Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.01.2019
Naslov: Zavarovalni zastopnik kot obdelovalec
Številka: 0712-3/2018/2725
Vsebina: Zavarovalništvo, Pravica do seznanitve z lastnimi osebnimi podatki, Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede telefonskih klicev na svojo javno neobjavljeno mobilno telefonsko številko, ki jih vsake nekaj mesecev prejemate s strani zavarovalno zastopniške družbe, s katero niste nikoli bili v nikakršnem pogodbenem (ali drugem) odnosu, pri čemer vam povedo zgolj to, da naj bi opravljali pregled polic življenjskega zavarovanja, ne pa tudi, v čigavem imenu oz. za čigav račun ter kje so dobili vaše podatke (mobilno telefonsko številko, ki ni javno objavljena). Navajate, da ste družbi že poslali zahtevo za seznanitev z informacijami o tem, katere vaše podatke obdeluje v svojih zbirkah, vendar vas skrbi, da vam ne bodo odgovorili in vas posledično zanima, kako naj nadaljujete ter ali lahko pri zavarovalnicah, kjer imate sklenjene police življenjskih zavarovanj zahtevate, da vaših osebnih podatkov (skupaj s telefonsko številko) ne delijo tretjim osebam in jih uporabljajo izključno »in house«.

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

Pri pripravi mnenja izhajamo iz podane okoliščine, da z zavarovalno zastopniško družbo, katere telefonske klice obdobno prejemate za pregled vaših obstoječih polic življenjskega zavarovanja, niste nikoli bili v nikakršnem pogodbenem (ali drugem) odnosu, v okviru katerega bi zadevna družba zbrala vaše osebne podatke pri zakonitem opravljanju svoje dejavnosti in vam sedaj z uporabo zakonito zbranih osebnih podatkov ponujala svoje blago oz. storitve (neposredno tržila) ter iz navedenega dejstva, da svoje mobilne telefonske številke nimate javno objavljene, kar pomeni, da družba lahko zakonito obdeluje vaše osebne podatke (mobilno telefonsko številko in ostale podatke s polic življenjskih zavarovanj) zgolj v vlogi obdelovalca (določba 4(8) Splošne uredbe).

 

Obdelovalec obdelavo vaših osebnih podatkov najverjetneje izvaja v imenu določenega upravljavca na podlagi pogodbe ali drugega pravnega akta (člen 28(3) Splošne uredbe), v katerem bi med ostalim moralo biti določeno, da osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca (točka (a) člena 28(3) Splošne uredbe), med katere zagotovo sodi tudi dolžnost upravljavca glede zagotovitve vseh informacij posameznikom, kot to zahteva člen 13 Splošne uredbe (npr. identiteto in kontaktne podatke upravljavca, kontaktne podatke pooblaščene osebe za varstvo podatkov (kadar obstaja), namene za katere se osebni podatki obdelujejo in pravno podlago za njihovo obdelavo in v kolikor ta temelji na točki (f) člena 6(1) navedbo zakonitih interesov, uporabnike osebnih podatkov, med katerimi bi glede na določbi 4(8) in 4(9) Splošne uredbe morala biti tudi zadevna družba, informacije glede prenosov osebnih podatkov ipd. ter dodatne informacije, kot je obdobje hrambe podatkov, pravice posameznika, ali je zagotovitev osebnih podatkov pogodbena obveznost posameznika in kakšne so morebitne posledice), in sicer na način, kot to določa člen 12 Splošne uredbe (upravljavec mora sprejeti ustrezne ukrepe, da informacije posamezniku zagotovi v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, brezplačno, praviloma pisno ali z drugimi sredstvi, vključno z elektronskimi sredstvi, kjer je to ustrezno).

 

Kot izhaja iz navedenega, ima dolžnost obveščanja posameznikov načeloma upravljavec osebnih podatkov. Kadar upravljavec zbiranje podatkov zaupa obdelovalcu (v konkretnem primeru bi to lahko bilo telefonsko zbiranje podatkov posameznika za izvedbo pregleda polic življenjskega zavarovanja v imenu in za račun določenega upravljavca), to ne spremeni dejstva, da vam mora kot posameznici, zagotoviti vse informacije iz člena 13 Splošne uredbe po obdelovalcu, ki ima z vami neposreden kontakt in lahko vaše osebne podatke obdeluje izključno po dokumentiranih navodilih upravljavca.

 

Upravljavci se lahko sami odločajo, katere konkretne obdelovalce bodo najeli, vkolikor ti zagotavljajo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov, da so izpolnjene zahteve iz Splošne uredbe in je zagotovljeno varstvo pravic posameznika, na katerega se nanašajo podatki, pri čemer po določbi člena 13 Splošne uredbe posameznika o tem niso dolžni obveščati poimensko, zadošča namreč že zgolj navedba kategorij uporabnikov osebnih podatkov, v katero določeni obdelovalec sodi. Posamezniki pri upravljavcu tako ne morejo zahtevati, da njihove osebne podatke obdeluje zgolj »in house« oz. da teh ne sme obdelovati z obdelovalci oziroma z ostalimi tretjimi osebami, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca. Lahko pa posameznik od upravljavca zahteva, da mu na podlagi člena 15 Splošne uredbe (med ostalim) posreduje informacije o uporabnikih, ki so jim bili ali jim bodo razkriti osebni podatki, pri čemer se posameznik opredeli, ali želi prejeti informacijo o konkretnih uporabnikih, ali zgolj kategorijah uporabnikov. Na podlagi tako pridobljenih informacij se posameznik nadalje lažje odloča, ali je upravljavec z določeno ekipo najetih obdelovalcev kredibilen in vreden zaupanja v zakonito, pravično in pregledno obdelavo osebnih podatkov ali ne in bo obdelavo osebnih podatkov potrebno skrbno spremljati, jih po potrebi dodatno zavarovati, nemara pa jih v celoti obvarovati in jih raje prenesti v obdelavo k drugemu upravljavcu. Na podlagi člena 15 Splošne uredbe lahko posameznik od upravljavca pridobi dostop še do naslednjih osebnih podatkov , ki jih obdeluje oz. naslednjih informacij:

  • namene obdelave;
  • vrste zadevnih osebnih podatkov;
  • kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  • obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
  • pravico do vložitve pritožbe pri nadzornem organu;
  • kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
  • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Poleg tega lahko posameznik na podlagi Splošne uredbe pri upravljavcu uveljavlja tudi katero od ostalih svojih pravic: do informacij (člen 13 in 14), do popravka (člen 16), do izbrisa (ali pozabe, člen 17), do omejitve obdelave (člen 18), do prenosljivosti podatkov (člen 20), do ugovora (člen 21) ter pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov (člen 22).  Upravljavec osebnih podatkov je skladno s členom 12 Splošne uredbe na zahtevo posameznika dolžan zagotoviti informacije iz členov 15 do 22 brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.

 

Na zahtevo za seznanitev z informacijami o tem, katere vaše podatke obdeluje v svojih zbirkah, ki ste jo (na podlagi člena 15 Splošne uredbe) podali zadevni zavarovalno zastopniški družbi, katere telefonske klice obdobno prejemate, je ta dolžna odgovoriti v enem mesecu po prejemu zahteve zgolj, če obdeluje vaše osebne podatke kot upravljavec, ne pa tudi, če te obdeluje kot obdelovalec v imenu določenega upravljavca (npr. vaši osebni podatki iz zbirk upravljavcev oz. zavarovalnic, pri katerih imate sklenjene zavarovalne pogodbe, za katere obstaja zahteva, da jih zavarovalno zastopniška družba zbira od posameznikov), ki bi moral biti dejanski naslovnik take zahteve. 

 

Ker pa zavarovalno zastopniška družba lahko obdeluje vaše osebne podatke za ponujanje zavarovalniških produktov oz. storitev (izvajanje neposrednega trženja) kot upravljavec, če je te zbrala v okviru zakonitega opravljanja svoje dejavnosti (ločeno in neodvisno od storitev, ki jih za določeno zavarovalnico kot upravljavca morebiti izvaja kot obdelovalec), boste na podlagi odgovora na že podano zahtevo morda celo ugotovili, da so uvodna izhodišča, ki temeljijo na vašem prepričanju, da niste z zadevno družbo nikoli bili v nikakršnem pogodbenem ali drugem odnosu, zmotna. Iz odgovora boste lahko razbrali, ali zavarovalno zastopniška družba vaše osebne podatke obdeluje zakonito ali ne in kakšne so vaše pravice v zvezi s tem (npr. po 73. členu ZVOP-1 lahko zahtevate, da trajno preneha uporabljati vse vaše osebne podatke za namen neposrednega trženja, upravljavec pa mora v 15 dneh po prejemu take zahteve ustrezno preprečiti uporabo osebnih podatkov za namen neposrednega trženja in vas v nadaljnjih 5-ih dneh obvestiti o prenehanju obdelave za ta namen).

 

Lep pozdrav,

 

 

Pripravila:                                                                               

mag. Petra Ratajec                                                                   

državna nadzornica za varstvo                                                  

osebnih podatkov                                  

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka