Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 03.05.2019
Naslov: Obdelava OP s strani zavarovalnega zastopnika
Številka: 0712-1/2019/1020
Vsebina: Pravica do seznanitve z lastnimi osebnimi podatki, Zavarovalništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše vprašanje, ali je informacija, pri katerem ponudniku ima oseba sklenjeno dodatno zdravstveno zavarovanje, javna. Pojasnjujete, da prejemate klice iz strani tretjega podjetja, ki vam v telefonskem pogovoru pove, da ste zavarovani pri zavarovalnici X in vam predlagajo, da se premaknete k zavarovalnici Y. Predlagajo, da vam na dom pošljejo vso potrebno dokumentacijo za prestavitev iz zavarovalnice X k zavarovalnici Y. Po prejetju pošte ste ugotovili, da to ureja podjetje, ki ima na spletni strani razvidno, da sodeluje z vsemi večjimi zavarovalnicami.

Zanima vas, ali to pomeni, da lahko do vaših zavarovalnih polic dostopa vsak  oz ali
lahko zahtevate od zavarovalnice, da vam predloži vsa (tretja) podjetja, ki imajo dostop do vaših podatkov o zavarovalnih policah. 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da morajo biti pogodbe o dodatnem zdravstvenem zavarovanju obravnavane v skladu z zahtevami varstva osebnih podatkov, saj vsebujejo podatke, na podlagi katerih je mogoče določiti posameznika oz. osebne podatke. Torej mora zavarovalni zastopnik izkazati ustrezno pravno podlago za obdelavo vaših osebnih podatkov oz. vaše osebne podatke mora pridobiti zakonito. Zavarovalni zastopnik, od katerega prejemate klice glede ponudb za spremembo zavarovalne police, je najverjetneje zbral vaše osebne podatke (telefonska številka in ostali podatki s police zdravstvenega zavarovanja) v vlogi obdelovalca (kot ga opredeljuje osmi odstavek člena 4 Uredbe). Obdelovalec obdelavo vaših osebnih podatkov najverjetneje izvaja v imenu določenega upravljavca (zavarovalnice, kjer imate sklenjeno dodatno zdravstveno zavarovanje) na podlagi pogodbe ali drugega pravnega akta v skladu s členom 28(3) Uredbe, v katerem bi med ostalim moralo biti določeno, da osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca (točka (a) člena 28(3) Uredbe). Torej do vaših zavarovalnih polic ne more dostopati kdorkoli, ampak le tisti obdelovalci, ki imajo z upravljavcem sklenjeno pogodbo o pogodbeni obdelavi, v kateri so tudi natančno določeni vsebina, in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ena izmed dolžnosti upravljavca je tudi zagotovitev vseh informacij posameznikom, kot to zahteva člen 13 Uredbe, npr. identiteto in kontaktne podatke upravljavca, kontaktne podatke pooblaščene osebe za varstvo podatkov (kadar obstaja), namene za katere se osebni podatki obdelujejo in pravno podlago za njihovo obdelavo in v kolikor ta temelji na točki (f) člena 6(1) navedbo zakonitih interesov, uporabnike osebnih podatkov (med katerimi bi glede na določbi osmega in devetega odstavka člena 4 Uredbe moralo biti tudi zadevno podjetje za zavarovalno zastopstvo), informacije glede prenosov osebnih podatkov ter dodatne informacije, kot je obdobje hrambe podatkov, pravice posameznika, ali je zagotovitev osebnih podatkov pogodbena obveznost posameznika in kakšne so morebitne posledice. Upravljavec mora sprejeti ustrezne ukrepe, da naštete informacije posamezniku zagotovi v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, brezplačno, praviloma pisno ali z drugimi sredstvi, vključno z elektronskimi sredstvi, kjer je to ustrezno. Kot izhaja iz navedenega, ima dolžnost obveščanja posameznikov načeloma upravljavec osebnih podatkov. Kadar upravljavec zbiranje podatkov zaupa obdelovalcu, to ne spremeni dejstva, da vam mora zagotoviti vse informacije iz člena 13 Uredbe po obdelovalcu, ki ima z vami neposreden kontakt in lahko vaše osebne podatke obdeluje izključno po dokumentiranih navodilih upravljavca.

 

Posameznik lahko od upravljavca zahteva, da mu na podlagi člena 15 Uredbe (med ostalim) posreduje informacije o uporabnikih, ki so jim bili ali jim bodo razkriti osebni podatki, pri čemer se posameznik opredeli, ali želi prejeti informacijo o konkretnih uporabnikih (konkretna podjetja) ali zgolj kategorijah uporabnikov (npr. podjetje za izvajanje trženjih akcij, podjetje za vzdrževanje informacijskega sistema). Na podlagi člena 15 Uredbe lahko posameznik od upravljavca pridobi dostop še do naslednjih osebnih podatkov , ki jih obdeluje oz. naslednjih informacij:

  • namene obdelave;
  • vrste zadevnih osebnih podatkov;
  • kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  • obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
  • pravico do vložitve pritožbe pri nadzornem organu;
  • kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
  • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Poleg tega lahko posameznik na podlagi Uredbe pri upravljavcu uveljavlja tudi katero od ostalih svojih pravic: do informacij (člen 13 in 14), do popravka (člen 16), do izbrisa (ali pozabe, člen 17), do omejitve obdelave (člen 18), do prenosljivosti podatkov (člen 20), do ugovora (člen 21) ter pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov (člen 22). Več informacij o pravicah posameznikov je na voljo na namenski spletni strani www.tiodlocas.si, kjer so opisani tudi konkretni primeri in napotki, kako lahko uveljavljate vaše pravice. Upravljavec osebnih podatkov je skladno s členom 12 Uredbe na zahtevo posameznika dolžan zagotoviti informacije iz členov 15 do 22 brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.     

 

 

                                                                                                   Mojca Prelesnik, univ.dipl.prav.,                                                  

                                                                                                   informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Jasmina Mešić,
svetovalka pooblaščenca za preventivo