Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.01.2019
Naslov: Sklepanje zavarovalnih pogodb
Številka: 0712-3/2018/2721
Vsebina: Zavarovalništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede sklepanja zavarovalnih pogodb.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga. V členu 6 Splošne uredbe o varstvu podatkov je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Obdelava osebnih podatkov je tako zakonita, če je izpolnjen (vsaj) eden od zgoraj naštetih pogojev.

V skladu z Zakonom o zavarovalništvu (Uradni list RS, št. 93/15; v nadaljevanju: ZZavar-1), ki se je začel uporabljati 1. 1. 2016, zavarovalnice in Slovensko zavarovalno združenje vodijo posamezne zbirke osebnih podatkov, ki so navedene v drugem odstavku 268. člena. Obdelava osebnih podatkov v teh zbirkah je dopustna le v obsegu, ki je potreben za uresničevanje namenov obdelave, torej sklepanja in izvajanja pogodb o zavarovanju, kar vključuje tudi izterjavo neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja.

 

Ena izmed zbirk osebnih podatkov iz drugega odstavka 268. člena ZZavar-1 je tudi zbirka podatkov o zavarovalcih in zavarovancih, v kateri se lahko zbirajo naslednji osebni podatki:

  •      osebno ime, spol,  datum in kraj rojstva, stalno in začasno prebivališče, davčna številka in številka osebnega dokumenta zavarovalca oziroma zavarovanca. V primeru zdravstvenega zavarovanja se lahko zbira tudi podatek o številki kartice zdravstvenega zavarovanja zavarovanca;
  •      ime zavarovalnice, številka police, trajanje zavarovanja in zavarovalno kritje
  •      podatki, ki se nanašajo na predmet zavarovanja;
  •      enotna matična številka občana (EMŠO). Ta podatek lahko z namenom lažjega uresničevanja pravic zavarovancev zbirajo zavarovalnice, ki izvajajo dopolnilno prostovoljno zdravstveno zavarovanje.

 

Omenjeni osebni podatki se praviloma zbirajo neposredno od posameznika, na katerega se nanašajo, lahko pa se zbirajo tudi od drugih oseb in drugih upravljavcev zbirk podatkov, ki hranijo podatke, ki jih lahko zavarovalnice pridobivajo in zbirajo v skladu z ZZavar-1 (6. točka sedmega odstavka 268. člena).

ZZavar-1 tako jasno določa, katere osebne podatke lahko obdelujejo zavarovalnice in za kakšne namene. Med njimi sta tudi podatek o davčni številki in EMŠO, ni pa podatka o telefonski številki. Glede obdelave EMŠO številke zavarovanca IP dodatno pojasnjuje, da Zakon o centralnem registru prebivalstva (ZCRP; Uradni list RS, št. 72/06 – UPB-1), ki med drugim ureja tudi določanje in uporabo osebne identifikacijske številke – EMŠO, v 1. odstavku 9. člena določa, da morajo EMŠO uporabljati upravljavci zbirk podatkov, ki jih vodijo o posamezniku na podlagi zakona, med drugim tudi na področju zdravstvenega varstva in zdravstvenega zavarovanja. Na podlagi tretjega odstavka istega člena pa je tisti, ki pridobiva EMŠO, dolžan navesti zakonsko podlago in namen pridobivanja EMŠO, v primeru pisne privolitve pa posameznika seznaniti z namenom pridobivanja. IP še poudarja, da bi ob kateremkoli zbiranju EMŠO morali pridobiti informacije o pravni podlagi pridobivanja EMŠO ter namenu pridobivanja in obdelave – zgolj podatek, da se EMŠO potrebuje zaradi prijave v sistem, ne zadostuje.

Iz vašega zaprosila ni razvidno, za sklepanje kakšne vrste zavarovanja gre. IP zato splošno pojasnjuje, da imajo zavarovalnice, ki izvajajo (dopolnilno) zdravstveno zavarovanje, zakonsko podlago za pridobivanje in obdelavo tako davčne kot EMŠO številke zavarovanca. V nasprotnem primeru, torej v primeru, ko ne gre za sklepanje (dopolnilnega) zdravstvenega zavarovanja, pa načeloma lahko zavarovalnice od zavarovancev pridobivajo oziroma zbirajo le davčno številko, če za zbiranje EMŠO ni izrecne druge ustrezne pravne podlage. V primeru pridobivanja obeh identifikacijskih številk hkrati bi lahko prišlo do prekomerne obdelave osebnih podatkov. Morebitno kršitev določb predpisov s področja varstva osebnih podatkov v posameznem primeru IP lahko ugotavlja šele v okviru konkretnega inšpekcijskega postopka, izven tega pa ne more preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

ZZavar-1 v 265. členu določa tudi obveznost, da zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način. Kadar gre hkrati za varovane osebne podatke, se za njihovo obdelavo in zavarovanje upošteva zakon, ki ureja varstvo osebnih podatkov. Kot omenjeno zgoraj, lahko zavarovalnica obdeluje osebne podatke le v obsegu, ki je potreben za uresničevanje namenov obdelave – sklepanja in izvajanja pogodb o zavarovanju.

 

IP na koncu pojasnjuje, da je primarna odgovornost za zakonito obdelavo osebnih podatkov na upravljavcu samem. IP lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke. IP namreč ne sme in ne more prevzeti odgovornosti posameznih poslovnih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka