Skrevet af Amalie Kaare Rubeck

Ny afgørelse fra Datatilsynet vedrørende forsikringsselskabs oplysningspligt ved personovervågning

Datatilsynet har den 2. januar 2024 (j.nr. 2022-431-0204) truffet afgørelse på baggrund af en af egen drift iværksat tilsynsundersøgelse af, om Tryg Forsikrings generelle procedurer for opfyldelse af oplysningspligten ved indsamling af personoplysninger overholder databeskyttelsesreglerne, når det gælder personovervågning.

Indholdet af tilsynsundersøgelsen

Adspurgt af Datatilsynet oplyste Tryg overordnet følgende om selskabets opfyldelse af oplysningspligten i forbindelse med gennemførsel af personovervågning:

Som udgangspunkt iagttager Tryg sin oplysningspligt ved første kontakt til skadelidte efter modtagelse af en personskadeanmeldelse.

Ved igangsættelse af personovervågning, mv. (med hjemmel i Databehandlingsforordningens (DBF) artikel 6, stk. 1, litra a og artikel 9, stk. 2, litra f) udskyder Tryg imidlertid oplysningspligten, idet formålet med selve personovervågningen/undersøgelsen ellers ville forspildes, jf. Databeskyttelseslovens (DBL) § 22.

Når personovervågningen afsluttes (og der ikke iværksættes yderligere personovervågning) opfylder Tryg sin oplysningspligt.

Hvis personovervågningen bekræfter mistanke om forsikringssvindel, opfylder Tryg oplysningspligten efter DBF artikel 14 på samme tidspunkt, som sagen sendes i høring efter bekendtgørelse nr. 1377 af 21. juni 2021 § 5, jf. § 10. Dette er således senest 30 dage efter afslutningen af personovervågningen, idet Tryg fortolker bekendtgørelsens begreb om ”rimelig tid” i overensstemmelse med DBF artikel 14, stk. 3, litra a (indenfor 1 måned), således at forpligtelserne efter begge regelsæt følges ad.

Hvis personovervågningen afkræfter mistanke om forsikringssvindel, opfylder Tryg oplysningspligten efter DBF artikel 14 hurtigst muligt og senest 30 dage efter afslutningen af personovervågningen samtidig med, at Tryg orienterer og fremlægger de indsamlede oplysninger ”indenfor rimelig tid” efter bekendtgørelsens § 10.

Da Tryg allerede opfylder oplysningspligten ved skadens opstart, udgør de oplysninger, som tilgår den registrerede efter endt personovervågning, alene de supplerende oplysninger, som ikke allerede er givet til skadelidte tidligere i sagsforløbet. Dette omfatter således orientering om den foretagne personovervågning samt fremlæggelse af supplerende personoplysninger indsamlet i forbindelse med personovervågningen.

Datatilsynets konklusion

På baggrund af Trygs oplysninger fandt Datatilsynet, at Trygs procedurer for opfyldelse af oplysningspligten efter databeskyttelsesforordningens artikel 14, når selskabet indsamler personoplysninger i forbindelse med personovervågning, ligger indenfor rammerne af databeskyttelsesreglerne, herunder DBF artikel 5, stk. 1 (de databeskyttelsesretlige behandlingsprincipper) og artikel 14 samt DBL § 22.

Kommentar

Datatilsynet har i tidligere afgørelser – og før bekendtgørelse 1377 af 21. juni 2021 – udtalt sig om oplysningspligten og andre databeskyttelsesregler i forbindelse med forsikringsselskabers personovervågning.

Datatilsynets afgørelse følger således tidligere praksis i forhold til en ”30-dages-regel”, således at det er i overensstemmelse med DBF artikel 14 først at opfylde oplysningspligten (senest) 30 dage efter afsluttet personovervågning. Dette trods ordlyden af DBF artikel 14, stk. 3, litra a om en ”rimelig frist”, men senest indenfor en måned, idet bemærkes, at ”rimelig frist” er specificeret i Datatilsynets vejledning om registreredes rettigheder til at være så tidligt som muligt vurderet i forhold til den indsats, som kræves af den dataansvarlige, og normalt 10 dage.

Det er fortsat uklart, om den samme frist på 30 dage gælder efter oplysnings- og fremlæggelsespligten efter bekendtgørelse 1377/2021 § 5, stk. 1, nr. 1, jf. § 10, hvor det er angivet, at skadelidte skal orienteres indenfor ”rimelig tid” efter at en personobservation er afsluttet. En sådan tolkning af bekendtgørelsen ligger udenfor Datatilsynets kompetence. Det må dog have formodningen for sig, at der består et sammenfald mellem orienteringsfristerne henset til, at reglerne om god skik for finansielle virksomheder ofte vurderes i forhold til andre regler, herunder uden for den finansielle lovgivning, som den finansielle virksomhed skal overholde. Herved undgår også eventuel regelkompleksitet, som Tryg synes at pege på ved selskabets fortolkning af samspillet mellem bekendtgørelsen og DBF.

Det er imidlertid alene Finanstilsynet, som har kompetence til at afgøre en eventuel fortolkningstvivl af bekendtgørelsen i forbindelse med et generelt og risikobaseret tilsyn med bekendtgørelsen. Det bemærkes herved, at Finanstilsynet den 28. november 2023 offentliggjorde en undersøgelsesrapport af forsikringsselskabernes praksis efter bekendtgørelsens ikrafttræden. Rapporten rejste alene få kritikpunkter, og ARK’s omtale af rapporten kan læses her.

Læs Datatilsynets afgørelse af 2. januar 2024 her.

For uddybende spørgsmål til rækkevidden og fortolkningen af Datatilsynets afgørelse kan der rettes henvendelse til advokatfuldmægtig Amalie Kaare Rubeck eller advokat Jesper Ravn.

Ny afgørelse fra Datatilsynet vedrørende forsikringsselskabs oplysningspligt ved personovervågning billede

Kontakt os i dag

Vi er klar til at svare på dine spørgsmål, og vi glæder os til at høre fra dig.

Kontakt os