Pridobivanje podatkov o zavarovancih s strani zavarovalnice

Pri Informacijskem pooblaščencu (IP) smo dne 3. 8. 2023 prejeli vaše zaprosilo za mnenje glede obdelave osebnih podatkov, ki se nanašajo na vas, s strani zavarovalnice. Zanima vas, kako je lahko zavarovalnica pošiljala dokumente na vaš novi naslov, še preden ste jim ga posredovali. Poleg tega vas tudi zanima, zakaj je zavarovalnica dokumente pošiljala na stari naslov po tem, ko je bila že obveščena o spremembi vašega naslova.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Če se upravljavcu pojavi utemeljen dvom v točnost osebnih podatkov določenega posameznika, lahko to preveri tudi z vpogledom v Centralni register prebivalstva, seveda pod pogojem, da ima za to ustrezno pravno podlago.

2. Deveti odstavek 268. člena Zakona o zavarovalništvu predstavlja pravno podlago v smislu 6(1)(c) Splošne uredbe za pridobivanje podatkov o zavarovancih iz Centralnega registra prebivalstva kot osrednje podatkovne baze z najosnovnejšimi podatki o prebivalstvu Slovenije.

3. Pravica do dostopa od upravljavca zahteva, da posamezniku potrdi, ali v zvezi z njim obdeluje osebne podatke ter mu zagotovi določene informacije, med drugim tudi vse razpoložljive informacije v zvezi z virom osebnih podatkov, če ti niso bili pridobljeni od posameznika, na katerega se nanašajo.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Vpogled, uporaba in posredovanje so oblike obdelave osebnih podatkov, ki je dopustna samo v primeru, da zanjo obstaja zakonita pravna podlaga, ki pa ni omejena na privolitev posameznika. V skladu s členom 6(1) Splošne uredbe je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Načelo točnosti iz 6(1)(d) člena Splošne uredbe od upravljavcev (v opisanem primeru je to zavarovalnica) zahteva, da sprejmejo vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo. Navedena zahteva obvezuje upravljavca osebnih podatkov, da sprejme vse ukrepe, ki so potrebni, da se preprečuje vodenje netočnih zbirk. Če se upravljavcu pojavi utemeljen dvom v točnost osebnih podatkov določenega posameznika, lahko to preveri tudi z vpogledom v Centralni register prebivalstva, seveda pod pogojem, da ima za to ustrezno pravno podlago.

Konkretizacijo tega načela na področju zavarovalništva predstavlja deveti odstavek 268. člena Zakona o zavarovalništvu (Uradni list RS, št. 93/15, 9/19, 102/20, 48/23 in 78/23 – ZZVZZ-T, v nadaljevanju: ZZavar-1), ki zavarovalnicam dovoljuje, da za namen posamičnih potreb po zagotavljanju točnosti in posodabljanja osebnih podatkov o zavarovalcih, zavarovancih ter drugih upravičencih do odškodnine ali zavarovalnine iz četrtega ali petega odstavka tega člena pridobi podatke iz Centralnega registra prebivalstva, in sicer ves čas trajanja obligacijskega razmerja med stranko in zavarovalnico ali drugega pravnega razmerja s tretjo osebo, ki vpliva na obligacijsko razmerje med stranko in zavarovalnico, in sicer zlasti ob uvedbi izvršbe, ob uveljavljanju regresnih zahtevkov, ob obnovitvi zavarovalne pogodbe, ob reševanju zahtevkov, ob ugotavljanju sumljivih okoliščin, ob neodzivnosti pri pozivanju v okviru reševanja zahtevkov ali izplačevanju rente. Navedeni člen torej predstavlja pravno podlago v smislu 6(1)(c) Splošne uredbe, na podlagi katere lahko zavarovalnice pridobivajo podatke o zavarovancih iz Centralnega registra prebivalstva kot osrednje podatkovne baze z najosnovnejšimi podatki o prebivalstvu Slovenije.

Če želite preveriti, na kakšen način je zavarovalnica pridobila vaše kontaktne podatke, lahko pri upravljavcu (zavarovalnici) uveljavite pravico do dostopa v skladu s 15. členom Splošne uredbe. Ta od upravljavca zahteva, da posamezniku potrdi, ali v zvezi z njim obdeluje osebne podatke ter mu zagotovi določene informacije, med drugim tudi vse razpoložljive informacije v zvezi z virom osebnih podatkov, če ti niso bili pridobljeni od posameznika, na katerega se nanašajo. Praviloma je uveljavljanje pravice dostopa za posameznika brezplačno, razen če so njegove zahteve očitno neutemeljene ali pretirane zlasti zato, ker se ponavljajo. Več informacij o pravici dostopa do osebnih podatkov in glede njenega uveljavljanja je dostopnih na naši spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/. Pri uveljavljanju pravice do dostopa si lahko pomagate z obrazcem, ki je na voljo na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Zahteva_za_seznanitev_z_lastnimi_osebnimi_podatki.docx.

Glede obdelave vaših prejšnjih podatkov o naslovu, IP meni, da mora v skladu z načelom najmanjšega obsega podatkov in omejitve shranjevanja upravljavec izbrisati osebne podatke, ki jih ne potrebuje več za namene, za katere se osebni podatki obdelujejo. Izbris podatkov lahko posamezniki, na katere se podatki nanašajo, zahtevajo tudi sami tako da uveljavijo pravico do izbrisa na podlagi 17. člena Splošne uredbe. Pri uveljavljanju pravice do izbrisa si lahko pomagate z obrazcem, ki je dostopen na naslednji povezavi: https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Zahteva_za_izbris_lastnih_osebnih_podatkov.docx.

V primeru zavrnitve zahteve za dostop ali izbris osebnih, je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo zaradi zavrnitve mora posameznik vložiti v 15 dneh od prejema odgovora upravljavca. Pri uveljavljanju pravice do pritožbe si lahko pomagate z obrazcem, ki ga je v ta namen pripravil IP (https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Pritozba.docx).

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila:

dr. Pika Šarf,

Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka