Journalnummer: 2022-431-0204.
Resumé
Den 1. november 2022 indledte Datatilsynet en sag af egen drift om Trygs generelle procedurer for opfyldelse af oplysningspligten, når selskabet indsamler personoplysninger i forbindelse med personovervågning.
Tryg oplyste, at selskabet ved bekræftelse af forsikringssvindel opfylder oplysningspligten 30 dage efter afslutningen af personovervågningen. Hvis forsikringssvindlen afkræftes, opfylder Tryg oplysningspligten hurtigst muligt og senest 30 dage efter afslutningen af personovervågningen.
På baggrund af Trygs oplysninger fandt Datatilsynet, at Trygs procedurer for opfyldelse af oplysningspligten efter databeskyttelsesforordningens artikel 14, ligger inden for rammerne af databeskyttelsesreglerne, når selskabet indsamler personoplysninger i forbindelse med personovervågning.
Afslutning af tilsyn med Tryg Forsikring A/S
1. Datatilsynet vender hermed tilbage til tilsynets sag af egen drift om Tryg Forsikring A/S’ (Tryg) opfyldelse af oplysningspligten efter databeskyttelsesforordningens artikel 14, når selskabet indsamler personoplysninger i forbindelse med personovervågning.
Datatilsynet anmodede den 1. november 2022 Tryg om en udtalelse om ovenstående. Den 21. november 2022 oplyste Tryg følgende:
”Opfyldelse af oplysningsforpligtelse i forbindelse med gennemførsel af personovervågning
Det er Trygs vurdering, at oplysningspligten efter databeskyttelsesforordningens artikel 14, i forbindelse med gennemførelse af personovervågning opfyldes. Indledningsvis skal det bemærkes, at Tryg ved modtagelse af en personskadeanmeldelse fra skadelidte (den registrerede) eller ved modtagelse af en arbejdsskadeanmeldelse fra en virksomhed, som har en arbejdsskadeforsikring hos Tryg, informerer skadelidte om sagens forløb og eventuelt anmoder om yderligere oplysninger. Trygs oplysningsforpligtelse iagttages ved denne første kontakt til skadelidte, idet skadelidte informeres om Trygs behandling af personoplysninger ved henvisning til Trygs persondata- og cookiepolitik (Bilag 1, se særligt afsnit B og C).
I yderst sjældne tilfælde, hvor mindre indgribende midler ikke er tilstrækkelige for at oplyse sagen, vil der være behov for at igangsætte en personovervågning. Formålet med personovervågningen er at få be- eller afkræftet en velbegrundet og dokumenteret mistanke om forsikringssvindel.
Undladelse af iagttagelse af oplysningsforpligtelsen
Tryg har en legitim interesse i at kontrollere, at den registreredes krav på erstatning er berettiget jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f og artikel 9, stk. 2, litra f jf. databeskyttelsesforordningens artikel 6 stk. 1 litra f.
Indsamlingen af personoplysninger i forbindelse med gennemførsel af personovervågning sker i sagens natur uden, at Tryg på forhånd har informeret skadelidte herom, da formålet i modsat fald ville forspildes. Udskydelse af oplysningsforpligtelsen sker i overensstemmelse med undtagelsesbestemmelserne i databeskyttelseslovens § 22, idet det er Trygs vurdering, at den registreredes interesse i at modtage information om behandlingen forud for personovervågningen må vige for Trygs – og samfundets - interesse i at fastslå, om der er tale om forsikringssvindel. Til støtte herfor henvises der til eksempel 7 vedrørende mistanke om forsikringssvindel, s. 22/60f i Datatilsynets vejledning om de registreredes rettigheder, hvorefter oplysningspligten kan udskydes, såfremt formålet i modsat fald vil forspildes.
Opfyldelse af oplysningsforpligtelsen på et senere tidspunkt
Når det er endeligt vurderet, at personovervågningen kan afsluttes, og der herefter ikke skal iværksættes yderligere personovervågning, opfylder Tryg sin oplysningsforpligtelse. Beslutningen om, at personovervågningen kan afsluttes træffes på et internt udvalgsmøde. Det skal bemærkes, at der forud for et sådant møde udarbejdes en indstilling til en beslutning om sagens videre forløb. Dette indebærer bl.a. gennemgang af det foreliggende materiale og oversendelse af sagen til speciallæge, der udarbejder en lægefaglig vurdering. Først herefter kan der træffes endelig beslutning om personovervågningens afslutning. Når denne beslutning er truffet, opfylder Tryg oplysningsforpligtelsen overfor skadelidte.
Personovervågningen bekræfter mistanke om svindel
Tryg er som forsikringsselskab omfattet af bekendtgørelse nr. 1377 af 21. juni 2021 om undersøgelse foretaget af forsikringsselskaber udstedt i medfør af lov om finansiel virksomhed § 43 stk. 9. Bekendtgørelsens kapitel 3 regulerer blandt andet krav til, hvad der skal til, før en personovervågning kan iværksættes, og fastslår at indsamlede oplysninger ved personovervågning skal forelægges skadelidte inden for rimelig tid efter personovervågningens afslutning, jf. bekendtgørelsens § 10 stk. 1.
Det følger af bekendtgørelse nr. 1377 af 22. juni 2021 § 5, at et forsikringsselskab, når de påtænker at træffe en afgørelse i sagen til ugunst for skadelidte, skal sende de indsamlede oplysninger i høring hos skadelidte. Det er vores vurdering, at informationen om personovervågning efter databeskyttelsesforordningens artikel 14 kan gives på samme tidspunkt, som sagen sendes i høring hos skadelidte efter bekendtgørelsen, idet der på dette tidspunkt ikke længere er noget grundlag for at udsætte oplysningsforpligtelsen efter databeskyttelseslovens § 22. Skadelidtes interesse findes fra dette tidspunkt ikke længere at burde vige for Trygs og samfundets interesse at i udskyde oplysningsforpligtelsen i relation til personovervågningen.
I overensstemmelse med databeskyttelsesforordningen artikel 14 stk. 3 litra b), iagttager Tryg
oplysningsforpligtelsen om den gennemførte personovervågning i forbindelse med den ovennævnte høring. Det skal i den forbindelse bemærkes, at høringsbrevet sendes inden for 30 dage efter afslutningen af personovervågningen, da vi har valgt at fortolke rimelig tid efter bekendtgørelsen i overensstemmelse med databeskyttelsesforordningen artikel 14 stk. 3, litra a, således at forpligtelserne efter disse to regelsæt følges ad.
Da oplysningspligten efter databeskyttelsesforordningens artikel 13 og 14 opfyldes ved skadens opstart, indeholder høringsbrevet alene de supplerende oplysninger, som ikke allerede er givet til den skadelidte tidligere i sagsforløbet. De supplerende oplysninger, der gives i høringsbrevet vedrører således orientering om den foretagne personovervågning samt en fremlæggelse af det materiale, som er fundet ved personovervågningen, det vil sige de supplerende personoplysninger, der er indsamlet i forbindelse hermed, jf. databeskyttelsesforordningen artikel 14 stk. 1 litra d.
Personovervågning afkræfter mistanke om svindel
I sager, hvor personovervågningen afkræfter mistanke om forsikringssvindel skal forsikringsselskabet jf. bekendtgørelse nr. 1377 af 21. juni 2021 § 10, ligeledes indenfor rimelig tid, efter personovervågningen er afsluttet, på papir eller andet varigt medium fremlægge de oplysninger, der er indsamlet i undersøgelsen, for skadelidte, jf. i øvrigt § 5.
Da afgørelsen i sådanne sager ikke træffes til ugunst for skadelidte, vil oplysningsforpligtelsen ikke løftes ved selve høringsbrevet, men ved at Tryg hurtigst muligt og senest inden for 30 dage efter personovervågningens afslutning, underretter den registrerede om den foretagne personovervågning og fremlægger de supplerende personoplysninger, som er indsamlet ved personovervågningen i overensstemmelse med bekendtgørelse nr. 1377 af 21. juni 2021 § 10 og databeskyttelsesforordningens artikel 14 stk. 1, litra d…”
På baggrund af det ovenstående finder Datatilsynet, at Trygs procedurer for opfyldelse af oplysningspligten efter databeskyttelsesforordningens artikel 14, når selskabet indsamler personoplysninger i forbindelse med personovervågning, ligger inden for rammerne af databeskyttelsesreglerne, herunder databeskyttelsesforordningens artikel 5, stk. 1, og artikel 14 samt databeskyttelseslovens § 22.