Persónuvernd hefur lokið frumkvæðisathugun sinni á sjálfvirkri ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar hjá tryggingafélögunum TM, Sjóvá, Verði og VÍS. Tvö síðastnefndu félögin fara samkvæmt Persónuvernd alfarið að persónuverndarlögum við sína ákvarðanatöku en það á hins vegar ekki við um tvö fyrrnefndu félögin.
Persónuvernd einblíndi á vinnslu persónuupplýsinga við hina sjálfvirku ákvarðanatöku en þá er væntanlega átt við að tölvukerfi félaganna sjái um að ákveða hvort að umsækjendur fái líf- eða sjúkdómatryggingu.
Hjá Sjóvá eins og hinum félögunum óskaði Persónuvernd eftir upplýsingum um allar persónuupplýsingar sem notaðar eru við gerð persónusniðs sem lagt er til grundvallar sjálfvirkri ákvarðanatöku, þar með talið allar upplýsingar sem unnt er að tengja beint eða óbeint við tiltekinn einstakling, hvaða vægi tilteknar upplýsingar hafa í sjálfvirkri ákvarðanatöku og hvernig það vægi er ákveðið. Einnig var óskað upplýsinga um með hvaða hætti skráðum einstaklingum er tilkynnt um að sjálfvirk ákvarðanataka fari fram, hvaða vinnsla persónuupplýsinga fari fram í tengslum við hana, á hvaða rökum ákvarðanatakan sé byggð og afleiðingar slíkrar vinnslu.
Sjóvá veitti mjög ítarlegar upplýsingar til Persónuverndar og eru þær allar raktar í niðurstöðu Persónuverndar. Í niðurstöðunni segir að Sjóvá byggi vinnslu persónuupplýsinga, þar með talið viðkvæmra, sem fari fram í tengslum við hina sjálfvirku ákvarðanatöku um umsóknir og óskir um tilboð í líf- og sjúkdómatryggingar, á samþykki viðskiptavina. Af gögnum málsins verði ráðið að viðskiptavinir veiti samþykki sitt með því að fylla út rafræna umsókn um líf- og sjúkdómatryggingu og staðfesti við lok umsóknar að þeir samþykki vinnslu persónuupplýsinga og hafi kynnt sér hvernig persónuvernd er tryggð hjá félaginu. Í umsóknarferlinu komi hins vegar hvergi fram með skýrum hætti að ákvörðun, um hvort trygging verði gefin út og á hvaða verði, fari fram með sjálfvirkri ákvarðanatöku.
Persónuvernd segir að slík samþykkisyfirlýsing teljist ekki uppfylla þau skilyrði persónuverndarlaga um að samþykkisyfirlýsing af þessu tagi verði að teljast upplýst og ótvíræð viljayfirlýsing viðkomandi um að hann samþykki vinnslu persónuupplýsinga sinna.
Er það því niðurstaða Persónuverndar að vinnsla Sjóvá á persónuupplýsingum umsækjenda um líf- og sjúkdómatryggingar hafi ekki verið í samræmi við lög um persónuvernd. Lagt er fyrir félagið að gera breytingar á vinnslunni til samræmis við lögin.
Þegar kemur að TM þá er það niðurstaða Persónuverndar að vinnsla félagsins á persónuupplýsingum umsækjenda um líf- eða sjúkdómatryggingu sé í samræmi við lög um persónuvernd. Félagið upplýsi umsækjendur með skýrum hætti um að ákvarðanatakan sé sjálfvirk og að þeir veiti samþykki sitt fyrir því.
Persónuvernd gerir hins vegar athugasemd við það vinnulag TM að upplýsingar um að reykingar umsækjanda leiði til álags í sjálfvirka ákvörðunarferlinu séu aðeins veittar í almennum skilmálum, sem upplýst sé um og vísað til við upphaf umsóknarferils. Persónuvernd segir að það sé ekki ljóst af útgefnum vátryggingaskírteinum hjá TM að reykingar leiði til álags á iðgjöld trygginga. Viðskiptavini sé því ekki ljóst, hverju sinni, hvort reykingar leiði í raun til álags við útreikning iðgjalda hans og að hvaða marki. Er það niðurstaða Persónuverndar að umrædd vinnsla á þessum persónuupplýsingum sé að þessu leyti ekki í fullu samræmi við meginreglu persónuverndarlaga um sanngjarna og gagnsæja vinnslu persónuupplýsinga.
Niðurstaðan er því að þessi þáttur hinnar sjálfvirku ákvarðanatöku hjá TM um umsóknir um líf- eða sjúkdómatryggingar samræmist ekki persónuverndarlögum og er lagt fyrir fyrirtækið að gera viðeigandi breytingar.