Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 22.05.2020
Naslov: Dopustnost zahteve zavarovalnice
Številka: 07121-1/2020/916
Vsebina: Pravne podlage, Zavarovalništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede pridobivanja vaših osebnih podatkov s strani zavarovalnice.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka. IP tako v okviru mnenja ne more presojati ustreznosti konkretne zahteve zavarovalnice, ki ste jo priložili vašemu zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

 

IP pojasnjuje, da Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Zakon o obveznih zavarovanjih v prometu (Uradni list RS, št. 93/07 - UPB, 40/12 - ZUJF, 33/16 - PZ-F, 41/17 - PZ-G; v nadaljevanju: ZOZP), v 8. členu določa pravno podlago, na temelju katere zavarovalnice in Slovensko zavarovalno združenje (v nadaljevanju: SZZ) obdelujejo osebne podatke, potrebne za sklepanje zavarovanj in za obravnavanje odškodninskih zahtevkov, ki izvirajo iz teh zavarovanj. Osebne podatke tako lahko obdelujejo v skladu z ZVOP-1 in posebnimi predpisi o zbirkah podatkov s področja zavarovanja. Kadar zavarovalnica oziroma SZZ podatke o posamezniku zbira iz že obstoječih zbirk podatkov, o tem ni dolžna predhodno obvestiti posameznika, na katerega se podatki nanašajo.

V skladu z drugim odstavkom 268. člena Zakona o zavarovalništvu (Uradni list RS, št. 93/15, 9/19; v nadaljevanju: ZZavar-1) zavarovalnice in SZZ zbirajo, shranjujejo, posredujejo, uporabljajo ali kako drugače obdelujejo osebne podatke iz tega člena v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja, in sicer:

  1. zbirko podatkov o zavarovalcih in zavarovancih,
  2. zbirko podatkov o zavarovalnih primerih,
  3. zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine,
  4. zbirko podatkov o potencialnih zavarovalcih in zavarovancih.

ZZvar-1 nato v nadaljnjih odstavkih 268. člena določa, kateri osebni podatki se lahko ob upoštevanju namenov obdelave podatkov lahko zbirajo v vsaki od teh zbirk. V skladu s šestim odstavkom se tako v zbirki podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine ob upoštevanju namena obdelave podatkov lahko zbirajo naslednji osebni podatki:

  • osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta zavarovanca in oškodovanca, za katerega se ugotavlja zavarovalno kritje in odškodnina oziroma zavarovalnina,
  • osebni podatki o predhodnih zavarovalnih primerih v obsegu iz prejšnjega odstavka ter podatki o upoštevnem zdravstvenem stanju zavarovanca in oškodovanca, vključno z zagotavljanjem zdravstvenih storitev, predhodnimi poškodbami in zdravstvenem stanju, vrsti telesnih poškodb, trajanjem zdravljenja in posledicami za oškodovanca in zavarovalca,
  • dohodki zavarovanca in oškodovanca ter zaposlitev,
  • upokojitve (redne in invalidske), prekvalifikacije in stopnje invalidnosti zavarovanca in oškodovanca,
  • stroški za medicinsko oskrbo, zdravila in medicinske pripomočke zavarovanca in oškodovanca,
  • upravičenosti do kritja razlike do polne vrednosti zdravstvenih storitev po zakonu, ki ureja zdravstveno zavarovanje, iz proračunskih sredstev Republike Slovenije,
  • podatki o vozniškem dovoljenju,
  • historični podatki o zgodovini predmeta zavarovanja.

 

Obdelava osebnih podatkov v navedeni zbirki je dopustna le v obsegu, ki je primeren in potreben za uresničevanje namenov obdelave - sklepanje in izvajanje pogodb o zavarovanju, izterjava neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, in preverjanje politične izpostavljenosti oseb po zakonu, ki ureja preprečevanje pranja denarja in financiranja terorizma

Navedeni osebni podatki se skladno z 8. odstavkom 268. člena ZZavar-1 pridobivajo na več načinov. Praviloma se pridobivajo neposredno od posameznika, na katerega se nanašajo, lahko pa tudi od drugih oseb, ki o zavarovalnem primeru kaj vedo. Osebni podatki o predhodnih zavarovalnih primerih ter podatki o upoštevnem zdravstvenem stanju zavarovanca in oškodovanca, vključno z zagotavljanjem zdravstvenih storitev, predhodnimi poškodbami in zdravstvenem stanju, vrsti telesnih poškodb, trajanjem zdravljenja in posledicami za oškodovanca in zavarovalca se lahko pridobivajo tudi iz zbirk podatkov izvajalcev zdravstvenih in z njimi povezanih storitev ter Zavoda za zdravstveno zavarovanje.

 

Skladno s predstavljeno zakonodajo imajo torej zavarovalnice pravno podlago za pridobivanje in obdelavo osebnih podatkov v obsegu in za namene, kot to določa ZZavar-1. Zavarovalnice in SZZ tako lahko pridobivajo zgoraj navedene osebne podatke, med njimi tudi podatke o zdravstvenem stanju zavarovanca, ki jih potrebujejo za obravnavo konkretnega primera, upoštevajoč namene posamezne zbirke. Ob tem je treba upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je treba obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti, torej v konkretnem primeru za izvajanje pogodbe o zavarovanju oziroma reševanje škodnega zahtevka.

 

IP sklepno ponavlja, da v okviru nezavezujočega mnenja ne more presojati, ali so v konkretnem primeru, za konkreten namen in podatke izpolnjeni navedeni pogoji za obdelavo podatka in njegovo posredovanje zavarovalnici. IP se tako v tem okviru ne more opredeliti do vprašanja, ali je v konkretnem primeru za konkretni namen potrebno, da zavarovalnica zahteva podatke iz vašega zdravstvenega kartona za obdobje zadnjih petih let. Glede na to, da je zakonska določba 268. člena ZZavar-1, ki zavarovalnico daje podlago za pridobivanje podatkov, relativno odprte narave, mora presojo nujnosti v prvi vrsti opraviti zavarovalnica. IP pa lahko konkretno presojo zakonitosti obdelave v posameznem primeru opravi le v okviru inšpekcijskega ali upravnega postopka.

 

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka