EDI-guide Skadehistorik for erhverv og landbrug Bilag 3 Regler for personoplysninger og oplysninger om erhvervskunder

Transkript

1 EDI-guide Skadehistorik for erhverv og landbrug Bilag 3 Regler for personoplysninger og oplysninger om erhvervskunder Version 1.0 Final

2 Dokumentoplysninger Titel: Projekt: EDI-guide Skadehistorik Bilag 3, Regler for personoplysninger og EDI kontorets branchekoordinerede dataudveksling Forfatter: Bidragsydere til dokumentet: Godkendt af: Dokumentansvarlig: Fordeling: Bemærkning: Mette E. Jespersen, F&P EDI-kontoret Morten Lassen, F&P IT-afdelingen Mette E. Jespersen, F&P EDI-kontoret Mette E. Jespersen, F&P EDI-kontoret EDI kontoret, Forsikring & Pension Udleveres til interessenter i dataudvekslingen Dokumentet kan rekvireres hos Forsikring & Pension Ændringslog Version Dato Ændrede sider eller afsnit Kommentarer 1.0 Draft A Januar 2017 Første udgave 1.0 Draft B Marts 2017 Ingen ændringer Anden udgave 1.0 Draft C April 2017 Ingen ændringer Trejde udgave 1.0 Draft D Juni 2017 Ingen ændringer Fjerde udgave 1.0 Draft E Juli 2017 Ingen ændringer Femte udgave 1.0 Draft F September 2017 Ingen ændringer Sjette udgave 1.0 Final September 2017 Ingen ændringer Syvende udgave 4. september 2017, Version 1.0 Final Side 2 af 6

3 Indholdsfortegnelse 1 REGLER FOR PERSONOPLYSNINGER OG OPLYSNINGER OM ERHVERVSKUNDER SONDRINGEN ML. PERSONOPLYSNINGER OG OPLYSNINGER OM ERHVERVSKUNDER Personoplysninger Oplysninger om erhvervskunder Særlige regler, når der er tale om personoplysninger Særligt vedrørende fx landbrugsforsikringer med blandet erhverv- og privatforsikringer samt enkeltmandsvirksomheder september 2017, Version 1.0 Final Side 3 af 6

4 1 Regler for personoplysninger og oplysninger om erhvervskunder I forbindelse med overvejelserne vedrørende etablering af onlineløsning for udveksling af skadehistorik for erhvervskunder skal selskaberne overholde gældende regler på området, herunder persondataloven og reglerne om videregivelse af kundeoplysninger i kap. 9 i lov om finansiel virksomhed (videregivelsesreglerne i FIL). Reglerne i persondataloven omfatter kun behandling af oplysninger om fysiske personer (personoplysninger). Videregivelsesreglerne i FIL omfatter både personoplysninger og oplysninger om erhvervskunder. Reglerne supplerer de generelle regler i persondataloven, når der er tale om personoplysninger. Reglerne i persondataloven erstattes pr. 28. maj 2018 af Databeskyttelsesforordningen. Databeskyttelsesforordningen regulerer udelukkende personoplysninger. Det er endnu uvist, i hvilket omfang videregivelsesreglerne i FIL opretholdes eller bortfalder, når forordningen får virkning. Som udgangspunkt forudsættes det, at der som udgangspunkt alene udveksles med den nye onlineløsning for udveksling af skadehistorik se dog pkt Nedenfor er en opmærksomhedsliste over de særlige problemstillinger, som selskaberne skal være opmærksomme på i forbindelse med den nye onlineløsning for udveksling af skadehistorik for erhvervskunder. Der tages i notatet udgangspunkt i de gældende regler. Det skal i den forbindelse understreges, at disse regler allerede finder anvendelse, når selskaberne i dag udveksler oplysninger på anden vis (fx pr. telefon eller ). Opmærksomhedslisten omfatter følgende: Sondringen mellem personoplysninger og Generelle krav til samtykke Formkrav til samtykke Eksempel til samtykke-erklæring Særlige krav, når der er tale om personoplysninger Særligt vedrørende fx landbrugsforsikringer med blandet erhverv- og privatforsikringer samt enkeltmandsvirksomheder 1.1. Sondringen ml. personoplysninger og Det kan være vanskeligt i praksis at sondre mellem personoplysninger og i praksis. Som udgangspunkt omfatter oplysninger om erhvervskundeforhold de oplysninger, som ikke kan karakteriseres som personoplysninger. Det lægges til grund, at der udelukkende overføres, videregives og behandles i forbindelse med den nye onlineløsning for udveksling af skadehistorik for erhvervskunder. Det forudsættes således, at selskaberne overholder de gældende videregivelses reglerne i FIL. 4. september 2017, Version 1.0 Final Side 4 af 6

5 Såfremt der også overføres, videregives og behandles personoplysninger skal både reglerne i persondataloven og FIL videregivelsesregler overholdes. Nedenfor er gengivet fortolkningsbidrag til sondringen mellem personoplysninger og oplysninger om erhvervskundeforhold. Selskaberne bør bl.a. være opmærksom på disse, når de skal sørge for at overholde reglerne Personoplysninger Personoplysninger defineres i persondataloven som enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Følgende fremgår af Datatilsynets hjemmeside (vores fremhævninger): Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som f.eks. løbenummer. Det er uden betydning, hvorvidt identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen. Det er med andre ord tilstrækkeligt, at der i forbindelse med behandlingen er etableret en ordning med et løbenummer eller lignende, f.eks. medlemsnummer eller journalnummer. Er fx navn eller adresse erstattet af en kode, der kan føres tilbage til den oprindelige individuelle personoplysning, vil der stadigvæk være tale om en personoplysning. Krypterede oplysninger er dermed også omfattet, sålænge nogen kan gøre oplysningerne læsbare og dermed identificere de personer, som oplysningerne vedrører. Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af definitionen. Ved afgørelsen af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den dataansvarlige eller af enhver anden person, tages i betragtning. Dog medfører (persondataloven), at elektronisk behandling af oplysninger om bestemte personer vil være omfattet af lovgivningen, uanset at personerne kun er bipersoner i behandlingen Oplysninger om erhvervskunder Oplysninger om erhvervskunder kan fortolkes som de oplysninger, der ikke omfatter fysiske personer (personoplysninger), jf. ovenfor i pkt Som fingerregel omfatter de kunder, der driver erhvervsvirksomhed - uanset om dette sker i virksomhedsform eller i personligt regi. 4. september 2017, Version 1.0 Final Side 5 af 6

6 Udgangspunktet vil være, om kunden har et CVR-nr. knyttet til sin virksomhed, og om kunden bliver beskattet efter reglerne om personlig indkomst eller erhvervsindkomst Særlige regler, når der er tale om personoplysninger Selskaberne skal udover videregivelsesreglerne i FIL - overholde de gældende regler i persondataloven, herunder fx reglerne om oplysningspligt, indsigtsret, behandlingsreglerne, opbevaring og sletning m.v Særligt vedrørende fx landbrugsforsikringer med blandet erhvervog privatforsikringer samt enkeltmandsvirksomheder Selskaberne skal også være særligt opmærksomme på, at der i forbindelse med landbrugsforsikringer kan være indtegnet både erhverv og privatforsikringer. Derudover kan der på øvrige virksomheders forsikringer være indtegnet husforsikring under virksomheden. I de nævnte situationer kan der således blive udvekslet personoplysninger om navnlig forsikringstager og sikrede, og reglerne i både persondataloven og videregivelsesreglerne i FIL skal således overholdes. I relation til samtykke betyder det navnlig, at selskaberne skal skrive deres samtykker således, at de også omfatter relevante personoplysninger om skadehistorik på landbrugsforsikringerne og husforsikringen hos de tidligere selskab(er). Samtykket skal som udgangspunkt meddeles af den registrerede selv men kan dog også meddeles af en person, som den samtykkende har meddelt fuldmagt til (fx en ansat i virksomheden). 4. september 2017, Version 1.0 Final Side 6 af 6