Protector Forsikring ASA manglet konsesjon (endelig rapport)

Datatilsynet har ilagt Protector Forsikring ASA et overtredelsesgebyr på 250 000 kroner fordi forsikringsselskapet i flere år har behandlet personopplysninger uten å ha nødvendig konsesjon fra Datatilsynet.

Datatilsynet gjennomførte 14. februar i år et tilsyn hos Protector Forsikring ASA. I tillegg til manglende konsesjon, avdekket Datatilsynet at selskapet ikke hadde et system for tilfredsstillende informasjonssikkerhet og at de manglet oversikt over sin behandling av personopplysninger Etter at Datatilsynet varslet om avvikene, har selskapet ordnet opp.

Protector Forsikring har gjort de endringer vi mener er nødvendige å følge personopplysningsloven og det er positivt. De har også søkt om konsesjon og fått innvilget denne, sier avdelingsdirektør Kim Ellertsen i juridisk avdeling i Datatilsynet.

For å tilfredsstille kravene i personopplysningsloven har selskapet blant annet innført krav om innhenting av samtykke fra den enkelte, før de starter behandling av personopplysningene. Selskapet skal også gi bedre informasjon til forsikringstakere og skadelidte om hvordan deres personopplysninger blir behandlet.

Mange år uten konsesjon

Protector har brutt sentrale krav i personopplysningsloven og manglende konsesjon kan ha hatt innvirkning på selskapets behandling av personopplysninger. Datatilsynet opprettholder derfor sitt vedtak om overtredelsesgebyr, til tross for at Protector Forsikring har fulgt opp Datatilsynet varslede pålegg.

- Vi har ingen grunn til å tro at selskapet bevisst har unnlatt å søke om konsesjon, men ser alvorlig på dette fordi de har manglet konsesjon i flere år. Dette vitner om at de ikke har hatt god nok kjennskap til personvernregelverket,  noe en må kunne forvente av en profesjonell aktør i forsikringsmarkedet, sier Ellertsen.

- I tillegg mener vi at overtredelsen kunne vært unngått dersom selskapet hadde hatt bedre rutiner for, og kontroll med behandlingen av personopplysninger.

Reagerer på gebyrets størrelse

Protector Forsikring mener at gebyrets størrelse må reduseres og har vist til andre saker der Datatilsynet har illagt lavere overtredelsesgebyr. Men Datatilsynet opprettholder gebyret på 250 000 kroner.

- I andre saker der vi har ilagt overtredelsesgebyr, er det snakk om enkelthendelser. I dette tilfelle har Protector Forsikring i en årrekke hatt en praksis som strider med grunnkravene i personopplysningsloven. Forsikringsselskapet behandler svært sensitive personopplysninger om kunder. Når de innhenter hele eller deler av en legejournal, og om dette ikke er nødvendig, kan det være en krenkelse av kundens integritet. Dette er forhold som innvirker på gebyrets størrelse, sier Ellertsen.

- Det er svært viktig at selskapet, som er den profesjonelle part, har et bevisst forhold til hvilke opplysninger som etterspørres.

Last ned: