Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.11.2019
Naslov: ZPPDFT-1 kot podlaga za pridobivanje podatkov iz CRP
Številka: 0712-1/2019/2509
Vsebina: EMŠO in davčna, Pravne podlage, Pridobivanje OP iz zbirk, Zavarovalništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 18. 10. 2019 prejel vašo prošnjo za mnenje, ali se določba 4. odstavka 49. člena Zakona o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 68/16, v nadaljevanju: ZPPDFT-1) šteje za ustrezno zakonsko pravno podlago v skladu z 2. odstavkom 23. člena Zakona o centralnem registru prebivalstva (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, v nadaljevanju: ZCRP), da se ažuriranje podatkov o strankah izvede preko opravljene poizvedbe pri Centralnem registru prebivalstva (CRP).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Po mnenju IP 49. člen ZPPDFT-1 ne predstavlja ustrezne pravne podlage za pridobivanje osebnih podatkov iz CRP s strani zavarovalnice kot zavezanke, saj pridobivanja podatkov iz javnih evidenc kot načina posodobitve podatkov ne določa. IP pa ne vidi zadržkov, da zavarovalnica podatke, ki jih potrebuje v posamičnih primerih za namen posodobitve podatkov, tudi v smislu četrtega odstavka 49. člena ZPPDFT-1, od CRP pridobi na podlagi devetega odstavka 268. člena ZZavar-1. Pri tem je pomembno, da je pridobivanje podatkov iz CRP omejeno na tiste podatke, ki jih zavarovalnica nujno potrebuje za doseganje namena posodobitve.

 

 

Obrazložitev:

 

V skladu s 14. točko prvega odstavka 4. člena ZPPDFT-1 spadajo zavarovalnice med zavezance za izvajanje ukrepov za odkrivanje in preprečevanje pranja denarja in financiranja terorizma pred oziroma pri sprejemanju, izročitvi, zamenjavi, hrambi, razpolaganju oziroma drugem ravnanju z denarjem ali drugim premoženjem in pri sklepanju poslovnih razmerij. Na podlagi prvega odstavka 49. člena istega zakona zavezanec skrbno spremlja poslovne aktivnosti, ki jih stranka izvaja pri njem, s čimer se zagotovi poznavanje stranke, vključno z izvorom sredstev, s katerimi ta posluje, spremljanje poslovnih aktivnosti, ki jih stranka izvaja pri zavezancu, pa med drugim vključuje tudi preverjanje in posodabljanje pridobljenih listin in podatkov o stranki. Nadalje isti člen v četrtem odstavku določa še, da mora zavezanec zagotoviti, da se pridobljene listine in podatki o stranki posodobijo najmanj po preteku petih let od zadnjega pregleda stranke, če je stranka pri zavezancu v zadnjih dvanajstih mesecih izvedla vsaj eno transakcijo.

 

ZCRP v drugem odstavku 23. člena določa, da imajo uporabniki osebnih podatkov, ki imajo zakonsko podlago za pridobivanje podatkov in uporabniki, ki so pooblaščeni z osebno pisno privolitvijo posameznika, na katerega se podatki nanašajo, pa v zakonu oziroma pooblastilu nimajo konkretno opredeljenih podatkov, do katerih so upravičeni, pravico iz CRP dobiti naslednje podatke: ime in priimek, kraj rojstva, leto rojstva, spol, državljanstvo, prebivališče in vrsta prebivališča.

 

Zakon o zavarovalništvu (Uradni list RS, št. 93/15 in 9/19, v nadaljevanju: ZZavar-1) v devetem odstavku 268. člena določa, da imajo zavarovalnice za namen posamičnih potreb po zagotavljanju točnosti in posodabljanju osebnih podatkov o zavarovalcih, zavarovancih ter drugih upravičencih do odškodnine ali zavarovalnine […] pravico na podlagi elektronske izmenjave brezplačno pridobivati podatke iz CRP, in sicer ves čas trajanja obligacijskega razmerja med stranko in zavarovalnico ali drugega pravnega razmerja s tretjo osebo, ki vpliva na obligacijsko razmerje med stranko in zavarovalnico, in sicer zlasti ob uvedbi izvršbe, ob uveljavljanju regresnih zahtevkov, ob obnovitvi zavarovalne pogodbe, ob reševanju zahtevkov, ob ugotavljanju sumljivih okoliščin, ob neodzivnosti pri pozivanju v okviru reševanja zahtevkov ali izplačevanju rente.

 

Določba devetega odstavka 268. člena ZZavar-1 zavarovalnicam nedvomno omogoča, da iz CRP na podlagi elektronske izmenjave za namen zagotavljanja točnosti in posodabljanja osebnih podatkov o zavarovalcih, zavarovancih ter drugih upravičencih pridobiva osebne podatke posameznikov, med tem ko 49. člen ZPPDFT-1 zavarovalnici sicer nalaga dolžnost, da pridobljene listine in podatke o stranki periodično posodablja, pri tem pa ji ne daje izrecne podlage za to, da podatke pridobi iz CRP oziroma uradne evidence, kot to določa ZZavar-1. Glede na navedeno je IP mnenja, da 49. člen ZPPDFT-1 ne predstavlja ustrezne pravne podlage za pridobivanje osebnih podatkov iz CRP, saj pridobivanja podatkov iz javnih evidenc kot načina posodobitve podatkov ne določa, ne vidi pa zadržkov, da zavarovalnica podatke, ki jih potrebuje v posamičnih primerih za namen posodobitve podatkov, tudi v smislu četrtega odstavka 49. člena ZPPDFT-1, iz CRP pridobi na podlagi devetega odstavka 268. člena ZZavar-1. Pri tem je pomembno, da je pridobivanje podatkov iz CRP omejeno na tiste podatke, ki jih zavarovalnica nujno potrebuje za doseganje namena posodobitve, v vsakem primeru pa na nabor podatkov v skladu z določbo drugega odstavka 23. člena ZCRP.

 

S spoštovanjem,

 

 

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

 

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka