Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.01.2019
Naslov: Škodni zahtevek
Številka: 0712-3/2018/2757
Vsebina: Zavarovalništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ravnanja podjetja, ki rešuje vaš škodni zahtevek zaradi zamude leta.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v tem okviru presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Morebitno kršitev določb predpisov s področja varstva osebnih podatkov v posameznem primeru IP lahko ugotavlja šele v okviru konkretnega inšpekcijskega postopka, izven tega pa ne more preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

IP nadalje pojasnjuje, da je primarna odgovornost za zakonito obdelavo osebnih podatkov na upravljavcu samem. IP izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom ne more svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke. IP namreč ne sme in ne more prevzeti odgovornosti posameznih poslovnih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe.

 

IP poudarja, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga. V členu 6 Splošne uredbe o varstvu podatkov je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Obdelava osebnih podatkov je tako zakonita, če je izpolnjen (vsaj) eden od zgoraj naštetih pogojev.

V skladu z Zakonom o zavarovalništvu (Uradni list RS, št. 93/15; v nadaljevanju: ZZavar-1), ki se je začel uporabljati 1. 1. 2016, zavarovalnice in Slovensko zavarovalno združenje vodijo posamezne zbirke osebnih podatkov, ki so navedene v drugem odstavku 268. člena. Obdelava osebnih podatkov v teh zbirkah je dopustna le v obsegu, ki je potreben za uresničevanje namenov obdelave, torej sklepanja in izvajanja pogodb o zavarovanju, kar vključuje tudi izterjavo neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja.

 

Ena izmed zbirk osebnih podatkov iz drugega odstavka 268. člena ZZavar-1 je tudi zbirka podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine, v kateri se lahko zbirajo naslednji osebni podatki:

  •      osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče, davčna številka zavarovanca in oškodovanca, za katerega se ugotavlja zavarovalno kritje in odškodnina oziroma zavarovalnina
  •      predhodni zavarovalni primeri v obsegu iz petega odstavka 268. člena ZZavar-1, prehodne poškodbe in zdravstveno stanje, vrsta telesnih poškodb, trajanje zdravljenja in posledice za zavarovanca in oškodovanca;
  •      dohodki zavarovanca in oškodovanca ter zaposlitev;
  •      upokojitve (redne in invalidske), prekvalifikacije in stopnje invalidnosti zavarovanca in oškodovanca;
  •      stroški za medicinsko oskrbo, zdravila in medicinske pripomočke zavarovanca in oškodovanca;
  •      upravičenosti do kritja razlike do polne vrednosti zdravstvenih storitev po zakonu, ki ureja zdravstveno zavarovanje, iz proračunskih sredstev Republike Slovenije;
  •      podatki o vozniškem dovoljenju;
  •      historični podatki o zgodovini predmeta zavarovanja.

 

Omenjeni osebni podatki se praviloma zbirajo neposredno od posameznika, na katerega se nanašajo, lahko pa se zbirajo tudi od drugih oseb in drugih upravljavcev zbirk podatkov, ki hranijo podatke, ki jih lahko zavarovalnice pridobivajo in zbirajo v skladu z ZZavar-1 (6. točka sedmega odstavka 268. člena). Podatki iz zgoraj navedene 2. in 5. alineje se lahko zbirajo tudi iz zbirk podatkov izvajalcev zdravstvenih in z njimi povezanih storitev in Zavoda za zdravstveno zavarovanje.

ZZavar-1 tako jasno določa, katere osebne podatke lahko obdelujejo zavarovalnice in za kakšne namene.

IP splošno pojasnjuje, da torej zavarovalnice lahko vodijo zbirko podatkov, ki vsebuje zdravstveno stanje zavarovancev, kamor sodijo tudi diagnoze upravičencev, kadar gre za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine (in podatke o upravičenosti do kritja razlike do polne vrednosti zdravstvenih storitev po zakonu, ki ureja zdravstveno zavarovanje, iz proračunskih sredstev Republike Slovenije). To pomeni, da imajo zavarovalnice zakonsko podlago za zbiranje in obdelavo osebnih podatkov, tudi osebnih podatkov o zdravstvenem stanju posameznika. Te podatke lahko pridobijo in obdelujejo za zakonsko določene namene (torej konkretno za presojo zavarovalnega kritja in višine odškodnine) tudi brez vaše privolitve.

ZZavar-1 v 265. členu določa tudi obveznost, da zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način. Kadar gre hkrati za varovane osebne podatke, se za njihovo obdelavo in zavarovanje upošteva zakon, ki ureja varstvo osebnih podatkov. Kot omenjeno zgoraj, lahko zavarovalnica obdeluje osebne podatke le v obsegu, ki je potreben za uresničevanje namenov obdelave – sklepanja in izvajanja pogodb o zavarovanju.

 

Navedeno torej velja za pridobivanje in obdelavo podatkov s strani zavarovalnic. IP na podlagi podatkov v vašem zaprosilu ne more z gotovostjo sklepati, v kakšnem odnosu sta zavarovalnica in obe podjetji, ki ju navajate. V kolikor gre za odnos upravljavec – obdelovalec v skladu z 28. členom Splošne uredbe o varstvu podatkov, mora biti med njimi sklenjen ustrezni pisni akt o pogodbeni obdelavi. V tem okviru bi lahko zavarovalnica posredovala vaše osebne podatke pogodbenemu obdelovalcu (podjetju B/C). V kolikor pa je podjetje B/C samostojni upravljavec, pa mora obstajati ustrezna pravna podlaga oziroma je treba pridobiti vašo privolitev za posredovanje osebnih podatkov.

 

Splošna uredba o varstvu podatkov glede obdelave posebnih vrst osebnih podatkov, kamor sodijo tudi podatki v zvezi z zdravjem, med drugim v točki a drugega odstavka 9. člena določa, da je obdelava teh podatkov dopustna, če je posameznik dal izrecno privolitev v obdelavo teh osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali države članice določa drugače. Kadar posameznik privoli v obdelavo njegovih osebnih podatkov v enega ali več namenov, je treba upoštevati podrobnejša določila Splošne uredbe o varstvu podatkov glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v členu 7. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

 

IP vas dodatno napotuje na svojo spletno stran, kjer lahko dobite več informacij o veljavni privolitvi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/

 

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka