Datatilsynet har bedömt att försäkringsbolagets Tryg Forsikring A/S insamling av hälsouppgifter om en försäkringstagare har skett i enlighet med kraven i artiklarna 6.1 (b) och 9.2 (f) i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet tagit emot en försäkringstagares klagomål om att Tryg Forsikring behandlat personuppgifter i form av tio år gamla patientjournaler, trots att försäkringstagaren endast gett sitt samtycke till att bolaget fick samla in uppgifter för en period på upp till fem år.
Efter en genomgång av ärendet konstaterar Datatilsynet att Tryg Forsikrings behandling av försäkringstagarens hälsouppgifter var förenlig med GDPR eftersom den skedde i syfte att uppfylla avtalet mellan bolaget och försäkringstagaren för att fastställa ett eventuellt ersättningsanspråk enligt försäkringsavtalet. Datatilsynet konstaterade även att bolagets insamling av hälsouppgifter var nödvändig för att bolaget skulle kunna behandla det krav som försäkringstagaren anmält.
I sin slutsats uppgav Datatilsynet att myndigheten kommit fram till att bolagets behandling av försäkringstagarens hälsouppgifter omfattades av undantaget från förbudet mot behandling av känsliga personuppgifter i artikel 9.2 (f) GDPR och betonade att den hade skett med en lämplig rättslig grund i enlighet med artikel 6.1 (b) GDPR. Datatilsynet konstaterade vidare att det samtycke som försäkringstagaren gett bolaget inte var relevant för bolagets behandling av personuppgifter för användning vid bedömningen av försäkringstagarens skadefall och att det inte hade utgjort grunden för behandlingen i samband med detta.
Mot denna bakgrund ansåg Datatilsynet att företaget agerat i enlighet med gällande dataskyddsregler vid hanteringen av försäkringstagarens ersättningsanspråk.