Afgørelse vedrørende forsikringsselskabets behandling af personoplysninger

Dato: 06-09-2021
Afgørelse Private virksomheder Alvorlig kritik Klage Retten til indsigt Udøvelse af rettigheder Billeder og video

Datatilsynet vender hermed tilbage til sagen, hvor [advokatselskab] (herefter [advokatselskab]) den 7. juli 2020 på vegne af [X] (herefter klager) har klaget til tilsynet over, at [forsikringsselskab] har nægtet at give indsigt i oplysninger om klager, som er indsamlet i forbindelse med overvågning af ham.

Journalnummer: 2020-31-3586

Resume

Datatilsynet har truffet afgørelse i en sag, hvor et advokatselskab på vegne af en borger anmodede om indsigt i oplysninger om borgeren, som et forsikringsselskab havde indsamlet i forbindelse med overvågning af den pågældende borger.

Forsikringsselskabet ønskede ikke at udlevere overvågningsmaterialet bestående af observationsrapporter, fotos og videoer, fordi der forelå afgørende hensyn til dels forsikringsselskabets egne interesser i at kunne forsvare sig mod en mulig efterfølgende retssag og dels politiets mulighed for at efterforske en potentiel alvorlig lovovertrædelse, som borgerens ret til indsigt måtte vige for.

Datatilsynet fandt, at forsikringsselskabet i den konkrete sag ikke havde påvist afgørende hensyn, som borgerens ret til indsigt burde vige for. De faktiske personoplysninger, som var indsamlet om kunden i forbindelse med den iværksatte overvågning, fandtes således ikke at have et indhold, der kunne medføre en nærliggende fare for, at private interesser ville lide skade af væsentlig betydning. Det forhold, at de indsamlede personoplysninger med stor sandsynlighed ville kunne inddrages i forbindelse med en eventuel retstvist, udgjorde ikke i den konkrete sag et så afgørende hensyn til forsikringsselskabets interesser, at de faktiske personoplysninger, som var indsamlet om klager i forbindelse med overvågningen, kunne undtages fra retten til indsigt.

Datatilsynet bemærker, at nærværende sag er behandlet som en lokal sag, jf. databeskyttelsesforordningens artikel 56, stk. 2, idet sagens genstand alene i væsentlig grad påvirker registrerede i Danmark. Det svenske datatilsyn, som er ledende tilsynsmyndighed i forhold til [forsikringsselskab], har erklæret sig enig i denne betragtning, jf. forordningens artikel 56, stk. 3.

Endvidere bemærker Datatilsynet, at tilsynet ved nærværende afgørelse ikke tager stilling til lovligheden af den overvågning, som [forsikringsselskab] iværksatte over for klager, og den indsamling af personoplysninger, der var foranlediget af overvågningen, idet disse forhold er indbragt for Finanstilsynet.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at [forsikringsselskabs] behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 15, jf. databeskyttelseslovens[2] § 22.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager i [dato] var involveret i en trafikulykke. Som følge heraf søgte klager bl.a. om erstatning for erhvervsevnetab af [forsikringsselskab].

[Forsikringsselskab] iværksatte i den forbindelse overvågning af klager i perioderne [X].

Som følge heraf anmodede [advokatselskab] den 4. maj 2020 om at få udleveret overvågningsmaterialet.

Den 18. maj 2020 anmeldte [forsikringsselskab] klager til [politi]. Efterfølgende besvarede [forsikringsselskab] den 26. maj 2020 [advokatselskab] anmodning om indsigt og oplyste, at [forsikringsselskab] ikke ønskede at udlevere overvågningsrapporterne og de optagne fotos og videoer. [Forsikringsselskab] henviste til databeskyttelseslovens § 22.

[Advokatselskab] henvendte sig igen den 29. maj 2020 og anmodede på ny om indsigt i oplysninger om klager, idet [advokatselskab] gjorde gældende, at databeskyttelseslovens § 22 ikke indeholdt hjemmel til at tilbageholder overvågningsmaterialet.

[Forsikringsselskab] besvarede den 16. juni 2020 henvendelsen og oplyste, at [forsikringsselskab] fastholdt deres stilling til sagen.

Datatilsynet modtog herefter den 7. juli 2020 en klage over [forsikringsselskabs] håndtering af klagers indsigtsanmodning.

Datatilsynet sendte den 1. september 2020 klagen i høring og anmodede [forsikringsselskab] om en udtalelse til sagen. [Forsikringsselskab] fremsendte den 18. september 2020 en udtalelse.

[Advokatselskab] oplyste den 8. oktober 2020, at [advokatselskab] som repræsentant for klager i forhold til [forsikringsselskabs] politianmeldelse havde fået udleveret det overvågningsmateriale, som [forsikringsselskab] havde indleveret til [politi], men at materialet i forbindelse med tiltalefrafald blev tilbageleveret til politiet.

[Forsikringsselskab] oplyste den 6. januar 2021, at [forsikringsselskab] nu havde udleveret overvågningsmaterialet til [advokatselskab], hvilket [advokatselskab]i et brev af 4. januar 2021 til [forsikringsselskab] bekræftede.

2.1. Klagers bemærkninger

Klager har overordnet anført, at [forsikringsselskab] ikke har udleveret oplysninger om klager, som [forsikringsselskab] har indsamlet i forbindelse med overvågningen af ham.

Klager har hertil anført, at [forsikringsselskab] ikke har været berettiget til at afvise indsigtsanmodningen under henvisning til databeskyttelseslovens § 22.

2.2. [Forsikringsselskabs] bemærkninger

[Forsikringsselskab] har anført, at [forsikringsselskab] i maj 2020 ikke ønskede at udlevere overvågningsmaterialet, idet [forsikringsselskab] formodede, at klager ville indlede en retssag mod [forsikringsselskab] i anledning af afvisningen af klagers krav på erhvervsevnetabserstatning.

[Forsikringsselskab] har anført, at denne formodning blev bekræftet, idet klagers advokat i klagen til Datatilsynet har anført: ”jeg skal bruge materialet til en retlig forfølgelse af min klients krav på erhvervsevnetab efter ulykken mod [forsikringsselskab].” Hertil kommer, at klager løbende har forfulgt sin ret til erstatning via klagers to forskellige advokater. [Forsikringsselskab] var derfor berettiget til at formode, at sagen ikke var afsluttet med [Forsikringsselskabs] afvisning af dækning.

[Forsikringsselskab] har oplyst, at [forsikringsselskab] foretog en konkret afvejning af klagers interesse i at få oplysningerne på tidspunktet for afslaget om indsigt, og hensynet til at beskytte [forsikringsselskabs] egne interesser og politiets mulighed for at efterforske en potentiel alvorlig lovovertrædelse i form af (forsøg på) bedrageri.

[Forsikringsselskab] skønnede på baggrund af dels hændelsesforløbet, dels de skiftende forklaringer om klagers arbejdsevne, og dels klagers advokats tilkendegivelser om, at mulighederne for fri proces blev undersøgt, at der var en aktuel og nærliggende risiko for, at [forsikringsselskab] ville blive sagsøgt i sagen.

[Forsikringsselskab] har videre oplyst, at [forsikringsselskab] vurderede, at klager ville kunne benytte observationsrapporterne, fotos og videoer fra overvågningen til skade for [forsikringsselskabs] mulighed for at varetage [forsikringsselskabs] egne interesser i en efterfølgende retssag, hvis klager fik indsigt i oplysningerne forud for udarbejdelsen af en stævning. Dette underbygges af, at klager flere gange har ændret sin forklaring om sin arbejdsevne efter at være blevet bekendt med, at [forsikringsselskab] havde overvåget ham.

Det var derfor [forsikringsselskabs] vurdering, at overvågningen ikke skulle udleveres til klager, men at indsigt på et senere tidspunkt kunne efterkommes, når hensynene, som [forsikringsselskab] begrundede afvisningen i, ikke længere gjorde sig gældende.

3. Begrundelse for Datatilsynets afgørelse

3.1. Registrerede har som udgangspunkt ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles og i givet fald adgang til personoplysningerne og en række yderligere oplysninger, jf. databeskyttelsesforordningens artikel 15.

En dataansvarlig kan afvise at imødekomme en anmodning om indsigt fra en registreret, hvis én af undtagelserne til indsigtsretten kan gøres gældende i medfør af databeskyttelsesforordningens artikel 15, stk. 4, eller databeskyttelseslovens § 22.

Efter databeskyttelseslovens § 22, stk. 1, kan retten til indsigt således begrænses, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til pågældende selv.

Efter denne bestemmelse vil en dataansvarlig efter en konkret vurdering kunne afslå at give indsigt i oplysninger, hvis det vil medføre, at virksomhedens forretningsgrundlag, forretningspraksis eller knowhow derved vil lide væsentlig skade. Det vil endvidere efter en konkret vurdering være muligt at afslå indsigt i interne vurderinger af, hvorvidt virksomheden på basis af foreliggende oplysninger vil indgå et kontraktforhold, ændre et bestående kontraktforhold, stille særlige vilkår for fortsættelse, eventuelt helt opsige et kontraktforhold og lignende tilfælde. På samme måde vil det efter omstændighederne være muligt at afslå indsigt i f.eks. et notat, der vurderer, hvorvidt der er udsigt til, at en bestemt retssag mod en kunde kan vindes, eller et internt notat i en sag, der påpeger mulige tegn på, at en kunde har forsøgt at udøve forsikringssvig over for et forsikringsselskab eller forsøgt at unddrage sig forpligtelsen i medfør af f.eks. en lånekontrakt.[3]

Der skal, jf. bestemmelsens ordlyd, foreligge ”afgørende hensyn”, hvilket indebærer, at der alene kan ske undtagelse fra indsigtsretten i de tilfælde, hvor der er en nærliggende fare for, at privates interesser vil lide skade af væsentlig betydning.[4]

Det fremgår af Registerudvalgets betænkning nr. 1345/1997 om behandling af personoplysninger, s. 311, at det anerkendes, at private dataansvarlige ligesom offentlige dataansvarlige har behov for i et vist omfang at kunne beskytte interne beslutningsprocesser. Indsigtsretten vil kunne begrænses ud fra virksomhedens afgørende interesse i dels at have frihed til at vurdere indgåelse af blandt andet kontrakter og eksisterende kundeforhold, dels at forhindre konkurrenter i at komme i besiddelse af oplysninger, som har karakter af rent interne vurderinger eller erhvervshemmeligheder. Udvalget fandt således, at der bør være mulighed for at begrænse indsigtsretten, hvis udlevering af oplysninger i den konkrete situation vil indebære en nærliggende risiko for skade. Derimod bør den omstændighed, at der er tale om interne vurderinger mv., ikke i sig selv kunne begrunde et afslag på en anmodning om indsigt.

3.2. Datatilsynet lægger til grund, at [forsikringsselskab] fra 4. maj 2020 til omkring 4. januar 2021 ikke udleverede overvågningsmaterialet, som [forsikringsselskab] havde indsamlet i forbindelse med den iværksatte overvågning af klager.

Datatilsynet lægger endvidere til grund, at oplysningerne, som [forsikringsselskab] har undtaget fra klagers indsigtsret, består af personoplysninger om klager og hans færden i form af fotos, video og notater i observationsrapporter. Oplysningerne har således ikke karakter af egne, subjektive vurderinger, f.eks. et notat om udsigten til at vinde en retssag, men rent objektive oplysninger om klagers gøren og laden.

Som det fremgår af forarbejderne til bestemmelsen i databeskyttelseslovens § 22, vil det efter omstændighederne være muligt for en dataansvarlig at afslå indsigt i et notat, der på baggrund af indsamlede oplysninger, vurderer, om der er udsigt til, om en bestemt retssag kan vindes. Bestemmelsen har således sigte på den dataansvarliges egne (subjektive) vurderinger af f.eks. en retssags førelse og har således ikke sigte på rent objektive oplysninger.

Efter Datatilsynets opfattelse kan bestemmelsen således ikke udstrækkes til at omfatte indsamlede personoplysninger i form af fotos, video og observationsrapporter, som vil udgøre selve kernen i en eventuel retssag.

De faktiske personoplysninger, som er indsamlet om klager i forbindelse med den iværksatte overvågning, synes ikke at kunne have et indhold, der kan medføre en nærliggende fare for, at private interesser vil lide skade af væsentlig betydning, at oplysningerne kan undtages fra retten til indsigt efter § 22, stk. 1.

Det forhold, at de indsamlede personoplysninger med stor sandsynlighed vil kunne inddrages i forbindelse med eventuelle retstvister mod [forsikringsselskab], udgør således ikke et så afgørende hensyn til [forsikringsselskabs] interesser, at de faktiske personoplysninger, som er indsamlet om klager ved overvågningen af ham, kan undtages fra retten til indsigt, jf. databeskyttelseslovens § 22, stk. 1.

Datatilsynet bemærker hertil, at indsigtsretten netop har til formål at give registrerede (herunder klager) adgang til at kontrollere oplysningernes rigtighed og behandlingens lovlighed, og undtagelser hertil forudsætter derfor, at der konkret foreligger aktuelle afgørende hensyn, som den registreredes ret til indsigt findes at burde vige for.

Det er på den baggrund Datatilsynets vurdering, at [forsikringsselskab] ikke kunne afvise klagers ret til indsigt med henvisning til, at klager ville kunne benytte overvågningsmaterialet til skade for [forsikringsselskabs] mulighed for at varetage [forsikringsselskabs] egne interesser i en efterfølgende retssag.

Det er endvidere Datatilsynets vurdering, at [forsikringsselskab] heller ikke i øvrigt har godtgjort, at der foreligger afgørende hensyn til hverken private eller offentlige interesser, som kan begrunde, at oplysninger om klager, som er indsamlet i forbindelse med overvågning af ham, kan undtages fra retten til indsigt efter databeskyttelseslovens § 22.

Datatilsynet finder således, at [forsikringsselskab] heller ikke har godtgjort, at klagers ret til indsigt burde vige for afgørende hensyn til offentlige interesser, herunder politiets mulighed for at efterforske en eventuel lovovertrædelse. Datatilsynet bemærker i den forbindelse, at en abstrakt mulighed for, at udlevering af materiale vil forstyrre efterforskningen ikke er et afgørende hensyn, som kan begrunde undtagelser fra retten til indsigt.

Datatilsynet har lagt vægt på, at der allerede var indgivet anmeldelse til politiet, hvorfor der ikke var et hensyn at tage til, at klager f.eks. ikke måtte vide, at der verserede en efterforskning. Datatilsynet har også lagt vægt på, at klagers advokat fik udleveret overvågningsmaterialet fra politiet som følge af politiets behandling af [forsikringsselskabs] politianmeldelse.

Datatilsynet finder herefter, at [forsikringsselskabs] håndtering af klagers anmodning om indsigt ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 15, jf. databeskyttelseslovens § 22.

På baggrund heraf finder Datatilsynet anledning til at udtale alvorlig kritik af, at [forsikringsselskabs] håndtering af klagers indsigtsanmodning ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 15, jf. databeskyttelseslovens § 22.

Datatilsynet har ved sagens afgørelse noteret sig, at [forsikringsselskab] efterfølgende har udleveret overvågningsmaterialet til [advokatselskab], og at [advokatselskab] i et brev af 4. januar 2021 til [forsikringsselskab] har bekræftet, at overvågningsmaterialet er modtaget. 

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]    Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Lovforslag nr. 68, FT 2017/18, bemærkninger til lovforslagets § 22

[4]    Lovforslag nr. 68, FT 2017/18, bemærkninger til lovforslagets § 22.