Datatilsynet har den 8. december 2020 truffet afgørelse i en sag, hvor der var indgivet klage over et forsikringsselskabs indsamling af oplysninger på Facebook mv. om tredjepersoner i forbindelse med undersøgelse af en sag, hvor klagers samlever af selskabet blev undersøgt for mistanke om forsikringssvindel.
Forsikringsselskabet havde i forbindelse med undersøgelsen af samleveren indsamlet opslag, der bl.a. viste klager og hendes søn. Klager anførte, at de billeder som forsikringsselskabet havde indsamlet fra tilgængelige kilder på internettet, viste klager og hendes søn i situationer uden relevans for forsikringssagen med samleveren. Klager anførte endvidere, at billederne af hendes søn burde være sløret, og at det efter hendes opfattelse i øvrigt var i strid med GDPR, at forsikringsselskabet havde indsamlet materiale fra (åbne) private profiler på sociale medier i forbindelse med sagen med samleveren.
Datatilsynet lagde indledningsvis til grund, at alle de indsamlede oplysninger om klager og hendes søn var fra offentligt tilgængelige kilder i form af Facebook og Instagram-profiler.
Herefter anførte Datatilsynet, at det af GDPR artikel 6, stk. 1, litra F fremgår, at der lovligt kan ske behandling af personoplysninger, hvis dette sker for at forfølge ”en legitim interesse, med mindre registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor”.
Datatilsynet fandt herefter, at forsikringsselskabets indsamling af billeder/internetopslag var i overensstemmelse med GDPR, artikel 6, stk. 1, litra F, idet forsikringsselskabet havde ”en legitim interesse i at indsamle billederne som et led i undersøgelse af mistanke om forsikringssvindel. Datatilsynet har yderligere lagt vægt på, at forsikringsselskabets interesse i at behandle oplysningerne gik forud for din interesse, uanset at det faktum, at du og din søn optræder på nogle af billederne. Datatilsynet har herved lagt vægt på, at oplysningerne var indsamlet for offentlige tilgængelige kilder, og at der var tale om oplysning, som du bl.a. selv havde offentliggjort på Facebook og Instagram”.
Herefter fandt Datatilsynet ikke grundlag for at tilsidesætte forsikringsselskabets vurdering af, at de pågældende opslag og billeder var nødvendige i forbindelse med en undersøgelse af mulig forsikringssvindel hos samleveren og en eventuel sag ved ankenævnet eller domstolene.
Datatilsynet noterede sig afslutningsvis, at forsikringsselskabet på grundlag af klagers indsigelse havde valgt at sløre klager og hendes søn på billederne.
Kommentarer
I forbindelse med forsikringsselskabets undersøgelse af sagerne og mistanke om forsikringssvindel, forekommer det hyppigt, at forsikringsselskabet foretager en såkaldt Osint-undersøgelse af åbne tilgængelige kilder på internettet (herunder aktiviteter på sociale medier). Det kan være fra forsikredes/skadelidtes egen profil eller fra andres åbne profiler, hvor skadelidte/forsikringstager optræder, er ”tagget” eller på anden måde interagerer.
Det er ligeledes en hyppigt forekommende indsigelse, at forsikringstager selv eller tredjemand (f.eks. familiemedlemmer) protesterer overfor forsikringsselskabets indsamling af de pågældende oplysninger.
Med Datatilsynets afgørelse synes det imidlertid klart, at indsamlingen af oplysninger fra åbne profiler/kilder på internettet til brug for vurdering af potentiel forsikringssvindel i sig selv anses som en legitim interesse efter GDPR.
Det må endvidere på grundlag af afgørelsen konkluderes, at Datatilsynet vil være endog særdeles tilbageholdende i forhold til at tilsidesætte forsikringsselskabets skøn over, hvilke indsamlede oplysninger (herunder fra tredjepersoners profiler og visende tredjepersoner i opslaget), som værende nødvendig for forsikringsselskabets undersøgelse/bedømmelse.
ARK bistår forsikringsselskabet i forbindelse med den verserende sag.
Comments