Posredovanje osebnih podatkov detektivu oziroma zavarovalnici
+ -Številka: 0712-3/2018/2456
Kategorije: Zdravstveni osebni podatki, Zavarovalništvo
Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da je zavarovalnica najela detektiva, ki na podlagi 27. člena Zakona o detektivski dejavnosti želi podatek o tem, kdaj je nek pacient iskal zdravniško pomoč na NMP. Pacient je namreč od zavarovalnice zahteval zavarovalnino, a je iz podatkov razvidno, da je pomoč na NMP iskal teden dni prej kot navaja pri zavarovalnici - poškodba je torej starejša. Zanima vas, ali se tak podatek lahko posreduje detektivu. Izpostavljate, da se sporoča samo datum iskanja zdravniške pomoči, ne pa zdravstveno stanje pacienta.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.
Posredovanje osebnih podatkov posameznika predstavlja skladno s členom 4(2) Splošne uredbe obdelavo osebnih podatkov. Za vsako obdelavo osebnih podatkov pa je treba imeti zakonito in ustrezno pravno podlago. Te so za običajne osebne podatke določene v členu 6(1) Splošne uredbe.
Obdelavo posebnih vrst osebnih podatkov pa ureja Splošna uredba v členu 9. Gre za podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke, biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo. Podatki o zdravstvenem stanju so po členu 4(15) Splošne uredbe osebni podatki, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju. Upoštevajoč navedeno definicijo in recital 35 Splošne uredbe IP ocenjuje, da je tudi podatek o tem, kdaj in kje je nek pacient iskal zdravniško pomoč, osebni podatek posebne vrste, ki uživa strožje varstvo in zaščito. Obdelava posebnih vrsto osebnih podatkov pa je med drugim dopustna, če je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov (člen 9(1)(f) Splošne uredbe).
IP pojasnjuje, da lahko detektiv opravlja dejavnosti na področjih, ki so določena z Zakonom o detektivski dejavnosti (Uradni list RS, št. 17/11, v nadaljevanju ZDD–1), in pridobiva informacije med drugim o povzročiteljih premoženjskih in nepremoženjskih škod, dokaznem gradivu in dejstvih, potrebnih za zavarovanje ali dokazovanje pravic in upravičenj stranke pred sodišči, drugimi pravosodnimi organi in drugimi organi oziroma organizacijami, ki v postopkih odločajo o teh pravicah, kaznivih dejanjih, ki se preganjajo na zasebno tožbo ter o njihovih storilci itd. (26. člen ZDD-1). Detektiv je upravičen, da zbira podatke od oseb ali iz javno dostopnih virov, pridobiva podatke iz evidenc, osebno zaznava in uporablja tehnična sredstva (27. člen ZDD-1). V okviru pisnega pooblastila stranke ima pravico pridobivati podatke iz določenih evidenc, taksativno naštetih v prvem odstavku 29. člena, vendar med njimi ni nobenih evidenc s področja zdravstvene dejavnosti oziroma podatkov o zdravstvenem stanju. Zato detektiv na podlagi ZDD-1 ni upravičen zahtevati podatkov v zvezi z zdravjem posameznika od zdravstvenega doma. Upoštevajoč, da je v konkretnem primeru detektiv pooblaščenec zavarovalnice, pa je treba upoštevati tudi zakonodajo s področja zavarovalništva.
Temelj za razlago vsebine pravnega zahtevka v zvezi z izpolnjevanjem pogodbenih obveznosti iz zavarovanja je tako Zakon o zavarovalništvu (Uradni list RS, št. 93/15, v nadaljevanju ZZavar-1), ki daje podlago za obdelavo zdravstvenih osebnih podatkov s strani zavarovalnic (npr. zbiranje) in podlago za obdelavo istih osebnih podatkov s strani izvajalcev zdravstvenih storitev (npr. posredovanje). Pravna podlaga za pridobivanje, obdelavo in posredovanje osebnih podatkov je podrobneje opredeljena v 268. členu ZZavar-1. Ta v prvem odstavku določa, da zavarovalnice in Slovensko zavarovalno združenje zbirajo, obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke za namen sklepanja in izvajanja pogodb o zavarovanju, kar vključuje tudi izterjavo neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja. Drugi odstavek istega člena nadalje določa, da lahko zavarovalnice in Slovensko zavarovalno združenje upravljajo zbirko podatkov o zavarovalcih in zavarovancih, zbirko podatkov o zavarovalnih primerih in zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine. V zadnji zbirki se med drugim zbirajo tudi osebni podatki, kot so predhodne poškodbe in zdravstveno stanje, vrsta telesnih poškodb, trajanje zdravljenja in posledice za zavarovanca in oškodovanca, stroški za medicinsko oskrbo, zdravila in medicinske pripomočke zavarovanca in oškodovanca (2. in 5. točka petega odstavka 268. člena ZZavar-1). ZZavar-1 tako ne določa povsem natančno, katere konkretne podatke o zdravstvenem stanju lahko zavarovalnice zbirajo, zato je potrebno presojati potrebnost in primernost obdelave zahtevanih zdravstvenih podatkov v vsakem konkretnem primeru posebej.
V skladu s sedmim odstavkom 268. člena ZZavar-1 se osebni podatki zbirajo praviloma neposredno od posameznika, na katerega se nanašajo, sicer pa lahko tudi od drugih oseb, ki o zavarovalnem primeru kaj vedo, podatki iz 2. in 5. točke pa se lahko pridobijo tudi iz zbirk podatkov izvajalcev zdravstvenih in z njimi povezanih storitev in Zavoda za zdravstveno zavarovanje. Državni organi, organi samoupravnih lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava ter nosilci javnih pooblastil in izvajalci javnih služb, ki imajo podatke oziroma zbirke podatkov iz prejšnjih odstavkov, te podatke na pisno zahtevo sporočijo zavarovalnici ali Slovenskemu zavarovalnemu združenju (osmi odstavek 268. člena ZZavar-1).
Iz navedenega torej izhaja, da lahko zavarovalnica v skladu s predpisi, ki urejajo varstvo osebnih podatkov, zbira v ZZavar-1 določene osebne podatke, in da obstaja dolžnost izvajalcev zdravstvenih storitev (torej tudi zdravstvenega doma), da ji te podatke posredujejo, seveda na podlagi ustrezne in utemeljene zahteve zavarovalnice oziroma njenega pooblaščenca (v tem primeru detektiva). Pri tem pa mora zavarovalnica upoštevati tretji odstavek 268. člena ZZavar-1, ki določa, da je obdelava osebnih podatkov v zbirkah iz prejšnjega odstavka dopustna le v obsegu, ki je potreben za uresničevanje namenov obdelave iz prvega odstavka tega člena. Navedeno pravilo, ki po vsebini predstavlja načelo najmanjšega obsega podatkov iz člena 5(1)(c) Splošne uredbe,[2] zavezuje tudi izvajalce zdravstvenih storitev v tem smislu, da zavarovalnicam ne smejo posredovati več podatkov, kot je to potrebno.
IP opozarja, da konkretnih obdelav osebnih podatkov izven postopka inšpekcijskega nadzora ali drugega upravnega postopka ne more dokončno presojati, zato vam tudi ne more podati enoznačnega odgovora, ali lahko v konkretnem primeru zdravstveni dom posreduje detektivu, ki je pooblaščenec zavarovalnice, podatek o tem, kdaj je nek pacient iskal zdravniško pomoč na NMP. Če zavarovalnica potrebuje takšen podatek za presojo utemeljenosti zavarovalnega zahtevka, potem je posredovanje tega podatka načeloma dopustno, pod pogojem tudi, da je ustrezno izkazano pooblastilno razmerje. Dokončno presojo pa morate kot upravljavec zbirke, v kateri se nahaja zahtevani podatek opraviti sami.
Lep pozdrav,
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov