Datatilsynet har behandlet en klage fra en fagforening, der på vegne af et medlem klagede over, at et forsikringsselskab havde udvekslet oplysninger mellem selskabets afdeling for arbejdsskadeforsikringer og afdeling for ansvarsforsikringer. I afgørelse af 20. november 2019 har Datatilsynet fundet, at det ikke er i strid med Databeskyttelsesforordningen artikel 9, stk. 2, litra f, og § 117, stk. 1, i lov om finansiel virksomhed at udveksle oplysninger mellem afdelingerne.
Fagforeningen var utilfreds med, at selskabets afdeling for ansvarsforsikringer til brug for vurderingen af et krav efter erstatningsansvarsloven – uden samtykke og uden hverken forudgående eller samtidig orientering til skadelidte – havde indhentet følsomme personoplysninger om klager fra selskabets afdeling for arbejdsskadeforsikringer. Fagforenings repræsentanten havde ellers oplyst til sagsbehandleren hos forsikringsselskabet, at ”eventuelle supplerende oplysninger ville skulle indhentes gennem mit kontor.”
Under sagen blev der af Datatilsynet indhentet en udtalelse fra Finanstilsynet, som blandt andet udtalte følgende:
Imidlertid kan en konkret vurdering føre til, at der er tale om en berettiget udnyttelse/videregivelse. Ved en konkret vurdering foretages en afvejning af den pågældende kundes interesse i at oplysningerne hemmeligholdes over for den finansielle virksomheds interesse i at udnytte eller videregive oplysningerne.
Den særlige ordning vedrørende erstatning i arbejdsskadesager kan tages i betragtning. Der består en tæt sammenhæng mellem arbejdsskadesager og erstatningssager, idet arbejdsskader behandles efter et tostrenget system, som tilsammen skal dække samtlige skadelidtes tab i forbindelse med en opstået arbejdsskade.
En skadelidt vil således ved en arbejdsskade være nødt til at gå frem både efter arbejdsskadesikringsloven og erstatningsansvarsloven for at få dækket sit fulde samlede tab. Erstatningen efter erstatningsansvarsloven vil ofte fordre kendskab til arbejdsskadesagen og omvendt, hvorfor udveksling af oplysninger mellem de to sager kan være nødvendig.
En udveksling af oplysninger kan således være med til at sikre, at der træffes en materielt korrekt afgørelse, og til at skadelidte får udbetalt den korrekte erstatning for samtlige tab, der er opstået i forbindelse med arbejdsulykken.
Datatilsynet fandt, at den omhandlede behandling af oplysninger om klager ikke var omfattet af forbuddet i databeskyttelsesforordningens artikel 9, stk. 1, idet selskabets behandling af de omhandlede oplysninger var nødvendig for at fastlægge et retskrav, jf. forordningens artikel 9, stk. 2, litra f.
Datatilsynet fandt endvidere, at lovligheden af den i sagen omhandlede behandling af oplysninger klager, som selskabet foretog, skulle vurderes efter § 117, stk. 1, i lov om finansiel virksomhed, og at behandlingen i medfør af Finanstilsynets bemærkninger ikke var uberettiget efter § 117.
Endvidere fandt Datatilsynet at forsikringsselskabet i tilstrækkelig grad havde opfyldt deres oplysningspligt, jfr. databeskyttelsesforordningens artikel 14. Forskellige afdelinger i samme selskab anses i en databeskyttelsesretlige henseende ikke som forskellige dataansvarlige. Der indtrådte derfor ikke en ny forpligtelse til at give meddelelse efter databeskyttelsesforordningens artikel 14 alene med baggrund i, at selskabets afdeling for ansvarsforsikringer indhentede oplysninger fra selskabets afdeling for arbejdsskadeforsikringer.
Eventuelle spørgsmål vedrørende afgørelsen kan rettes til advokat Anne Mette Myrup Opstrup.
