens artikel 13 og 14 har oplyst, om hvilke behandlingsgrundlag, som Tryg Forsikring A/S baserer sin behandling på i forbindelse med vurderingen af en anmeldt skade, og at det heraf fremgår, at behandlingen af personoplysninger sker på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra b, og 9, stk. 2, litra f.
Det bemærkes, at det samtykke, der er givet i den omhandlede erklæring til brug for Tryg Forsikring A/S’ indsamling af helbredsoplysninger om dig, ikke er et databeskyttelsesretligt samtykke omfattet af databeskyttelsesforordningens regler og ikke udgør grundlaget for behandling af oplysninger i forbindelse med din anmeldte skade.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).