Bekendtgørelse af lov om forsikringsvirksomhed i tværgående pensionskasser, livsforsikringsselskaber og skadesforsikringsselskaber m.v. (lov om forsikringsvirksomhed) § 69

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) fastsætter den overordnede regulering af behandling af personoplysninger. Behandling af personoplysninger er således underlagt en række principper, herunder lovlighed, rimelighed og gennemsigtighed, formålsbegrænsning, dataminimering, rigtighed m.v. Det følger af forordningen, at der som grundlag for behandlingen skal foreligge en retlig forpligtelse eller et samtykke fra den pågældende til behandlingen.

Ved en personoplysning forstås efter forordningen enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Et personnummer er en personoplysning, og behandlingen heraf skal derfor ske i overensstemmelse med principperne i databeskyttelsesforordningen og de relevante særregler.

Lov om finansiel virksomhed, lov om fondsmæglerselskaber og investeringsservices og -aktiviteter, lov om forsikringsformidling og lov om forbrugslånsvirksomheder indeholder i dag en tilsvarende hjemmel til at behandle personnummer i databeskyttelsesforordningens forstand med henblik på entydig identifikation ved varetagelsen af administrative opgaver samt rådgivning af kunder.

Forsikringsvirksomheder kan også i henhold til anden lovgivning indhente og behandle personnummer. Forsikringsvirksomheder skal efter hvidvasklovens § 11, stk. 1, nr. 1, indhente kunders personnummer og derved sikre identiteten af deres kunder med henblik på at forhindre hvidvask og terrorfinansiering.

Privates mulighed for at behandle personnummer følger af databeskyttelsesforordningen og den supplerende bestemmelse i § 11, stk. 2, i databeskyttelsesloven. Ved behandling forstås efter databeskyttelsesforordningens artikel 4, nr. 2, enhver aktivitet eller række af aktiviteter - med eller uden brug af automatisk behandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Den gældende bestemmelse i § 43 b i lov om finansiel virksomhed fastslår, at finansielle virksomheder kan behandle oplysninger om personnummer med henblik på nødvendig entydig identifikation i relation til eksisterende kundeforhold ved varetagelse af administrative opgaver og rådgivning.

Den foreslåede bestemmelse i lovforslagets § 69 viderefører § 43 b i lov om finansiel virksomhed med sproglige præciseringer. Der er ikke tilsigtet materielle ændringer med bestemmelsen.

Det foreslås i § 69, at forsikringsselskaber kan behandle oplysninger om personnummer med henblik på nødvendig entydig identifikation i relation til eksisterende kundeforhold ved varetagelse af administrative opgaver og rådgivning.

Som nævnt i afsnit 3.7.1. må en viderebehandling – for at være i overensstemmelse med artikel 5, stk. 1, litra b, i databeskyttelsesforordningen – ikke ske på en måde, som er uforenelig med de (”udtrykkeligt angivne og legitime”) formål, til hvilke personnummeret oprindeligt var indsamlet. Hvorvidt en viderebehandling af personnummeret med henblik på entydig identifikation i det øvrige kundeforhold vil være foreneligt med det formål, til hvilket personnummeret tidligere er indsamlet, f.eks. i medfør af hvidvaskreglerne, vil bero på en konkret vurdering.

I det omfang en viderebehandling er foreneligt med det formål, til hvilket personnummeret oprindeligt var indsamlet, vil den foreslåede bestemmelse bevirke, at de finansielle virksomheder, som allerede har indhentet personnummer for at sikre identiteten af kunden, kan anvende personnummeret til den videre administration af kundeforholdet og rådgivning.

Bestemmelsen er anvendelig i forhold til de administrative opgaver, som forsikringsselskaberne varetager i relation til deres kunder, ligesom den vil kunne anvendes til brug for den løbende rådgivning af kunderne.

Ved rådgivning forstås anbefalinger, vejledninger, herunder oplysninger om risici forbundet med en disposition, og oplysninger om umiddelbare konsekvenser af kundens valgmuligheder. Forsikringsselskabers administrative opgaver kan indeholde elementer af rådgivning, som følge af at den løbende administration kan føre til et behov om at få rådgivning om ændringer, supplerende produkter m.v.

Ved eksisterende kundeforhold forstås, at der skal være indgået et kundeforhold i form af en gensidig aftale mellem forsikringsselskabet og kunden. Den foreslåede bestemmelse kan således ikke anvendes som hjemmel for behandling af personnummer i forbindelse med tilbudsgivning, når der er tale om etablering af et nyt kundeforhold. I sådanne tilfælde er virksomheden afhængig af et samtykke fra potentielle kunder, hvis virksomheden skal kunne behandle personnumre, f.eks. ved forsikringsselskabers udarbejdelse af tilbud på en eller flere forsikringer.

Bestemmelsen er imidlertid ikke til hinder for, at forsikringsselskaber uden samtykke anvender den kommende kundes personnummer til at gennemføre den elektroniske godkendelse af forsikringsselskabets bindende tilbud på tegning af en forsikring. Bestemmelsen er heller ikke til hinder for, at virksomheder kan anvende bestemmelsen som behandlingshjemmel i forbindelse med et tilbud om nye produkter i et eksisterende kundeforhold.

Videreførelsen af den foreslåede bestemmelse vil medføre, at forsikringsselskaberne fortsat har adgang til at behandle personnumre i relation til eksisterende kundeforhold for forsikringstagere, sikrede og skadelidte. Forsikringstager er den person, som har tegnet den pågældende forsikring i forsikringsselskabet, dvs. har indgået forsikringsaftalen med forsikringsselskabet. Der kan være flere forsikringstagere for den enkelte forsikringsaftale, f.eks. to ægtefæller. Sikrede er personer, som i anledning af skader vil kunne få erstatning fra forsikringen, f.eks. medlemmer af en arbejdsmarkedspensionsordning, en firmapensionsordning eller begunstigede på en livsforsikring. Andre eksempler er familiemedlemmer i forsikringstagerens husstand eller en panthaver, som efter forsikringsaftalelovens § 54 er sikret ret til erstatning, hvis der sker en skade på det pantsatte aktiv. Skadelidte omfatter personer, som har anmeldt en skade under en forsikring.

Videreførelsen af den foreslåede bestemmelse medfører, at forsikringsselskaber fortsat vil have adgang til at behandle personnummeret på forsikringstagere, sikrede og skadelidte, hvis det er nødvendigt at foretage en entydig identifikation ved udførelsen af følgende opgaver, idet der ikke er tale om en udtømmende opremsning:

– Login ved selvbetjeningsløsninger og services, herunder evt. applikationer (apps), der kræver entydig identifikation for brug af løsningen.

– Koncernintern udveksling og administration, herunder koncernintern risikostyring.

– Udveksling af personnummer med andre tredjeparter, når det er nødvendigt for at opfylde forsikringsaftalen.

– Løbende kommunikation med kunden.

– Henvendelser om fornyelser eller ændringer af forsikringsaftale.

– Henvendelser om ændringer i forsikringstagerens forhold, som kan have betydning for forsikringspræmien, selvrisikoen på forsikringen, vilkårene for forsikringen og de sikkerhedsforskrifter, som forsikringstageren skal iagttage.

– Henvendelser til forsikringsselskabet som reaktion på ændring af forsikringspræmie, selvrisiko, forsikringsvilkår eller sikkerhedsforskrifter eller andre ændringer, f.eks. ændringer i betaling af forsikringspræmien eller andre lignende ændringer af de generelle forhold i kundeforholdet.

– Kommunikationen mellem skadelidte og forsikringsselskabet i anledning af skader, hvor der ofte fremkommer oplysninger, som fører til ændring eller præcisering af forsikringsaftalen.

– Henvendelser med konkrete spørgsmål om forsikringens dækning.

– Regelmæssige opdateringer om oplysninger fra CPR-registret med henblik på sikring af, at forsikringsselskabet har de korrekte data (datakvalitet) om den registrerede.

– Den påkrævede anvendelse af personnummer ved kommunikation via e-Boks som sikker digital post mellem forsikringsselskabet og dets kunder.

– Udbetalinger til NemKonto af erstatninger, refusion af betalte præmier, udbetaling af bonus osv., idet anvendelse af udbetaling til NemKonto kræver, at virksomheden har kundens personnummer.

– Anvendelse af personnummer som sikring af identiteten i forbindelse med den løbende kommunikation mellem forsikringsselskabet og den registrerede – herunder som led i, at den registrerede ønsker at gøre brug af den registreredes rettigheder under databeskyttelsesforordningen.

– Indhentelse af kundens skadeshistorik hos andre forsikringsselskaber i forbindelse med fastsættelse af vilkårene for kundens forsikring, og hvor personnummeret er med til at sikre entydig identifikation af kunden hos forsikringsselskabet.