Vátryggingafélögin uppfylla í meginatriðum kröfur til sjálfvirkrar ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar
9. október 2024
Persónuvernd hefur lokið frumkvæðisathugun á vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá Sjóvá-Almennum tryggingum hf., TM tryggingum hf., Vátryggingafélagi Íslands hf. og Verði tryggingum hf. Ákvörðun um að hefja slíka frumkvæðisathugun var tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2024.
Markmið frumkvæðisathugunarinnar var í fyrsta lagi að staðreyna hvort réttindi einstaklinga eru tryggð við sjálfvirka ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá vátryggingafélögunum, m.a. hvort tryggður er réttur þeirra til mannlegrar aðkomu. Í öðru lagi var kannað hvort gagnsæis og sanngirnis er gætt gagnvart hinum skráða í tengslum við framangreinda vinnslu. Í þriðja lagi beindist athugun Persónuverndar að því hvort tryggt er að við útgáfu líf- og sjúkdómatrygginga óski vátryggingafélögin aðeins upplýsinga sem eru nauðsynlegar í þágu framangreindrar ákvarðanatöku og þær fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
Við rannsókn málsins lögðu Vátryggingafélag Íslands hf. og Vörður tryggingar hf. fram gögn sem sýndu fram á að einstaklingar veita samþykki sitt fyrir sjálfvirkri ákvarðanatöku og að þeir fá fullnægjandi fræðslu um vinnsluna í upphafi umsóknarferlis. Framangreind félög lögðu einnig fram gögn sem sýndu fram á að veittar séu fullnægjandi upplýsingar til viðskiptavina þegar tekin er sjálfvirk ákvörðun um útgáfu tryggingar með álagi ofan á grunniðgjald eða með áritun. Með hliðsjón af framlögðum gögnum og svörum Vátryggingafélags Íslands hf. og Varðar trygginga hf. var einnig talið að félögin hefðu sýnt fram á að hafa lagt viðeigandi mat á nauðsyn þeirra upplýsinga sem óskað er eftir frá viðskiptavinum, að tilgangur vinnslunnar er skýrt afmarkaður, meðal annars með tilgreiningu á þeim flokkum persónuupplýsinga sem hægt er að óska upplýsinga um og afmörkun á fjölda spurninga út frá svörum viðskiptavina, og að persónuupplýsingar sem óskað er eftir við umsóknarferlið séu nægilegar og viðeigandi fyrir vinnsluna. Var því niðurstaða Persónuverndar að vinnsla persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um umsóknir og óskir einstaklinga um tilboð í líf- og sjúkdómatryggingar hjá Vátryggingafélagi Íslands hf. og Verði tryggingum hf. væri í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
TM tryggingar hf. lögðu einnig fram gögn sem sýndu fram á að einstaklingar veita samþykki sitt fyrir sjálfvirkri ákvarðanatöku og að þeir fá fullnægjandi fræðslu um vinnsluna í upphafi umsóknarferlis. Með hliðsjón af framlögðum gögnum og svörum TM trygginga hf. var einnig talið að félagið hefði sýnt fram á að hafa lagt viðeigandi mat á nauðsyn þeirra upplýsinga sem óskað er eftir frá viðskiptavinum, að tilgangur vinnslunnar er skýrt afmarkaður og að persónuupplýsingar sem óskað er eftir við umsóknarferlið séu nægilegar og viðeigandi fyrir vinnsluna. Hins vegar var það niðurstaða Persónuverndar, með hliðsjón af þeim gögnum sem aflað var við rannsókn málsins, að umsækjendum um líf- og sjúkdómatryggingar hjá TM tryggingum hf. væri það ekki fyllilega ljóst, hverju sinni, hvort reykingar leiða til álags við útreikning iðgjalda og að hvaða marki, en upplýsingar um að reykingar umsækjanda leiði til álags í sjálfvirka ákvörðunarferlinu eru veittar í almennum skilmálum, sem upplýst er um og vísað til við upphaf umsóknarferils. Var því niðurstaða Persónuverndar að umrædd vinnsla hjá TM tryggingum hf. væri að þessu leyti ekki í fullu samræmi við meginreglu persónuverndar um sanngjarna og gagnsæja vinnslu persónuupplýsinga.
Hjá Sjóvá-Almennum tryggingum hf. er sjálfvirk ákvarðanataka við útgáfa trygginga í algjöru lágmarki eins og er. Umsókn um líf- og sjúkdómatryggingu hjá félaginu er aðeins útgefin með sjálfvirkri ákvarðanatöku í þeim tilvikum þegar öllum spurningum í áhættumati er svarað með þeim hætti að ekki er merkt við áhættuaukandi möguleika og beiðni um líftryggingarfjárhæð er ekki hærri en [...] kr. Svari viðskiptavinur spurningum um heilsufar með ákveðnum hætti eða beiðni um líftryggingarfjárhæð er hærri en [...] kr. fer umsókn og útgáfa skírteinis í handvirka vinnslu hjá starfsfólki. Samkvæmt þeim gögnum sem aflað var við rannsókn málsins veita umsækjendur um líf- og sjúkdómatryggingar hjá Sjóvá samþykki fyrir vinnslunni með því að fylla út rafræna umsókn og staðfesta við lok umsóknar að þeir samþykki vinnslu persónuupplýsinga og hafi kynnt sér hvernig persónuvernd er tryggð hjá félaginu. Í umsóknarferlinu kemur hins vegar hvergi fram með skýrum hætti að ákvörðun, um hvort trygging verður gefin út og á hvaða verði, fari fram með sjálfvirkri ákvarðanatöku. Að mati Persónuverndar telst slík samþykkisyfirlýsing ekki uppfylla lögbundin skilyrði um að teljast upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sinna. Var því niðurstaða Persónuverndar að ekki stæði heimild fyrir umræddri vinnslu persónuupplýsinga hjá Sjóvá. Þegar af þeirri ástæðu var það niðurstaða Persónuverndar að vinnslan væri ekki í samræmi við lög nr. 90/2018 og reglugerð (ESB) 2016/679 og var lagt fyrir Sjóvá að færa vinnslu persónuupplýsinga sem fer fram í tengslum við sjálfvirka ákvarðanatöku um útgáfu líf- og sjúkdómatrygginga til samræmis við löggjöfina.
Ákvörðun Sjóvá-Almennra trygginga hf.