Bekendtgørelse af lov om forsikringsvirksomhed i tværgående pensionskasser, livsforsikringsselskaber og skadesforsikringsselskaber m.v. (lov om forsikringsvirksomhed) § 82

Finansielle virksomheders videregivelse af fortrolige oplysninger er i dag reguleret i kapitel 9 i lov om finansiel virksomhed samt reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Reglerne i kapitel 9 i lov om finansiel virksomhed er i et vist omfang særregler til databeskyttelsesloven, jf. databeskyttelseslovens § 1, stk. 3.

Den gældende § 117 i lov om finansiel virksomhed indeholder hovedreglen om, at personer knyttet til en finansiel virksomhed eller dennes holdingvirksomhed, herunder et forsikringsselskab eller en forsikringsholdingvirksomhed, ikke uberettiget må videregive eller udnytte fortrolige oplysninger, som de under udøvelsen af deres hverv er blevet bekendt med. Bestemmelsen beskytter fortrolige oplysninger om virksomheden selv og om virksomhedens kunder, hvorved forstås både private og juridiske personer. Baggrunden for den strenge tavsheds- og hemmeligholdelsespligt er, at kunder i finansielle virksomheder ofte betror virksomhederne adskillige oplysninger af privat og personlig karakter. Oplysninger, som ofte ikke udleveres til andre, herunder heller ikke til andre typer af virksomheder. Kunder i finansielle virksomheder har derfor en berettiget forventning om, at deres oplysninger ikke flyder frit eller deles med tredjemand.

Den foreslåede bestemmelse er med mindre tilpasninger en videreførelse af § 117 i lov om finansiel virksomhed.

Det foreslås i stk. 1, at bestyrelsesmedlemmer, medlemmer af lokale bestyrelser og lignende, medlemmer af repræsentantskabet, revisorer og granskningsmænd samt deres suppleanter, stiftere, vurderingsmænd, likvidatorer, direktører, ansvarshavende aktuarer, generalagenter og administratorer i et forsikringsselskab eller en forsikringsholdingvirksomhed samt øvrige ansatte ikke uberettiget må videregive eller udnytte fortrolige oplysninger, som de under udøvelsen af deres hverv er blevet bekendt med.

Bestemmelsen fastslår, at et forsikringsselskab ikke må videregive fortrolige oplysninger, som det gennem virksomhedsudøvelsen får kendskab til. Det omfatter både oplysninger om virksomhedens kunder, hvorved forstås både fysiske og juridiske personer. Videregivelse og beskyttelse af oplysninger om virksomheden selv følger af lov om forretningshemmeligheder, selskabsloven samt hvad der måtte følge af klausuler i ansættelseskontrakter m.v. Bestemmelsen sætter således de nærmere rammer for forsikringsselskabers og forsikringsholdingsvirksomheders muligheder for at udnytte og videregive fortrolige oplysninger. Ved angivelse af forsikringsselskab i nærværende bemærkninger skal endvidere forstås forsikringsholdingvirksomhed. Endvidere bemærkes det, at en række forsikringsselskaber er organiseret i forsikringsadministrationsfællesskaber. Bestemmelsen omfatter på den baggrund også det administrerende selskab i et forsikringsadministrationsfællesskab.

Formålet med bestemmelsen er at beskytte fortrolige oplysninger om forsikringsselskaber eller forsikringsholdingvirksomheder samt forsikringsselskabets kunder. Baggrunden for den strenge tavsheds- og hemmeligholdelsespligt er navnlig, at kunder ofte betror forsikringsselskaber oplysninger af privat og personlig karakter. Kunderne har derfor en berettiget forventning om, at deres oplysninger ikke flyder frit eller deles med tredjemand.

Bestemmelsen omfatter selskabets øverste ledelse samt ansatte, herunder direktionen. Endvidere omfatter bestemmelsen bl.a. revisorer, granskningsmænd, likvidatorer og suppleanter for disse. Det er som udgangspunkt afgørende, at den pågældende person har et ansættelsesforhold med forsikringsselskabet eller er medlem af bestyrelsen. Personer, der ikke har en ansættelsesretlig relation til forsikringsselskabet, f.eks. konsulenter, vil kun have adgang til fortrolige oplysninger i det omfang forsikringsselskabet er berettiget til at videregive oplysninger til disse. De vil i så fald være bundet af den tavshedspligt, der følger af stk. 2.

Bestemmelsen er ikke til hinder for, at samme person kan være ansat i flere forsikringsselskaber. Der skal dog foreligge et sædvanligt ansættelsesforhold med en egentlig opgavevaretagelse. Det forhold, at en person er ansat i flere virksomheder betyder ikke en ændring i, hvilke oplysninger der kan udveksles mellem virksomhederne. En person kan derfor ikke benytte oplysninger fra den ene virksomhed i arbejdet for den anden virksomhed, medmindre oplysningerne i overensstemmelse med reglen om videregivelse kan udveksles mellem virksomhederne.

Begrebet »fortrolige oplysninger« skal forstås bredt og omfatter alle oplysninger, som ikke er offentligt tilgængelige, herunder oplysninger om, hvem der er kunder i et forsikringsselskab m.v. Hvis oplysningerne er offentligt tilgængelige, kan de ikke anses for fortrolige, og er dermed ikke omfattet af bestemmelsen. Spørgsmålet om, hvorvidt offentligt tilgængelige oplysninger kan videregives, skal afgøres efter andre regler, herunder reglen i § 67 om redelig forretningsskik og god praksis.

Der foreligger videregivelse af oplysninger, når oplysningerne overlades til andre. Det vil således være videregivelse, når oplysningerne forlader den juridiske enhed i form af forsikringsselskabet. Det er ikke en forudsætning for, at der foreligger videregivelse, at disse læses af modtageren. Det vil endvidere betragtes som videregivelse, hvis en medarbejder i forsikringsselskabet sender dokumenter med fortrolige oplysninger til sin private e-mail.

Bestemmelsen beskytter også mod uberettiget udnyttelse af oplysninger. Det indebærer, at der er restriktion med hensyn til, hvad oplysningerne må anvendes til indenfor virksomheden. Ved »virksomhed« skal forstås den juridiske enhed, som virksomheden udgør. Det vil bl.a. i koncerner betyde, at en oplysning, som et moderselskab er i besiddelse af, bliver videregivet, hvis oplysningen overlades til et datterselskab. Det betyder også, at oplysningen udnyttes, hvis moderselskabet anvender en oplysning, som moderselskabet er i besiddelse af, til et andet formål end det formål, som oplysningen er indhentet til. Videregivelse sker således ved at overlade oplysningen til andre uden for den juridiske enhed, og udnyttelse sker ved at benytte oplysningen indenfor den juridiske enhed.

Oplysninger kan kun udnyttes indenfor samme virksomhed, hvis dette er berettiget.

Det følger af bestemmelsen, at videregivelse eller udnyttelse kun kan ske, hvis det er berettiget. Ved vurdering af, hvorvidt en videregivelse eller udnyttelse er berettiget, skal der foretages en konkret afvejning af forsikringsselskabets interesse i at kunne udnytte eller videregive oplysninger over for kundens berettigede forventning om, at oplysningerne hemmeligholdes. F.eks. kan konkrete kundeoplysninger kun udnyttes andre steder i virksomheden, hvis der er en ledelsesmæssig eller forretningsmæssig grund hertil.

En udnyttelse eller videregivelse vil altid være berettiget, hvis der foreligger et samtykke fra kunden.

Der stilles ikke formkrav til indhentelsen af et samtykke. Finanstilsynet har tidligere stillet krav om, at et samtykke er specifikt og informeret, således at det fremgår, hvilke oplysninger der videregives til hvem og til hvilket formål. Der foretages således en konkret vurdering af et samtykke ud fra almindelige aftaleretlige principper. Fortolkningsregler og principper i aftaleretten vil således også kunne inddrages i vurderingen, herunder den såkaldte koncipistregel, som betyder, at en uklar aftale fortolkes imod affatteren. Koncipistreglen vil på den måde kunne medvirke til, at eventuelle uklarheder om samtykkets rækkevidde eller gyldighed i øvrigt vil blive fortolket til fordel for kunden.

En kunde i et forsikringsselskab, som ønsker at skifte til et andet forsikringsselskab, skal give samtykke til, at kundens nuværende selskab kan videregive de fornødne oplysninger om kunden til det nye (modtagende) selskab. I forsikringssammenhæng er det i praksis ofte udgangspunktet, at det modtagende selskab indhenter kundens samtykke til videregivelse af kundens oplysninger fra det afgivende selskab. Det modtagende selskab indestår dermed over for det afgivende selskab for, at kunden har givet et gyldigt samtykke. Det er dog stadig det afgivende forsikringsselskab, der har bevisbyrden for, at der er indhentet et gyldigt samtykke til videregivelsen. Denne pligt følger af, at det er virksomheden, der må løfte bevisbyrden for, at videregivelsen ikke har været uberettiget.

En videregivelse vil endvidere være berettiget, hvis videregivelsen sker på baggrund af en retlig forpligtelse. Et forsikringsselskab vil således berettiget kunne videregive oplysninger, hvis det følger af et krav i lovgivningen om at videregive de pågældende oplysninger. Det kan eksempelvis være videregivelse af fortrolige oplysninger til Finanstilsynet i henhold til denne lov. Det bemærkes i den forbindelse, at videregivelse efter de finansielle regler omfatter både videregivelse og overladelse af oplysninger. Endvidere kan kravet om videregivelse følge af andre særregler, f.eks. skattekontrollovens § 61. Tilsvarende må gælde, hvis pligten til at give oplysningerne ikke følger direkte af lovgivningen, men hvor varetagelse af opgaver, pålagt i medfør af lovgivningen, forudsætter videregivelse af de pågældende oplysninger.

Videregivelse af fortrolige oplysninger vil endvidere være berettiget, hvis det sker som led i et frasalg af et forretningsområde, fusion eller sammenlægning. Det kan eksempelvis være tilfældet, hvis en forsikringskoncern sælger en række selskaber i koncernen til et andet selskab. I den forbindelse vil det være berettiget f.eks. i en overgangsperiode at videregive oplysninger ved at dele kundeoplysninger i en fælles database.

Videregivelse af fortrolige oplysninger kan endvidere ske til brug for politimæssig efterforskning af en sag. Relevante oplysninger til brug for politimæssig efterforskning kan ske, hvis hensynet til at opklare strafferetlige forhold vejer særligt tungt. Det forudsættes i den forbindelse, at der alene videregives oplysninger af relevans for en sag, som politiet undersøger eller kan undersøge. Dette betyder bl.a., at politiet som led i almindelig politimæssig efterforskning kan få adgang til oplysning om, hvorvidt en bestemt person er kunde i et forsikringsselskab eller ej.

Det foreslås i stk. 2, at den, som modtager oplysninger efter stk. 1, er omfattet af tavshedspligten i stk. 1. Bestemmelsen har betydning i de situationer, hvor modtageren af oplysningerne ikke i forvejen er pålagt tavshedspligt i medfør af den finansielle lovgivning. Modtageren vil herefter alene kunne videregive oplysningerne, hvis videregivelsen er berettiget i henhold til stk. 1.

Den omstændighed, at tavshedspligten følger oplysningerne ved videregivelse, indebærer ikke, at berettiget videregivelse kan ske i videre omfang end ellers. Det er således uden betydning for, om videregivelsen kan anses for berettiget, at modtageren af oplysningerne underlægges tavshedspligt.

Der vil være enkelte situationer, hvor det ikke vil være meningsfuldt, at tavshedspligten opretholdes. Hvis oplysninger f.eks. videregives i en retssal under hovedforhandlingen af en sag, pålægges tilhørere i retssalen ikke tavshedspligt på grund af denne bestemmelse.

Det påhviler forsikringsselskabet som led i en forsvarlig drift af virksomheden at sikre sig, at den, der modtager fortrolige oplysninger, er bevidst om den tavshedspligt, der følger med. F.eks. kan dette ske ved, at der i en aftale om outsourcing gøres opmærksom på den nævnte tavshedspligt for modtageren.

Overtrædelse af den forslåede § 82, stk. 1, foreslås strafbelagt med bøde eller fængsel indtil fire måneder efter den foreslåede § 312, stk. 2, nr. 1, medmindre højere straf er forskyldt efter den øvrige lovgivning. Ansvarssubjektet for overtrædelse af stk. 1 er den pågældende virksomhed, herunder bestyrelsesmedlemmer, medlemmer af lokale bestyrelser og lignende, medlemmer af repræsentantskabet, revisorer og granskningsmænd samt deres suppleanter, stiftere, vurderingsmænd, likvidatorer, direktører, ansvarshavende aktuarer, generalagenter og administratorer i et forsikringsselskab eller en forsikringsholdingvirksomhed samt øvrige ansatte, der uberettiget videregiver eller udnytter de fortrolige oplysninger.

Den strafbare handling består i uberettiget at videregive eller udnytte de fortrolige oplysninger. Der foreligger en videregivelse, så snart en oplysning kommunikeres mundtligt til en person udenfor virksomheden, eller når oplysningen forlader forsikringsselskabet enten fysisk, eksempelvis i et brev eller andet skriftligt materiale, eller digitalt.

Når fortrolige oplysninger sendes fra virksomhedens interne systemer til en mailadresse uden for systemet, vil virksomheden ikke længere være i stand til at kontrollere, hvad der sker med de fortrolige oplysninger, ligesom virksomheden ikke vil være i stand til at beskytte oplysningerne mod uberettiget brug. Oplysningerne kan eksempelvis downloades på eksterne computere, videresendes til uvedkommende eller lignende, uden at virksomheden har mulighed for at kontrollere dette. Dermed vil oplysningerne lettere kunne komme i uvedkommende personers besiddelse via hacking eller lignende.

Der foreligger en uberettiget videregivelse i de tilfælde, hvor oplysninger forlader forsikringsselskabet, uden at der er en saglig begrundelse herfor, og uden at det sker for at varetage hensyn, der vejer tungere end hensynet til at bevare fortroligheden. Det er i den relation uden betydning, om en videregivelse af fortrolige oplysninger sker til en ekstern e-mailkonto, der tilhører en ansat eller anden person i virksomheden eller til en person udenfor virksomheden.

Det er afgørende for tilliden til den finansielle sektor, at virksomhederne behandler fortrolige oplysninger med omtanke, hvilket er baggrunden for, at overtrædelse af oplysningsforpligtelsen skal være strafbelagt.