Lögmæti vinnslu heilsufarsupplýsinga hjá íslenskum vátryggingafélögum

Abstract

Ritgerð þessi er á sviði persónuupplýsingaréttar. Tilgangur og markmið hennar er að kanna hvort vinnsla íslenskra vátryggingafélaga standist kröfur persónuverndarlaga nr. 90/2018 og reglugerðar Evrópuþingsins og ráðsins nr. 2016/679 um lögmæti og öryggi við vinnslu heilsufarsupplýsinga skráðra einstaklinga. Starfsemi íslenskra vátryggingafélaga grundvallast að miklu leyti á aðgengi að heilsufarsupplýsingum skráðra einstaklinga, bæði við gerð vátryggingasamninga á sviði persónutrygginga og við úrvinnslu persónutjóna. Með tilkomu nýrrar persónuverndarlöggjafar, sem tók gildi þann 15. júlí 2018, voru kröfur til ábyrgðaraðila við vinnslu persónuupplýsinga stórauknar, til að samræmast betur grundvallarsjónarmiðum og reglum um persónuvernd og friðhelgi einkalífs einstaklinga. Í ritgerðinni er grein gerð fyrir þeim vinnsluheimildum sem íslensk vátryggingafélög grundvalla vinnslu heilsufarsupplýsinga á og farið er yfir þær meginreglur sem vinnslan þarf jafnframt að samræmast svo hún geti talist lögmæt. Aukinheldur er greint frá viðeigandi öryggisráðstöfunum sem íslensk vátryggingafélög geta beitt til að fullnægja kröfum persónuverndarlöggjafarinnar um öryggi. Í umfjöllun ritgerðarinnar er litið til löggjafar, umfjöllunar fræðimanna auk persónuverndarstefna og skilmála íslenskra vátryggingafélaga. Þrjú íslensk vátryggingafélög svöruðu að auki spurningum höfundar um framkvæmd þeirra við vinnslu heilsufarsupplýsinga. Í stuttu máli fela niðurstöður ritgerðarinnar í sér að rými sé til úrbóta við vinnslu vátryggingafélaga á heilsufarsupplýsingum skráðra einstaklinga. Lagðar eru fram tillögur þess efnis hvernig hægt er að stuðla að því að íslensk vátryggingafélög geti betur aðlagað framkvæmd sína að kröfum persónuverndarlöggjafarinnar og um leið stuðla að friðhelgi einkalífs hins skráða.

The purpose of this thesis is to assess if Icelandic insurance companies fulfil requirements of Act. no. 90/2018 and regulation (EU) 2016/679 on processing personal data. As well as how they meet the requirements of the security principle while processing personal data related to the physical or mental health of a natural person.A substantive role of Icelandic insurance companies is to process personal data relating to the health of a natural person. However with the introduction of the regulation (EU) 2016/679 the requirements for those responsible for the processing of personal data were greatly increased in order to better comply with the principles and rules of privacy aswell as the protection of private life of individuals. The thesis describes how the processing of health data, by Icelandic insurance companies complies with legislative requirements and principles on processing. In addition to reviewing the security measures which insurance companies must observe to ensure the privacy of the health data. In resolving the thesis the author looks at the requirements of Act. no. 90/2018 and regulation (EU) 2016/679 in addition to privacy policies and terms of insurance companies. Moreover, three Icelandic insurance companies responded to questions from the author regarding how they consider themselves in compliance with the requirements of the legislation. In short, the results of the thesis imply that there is room for improvement in the processing of insurance companies‘ health information by registered individuals. Proposals are made to the effect that it is possible to promote that Icelandic insurance companies can better adapt their implementation to the requirements of Act. no. 90/2018 and regulation (EU) 2016/679 and also promote the privacy of the data subject.