257/2020

Helsingfors den 17 april 2020

Lag om ändring av försäkringsbolagslagen

I enlighet med riksdagens beslut

ändras i försäkringsbolagslagen (521/2008) 6 kap. 17 a § 1 och 3 mom. och 30 kap. 3 §, sådana de lyder, 6 kap. 17 a § 1 och 3 mom. i lag 523/2016 och 30 kap. 3 § delvis ändrad i lagarna 303/2015 och 1514/2015, samt

fogas till 30 kap. en ny 3 a § som följer:

6 kap.

Försäkringsbolagets ledning, företagsstyrningssystem och placering av tillgångar

17 a §
Rapportering om överträdelser

Ett försäkringsbolag ska ha rutiner för att dess anställda internt genom en oberoende kanal ska kunna rapportera en misstanke om överträdelser av Europaparlamentets och rådets förordning (EU) nr 596/2014 om marknadsmissbruk (marknadsmissbruksförordning) och om upphävande av Europaparlamentets och rådets direktiv 2003/6/EG och kommissionens direktiv 2003/124/EG, 2003/125/EG och 2004/72/EG. I förfarandet ska ingå lämpliga och tillräckliga åtgärder för att ordna en korrekt behandling av rapporterna, skydda rapportören och säkerställa skyddet av personuppgifterna för rapportören och den som är föremål för rapporten. Rapporteringsförfarandet ska dessutom innehålla anvisningar som tryggar skyddet för rapportörens identitet, om det inte för utredande av en överträdelse eller annars till följd av myndigheternas rätt till information föreskrivs något annat i lag.


En i 1 mom. avsedd registrerad som är föremål för en rapport har inte rätt enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, att få tillgång till den information som avses i 1 och 2 mom., om utlämnande av uppgifterna skulle kunna hindra utredningen av misstänkta överträdelser.

30 kap.

Sekretess och rätt att lämna ut uppgifter

3 §
Undantag från sekretessen

Om inte något annat följer av dataskyddsförordningen, får ett försäkringsbolag trots sekretessen enligt 1 § lämna ut uppgifter

1) till ett annat försäkringsbolag för ordnande av återförsäkring,

2) till försäkringsbolagets tjänsteföretag eller till den som sköter en av försäkringsbolaget given uppgift på grundval av ett uppdrag,

3) till en försäkrings- eller pensionsanstalt eller en försäkringsholdingsammanslutning som hör till samma koncern eller samma ekonomiska sammanslutning som försäkringsbolaget för skötsel av ersättningsärenden, ingående av försäkringsavtal och skötsel av andra uppgifter som behövs vid bedrivande av försäkringsverksamhet; vad som i denna punkt föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen,

4) till en nämnd eller ett organ i försäkringsbranschen som har meddelats Europeiska kommissionen i enlighet med artikel 20.2 i Europaparlamentets och rådets direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om alternativ tvistlösning), för skötsel av ärenden som förelagts nämnden eller organet i fråga,

5) till en annan försäkringsanstalt eller skadevållaren för utövande av försäkringsbolagets regressrätt samt till en annan försäkringsanstalt för utredande av olika försäkringsanstalters ansvar vid ett och samma försäkringsfall,

6) som avses i 3 a § till ett annat försäkringsbolag om brott som riktats mot försäkringsbolaget för något viktigt intresse i anslutning till förebyggande av brott mot försäkringsbolag,

7) för historisk eller vetenskaplig forskning eller för statistikföring, om det är uppenbart att utlämnandet av uppgifter inte kränker de intressen för vilkas skydd sekretess har föreskrivits,

8) till åklagar- och förundersökningsmyndigheter för förhindrande och utredning av brott samt till myndigheter eller organ som avses i 2 § 1 mom. 2–6 punkten; uppgifter om hälsotillstånd får dock lämnas ut endast till åklagar- och förundersökningsmyndigheter för förhindrande och utredning samt ställande under åtal av bedrägeribrott som riktas mot en försäkrings- eller pensionsanstalt,

9) till personuppgiftsansvariga som bedriver kreditupplysningsverksamhet, dock så att bara sådana uppgifter kan lämnas ut som den som bedriver kreditupplysningsverksamhet får registrera i kreditupplysningsregistret eller i övrigt behandla i kreditupplysningssyfte, och

10) till ett företag som hör till samma koncern som försäkringsbolaget, till ett företag som hör till samma grupp enligt 26 kap. som försäkringsbolaget eller till ett företag som hör till samma i lagen om tillsyn över finans- och försäkringskonglomerat avsedda finans- och försäkringskonglomerat som försäkringsbolaget, för kundbetjäning och annan skötsel av kundrelationer, marknadsföring, grupptillsyn samt riskhantering; vad som i denna punkt föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen.

Utöver vad som föreskrivs i 1 mom. kan ett försäkringsbolag lämna ut sådana uppgifter ur sitt kundregister som behövs för marknadsföring samt kundbetjäning och annan skötsel av kundrelationer till ett företag som hör till samma ekonomiska sammanslutning som försäkringsbolaget. Vad som i detta moment föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen.

Ett försäkringsbolag kan i situationer som avses i 1 och 2 mom. endast lämna ut uppgifter som är nödvändiga för skötseln av ärendena i fråga.

3 a §
Försäkringsbolags rätt att behandla uppgifter om brott och brottsmisstankar

Ett försäkringsbolag får behandla och registrera uppgifter om brott mot dess försäkringsverksamhet samt misstankar om sådana brott i ett register som försäkringsbolaget för. Uppgifterna får behandlas endast i den utsträckning som är nödvändig för förhindrande och utredande av brott mot försäkringsverksamheten.

Ett försäkringsbolag får i registret anteckna

1) uppgift om skadefallet,

2) uppgift om det försäkringsbolag mot vilket brottet eller det misstänkta brottet har riktats,

3) uppgift om tidpunkten för registreringen,

4) den registrerades namn, personbeteckning, adress och yrke,

5) uppgift om den domstol som behandlar ärendet,

6) uppgift om vem som har anmält den uppgift som registreras.

Ett försäkringsbolag får inte göra en anteckning i registret förrän det misstänkta brottet har anmälts till förundersökningsmyndigheten eller åklagaren. Anteckning i registret ska göras senast inom ett år från det att försäkringsbolaget har inlett straffprocessen eller försäkringsbolaget har fått information om att någon annan har inlett en straffprocess eller från det att åklagaren har beslutat att väcka åtal.

Uppgifterna ska avföras ur registret omedelbart efter det att den registrerade genom underrättens dom har konstaterats vara oskyldig till den misstänkta gärningen, straffprocessen har lagts ner eller en högre rättsinstans har friat den person som dömts av den lägre rättsinstansen. Försäkringsbolaget kan registrera uppgifterna på nytt, om en högre rättsinstans dömer en person som den lägre instansen har friat.

Uppgifterna ska avföras ur registret senast fem år från det att en uppgift om brottet i fråga registrerades första gången.

Den registrerade ska underrättas om användningen av uppgifterna för beslutsfattande, om ett avslag på en ansökan om försäkring eller något annat för den registrerade negativt beslut beror på uppgifter i registret.


Denna lag träder i kraft den 20 april 2020.

RP 87/2019
ShUB 1/2020
RSv 12/2020

Helsingfors den 17 april 2020

Republikens President
Sauli Niinistö

Social- och hälsovårdsminister
Aino-Kaisa Pekonen

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.