Datatilsynet har i afgørelse offentliggjort den 20. november 2019 fundet et forsikringsselskab berettiget til at udveksle oplysninger mellem selskabets afdeling for arbejdsskadeforsikring og selskabets afdeling for ansvarsforsikring.
Datatilsynets afgørelse er baseret på både Databeskyttelsesforordningen og lov om finansiel virksomhed.
Indledningsvist finder Datatilsynet, at selskabets behandling skal vurderes i forhold til de regler, der gælder for behandling af følsomme oplysninger (databeskyttelsesforordningens artikel 9), og at behandlingen ikke er omfattet af forbuddet i databeskyttelsesforordningens artikel 9, fordi behandlingen er nødvendig for at fastlægge skadelidtes retskrav og forsikringsselskabets kundes erstatningsansvar, jf. artikel 9, stk. 2, litra f.
På baggrund af en udtalelse indhentet fra Finanstilsynet vurderer Datatilsynet endvidere, at forsikringsselskabets udveksling ikke var uberettiget efter bestemmelsen om fortrolighed i § 117, stk. 1, i lov om finansiel virksomhed, som udgør særlov ved siden af databeskyttelsesforordningens artikel 6.
Datatilsynet lægger vægt på, at skadelidte – i tilfælde hvor en skade både er omfattet af erstatningsansvarsloven og af arbejdsskadesikringsloven – er nødt til at rejse krav efter begge love for at få dækket sit fulde samlede krav. Derfor var selskabets udveksling af oplysninger også i skadelidtes interesse, fordi den sikrer, at man får opgjort og udbetalt den korrekte erstatning.
Angående navnlig forsikringsselskabets oplysningspligt udtaler Datatilsynet, at en sådan udveksling heller ikke medfører, at der skal ske særskilt (fornyet) orientering efter reglerne om oplysningspligt, jf. databeskyttelsesforordningens artikel 13-14. Datatilsynet henviser til, at den nære sammenhæng mellem skadelidtes erstatningskrav efter de to love indebærer, at udvekslingen ikke kan anses for at være en behandling til et andet formål end det, hvortil oplysningerne oprindeligt var indsamlet, hvilket ellers kunne have bevirket, at der skulle gives oplysning på ny.
Man skal være opmærksom på, at afgørelsen konkret retter sig mod de situationer,
Afgørelsen er desuden konkret baseret på bestemmelsen om fortrolighed i § 117 i lov om finansiel virksomhed, og Finanstilsynet udtalte til Datatilsynet, at der skal meget til for at fravige udgangspunktet om, at udnyttelse/videregivelse af oplysninger forudsætter kundens udtrykkelige samtykke.
Datatilsynets afgørelse åbner dermed ingenlunde op for, at forsikringsselskaber ex. eksternt kan udveksle oplysninger med hinanden, selvom der måtte være et krav efter begge love. Afgørelsen åbner heller ikke op for, at et selskab internt kan udveksle oplysninger i tilfælde, hvor den skadelidte har en arbejdsskadesag og eksempelvis en personskadesag efter en færdselsulykke, men hvor der ikke er tale om samme skade.
Datatilsynets afgørelse er derimod helt konkret vurderet. Alligevel rejser den betænkeligheder, fordi den netop kan risikere at åbne op for en langt større udveksling af oplysninger end tiltænkt med henvisning til præmissen om ”at sikre, at der træffes en materiel korrekt afgørelse, og at skadelidte får udbetalt den korrekte erstatning for samtlige tab”.
Det er eksempelvis en grundlæggende forudsætning i behandlingen af arbejdsskadesager, at arbejdsgiver ikke har adgang til arbejdsskadesagerne. Det er kun forsikringsselskabet, der skal have adgang. Derudover har Arbejdsmarkedets Erhvervssikring efter databeskyttelsesforordningen lukket for forsikringsselskabernes adgang til systemet Se Sag, idet selskabet herefter må forlade sig på myndighedernes konkrete partshøringer (medmindre de opnår fuldmagt fra skadelidte).
Det må antages, at arbejdsgivers og forsikringsselskabernes begrænsede adgang til arbejdsskadesagerne skyldes et hensyn til de skadelidtes integritet og adgang til kontrol med deres oplysninger.
En selvforsikret arbejdsgiver er imidlertid selv part i arbejdsskadesagen, og med Datatilsynets præmis for sin afgørelse, er der vel risiko for, at man også hos de selvforsikrede arbejdsgivere vil finde sig berettiget til internt at udveksle oplysninger mellem HR-kontoret (der typisk behandler ansvarssagerne) og Arbejdsskadekontoret? Endvidere kan forsikringsselskaberne ud fra samme præmis vel rejse spørgsmålstegn ved, om de virkelig skal udelukkes fra Se Sag?
Læst forkert kan Datatilsynets afgørelse generelt blive misbrugt til at forsøge at skabe grundlag for internt at udveksle oplysninger i langt højere grad, hvis blot der kan argumenteres for en sammenhæng mellem eventuelle krav, og der derfor er behov for ”at sikre en korrekt opgørelse”. Eksempelvis ud fra synspunkter om konkurrerende lidelser fra tidligere (måske endda afsluttede) arbejdsskadesager, som selskabet har behandlet vedrørende en skadelidte, hvis samme skadelidte senere rejser krav om erstatning efter en privat færdselsulykke mod selskabet.
Det må dog i alle tilfælde fastholdes, at en intern udveksling af oplysninger hos forsikringsselskaberne som altovervejende hovedregel forudsætter kundens udtrykkelige samtykke, jf. § 117 i lov om finansiel virksomhed og Finanstilsynets udtalelse til Datatilsynet. Det er bestemt ikke altid i den skadelidtes interesse, at der sker udveksling af oplysninger. Det kan derimod indebære unødig forhaling af sagerne, hvis selskaber griber fat i irrelevante oplysninger som grundlag for uberettigede synspunkter om konkurrerende skadesårsager.