Home

PVN-2004-08 Finansnæringens Hovedorganisasjon

Datatilsynets referanse: 
2003/2290 HPG/-

Personvernnemndas avgjørelse av 18.05.05 (Jon Bing, Gro Hillestad Thune, Per Anders Stalheim, Hanne Bjurstrøm, Claude Lenth, Sidsel Rogde).

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak av 29.10.2004, om konsesjonsvilkår for behandling av personopplysninger i forsikringsbransjen.

2 Saksgang

Datatilsynet sendte et utkast til ny konsesjon for forsikringsselskapenes behandling av personopplysninger på høring til Finansnæringens Hovedorganisasjon (FNH) den 18.12.2003. Tilsynet mottok en høringsuttalelse fra FNH på vegne av organisasjonens medlemmer den

20.2.2004. Etter en gjennomgang av høringsuttalelsene, ble enkelte av de anførte synspunkter fra FNH hensyntatt. Den endelige konsesjonen med merknader ble vedtatt og oversendt til FNH den 30.4.2004. Datatilsynet mottok klage på konsesjonsvilkår datert 18.6.2004. Datatilsynet mottok brev fra Forbrukerrådet 06.07.04 med opplysninger om forsikringsselskapenes kontraheringsnektelse. Ved fornyet behandling av saken fant tilsynet å kunne etterkomme to av FNHs fire anførsler. FNH ble underrettet om dette i brev av 28.10.2004. Samme dato oversendte Datatilsynet saken til Personvernnemnda. FNH ble underrettet om dette i brev fra nemnda 4.11.2004.

Datatilsynet mottok klage fra FNH på endrede konsesjonsvilkår i brev av 10.12.2004. FNH sendte til Personvernnemnda utfyllende bemerkninger til Datatilsynets oversendelsesbrev i brev av 20.12.04. I brev av 23.12.2004 ba tilsynet FNH om utfyllende opplysninger til klagen. Samme dato oversendte tilsynet fortsettelse av klagen til Personvernnemnda. FNH oversendte utfyllende opplysinger til klagen til tilsynet i brev av 25.1.2005. Tilsynet hensyntok et av kravene fra FNH den 9.2.2005. FNH oversendte klage på vilkår som ikke ble hensyntatt i brev til tilsynet den 2.3.2005.

Personvernnemnda mottok ytterligere tilføyninger om saken i brev fra Datatilsynet den 9.3.2005. Nemnda mottok utfyllende opplysninger fra FNH i brev av 3.5.2005.

3 Faktum

På vegne av FNHs medlemmer i forsikringsbransjen, påklager organisasjonen tre vilkår i konsesjonen om behandling av personopplysninger i forsikringsbransjen.

Det ene vilkåret som påklages er krav til skriftlig samtykke (formkrav) når forsikringsselskapene skal behandle sensitive personopplysninger. Slik konsesjonen foreligger, er det et absolutt krav til skriftlig samtykke for behandling av helseopplysninger.

I henhold til konsesjonens punkt 4, kan forsikringsselskapene ikke benytte fødselsnummer for å foreta kredittvurdering av kunden som ledd i risikovurderingen. Dette påklages av FNH.

Videre påklages vilkåret om at relevans skal vurderes av en faglig kompetent person ved kilden.

Klager har vært i dialog med Datatilsynet om endringer i konsesjonen siden desember 2003. Ønsket om unntak fra kravet om skriftlighet når det gjelder innhenting av samtykke til behandling av kollektive forsikringsordninger, har blitt endret i samsvar med FNHs anførsler.

4 Anførslene

4.1 Skriftlig samtykke

FNH er enig i at det som hovedregel må innhentes skriftlig samtykke som hjemmel for behandling av sensitive personopplysninger. Organisasjonen mener imidlertid at et absolutt krav om at et samtykke skal være skriftlig gir for liten fleksibilitet.

FNH anfører at når det gjelder helseopplysninger, kan det i noen få tilfeller være til en vesentlig ulempe for kunden at et samtykke skal være skriftlig. FNH mener at dette spesielt gjelder i henhold til reiseforsikring og andre tilfeller der forsikringsselskapet må handle raskt. Organisasjonen viser til at det ville vært vanskelig å oppfylle formkravet ved en slik situasjon som oppsto julen 2004 i Sørøst-Asia.

FNH kan ikke se at det finnes tilstrekkelig behandlingsgrunnlag i personopplysningsloven § 9 litra c, fordi forsikrede i de fleste tilfeller er i stand til å samtykke og kan gjøre dette på annen måte enn skriftlig.

FNH ønsker følgende konsesjonstekst i henhold til kravet om skriftlighet:

«Behandling av helseopplysninger må baseres på skriftlig samtykke fra den registrerte, jf. personsopplysningslovens §§ 8 første ledd og 9 litra a, med mindre annet følger av lov, i medhold av lov eller av forskrift med hjemmel i lov. I situasjoner der forsikrede har behov for raskt forsikringsoppgjør og kravet om skriftlig samtykke er til vesentlig ulempe for den forsikrede, kan samtykke innhentes på annen betryggende måte.»

FNH mener det finnes andre betryggende måter å innhente samtykke på enn ved skriftlighet. Organisasjonen anfører at en stor del av kundene til et forsikringsselskap finner det mest hensiktsmessig å ha store deler av kommunikasjonen på telefon eller nett. FNH mener at det ikke foreligger grunn til å ha noen formkrav, og at det i det hele er tilstrekkelig med etterfølgende bekreftelse.

FNH ønsker forøvrig utsatt frist for fullføring av arbeidet med ny samtykkeerklæring i forsikringsselskapene.

4.2 Relevanskravet

FNH ønsker at kravet om at relevans skal vurderes av faglig kompetent person ved kilden, tas ut av konsesjonen. Forsikringsnæringen er ikke enig i Datatilsynets tolkning av relevanskravet om at lege/behandlingsinstitusjon, trygdekontor eller annen offentlig etat, skal avgjøre hvilke helseopplysninger som er relevante for forsikringsselskapet. FNH mener at det er et grunnleggende prinsipp at det forsikringsselskapet som påtar seg en risiko må avgjøre hvilke helseopplysninger som er relevante. Organisasjonen mener at det er forsikringsselskapene som best kan vurdere hvilke helseopplysninger som er relevante.

Forsikringsselskapene viser til eksempler der leger har oppgitt at helsetilstanden til forsikringssøkeren er bedre enn den i realiteten er. Videre viser FNH til tilfeller der leger bevisst har holdt tilbake relevant informasjon om forsikringssøkerens helsetilstand. FNH har erfart at leger opptrer i strid med regelverket ved å oppgi uriktige opplysninger og tilbakeholde informasjon til fordel for sine pasienter.

FNH mener at det i konsesjonen gis en utvidet rett for kilden til å vurdere relevanskravet blant annet slik det er fastsatt i personopplysningsloven § 11. FNH understreker at kilden ikke innehar forsikringskompetanse, og således ikke er i stand til å foreta en korrekt relevansvurdering.

4.3 Bruk av fødselsnummer

FNH mener at bruk av fødselsnummer ikke innebærer en stor personvernulempe for kundene. Organisasjonen viser til at det er nødvendig med fødselsnummer i skadeforsikring for å kunne foreta en risikovurdering og fastsette en riktig pris. FNH poengterer at utviklingen når det gjelder premieberegningene for skadeforsikring, er at premiene blir mer individualisert. Prissettingen blir ikke basert på gjennomsnittsforutsetninger, men på risikovurdering av den enkelte kunde. Fødselsnummer er i denne forbindelse helt nødvendig.

Organisasjonen mener at bruk av fødselsnummer sikrer kredittvurdering for riktig person. FNH viser til at kravet om at det skal foreligge et kredittelement for at kredittopplysninger skal kunne benyttes, som hovedregel vil være oppfylt hva gjelder forsikringsavtaler. Kravet vil være oppfylt for skadeforsikringsavtaler fordi forsikringen normalt trer i kraft før betaling er skjedd.

I forhold til personopplysningslovens målsetting om datakvalitet, mener FNH forøvrig at bruk av fødselsnummer sikrer dette på en bedre måte.

FNH mener at personvernet kan ivaretas ved at opplysningene ikke brukes til andre formål, at de slettes etter rimelig tid og at kundene gis informasjon om hva fødselsnummeret brukes til.

5 Datatilsynets vurdering

5.1 Skriftlig samtykke

Datatilsynet mener etter en total vurdering at helseopplysninger i forsikringssammenheng kun bør behandles på bakgrunn av skriftlig samtykke. Tilsynet begrunner dette med at helseopplysninger er en type sensitive opplysninger som de fleste finner mest følsomme og ønsker å ha kontroll med. I forhold til forsikringsselskaper er man ofte i en sårbar situasjon, samtidig som det dreier seg om store opplysningsmengder.

Tilsynet anfører at ved å stille krav om at det alltid skal innhentes skriftlig samtykke, vil man til en viss grad sikre at den registrerte føler at han/hun har kontroll over egne personopplysninger ved at man får et bevisst forhold til hva som blir innsamlet eller utlevert. Tilsynet mener at et krav til skriftlighet også vil kunne fungere som en ekstra sikkerhetsbarriere i forhold til relevansvurderingen, ved at den registrerte ofte samtidig vil bli gitt skriftlig informasjon om hva som skal innhentes, fra hvem og hvorfor, og eventuelt hvilke forhold som ønskes belyst fra vedkommende selv.

Datatilsynet stiller ingen krav til at samtykket i alle situasjoner skal innhentes på standardiserte skjemaer. Dersom man er i en situasjon der kravet til skriftlig samtykke anses å være til vesentlig ulempe for den registrerte, vil man for eksempel kunne innhente samtykket elektronisk per e-post. Tilsynet påpeker imidlertid at dette som hovedregel ikke vil anses godt nok i en tegningssituasjon.

Tilsynet mener at FNHs foreslåtte vilkår fremstår som svært skjønnsmessig utformet og vanskelig å praktisere. I dagens samfunn vil det finnes mange metoder som gjør det enkelt å innhente et skriftlig samtykke. Datatilsynet kan derfor ikke se at det er mange tilfeller der dette kravet vil være til ugunst for den registrerte.

Datatilsynet har satt fristen for fullføring av arbeidet med ny samtykkeerklæring til to måneder etter at endelig avgjørelse i klagesaken foreligger fra Personvernnemnda, en frist som påklages av FNH.

5.2 Relevanskravet

Tilsynet mener at vilkåret om at kilden skal foreta relevansvurdering er ment som en presisering av grunnvilkåret i personopplysningsloven § 11 litra d, og ikke en utvidelse. Datatilsynets intensjon er at vilkåret skal tydeliggjøre overfor forsikringsbransjen at kilden har en selvstendig plikt, ikke en rett, til å vurdere hva som er relevant for den aktuelle utlevering av personopplysninger. Kilden vil selv være behandlingsansvarlig for utleveringen, jf. personopplysningsloven § 2 nr 2. Tilsynet mener at hva som er relevant kommer an på den aktuelle sak, og etterspørrers beskrivelse av tilfellet og de forhold som ønskes belyst.

I henhold til manglende forsikringskompetanse, uttrykker Datatilsynet forståelse for at dette bekymrer bransjen. Likevel mener Datatilsynet at vurderingen av hvilke opplysninger som skal utleveres ofte er knyttet opp til andre faglige vurderinger som er medisinske og trygderettslige. Helsepersonell vil for eksempel være fullt ut kompetente til å vurdere sammenhengen mellom ulike medisinske forhold.

Datatilsynet kan ikke se at det er grunnlag for å hevde at denne presisering av kildens lovpålagte selvstendige plikt til å gjennomføre relevansvurderingen, vil virke prosessdrivende.

5.3 Bruk av fødselsnummer

Datatilsynet mener at bruk av kredittopplysninger som et ledd i risikovurderingen ikke er en korrekt bruk av denne type personopplysninger, og at slik bruk ikke vil være i samsvar med personopplysningsforskriftens § 4-3. I forskriften stilles det krav om saklig behov. Kravet om saklig behov er rettet mot den som utleverer kredittopplysingene, men vilkåret er gjennom lang praksis tolket utvidende. Ved inngåelse av avtale om online tilgang til kredittopplysningsbyråenes elektroniske database, gjennomfører kredittopplysningsbyråene en vurdering av om kravet til saklig behov vil være oppfylt i avtalepartens virksomhet generelt. Tilsynet mener at ved daglig bruk er ansvaret for gjennomføring av vurderingen derimot flyttet til bruker av databasen, i denne sammenheng forsikringsselskapene.

Datatilsynet viser til at tilsynet i utgangspunktet ikke har kompetanse til å regulere forsikringsselskapenes risikovurdering. Det er derimot innenfor tilsynets myndighetsfelt å ha kontroll med hvorvidt bruk av personopplysninger, herunder kredittopplysninger knyttet til enkeltpersoner, skjer i samsvar med bestemmelsene i personopplysningsloven og tilhørende forskrifter.

Etter tilsynets praksis, skal det i hovedsak foreligge et element av kreditt før kredittopplysninger kan etterspørres. Datatilsynet er enig med FNH i at det foreligger et element av kreditt dersom forsikringen er gjeldende før selskapet har mottatt betaling. Forsikringen vil imidlertid være gjeldende etter at risikovurderingen er foretatt og forsikringstaker har mottatt et tilbud. I tilknytning til den forestående avtaleinngåelsen, vil det være interessant for selskapet å kredittvurdere den potensielle kunden. På dette tidspunktet vil kravet til saklig behov som oppstilles i personopplysningsforskriftens § 4-3 mer sannsynlig kunne anses oppfylt. Datatilsynet er derimot kritisk til den etablerte bruk av kredittopplysninger som et ledd i risikovurderingen. På dette tidspunktet inneholder ikke forholdet mellom forsikringstager og forsikringsselskap et element av kreditt. Tilsynet mener at det ikke er avgjort hvorvidt og på hvilke premisser en eventuell avtale skal inngås i og med at et bindende tilbud ikke er gitt. Kravet til saklig behov som er et vilkår for å motta kredittopplysninger etter personopplysningsforskriftens § 4-3, vil således ikke være oppfylt.

Formålet bak opprettelsen av kredittopplysningsdatabaser er å ha et verktøy til bruk i handelslivet for å forhindre at man inngår avtaler med betalingsudyktige selskap eller enkeltpersoner. Det er ikke hensikten at kredittopplysninger skal benyttes til andre formål, selv om det viser seg at det er en sammenheng mellom dårlig betalingsevne og det forhold som ønskes belyst. Datatilsynet er av den oppfatning at det skal svært sterke grunner til å benytte kredittopplysninger utover hovedformålet, og mener at forsikringsselskapenes bruk er i strid med personopplysningsloven § 11 litra c.

Datatilsynet viser forøvrig til Forbrukerrådets engasjement i saken. Forbrukerrådet fremhever urimeligheten i at forbrukere nektes forsikring fordi de har betalingsanmerkninger, og at dette ifølge forsikringsselskapene indikerer høyere skadeprosent.

6 Personvernnemndas vurderinger

6.1 Innledning

Personvernnemnda har lagt til grunn konsesjon i vedlegg 6 til Datatilsynets oversendelsesbrev av 29.10.04 ved vurdering av klagen. Slik klagesaken fremstår etter den skriftlige saksbehandlingen, skal Personvernnemnda ta stilling til følgende punkter:

  • Krav om innhenting av skriftlig samtykke (formkrav) når forsikringsselskapene skal behandle sensitive personopplysninger.
  • Vurdering av relevanskravet hos kilden til opplysningene som innhentes av forsikringsselskapene.
  • Benyttelse av kredittvurdering som ledd i risikovurderingen, herunder bruk av fødselsnummer i den sammenheng.
  • Krav om sletting innen en måned etter akseptfristen for personopplysninger som er knyttet til pristilbud.
  • Lengden på den frist som Datatilsynet har gitt forsikringsselskapene for fullføring av arbeidet med nye samtykkeerklæringer.

6.2 Krav om innhenting av skriftlig samtykke

Datatilsynet har etter at klagesaken ble oversendt Personvernnemnda 29.10.2004, unntatt forsikringsselskapenes behandling av fagforeningsopplysninger i kollektive forsikringer fra kravet til skriftlig samtykke og omgjort konsesjonen på dette punktet. Ny konsesjonstekst for konsesjonens punkt 1 lyder etter dette som følger:

«1. Behandling av sensitive personopplysninger må baseres på skriftlig samtykke fra den registrerte jf. personopplysningsloven §§8, første ledd, og 9 bokstav a, med mindre annet følger av lov, i medhold av lov eller av forskrift med hjemmel i lov. Unntatt fra kravet er behandling av fagforeningsopplysninger i kollektive forsikringsordninger.»

Personvernnemnda slutter seg til Datatilsynets vurdering om at helseopplysninger i forsikringssammenheng kun skal behandles på grunnlag av skriftlig samtykke. Personvernnemnda ser samtidig at det unntaksvis kan oppstå situasjoner hvor et absolutt formkrav vil kunne være praktisk umulig å oppfylle og at et ufravikelig formkrav til samtykket i visse situasjoner vil kunne være til ugunst for forsikringstakeren. FNH har i klagen brukt som eksempel saksbehandlingen innenfor reiseforsikring der det er nødvendig for selskapet å raskt ta stilling til om forsikringen dekker en eventuell hjemsendelse til Norge ved sykdom eller skade. FNH viser også til at det ville vært vanskelig å oppfylle formkravet i en situasjon tilsvarende den som oppstod julen 2004 med mange reisende forsikringstakere i områdene med flom i Sørøst-Asia.

Personvernnemnda åpner for at formkravet unntaksvis vil kunne fravikes forutsatt at behandlingen er nødvendig for å beskytte forsikringstakerens vitale interesser, og forsikringstakeren ikke er i stand til å bekrefte samtykket skriftlig. Unntaket er formulert med utgangspunkt i ordlyden i personopplysningsloven § 9 første ledd litra c, som imidlertid er et unntak fra hovedregelen om innhenting av samtykke fra den registrerte, og således ikke direkte er anvendelig i denne sak. Personvernnemnda ønsker med dette å etablere en sikkerhetsventil for de situasjoner hvor den registrerte etter omstendighetene er i stand til å samtykke muntlig, men ikke i stand til å bekrefte samtykket skriftlig.

Personvernnemnda tar ikke stilling til hva som må til for at skriftlighetskravet anses oppfylt etter konsesjonsvilkårene.

Ny konsesjonstekst for konsesjonens punkt 1 lyder etter dette som følger:

«1. Behandling av sensitive personopplysninger må baseres på skriftlig samtykke fra den registrerte jf. personopplysningsloven §§8, første ledd, og 9 første ledd bokstav a, med mindre annet følger av lov, i medhold av lov eller av forskrift med hjemmel i lov. Unntatt fra kravet er behandling av fagforeningsopplysninger i kollektive forsikringsordninger. Det kan gjøres unntak fra formkravet dersom behandlingen er nødvendig for å beskytte forsikringstakerens vitale interesser, og forsikringstakeren ikke er i stand til å bekrefte samtykket skriftlig.»

Klagen blir på dette punkt delvis tatt til følge.

6.3 Vurdering av relevanskravet hos kilden til opplysningene som innhentes av forsikringsselskapene

Teksten i det påklagede konsesjonsvilkår punkt 3 lyder som følger:

«3. Ved innsamling av personopplysninger fra andre enn den registrerte, skal relevanskravet primært vurderes av en faglig kompetent person ansatt ved kilden.»

Personvernnemnda legger til grunn at klagen er begrunnet i en forutsetning fra FNHs side om at konsesjonsvilkåret gir kilden en mulighet til å vurdere relevans som går utover den lovpålagte plikten til å vurdere relevans fastsatt etter helsepersonelloven, personopplysningsloven, lov om bioteknologi § 5-8 og andre lovbestemmelser som regulerer taushetsplikt.

Personvernnemnda viser til at Datatilsynet i sitt oversendelsesbrev datert 29.10.2004 til Personvernnemnda har presisert at:

«Vilkåret om at kilden skal foreta en relevansvurdering er ment som en presisering av grunnvilkåret i personopplysningsloven § 11 bokstav d og ikke en utvidelse. Datatilsynets intensjon er at vilkåret skal tydeliggjøre overfor forsikringsbransjen at kilden har en selvstendig plikt, ikke en rett, til å vurdere hva som er relevant for den aktuelle utlevering av personopplysninger.»

Personvernnemnda legger til grunn at konsesjonsvilkåret ikke innebærer noen materielle endringer i forhold til lovgivning som pålegger kilden å vurdere relevans. Begrunnelsen for å klage over konsesjonsvilkåret må etter dette anses bortfalt og Personvernnemnda finner ikke grunn til å realitetsbehandle klagen.

Klagen blir på dette punkt ikke etterkommet.

6.4 Benyttelse av kredittvurdering som ledd i risikovurderingen, herunder bruk av fødselsnummer

Teksten i det påklagede konsesjonsvilkår punkt 4 lyder:

«4. Bruk av fødselsnummer.

  1. Skadeforsikring: Fødselsnummer kan ikke innhentes ved generelle prisforespørsler, kun ved avgivelse av bindende forsikringstilbud og ved tegning av forsikring.
  2. personforsikring: Fødselsnummer kan innhentes både ved prisforespørsel og ved tegning.
    Fødselsnummer kan ikke benyttes for å foreta kredittvurdering som ledd i risikovurderingen.»

Konsesjonsvilkåret regulerer to forskjellige situasjoner; henholdsvis adgangen til å innhente fødselsnummer og adgangen til å bruke fødselsnummer for innhenting av kredittopplysninger for kredittvurdering som ledd i risikovurderingen. Personvernnemnda legger til grunn at klagen gjelder adgangen til innhenting av kredittopplysninger på avtaleinngåelsestidspunktet og forbudet mot å foreta kredittvurdering som ledd i risikovurderingen, jf. pkt. 3 i brev datert 18.6.2004 fra FNH.

Personvernnemnda slutter seg til Datatilsynets vurdering om at forsikringsselskapene ikke har saklig grunn for å kreve fødselsnummer fra potensielle kunder som ønsker å orientere seg i skadeforsikringsmarkedet ved å foreta prisforespørsler for å tilegne seg sammenlikningsgrunnlag hva gjelder pris, jf. personopplysningsloven § 12. Dette forhold er slik Personvernnemnda legger til grunn forøvrig ikke påklaget av FNH.

Personvernnemnda er enig med Datatilsynet om at det må foreligge et element av kreditt før kredittopplysninger kan etterspørres, jf. saklighetskravet i jf personopplysningsforskriften § 4-3 (som gjelder utlevering fra kredittopplysningsbyråer) og personopplysningsloven § 11 første ledd litra b. Kredittvurderingens formål er å kartlegge hvorvidt kunden er kredittverdig og om selskapet ønsker å inngå avtale med vedkommende.

Adgangen til å innhente kredittopplysninger i forbindelse med avgivelse av bindende forsikringstilbud og ved tegning av forsikring er etter dette betinget av at det foreligger et element av kreditt på det tidspunkt kredittopplysningene etterspørres. Personvernnemnda er som Datatilsynet enige med FNH i at det foreligger et element av kreditt dersom forsikringsavtalen er gjeldende før selskapet har mottatt betaling. Kredittvurderingens formål vil i så fall kunne være saklig begrunnet. Dette må vurderes konkret i hvert enkelt tilfelle.

Personvernnemnda legger forøvrig til grunn at forsikringsselskapene er avhengige av å få oppgitt et fødselsnummer for å kunne innhente kredittopplysninger. Dersom saklighetsvilkåret er oppfylt i forhold til innhenting av kredittopplysninger, vil også forsikringsselskapene kunne benytte fødselsnummer for å gjennomføre selve kredittvurderingen.

Personvernnemnda slutter seg til Datatilsynets vurdering om at bruk av kredittopplysninger til risikovurdering er uforenlig med det opprinnelige formålet med innsamlingen, og at bruken av kredittopplysninger til risikovurdering dermed forutsetter et informert samtykke fra den registrerte, jf. personopplysningsloven § 11 første ledd litra c. Etter Personvernnemndas vurdering er bruk av kredittopplysninger til risikovurderingsformål uansett ikke saklig begrunnet i den behandlingsansvarliges virksomhet, jf. personopplysningsloven § 11 første ledd litra b. I motsetning til regelen i personopplysningsloven § 11, første ledd litra c gir regelen i personopplysningsloven § 11 første ledd litra b ikke anledning til avvikelse ved samtykke.

FNH har anført at det er statistisk grunnlag som viser at det er en klar sammenheng mellom betalingsudyktighet og skadehyppighet. Anførselen er ikke nærmere utdypet eller dokumentert av FNH. Personvernnemnda mener uansett at en mulig statistisk sammenheng ikke kan benyttes ved vurdering av det enkelte tilfellet.

Klagen blir på dette punkt ikke etterkommet.

6.5 Krav om sletting innen en måned etter akseptfristen for personopplysninger som er knyttet til pristilbud

Datatilsynet omgjorde på bakgrunn av klagen fra FNH konsesjonsvilkår punkt 5 slik at krav om sletting av personopplysninger som er knyttet til pristilbud, først inntreffer en måned etter dato for akseptfristen i motsetning til dato for registreringen av opplysningene slik det opprinnelige konsesjonsvilkåret lød. Datatilsynet har lagt til grunn at FNH dermed har fått fullt medhold i sin klage og at klagen dermed ikke skal oversendes Personvernnemnda, jf. pkt. 4.4.2 i Datatilsynets brev 29.11.2004. Slik Personvernnemnda forstår klagen fra FNH knytter den seg både til tidspunktet for når slettefristen skal begynne å løpe og lengden på slettefristen. Det er bare tidspunktet for når slettefristen skal begynne å løpe som Datatilsynet har omgjort i samsvar med FNHs klage.

Når det gjelder slettefristen har FNH anført at denne bør være lenger enn én måned. Personvernnemnda har vurdert om det er grunnlag for å forlenge slettefristen ut over en måned etter at akseptfristen er utløpt. Personvernnemnda finner ikke grunnlag for å omgjøre Datatilsynets vedtak basert på de opplysninger som er gitt i saken av FNH.

Klagen blir på dette punkt ikke etterkommet.

6.6 Lengden på den frist som Datatilsynet har gitt forsikringsselskapene for fullføring av arbeidet med nye samtykkeerklæringer.

Datatilsynet har gitt forsikringsbransjen frist for fullføring av arbeidet med nye samtykkeerklæringer på to måneder etter at endelig avgjørelse i klagesaken foreligger i Personvernnemnda.

Personvernnemnda vil for orden skyld bemerke at det ligger innenfor klageorganets kompetanse å fastsette hvilke frister som skal gjelde for oppfyllelse av de avgjørelser som Personvernnemnda treffer i klagesaken, jf. forvaltningsloven § 34.

Personvernnemnda finner grunn til å forlenge fristen for fullføring av arbeidet med nye samtykkeerklæringer til 1. september 2005. Omgjøring av fristen er begrunnet i FNHs behov for koordinering av innspill fra forsikringsselskapene og den omstendighet at juli og august er en perioden hvor arbeidstakere normalt avvikler ferie.

Klagen blir på dette punkt tatt til følge.

Oslo, 1.juni 2005

Jon Bing
Leder