Klage over deling af oplysninger mellem afdelinger i forsikringsselskab

Publiceret 20-11-2019
Afgørelse Private virksomheder

Datatilsynet har behandlet en klage fra en fagforening, der på vegne af et medlem klagede over, at et forsikringsselskab havde udvekslet oplysninger mellem selskabets afdeling for arbejdsskadeforsikringer og afdeling for ansvarsforsikringer.

Journalnummer: 2018-31-1093

Resume

Datatilsynet har behandlet en klage fra en fagforening, der på vegne af et medlem klagede over, at et forsikringsselskab havde udvekslet oplysninger mellem selskabets afdeling for arbejdsskadeforsikringer og afdeling for ansvarsforsikringer.

Datatilsynet fandt, at behandlingen var i overensstemmelse med reglerne i databeskyttelsesforordningen og lov om finansiel virksomhed.

Datatilsynet fandt endvidere, at forsikringsselskabet i tilstrækkelig grad havde iagttaget selskabets oplysningspligt.

Afgørelsen illustrerer i øvrigt Datatilsynets nye opfattelse af databeskyttelsesforordningens artikel 6’s betydning ved behandling af følsomme oplysninger omfattet af forordningens artikel 9, som tidligere er udmeldt af tilsynet, ligesom afgørelsen illustrerer samspillet mellem de generelle databeskyttelsesregler og reglerne i lov om finansiel virksomhed

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor [Fagforening X] som partsrepræsentant for (klager) den 20. november 2018 har rettet henvendelse til tilsynet om [Y Forsikring A/S’] behandling af personoplysninger.

Datatilsynet har behandlet henvendelsen som en klage over, at [Y Forsikring A/S] uden samtykke har delt oplysninger om klager mellem selskabets afdeling for arbejdsskadeforsikringer og afdeling for ansvarsforsikringer, og at [Y Forsikring A/S] i forbindelse med denne interne behandling af oplysninger om klager ikke i tilstrækkelig grad har iagttaget selskabets oplysningspligt.  

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at den omhandlede behandling af oplysninger om klager er sket i overensstemmelse med reglerne i databeskyttelsesforordningen[1], jf. artikel 9, stk. 2, litra f, og § 117, stk. 1, i lov om finansiel virksomhed[2], jf. forordningens artikel 6, stk. 1, jf. stk. 2, jf. stk. 3.  

Datatilsynet finder endvidere, at [Y Forsikring A/S] i tilstrækkelig grad har iagttaget selskabets oplysningspligt, jf. databeskyttelsesforordningens artikel 14.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

2.1.

Sagen vedrører det forhold, at [Ys] afdeling for ansvarsforsikringer har indhentet oplysninger om klager fra [Ys] afdeling for arbejdsskader.

Det fremgår i den forbindelse af sagen, at [Ys] afdeling for ansvarsforsikringer ved brev af [Dato] orienterede [X] som partsrepræsentant for klager om, at afdelingen via [Ys] afdeling for arbejdsskader den [Dato] havde modtaget en anmeldelse fra selskabets kunde om erstatningskravet fra klager. Af brevet fremgik endvidere:

Indsend lægelige oplysninger

Som dokumentation for, hvordan [klagers] skade skete, beder vi dig sende os en kopi af [klagers] skadestuejournal eller egen læges journal fra første lægebesøg efter skaden. Hvis du i stedet ønsker, at vi indhenter journalerne, beder vi dig sørge for, at [klager] underskriver den vedlagte samtykkeerklæring og sender den til os. I den forbindelse beder vi dig oplyse navn og adresse på hospitalet og/eller egen praktiserende læge.

[…]

Vi kan videregive personlige oplysninger

Vi har l forbindelse med behandling af [klagers] personskade brug for at indsamle og modtage personoplysninger. Oplysningerne bruger vi til vurdering af personskaden i de afdelinger i [Y], som behandler skaden. Vi kan videregive oplysningerne til vores advokater og Arbejdsskadestyrelsen, hvis det er nødvendigt for at afgøre personskaden. Du kan til enhver tid få oplyst, hvilke oplysninger der er registreret om [klagers] personskade hos os. 

Har du spørgsmål, er du naturligvis velkommen til at kontakte os. Vi beder dig oplyse vores skadenummer, så vi hurtigere kan finde sagen. Hvis du kontakter os på e-mail, beder vi dig skrive skadenummeret i emnefeltet.”

Vedlagt [Ys] brev af [Dato] var endvidere en samtykkeerklæring – FP602.

Det fremgår endvidere af sagen, at [X] ved brev af [Dato] fremsendte en kopi af […]. 

I perioden [Dato] til [Dato] fremsendte [X] på vegne af klager en række erstatningsopgørelser med bilag til [Y] og oplyste i den forbindelse [Y] om bl.a. følgende:

”Hvis I herudover mener, at der mangler bilag for at kunne bedømme erstatningskravets størrelse, kan disse indhentes gennem mit kontor. I bedes i så fald snarest oplyse mig, hvilke specifikke bilag som I mener, der mangler, og for hvilken periode, tillige med angivelse af årsagen til at disse anses for relevante.”

Det fremgår desuden af sagen, at sagsbehandleren i [Ys] afdeling for ansvarsforsikringer ved brev af [Dato] oplyste [X] om, at afdelingen fra selskabets afdeling for arbejdsskadeforsikringer havde indhentet supplerende kommunale akter til brug for vurdering af sagen.

Den [Dato] sendte [X] i forlængelse heraf en e-mail til den pågældende sagsbehandler indeholdende følgende:

”Jeg har noteret mig din tilkendegivelse om, at du har indhentet og behandlet personfølsomme oplysninger om skadelidte fra jeres arbejdsskadeforsikring. Jeg beder dig venligst fremsende kopi af samtykkeerklæring fra skadelidte herom, eller alternativt angivet et andet hjemmelsgrundlag herfor. Supplerende hertil bemærker jeg, at vi ved fremsendelsen af samtlige erstatningsopgørelser har meddelt jer, at eventuelle supplerende oplysninger ville skulle indhentes gennem mit kontor.”

Som svar herpå oplyste [Y] i brev af [Dato] følgende:

”I henhold til Persondataforordningen er vi forpligtiget til at informere om, hvordan vi behandler vores persondata. Jeg kan hertil henvise til vores brev af [Dato], hvor vi har orienteret om sagens behandling, herunder har vi opfyldt vores oplysningspligt omkring at oplysninger bruges i de afdelinger der behandler skaden.”

2.2. [X’s] bemærkninger

[X] har anført, at klagen vedrører det forhold, at [Ys] afdeling for ansvarsforsikringer til brug for vurderingen af et krav efter erstatningsansvarsloven – uden samtykke og uden hverken forudgående eller samtidig orientering til skadelidte – har indhentet følsomme personoplysninger om klager fra [Ys] afdeling for arbejdsskadeforsikringer, der som part i en sag efter arbejdsskadesikringsloven havde grundlag for at være i besiddelse af oplysningerne.   

[X] har i den forbindelse overordnet anført navnlig, at [Ys] afdeling for ansvarsforsikringer ved brev af [Dato] anmodede klager om at give samtykke til at indhente og behandle følsomme personoplysninger, men at sådant samtykke ikke blev givet.

[X] har endvidere anført, at databeskyttelsesforordningens artikel 9, stk. 2, litra f, ikke finder anvendelse i den konkrete situation, idet [Y] ikke havde et retskrav at fastlægge.  

Som begrundelse herfor har [X] nærmere redegjort for, hvad forsikringsselskabers rolle er i forbindelse med sager efter erstatningsansvarsloven, herunder adgangen for forsikringsselskaber til at indhente oplysninger.

[X] har i den forbindelse anført bl.a., at personskadesager er et ’almindeligt’ økonomisk anliggende mellem to private parter, henholdsvis skadelidte og skadevolder.

Det er skadelidte, der skal opgøre og dokumentere sit krav. Hvis skadevolder ikke anser kravet for tilstrækkeligt dokumenteret, må skadevolder fremsætte et forslag til, hvilke yderligere oplysninger denne anser for relevante, hvorefter skadelidte kan vurdere, om denne kan og/eller vil imødekomme anmodningen.

Når/hvis skadevolder anser kravet for dokumenteret, sker dette på et frivilligt og aftaleretligt grundlag, og der er således ikke tale om, at der under sagens behandling bliver eller skal fastlægges noget retskrav.

[X] har videre anført, at behandlingen af personskadesager i sagens natur indebærer, at skadelidte vil skulle gøre skadevolder bekendt med en flerhed af oplysninger om skadelidtes økonomiske-, erhvervs- og helbredsmæssige forhold.

Skadevolder kan imidlertid ikke blot på dette grundlag indhente og behandle enhver oplysning, som denne måtte ønske. Undtagelsesbestemmelsen i artikel 9, stk. 2, litra f, forudsætter en konkret nødvendighed af at indhente netop de specifikke oplysninger og til et forhåndsdefineret og sagligt formål.

Når oplysningerne indhentes uden om skadelidte samt mod dennes afviste samtykke og instruktion om at indhente oplysninger gennem skadelidtes repræsentant, må der desuden også foreligge en uopsættelig nødvendighed af denne fremgangsmåde.

Endelig har [X] henvist til Finanstilsynets afgørelse i sagen med j.nr. […], hvor Finanstilsynet gav [T A/S] påbud om at ophøre med selskabets praksis, der bestod i, at [Ts] daværende datterselskab [I A/S] videregav log-on ID til arbejdsskadestyrelsens ”Se sag” til [T].

2.3. [Ys] bemærkninger

[Y] har overordnet anført, at det er selskabets opfattelse, at behandlingen er lovlig efter både databeskyttelsesreglerne og lov om finansiel virksomhed, og at selskabet har opfyldt oplysningspligten over for klager.

[Y] har i den forbindelse anført, at følsomme oplysninger i henhold til databeskyttelsesforordningens artikel 9, stk. 2, litra f, kan behandles, såfremt behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, hvilket bl.a. omfatter forsikringsselskabers behandling af helbredsoplysninger med henblik på at vurdere, om den registrerede har krav på erstatning.

Videre har [Y] anført, at klagers arbejdsgiver er ansvarlig for hans tilskadekomst, hvorfor selskabet behandler personskaden på arbejdsgiverens ansvarsforsikring. Derudover har klagers arbejdsgiver tegnet lovpligtig arbejdsskadeforsikring i [Y], hvilket betyder, at klagers personskade ligeledes behandles i selskabets arbejdsskadeafdeling på arbejdsgiverens vegne.

[Y] har desuden anført, at der består en tæt sammenhæng mellem arbejdsskadesager og erstatningsansvarssager, idet arbejdsskader behandles efter et tostrenget system, som tilsammen skal dække samtlige skadelidtes tab i forbindelse med en opstået arbejdsskade. En skadelidt vil ved en arbejdsskade ofte være nødt til at gå frem både efter arbejdsskadesikringsloven og erstatningsansvarsloven for at få dækket sit fulde samlede tab. Erstatning efter erstatningsansvarsloven vil ofte fordre kendskab til arbejdsskadesagen og omvendt, da arbejdsskadeforsikringen dækker eventuelle varige følger af skaden som varigt mén og erhvervsevnetab, mens ansvarsforsikringen dækker midlertidige tab som svie og smerte og tabt arbejdsfortjeneste. Udveksling af oplysninger i sagerne er derfor nødvendig og med til at sikre, at der træffes en materiel korrekt afgørelse, og at skadelidte får udbetalt den korrekte erstatning for samtlige tab, der er opstået i forbindelse med arbejdsulykken.

[Ys] afdeling for ansvarsforsikringer har løbende modtaget opgørelser af tabt arbejdsfortjeneste fra [X], men har samtidig gjort opmærksom på, at kravet først kunne opgøres, når der forelå en midlertidig/endelig afgørelse fra Arbejdsmarkedets Erhvervssikring i arbejdsskadesagen.

Den [Dato] sendte [X] afgørelsen fra Arbejdsmarkedets Erhvervssikring til [Ys] afdeling for ansvarsforsikringer sammen med et krav om tabt arbejdsfortjeneste frem til [Dato].

Førend [Y] kan opgøre et retskrav vedrørende tabt arbejdsfortjeneste for den skadelidte, er det nødvendigt at foretage en helhedsvurdering af skadesituationen, herunder vurdere hvorvidt sygemeldingen skyldes den i sagen omhandlende skade, eller om den skyldes andre forhold vedrørende skadelidte. [Ys] afdeling for ansvarsforsikringer indhentede derfor kopi af de kommunale akter fra arbejdsskadesagen for at kunne tage stilling til kravet, hvilket selskabet meddelte [X] den [Dato], hvor den tabte arbejdsfortjeneste i øvrigt blev afregnet.

[Y] mener derfor, at alle oplysninger i sagen, herunder de kommunale akter, har været nødvendige for at fastlægge og opgøre retskravet.

I forhold til det af [X] anførte om forholdet mellem skadevolder og [Y] har [Y] anført, at selskabets kunde (skadevolder) har tegnet en erhvervsansvarsforsikring i [Y], og det er i den forbindelse, at selskabet varetager kundens interesser. Denne varetagelse indebærer, at [Y] på kundens vegne forsvarer skadevolder i forhold til eventuelle uberettigede retskrav, fastlægger retskrav, herunder tager stilling til erstatningens størrelse, såfremt der måtte være et ansvar, og om der er årsagssammenhæng mellem skaden og den efterfølgende sygeperiode. Endvidere følger det af den forsikringsaftale, som [Y] har indgået med kunden, at anerkendelse af erstatningspligt og godkendelse af erstatningskrav kun må ske med selskabets samtykke, og at selskabet i øvrigt træffer bestemmelse om sagens behandling. Dette er ensbetydende med, at det er [Y], der vurderer, hvilke oplysninger der er nødvendige til oplysning af en sag og ikke kunden. Endvidere er det [Y], der afholder eventuelle udgifter ved udbetaling til en skadelidt i anledning af en ansvarsskade.

Vedrørende spørgsmålet om samtykke har [Y] anført, at det i klagen vedlagte samtykke er et standardsamtykke udarbejdet af Forsikring & Pension i samarbejde med Lægeforeningen. Dette samtykke benyttes, når forsikringsselskaberne skal indhente personoplysninger fra sundhedspersoner underlagt tavshedspligt. Samtykkeerklæringen udgør derfor ikke behandlingshjemlen for [Ys] behandling af personoplysninger til brug for erstatningsopgørelsen. Det er derfor uden betydning for vurderingen af persondatabehandlingen i [Y], herunder den interne videregivelse mellem skadesagerne, om denne samtykkeerklæring er tiltrådt af skadelidte.

I forhold til spørgsmålet om oplysningspligt har [Y] anført, at selskabet ved brev af [Dato] til [X] (bilagt klagen) har givet information i overensstemmelse med den dagældende persondatalov og tilrettet efter Finanstilsynets anvisninger.

Endvidere gjorde [Ys] afdeling for ansvarsforsikringer ved brev af [Dato] opmærksom på, at kommunale akter var indhentet, jf. databeskyttelsesforordningens artikel 14.

2.4. Udtalelse fra Finanstilsynet

Datatilsynet har i forbindelse med sagens behandling ved brev af 25. april 2019 – med en angivelse af sagens væsentligste faktum i ikke umiddelbar personhenførbar form – indhentet en udtalelse fra Finanstilsynet, der er supplerende tilsyn i forhold til reglerne i lov om finansiel virksomhed, herunder lovens § 117, stk. 1.

Ved brev af 23. maj 2019 har Finanstilsynet afgivet en udtalelse i sagen med følgende ordlyd:

”Finanstilsynet har modtaget Datatilsynets henvendelse af 25. april 2019. I henvendelsen anmodes Finanstilsynet om en udtalelse til brug for Datatilsynets afgørelse af en konkret klage over, at et forsikringsselskabs ansvarsforsikringsafdeling har indhentet og behandlet oplysninger fra skadelidtes arbejdsskadesag, som er behandlet af samme selskab.

Finanstilsynet kan indledningsvist bekræfte, at forholdet er omfattet af § 117, stk. 1, i lov om finansiel virksomhed, idet forsikringsselskabet har udnyttet oplysninger fra en verserende arbejdsskadesag til brug for behandlingen af en verserende erstatningssag. Der er således tale om udnyttelse af fortrolige oplysninger efter § 117, stk. 1, i lov om finansiel virksomhed.

Som Datatilsynet har bemærket, har sagen lighed med den sag, som Finanstilsynet tidligere har afgjort efter reglerne § 117, stk. 1, jf. j. nr. 5019-0025. Her var der dog tale om udveksling af oplysninger fra den civile erstatningssag til brug for afgørelsen af den tilknyttede arbejdsskadesag. Finanstilsynet finder, at de betragtninger, som blev lagt til grund i Finanstilsynets tidligere afgørelse er relevante for Datatilsynets afgørelse af nærværende sag.

Det skal dog bemærkes, at Finanstilsynet afgørelse i den tidligere sag, j.nr. 5019-0025, er truffet på et tidspunkt, hvor reglerne i kapitel 9 i lov om finansiel virksomhed blev anset som værende lex specialis til persondatareglerne. Efter indførelsen af databeskyttelsesforordningen, Justitsministeriets betænkning herom samt lovbemærkningerne til den nye databeskyttelseslov, har Finanstilsynet har fået rolle som supplerende tilsyn til særregler udstedt i medfør af forordningen, hvilket blandt andet er reglerne i kapitel 9.

Derfor finder Finanstilsynet ikke, at det er muligt at tage konkret stilling til, hvorvidt der er tale om en berettiget udnyttelse af oplysninger i den forelagte sag, men Finanstilsynet foreslår, at følgende forhold inddrages i Datatilsynets afgørelse:

  • Det helt klare udgangspunkt for anvendelsen og fortolkningen af reglerne om udnyttelse/videregivelse af fortrolige oplysninger i lov om finansiel virksomhed, kap. 9 er, at en udnyttelse/videregivelse kræver kundens samtykke. De kunder, der afgiver fortrolige oplysninger til de finansielle virksomheder bør kunne stole på, at deres oplysninger ikke flyder frit, og at der således eksisterer fortrolighed. Finanstilsynets praksis er derfor, at der skal meget til for at fravige dette udgangspunkt og tillade udnyttelse/videregivelse uden samtykke.
  • Imidlertid kan en konkret vurdering føre til, at der er tale om en berettiget udnyttelse/videregivelse. Ved en konkret vurdering foretages en afvejning af den pågældende kundes interesse i at oplysningerne hemmeligholdes over for den finansielle virksomheds interesse i at udnytte eller videregive oplysningerne.
  • Den særlige ordning vedrørende erstatning i arbejdsskadesager kan tages i betragtning. Der består en tæt sammenhæng mellem arbejdsskadesager og erstatningssager, idet arbejdsskader behandles efter et tostrenget system, som tilsammen skal dække samtlige skadelidtes tab i forbindelse med en opstået arbejdsskade.
  • En skadelidt vil således ved en arbejdsskade være nødt til at gå frem både efter arbejdsskadesikringsloven og erstatningsansvarsloven for at få dækket sit fulde samlede tab. Erstatningen efter erstatningsansvarsloven vil ofte fordre kendskab til arbejdsskadesagen og omvendt, hvorfor udveksling af oplysninger mellem de to sager kan være nødvendig.
  • En udveksling af oplysninger kan således være med til at sikre, at der træffes en materielt korrekt afgørelse, og til at skadelidte får udbetalt den korrekte erstatning for samtlige tab, der er opstået i forbindelse med arbejdsulykken.

Afslutningsvist skal det bemærkes, at Finanstilsynet ikke har vurderet det forhold, at skadelidtes advokat flere gange har henvendt sig til forsikringsselskabet og tilbudt at sende eventuelt yderligere materiale.”

3. Begrundelse for Datatilsynets afgørelse

3.1.

Datatilsynet lægger på baggrund af det oplyste i sagen til grund, at den omhandlede behandling af oplysninger om klager, skal vurderes efter de regler, der gælder for behandlingen af følsomme personoplysninger.

Efter databeskyttelsesforordningens artikel 9, stk. 1, gælder der et forbud mod behandling af følsomme personoplysninger, herunder helbredsoplysninger.

Forbuddet finder dog ikke anvendelse, hvis en af undtagelserne i databeskyttelsesforordningens artikel 9, stk. 2, eller bestemmelser der gennemfører forordningens artikel 9, er opfyldt.

Undtagelserne udgør ikke i sig selv et lovligt grundlag for behandling, men har til formål at sikre, at der ikke sker behandling af følsomme oplysninger, der nyder en særlig beskyttelse, i andre tilfælde end dem, som undtagelserne berettiger.

Forbuddet i databeskyttelsesforordningens artikel 9 stk. 1, mod behandling af følsomme oplysninger finder ikke anvendelse, bl.a. hvis behandling er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, jf. forordningens artikel 9, stk. 2, litra f.

Bestemmelsen omhandler såvel behandling med henblik på at fastlægge retskrav m.v., der sker i den dataansvarliges interesse, og behandling der sker i den registreredes interesse. Også behandling af oplysninger, der er nødvendig for, at en tredjemands retskrav kan fastlægges m.v., vil skulle anses for omfattet af bestemmelsen. 

Kravet om nødvendighed i databeskyttelsesforordningens artikel 9, stk. 2, litra f, indebærer, at behandling skal være mere end blot en praktisk måde at opfylde formålet på, ligesom kravet om nødvendighed indebærer, at formålet objektivt set ikke med rimelighed må kunne opnås ved mindre indgribende midler.

Datatilsynet finder, at den omhandlede behandling af oplysninger om klager ikke var omfattet af forbuddet i databeskyttelsesforordningens artikel 9, stk. 1, idet [Ys] behandling af de omhandlede oplysninger var nødvendig for at fastlægge et retskrav, jf. forordningens artikel 9, stk. 2, litra f.

Datatilsynet har herved lagt vægt på, at [X] overfor [Arbejdsgiver A/S], som har tegnet ansvarsforsikring hos [Y], fremsatte et krav på erstatning efter erstatningsansvarsloven, og at [X] løbende fremsendte erstatningsopgørelser til [Ys] afdeling for ansvarsforsikringer, hvilket nødvendiggjorde [Ys] afdeling for ansvarsforsikringers stillingtagen hertil, dels i forhold til klagers krav på erstatning, og dels i forhold til selskabets kundes erstatningsansvar.

Endvidere finder Datatilsynet, at der ikke er grundlag for at tilsidesætte det forsikringsretlige skøn, som [Y] har foretaget af, at alle oplysninger i sagen har været nødvendige for at fastlægge og opgøre retskravet, herunder klagers krav på erstatning efter erstatningsansvarsloven, der behandles af [Ys] afdeling for ansvarsforsikringer.

3.2.

Bestemmelsen i databeskyttelsesforordningens artikel 9, stk. 2, litra f, udgør som nævnt ikke i sig selv et grundlag for behandling af (følsomme) personoplysninger, idet enhver behandling af personoplysninger, herunder følsomme personoplysninger, skal ske på et lovligt grundlag i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra a-f.

Det følger af databeskyttelsesforordningens artikel 6, stk. 2, at medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af forordningens bestemmelser om behandling med henblik på overholdelse af forordningens artikel 6 stk. 1, litra c og e, ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.

I den foreliggende sag har Finanstilsynet oplyst, at forholdet er omfattet af § 117, stk. 1, i lov om finansiel virksomhed, hvoraf det fremgår, at bestyrelsesmedlemmer, medlemmer af lokale bestyrelser og lignende, medlemmer af repræsentantskabet i en finansiel virksomhed, der ikke er en sparekasse, revisorer og granskningsmænd samt deres suppleanter, stiftere, vurderingsmænd, likvidatorer, direktører, ansvarshavende aktuarer, generalagenter og administratorer i et forsikringsselskab samt øvrige ansatte ikke uberettiget må videregive eller udnytte fortrolige oplysninger, som de under udøvelsen af deres hverv er blevet bekendt med. Bestemmelsen finder tilsvarende anvendelse for finansielle holdingvirksomheder og forsikringsholdingvirksomheder.

Justitsministeriet og Erhvervsministeriet[3] har vurderet, at kapitel 9 i lov om finansiel virksomhed om videregivelse af fortrolige oplysninger, herunder lovens § 117, stk. 1, ligger indenfor det nationale råderum i databeskyttelsesforordningens artikel 6, stk. 2-3.

I det omfang der er fastsat særregler for behandling af personoplysninger, som ligger inden for det nationale råderum i databeskyttelsesforordningens artikel 6, stk. 2-3, skal en behandlings lovlighed vurderes efter dette retsgrundlag og ikke direkte efter forordningens artikel 6, stk. 1, litra a-f.

Det er på den baggrund Datatilsynets opfattelse, at lovligheden af den i sagen omhandlede behandling af oplysninger klager, som [Y] foretog, skal vurderes efter § 117, stk. 1, i lov om finansiel virksomhed.

Finanstilsynet har til brug for sagen oplyst, at det helt klare udgangspunkt er, at en udnyttelse/videregivelse af fortrolige oplysninger kræver den registreredes samtykke. Imidlertid kan en konkret vurdering af den finansielle virksomheds interesse i at udnytte eller videregive oplysningerne holdt op imod den registreredes interesse i, at oplysningerne hemmeligholdes, føre til, at en udnyttelse/videregivelse er berettiget uden samtykke.

Finanstilsynet har i den forbindelse angivet en række forhold, som kan indgå i vurderingen af, om en videregivelse uden samtykke var berettiget. Disse fremgår af afsnit 2.4 ovenfor.

Efter en samlet vurdering finder Datatilsynet, at den omhandlede behandling ikke var uberettiget efter § 117, stk. 1, i lov om finansiel virksomhed.

Datatilsynet har herved lagt afgørende vægt på den omstændighed, at en skadelidt ved en arbejdsskade er nødt til at gå frem efter både arbejdsskadesikringsloven og erstatningsansvarsloven for at få dækket sit fulde samlede tab. [Ys] behandling må derfor også anses for at have været i klagers interesse, idet behandlingen havde til formål, at klager kunne få udbetalt den korrekte erstatning for samtlige tab, der opstod i forbindelse med arbejdsulykken.

Datatilsynet har ved vurderingen inddraget det forhold, at [X] i forbindelse med anmodningerne om erstatning oplyste overfor [Y], at yderligere relevante akter kunne indhentes gennem [X], men finder ikke, at dette kan føre til et andet resultat i sagen.

Det, som [X] i øvrigt har anført, kan heller ikke føre til en anden vurdering. Dette gælder også henvisningen til Finanstilsynets sag med j.nr. […], idet den pågældende sag vedrørte videregivelsen af et generelt log-on ID til skadelidtes sagsmappe, hvilket ikke er tilfældet i nærværende sag.  

Datatilsynet finder på den baggrund, at [Ys] behandling af personoplysninger om klager er sket i overensstemmelse med reglerne i databeskyttelsesforordningen, jf. artikel 9, stk. 2, litra f, og § 117, stk. 1, i lov om finansiel virksomhed, jf. forordningens artikel 6, stk. 1, jf. stk. 2, jf. stk. 3.  

3.3.

Spørgsmålet er herefter, om [Y] i tilstrækkelig grad har iagttaget selskabets oplysningspligt efter databeskyttelsesforordningens artikel 14.

I tilfælde, hvor oplysninger ikke er indsamlet hos den registrerede, følger det af databeskyttelsesforordningens artikel 14, stk. 1, at det påhviler den dataansvarlige at give den registrerede meddelelse om en række oplysninger. Herudover skal den dataansvarlige efter forordningens artikel 14, stk. 2, give meddelelse om en række yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede.

Endelig følger det af databeskyttelsesforordningens artikel 14, stk. 4, at hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål samt andre relevante yderligere oplysninger, jf. stk. 2.

Det fremgår af sagen, at [Y] ved brev af [Dato] i henhold til – og i overensstemmelse med – reglerne i den tidligere gældende persondatalovs § 29 orienterede [X] som partsrepræsentant om, at selskabet behandlede oplysninger om klager.

[Ys] forskellige afdelinger, herunder [Ys] afdeling for arbejdsskadeforsikringer og [Ys] afdeling for ansvarsforsikringer, anses i en databeskyttelsesretlige henseende ikke som forskellige dataansvarlige.  

Der indtrådte derfor ikke en ny forpligtelse til at give meddelelse efter databeskyttelsesforordningens artikel 14 alene med baggrund i, at [Ys] afdeling for ansvarsforsikringer indhentede oplysninger fra [Ys] afdeling for arbejdsskadeforsikringer.  

Det er endvidere Datatilsynets opfattelse, at den nære sammenhæng, der er mellem klagers arbejdsskadesag og erstatningssag, indebærer, at den behandling, der bestod i delingen af oplysninger om klager mellem [Ys] afdeling for arbejdsskadeforsikringer og afdeling for ansvarsforsikringer, med henblik på at klager kunne opnå den materielt korrekte erstatning, ikke kan anses for at være en behandling til et andet formål end det, hvortil de oprindelig[t] var indsamlet, således at [Y] var forpligtet til at give meddelelse på ny, jf. databeskyttelsesforordningens artikel 14, stk. [4].

Under henvisning hertil finder Datatilsynet, at [Y] har iagttaget selskabets oplysningspligt, jf. databeskyttelsesforordningens artikel 14.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lovbekendtgørelse nr. 457 af 24. april 2019 om finansiel virksomhed med senere ændringer

[3] Betænkning nr. 1565/2017 om databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning, del 1, bind 1, s. 161 ff. og Del 2, S. 27.