Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 22.10.2007
Naslov: Posredovanje zdr. izvidov zavarovalnici-zav.referentu
Številka: 0712-922/2007/2
Vsebina: Zavarovalništvo
Pravni akt: Mnenje

Spoštovani,

prejeli smo vašo elektronsko pošto z dne 10.10.2007, v kateri navajate, da ste se pri eni od slovenskih zavarovalnic želeli nezgodno zavarovati. Eden od pristopnih obrazcev je zahteval navedbo podrobnih podatkov o zdravstvenem stanju. Glede na navedbe v odgovorih je komercialist zahteval tudi zdravniški izvid zadnje preiskave pri specialistu. Posredovali ste (resda relativno skopo) drugo mnenje, ki ste ga iskali, vendar je diagnoza iz njega vidna. Naknadno ste od zavarovalnice dobili zahtevo, da posredujete rezultate angiografije; pod zahtevo ni podpisan zdravnik, temveč zavarovalniški referent.

V zvezi s tem sprašujete: ali res lahko zahteva tako podrobne zdravniške izvide, kot pogoj za sklenitev zavarovanja, kdorkoli, samo da je zaposlen v zavarovalnici (zdravnik cenzor, ki naj bi zahteval podatke, ni niti podpisan, niti ni navedeno, kdo naj bi to bil)? Pričakujete, da je to lahko le zdravnik in da nima do tako občutljivih podatkov (očitno) dostop kar kdorkoli. Sprašujete, ker vam ne zadošča \"preganjanje storilcev\" ob eventualnem razkritju podatkov. Enostavno - zdi se vam, da izvidi sami (ki jih tudi zdravniki pišejo lahko zelo obširno in z razkrivanjem dejstev, ki sicer nimajo nikakršne neposredne povezave z boleznijo, opisujejo pa splošno stanje preiskovanca in povzemajo njegove navedbe) razkrivajo tudi zelo osebne stvari, ki nimajo nikakršne povezave s kakršnimkoli tveganjem, ki naj bi ga zavarovalnica prevzemala.

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05, 51/07-ZUstS in 67/07; ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem:
   
Odgovor na vaše vprašanje je po mnenju Pooblaščenca pritrdilen, saj je notranja organizacija in delovanje zavarovalnic prepuščena njim samim. Zavarovalnice imajo podlago za zbiranje osebnih podatkov v 154. čl Zakona o zavarovalništvu (Uradni list RS, št. 102/04 – uradno prečiščeno besedilo in 76/05; v nadaljevanju ZZavar). Pri tem pa ZZavar ne omejuje obdelave osebnih podatkov na določenega posameznika, temveč je prepuščeno zavarovalnici, da  sama določa, koga bo pooblastila za obravnavo zadev, v okviru katerih se delavec zavarovalnice sreča tudi z občutljivimi osebnimi podatki, med katere v skladu s 19. točko 6. čl. ZVOP-1, sodijo tudi podatki o zdravstvenem stanju. Potrebno pa je pri tem opozoriti, da mora imeti zavarovalnica, v okviru svoje notranje organiziranosti, zagotovljen nadzor nad obdelavo osebnih podatkov, v smislu, da je zagotovljena sledljivost, kdo je obdeloval osebne podatke oz. komu so bili te osebni podatki posredovani in za kakšen namen.

Obrazložitev:

Pooblaščenec je pri svojem delu že obravnaval smiselno podoben primer kot je vaš ter o tem že izdal neobvezno mnenje, zato vam predlagamo, da se z njim seznanite na internetni strani Pooblaščenca (http://www.ip-rs.si/?id=155), kjer lahko s pomočjo iskalnika po mnenjih in odločbah s področja varstva osebnih podatkov poiščete mnenje št. 0712-144/2007/2, z dne 05.07.2007, ali da si mnenje poiščete tako, da neposredno sledite povezavi:
 http://www.ip-rs.si/index.php?id=424&no_cache=1&tx_jzvopdecisions_pi1[showUid]=955&cHash=f035bc7330.

Ker pa gre v vašem primeru vendarle za nekoliko drugačno vprašanje, vam bo Pooblaščenec v nadaljevanju pojasnil nekatera dejstva, pomembna za razumevanje odgovora na vaše vprašanje.

Obravnavano področje ureja ZZavar, ki v 1. odst.154. čl. določa, da zavarovalnice in Slovensko zavarovalno združenje zbirajo, obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke, potrebne za sklepanje zavarovanj in za likvidacijo škod, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonom o varstvu osebnih podatkov in posebnimi predpisi o zbirkah podatkov s področja zavarovanja.

Na podlagi drugega odstavka 154. člena ZZavar, zavarovalnice in Slovensko zavarovalno združenje lahko vzpostavijo, vzdržujejo in vodijo:
- zbirko podatkov o zavarovalcih,
- zbirko podatkov o škodnih dogodkih ter
- zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine.

V zbirki podatkov iz tretje alineje prejšnjega odstavka se na podlagi petega odstavka 154. člena ZZavar zbirajo naslednji osebni podatki:
- ime in priimek, spol, datum in kraj rojstva, stalno prebivališče in davčna številka zavarovane osebe, za katero se ugotavlja zavarovalno kritje in odškodnina,
- predhodne poškodbe in zdravstveno stanje, vrsta telesnih poškodb, trajanje zdravljenja in posledice zavarovanca in oškodovanca,
- dohodki zavarovanca in oškodovanca,
- upokojitve (redne in invalidske), prekvalifikacije in stopnje invalidnosti zavarovanca in oškodovanca,
- stroški za medicinsko oskrbo, zdravila in ortopedske pripomočke zavarovanca in oškodovanca.

Posebej je potrebno pojasniti, da se na podlagi šestega odstavka 154. člena ZZavar podatki iz obravnavane zbirke zbirajo neposredno od posameznika, na katerega se nanašajo, od drugih oseb (prič škodnih dogodkov) in tudi iz zbirk podatkov zdravstvenih ustanov, delodajalca, Zavoda za pokojninsko in invalidsko zavarovanje in centrov za socialno delo. Organi, organizacije in posamezniki, ki podatke imajo, morajo te na pisno zahtevo posredovati zavarovalnici oziroma Slovenskemu zavarovalnemu združenju (sedmi odstavek 154. člena ZZavar).

10. člen ZVOP-1 pogojuje obdelavo osebnih podatkov z obstojem posebnega (področnega) zakona, ki določa obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo. V konkretnem primeru je ZZavar tisti predpis, na katerega napotuje ZVOP-1. ZZavar je tako v odnosu do ZVOP-1 specialni zakon, zato se po načelu lex specialis derogat legi generali za vprašanja upravičenosti zbiranja osebnih podatkov in vrste osebnih podatkov, ki jih lahko zbirajo zavarovalnice, uporabljajo določbe ZZavar. Te pa zavarovalnici dajejo vsa pooblastila, da lahko od zavarovalcev zbira in obdeluje zgoraj navedene osebne podatke.

ZZavar torej pooblašča za obdelavo osebnih podatkov zavarovalnico kot institucijo in ne omejuje obdelave osebnih podatkov na določenega posameznika ali na določeno delovno mesto oz. izobrazbo. Notranje delovanje in organizacija je torej v izključni pristojnosti zavarovalnic, ki same določajo, kdo konkretno oz. kateri delavec zavarovalnice bo v imenu zavarovalnice obravnaval določene zadeve, v okviru katerih se le ta lahko sreča tudi z občutljivimi osebnimi podatki, med katere v skladu s 19. točko 6. čl. ZVOP-1, sodijo tudi podatki o zdravstvenem stanju. Nikjer ni torej določeno, da lahko zdravstveno dokumentacijo, ki jo pridobi zavarovalnica, obravnava samo zdravnik.  

Mora pa zavarovalnica poskrbeti za ustrezno zavarovanje občutljivih osebnih podatkov, v skladu s 14. čl. in 5. odst. 24. čl. ZVOP-1. 14. čl. ZVOP-1 določa, da morajo biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih, pri čemer se šteje, da so podatki, ki se posredujejo preko telekomunikacijskih omrežij ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. 5. odst. 24. čl. ZVOP-1 pa ureja sledljivost, kar pomeni, da mora zavarovalnica omogočiti poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

Pooblaščenec se nadalje strinja z vašo pripombo, da so v zdravstveni dokumentaciji lahko tudi podatki, ki nimajo nikakršne povezave s kakršnimkoli tveganjem, ki naj bi ga zavarovalnica prevzemala oz. potrebovala pri reševanju.

Zato lahko, po mnenju Pooblaščenca, zavarovalnica uresničuje zgoraj obravnavano z zakonom določeno možnost pridobivanja relevantnih podatkov samo, če sta izpolnjena dva pogoja:
- pridobivanje podatkov je v zvezi z realizacijo konkretne, dejansko sklenjene zavarovalne pogodbe;
- iz narave zavarovalne pogodbe mora izhajati, da so za realizacijo pogodbenih pravic in obveznosti potrebni podatki o zdravstvenem stanju.

Ob načelni dopustnosti obdelave zdravstvenih podatkov, pa je potrebno upoštevati, da zavarovalnico pri obdelavi osebnih podatkov, ne glede na splošno podlago v ZZavar, zavezuje tudi načelo sorazmernosti, ki zahteva, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Pri zbiranju podatkov o zdravstvenem stanju je zato zavarovalnica upravičena le do tistih zdravstvenih podatkov, ki so resnično potrebni in primerni za presojo obstoja obveznosti in višine zavarovalnine (odškodnine) ali za sklepanje nezgodnega zavarovanja. ZZavar ne določa natančno, katere podatke o zdravstvenem stanju lahko zavarovalnice zbirajo, zato je potrebno presojati potrebnost in primernost obdelave zahtevanih zdravstvenih podatkov v vsakem konkretnem primeru posebej (prim. 3. člen in drugi odstavek 10. člena ZVOP-1). Čeprav ZZavar govori o podatkih o zdravstvenem stanju na splošno, to še ne pomeni, da lahko zavarovalnica zbira tudi zdravstvene podatke, ki niso v zvezi s posameznim zavarovanjem oziroma niso pomembni za presojo obstoja obveznosti in njene višine (torej podatke, ki niso v zvezi z namenom zbiranja).

S spoštovanjem,

Informacijski pooblaščenec
Nataša Pirc Musar, univ. dipl. prav.,
pooblaščenka