Rekommendation om behandling av personuppgifter inom försäkringsföretagens utredningsverksamhet

Transkript

1 Bilaga 10a Styrelsen om behandling av personuppgifter inom försäkringsföretagens utredningsverksamhet Denna rekommendation har utarbetats gemensamt av Svensk Försäkring och Trafikförsäkringsföreningen (TFF) och beslutats av båda organisationernas styrelser. 1. Syfte och omfattning I försäkringsverksamhet behandlas personuppgifter i samband med utredning av oklara försäkringsfall. Vid sådana utredningar förekommer det att även uppgifter om lagöverträdelser som innefattar brott och domar i brottmål behandlas. Uppgifter av detta slag är alltid att betrakta som känsliga. Denna rekommendation lägger fast allmänna principer för försäkringsföretags behandling av personuppgifter vid utredning av oklara försäkringsfall. I dokumentet beskrivs kortfattat vissa grundläggande bestämmelser i personuppgiftslagen (PuL) och kompletterande rekommendationer lämnas beträffande tillämpningen av bestämmelserna. Dessa avsnitt markeras i texten med ramar. en är avsedd att komplettera de generella riktlinjer för försäkringsföretagens utredningsverksamhet som har fastställts av Svensk Försäkrings styrelse. Enligt PuL måste personuppgifter alltid behandlas enligt god sed. Denna rekommendation är ett uttryck för vad som utgör god sed inom försäkringsbranschen vid behandling av personuppgifter i samband med utredning av oklara försäkringsfall. ens syfte är att fastställa höga krav på integritetsskydd vid försäkringsföretags behandling av personuppgifter i samband med utredning av oklara försäkringsfall att öka tydligheten beträffande förutsättningarna för försäkringsföretags behandling av personuppgifter vid sådana utredningar en omfattar behandling av personuppgifter i samband med utredning av oklara försäkringsfall som utförs av försäkringsföretag/återförsäkringsgivare som är medlem i Svensk Försäkring och/eller TFF samt av Larmtjänst AB. Nedan används försäkringsföretag som samlingsbegrepp för alla dessa. en gäller endast sådan behandling som omfattas av PuL. Alla paragrafhänvisningar i texten avser PuL om inte något annat anges. Box 24043, Stockholm Karlavägen 108 Tel

2 2. Rättsliga förutsättningar 2.1 Generella förutsättningar En av de grundläggande reglerna i PuL är enligt 10 att behandling av personuppgifter ska föregås av ett frivilligt, uttryckligt och informerat samtycke av den registrerade. I undantagsfall får dock uppgifter behandlas även utan samtycke. Lagtexten anger sex undantag i punktform. Tre av dessa undantag är relevanta vid utredning av oklara försäkringsfall. Enligt punkten a tillåts behandling utan samtycke om det är nödvändigt för att ett avtal med den registrerade ska kunna fullgöras. I punkten d föreskrivs det att behandling får ske utan samtycke om det är nödvändigt för att en arbetsuppgift av allmänt intresse ska kunna fullgöras. Enligt punkten f kan uppgifter behandlas utan samtycke om den personuppgiftsansvarige har ett berättigat intresse av behandlingen som väger tyngre än den registrerades integritetsintresse. Beträffande punkten a har Datainspektionen (DI) bedömt att den bara är tillämplig om den registrerade själv är avtalspart. Detta undantag kan således tillämpas om en försäkringstagare själv (d v s avtalsparten) begär ersättning för skada. Försäkringsföretaget måste ju då förvissa sig om att förutsättningarna för rätt till ersättning enligt försäkringsavtalet är uppfyllda. Undantaget är däremot knappast tillämpligt då ersättningsanspråket framställs av någon annan än försäkringstagaren, till exempel en förmånstagare eller en skadad tredje man vid trafikolycka. Punkten d torde närmast regelmässigt vara tillämplig vid oklara försäkringsfall. Det är ett allmänt intresse att kollektivet av försäkringstagare inte belastas (via sina premier) av felaktiga utbetalningar av försäkringsersättning. Det är självfallet också ett allmänt intresse att försäkringsbedrägerier och andra brott motverkas och att stöldgods kan återfinnas. Dessa faktorer är väsentliga även vid en intresseavvägning enligt punkten f. 2.2 Behandling av uppgifter om brott Enligt 21 PuL får endast myndigheter behandla personuppgifter om lagöverträdelser som innefattar brott etc. Med stöd av ett bemyndigande i PuL har dock Datainspektionen (DI) utfärdat en föreskrift om undantag (DIFS 1998:3, omtryckt i DIFS 2010:1). Enligt punkten d i DI:s föreskrift får även andra än myndigheter behandla personuppgifter om brott etc om behandlingen avser endast enstaka uppgift som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall. Om inte villkoren enligt denna bestämmelse är uppfyllda, finns det enligt 21 i stället möjlighet att ansöka hos DI om individuellt undantag. 2 (8)

3 Försäkringsföretag kan behandla personuppgifter utan samtycke vid utredning av oklara försäkringsfall med stöd av 10 punkterna a, d och f. Punkten a kan dock bara åberopas när ersättningsanspråket framställs av försäkringstagaren själv. I utredningsverksamhet kan även personuppgifter om lagöverträdelser som innefattar brott och brottmålsdomar behandlas med stöd av den generella undantagsföreskriften (se DIFS 2010:1), d v s om det är fråga om enstaka uppgifter som är nödvändiga för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i enskilda fall. Detta förutsätter dock att antalet utredningsärenden där sådana uppgifter behandlas utgör en synnerligen liten andel av det totala antalet skadeärenden. I annat fall bör ansökan göras om individuellt undantag enligt 21 sista stycket PuL. Se även avsnitt 4 nedan när det gäller förutsättningarna för varnande tips till annat/andra försäkringsföretag. 3. Informationsskyldighet PuL innehåller regler om skyldighet att dels självmant lämna viss information till den registrerade, dels lämna ytterligare information på begäran ( registerutdrag ). 3.1 Information som ska lämnas självmant Enligt är den personuppgiftsansvarige skyldig att självmant lämna viss information om behandlingen av uppgifter till den registrerade. Information ska till exempel lämnas om den personuppgiftsansvariges identitet, ändamålet/n med behandlingen, till vilka kategorier av mottagare informationen kan lämnas ut m m. När personuppgifterna samlas in från någon annan än den registrerade själv, är huvudregeln att informationen ska lämnas till den registrerade när uppgifterna registreras. Om uppgifterna är avsedda att lämnas ut till tredje man, behöver informationen inte lämnas förrän uppgifterna lämnas ut första gången. 3.2 Information som ska lämnas på begäran Enligt 26 har en registrerad också rätt att en gång per kalenderår begära ett registerutdrag med alla de personuppgifter som behandlas om honom eller henne. Begäran ska vara skriftlig och undertecknad av den sökande själv. Det bör observeras att uppgiftsskyldigheten i princip omfattar alla uppgifter som behandlas. Information behöver dock inte lämnas om personuppgifter i löpande text i följande fall: Den löpande texten har inte fått sin slutliga utformning när ansökan görs och uppgifterna har inte lämnats ut till tredje man. Som exempel kan nämnas koncept och utkast till en text. Undantaget gäller dock inte om uppgifterna har behandlats under längre tid än ett år. Den löpande texten utgör minnesanteckning eller liknande och uppgifterna har inte lämnats ut till tredje man. Undantaget avser promemorior och liknande 3 (8)

4 som har kommit till bara för att förbereda ett ärende. Som exempel kan nämnas en föredragningspromemoria som används för att förbereda ett ärende för avgörande. Försäkringsföretag har regelmässigt rutiner för att självmant lämna obligatorisk information till försäkringstagare och skadelidande. Av informationen bör det bland annat framgå att uppgifter kan lämnas till annat försäkringsföretag och Larmtjänst AB. Vid utredning av oklara försäkringsfall förekommer det att personuppgifter registreras eller behandlas på annat sätt även beträffande andra personer, till exempel vittnen. Rutiner måste finnas för att lämna information även till sådana personer i de fall där det är praktiskt möjligt. Information behöver dock inte lämnas om sådant som personen redan kan förutsättas känna till. Skyldigheten att på begäran lämna fullständig information (registerutdrag) en gång per kalenderår gäller även utredningsärenden. Rutiner bör därför finnas för att fullgöra även denna informationsplikt. Det kan dock vara till skada för en utredning att lämna ut viss information. Förutom de undantag som anges i lagtexten beträffande vissa uppgifter i löpande text (se ovan), bör försäkringsföretag kunna göra undantag beträffande uppgifter av följande slag: Personanknuten information som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra företagets ställning som part i rättegången. Uppgifter om att en person misstänks för försäkringsbedrägeri eller annan brottslig verksamhet. Stöd för dessa två undantag finns i förarbetena till 27 PuL, se prop 1997/98:44 s Utlämnande av uppgift till annat försäkringsföretag eller myndighet I samband med utredningsverksamhet förekommer det ibland anledning att misstänka att ett eller flera andra försäkringsföretag har utsatts för eller kan komma att utsättas för brott eller försök till brott. Frågan är om det då är tillåtet att lämna sådan information till berört/berörda företag. Begreppet behandling av personuppgift omfattar enligt 3 även utlämnande genom översändande, spridning eller annat tillhandahållande. En förutsättning för att det ska vara tillåtet för ett försäkringsföretag att lämna ett varningstips till annat företag är därmed att den registrerade först samtycker till detta eller att något av de undantag som finns i 10 är tillämpligt. 4 (8)

5 Att begära samtycke av en misstänkt gärningsman är inte realistiskt. Däremot torde åtminstone ett av undantagen i 10 vara tillämpligt. Enligt punkten f får en uppgift behandlas (till exempel lämnas ut) om detta är nödvändigt för ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut och detta intresse väger tyngre än den registrerades integritetsintresse. Som exempel på en situation som kan vara avsedd med undantagets formulering om utlämnande till tredje man, nämns i den juridiska litteraturen att en personuppgiftsansvarig behandlar personuppgifter som kan tyda på att en viss person planerar att utföra ett bedrägeri mot en annan personuppgiftsansvarig, till vilken personuppgifterna lämnas ut. 1 Detta exempel ger stöd för att försäkringsföretag kan varna ett annat företag vid misstanke om att det andra företaget har utsatts för eller kan komma att utsättas för brott eller försök till brott. I och med att informationen rör misstanke om en lagöverträdelse som innefattar brott, måste även villkoren i DI:s undantagsföreskrift DIFS 2010:1 vara uppfyllda. Enligt punkten d i denna föreskrift får sådan uppgift behandlas om det bara är fråga om enstaka uppgift som är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i ett enskilt fall. Ett varnande tips till annat försäkringsföretag om brottsmisstanke kan naturligtvis vara nödvändigt för att detta företag ska kunna försvara sig mot ett felaktigt ersättningsanspråk. Det förekommer även att myndigheter begär uppgift från försäkringsföretag om viss person. Myndigheterna har oftast lagstöd för begäran men det kan vara svårt för försäkringsföretaget att bedöma om det finns sådant stöd. Försäkringsföretag kan lämna varnande tips till annat/andra försäkringsföretag om det uppkommer misstanke om att detta/dessa företag har utsatts för eller kommer att utsättas för brott eller försök till brott. En förutsättning för detta är dock att det finns konkret anledning till misstanke och att informationen bara gäller enstaka uppgifter i enskilt fall. Se även avsnitt 5 nedan angående gallring. Då myndighet begär att uppgifter om viss person ska lämnas ut, bör försäkringsföretaget begära att myndigheten anger vilket lagstöd som finns för begäran. 5. Gallring Ett grundläggande krav i PuL är att personuppgifter inte sparas längre än nödvändigt med hänsyn till ändamålet med behandlingen, se 9 PuL. Därefter måste uppgifterna gallras eller avskiljas. Det är alltså inte tillåtet att spara personuppgifter bara för att de kan vara bra att ha. Gallring innebär att personuppgifterna förstörs (raderas) permanent eller avidentifieras. Att uppgifterna avskiljs betyder att de i stället lagras på ett sådant sätt att uppgifterna inte längre hålls tillgängliga i den dagliga hanteringen. 1 Se S Öman och H-O Lindblom, Personuppgiftslagen, en kommentar, 4 uppl s (8)

6 I detta sammanhang måste det å ena sidan beaktas att det i utredningsärenden kan finnas information som är både omfattande och dessutom av mycket integritetskänslig natur. Å andra sidan måste det också beaktas att försäkringsföretag i sådana ärenden kan ha starkt behov av att bevara uppgifter under lång tid, bland annat på grund av gällande preskriptionsregler och skadelidandes rätt till omprövning. En avvägning mellan dessa intressen och behov måste ske. Försäkringsföretag ska ha systematiska rutiner för att gallra/avskilja personuppgifter ur ärendehanteringssystem och andra register för utredarstöd. (Detta hindrar inte att uppgifterna fortfarande kan bevaras i ett system eller en akt för försäkrings- eller skadeärende om de har insamlats och fortfarande behövs för sådant ändamål.) Gallrings-/avskiljningsrutinerna bör anknyta både till utredningens status och till gällande preskriptionsfrister enligt följande. I utredningsärende som resulterar i att utredare återlämnar skadan till verksamheten för ordinarie skadereglering och ersättning, kan uppgifter som är nödvändiga för att hantera redan framställda och eventuella framtida ersättningsanspråk sparas. Detsamma gäller om den skadelidande återkallar ett framställt ersättningsanspråk men framtida ersättningsanspråk kan aktualiseras i ärendet. Uppgifter som sparas får bevaras under samma period som skadeakten sparas, dock längst till dess den försäkringsrättsliga preskriptionsfristen för ersättningsanspråk har löpt ut. Övriga personuppgifter ska gallras senast sex månader efter det att utredningen avslutats. Om det föreligger särskilda skäl i ett enskilt fall kan uppgifterna avskiljas i stället för att gallras. I utredningsärende som resulterar i att anspråket på ersättning för skada avböjs, kan uppgifter som är nödvändiga för att motivera avböjandebeslutet sparas. Uppgifter som sparas får bevaras under samma period som skadeakten sparas, dock längst till dess den försäkringsrättsliga preskriptionsfristen för ersättningsanspråk har löpt ut. Övriga personuppgifter ska gallras senast sex månader efter det att utredningen avslutats. Om det föreligger särskilda skäl i ett enskilt fall kan uppgifterna avskiljas i ställt för att gallras. För det fall utredningsärende avser egendom som frånhänts någon genom brott, kan ovan angivna frister för gallring alternativt knytas till relevanta frister enligt lagen om godtrosförvärv. Varnande tips om misstanke om brott eller försök till brott, ska gallras om tipset inte föranlett utredning om oklart försäkringsärende inom högst tre år från den dag då tipset inkom. 2 Om det föreligger särskilda skäl i ett enskilt fall kan 2 Tidfristens längd är anpassad till erfarenheten att det ibland dröjer relativt lång tid från tidpunkten för tipset till dess brott eller försök till brott utförs. 6 (8)

7 uppgifterna avskiljas i stället för att förstöras. Uppgifter som sparats i avskild form ska gallras senast sex månader efter det att preskriptionsfristen för eventuellt anspråk på ersättning har löpt ut. 6. Mängden information Enligt 9 får den personuppgiftsansvarige inte behandla fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen. De uppgifter som behandlas måste också vara adekvata och relevanta i förhållande till ändamålen med behandlingen. I ett utredningsärende kan det förekomma en mängd uppgifter av olika slag. Det är angeläget att försäkringsföretag inte behandlar fler uppgifter än nödvändigt och att de uppgifter som behandlas är relevanta. Samtidigt kan det ibland vara svårt att i ett tidigt skede bedöma vilka uppgifter som verkligen har betydelse för utredningen. Om det i ett pågående utredningsärende kan konstateras att viss eller vissa inkomna personuppgifter saknar betydelse för utredningen, ska dessa uppgifter snarast gallras eller avskiljas om detta är möjligt och inte medför en uppenbart oproportionerlig arbetsinsats. 7. Säkerhet Försäkringsföretag måste enligt vidta lämpliga säkerhetsåtgärder för att skydda de personuppgifter som behandlas. Lagtexten kompletteras av DI:s allmänna råd angående säkerhet för personuppgifter. Vid fastställande av säkerhetsnivån måste det beaktas vilka tekniska möjligheter som finns och kostnaden för att genomföra åtgärderna. En viktig utgångspunkt vid bedömningen är vilken typ av uppgifter som behandlas, d v s hur känsliga uppgifterna är vilken typ av behandling som utförs, d v s vilka risker som är förknippade med behandlingen. Exempel på uppgifter som alltid är att anse som känsliga är uppgifter om en enskild persons hälsa uppgifter inom försäkringsverksamhet om enskildas personliga och privatekonomiska förhållanden uppgifter om lagöverträdelser som innefattar brott och brottmålsdomar Om ett försäkringsföretag outsourcar verksamhet eller på annat sätt anlitar utomstående för behandling av personuppgifter, föreligger det enligt PuL en skyldighet att upprätta ett avtal med uppdragstagaren om behandlingen. Avtalet ska säkerställa att de säkerhetskrav som föreskrivs i PuL uppfylls. 7 (8)

8 Utöver regleringen i PuL, har Finansinspektionen i allmänna råd ställt krav på att ett företag som outsourcar delar av verksamheten ska försäkra sig om att uppdragstagaren skyddar konfidentiell information både när det gäller företaget och dess kunder. Känsliga uppgifter av de slag som nämnts ovan förekommer ofta vid utredningar av oklara försäkringsfall. Uppgifternas känslighet ställer krav på en hög säkerhetsnivå vid behandling. All behandling av sådana uppgifter ska ske med beaktande av DI:s vid var tidpunkt gällande allmänna råd om säkerhet för personuppgifter. Följande bör särskilt beaktas: Uppgifter i utredningsärenden ska bara vara tillgängliga för därtill behörig personal. Åtkomst till sådana uppgifter bör loggas och systematiskt följas upp. Vid elektronisk kommunikation måste säkerhetsåtgärder vidtas för att hindra obehörig åtkomst. Om känsliga uppgifter förmedlas via e-post ska denna krypteras eller skyddas på annat likvärdigt sätt. Vid åtkomst till känsliga uppgifter över öppet nät måste mottagarens identitet säkerställas. Distansarbete är förenat med säkerhetsrisker. I den mån distansarbete tillåts måste det säkerställas att arbetet kan utföras med en godtagbar säkerhetsnivå. Detta gäller även vid outsourcad verksamhet som utförs av exempelvis extern utredare. 8. Uppföljning och kontroll m m Det är angeläget att försäkringsföretag säkerställer att alla anställda och uppdragstagare som arbetar med utredning av oklara försäkringsfall, får tillräcklig kunskap om hur personuppgifter ska behandlas i samband med sådana utredningar. Försäkringsföretag ska även ha rutiner för utvärdering och kontroll av hur lagregler och interna instruktioner följs. 9. Ikraftträdande Denna rekommendation gäller försäkringsfall, skadehändelser och tips som anmäls eller inkommer från och med den 1 oktober (8)