Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.12.2018
Naslov: Posredovanje OP detektivu
Številka: 0712-3/2018/2515
Vsebina: Posredovanje OP med upravljavci
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem vas zanima, ali lahko ministrstvo detektivu, ki ima pooblastilo zavarovalnice, ki preiskuje konkretnega delavca, v zvezi s sumom zavarovalniške goljufije, posreduje informacije o:

- delovnem mestu ter naslovu, kjer opravlja delo konkretni delavec,

- izpis iz beleženja delovnega časa za določen dan, in sicer ali je ta konkretni delavec bil na delovnem mestu oz. je imel pisan dopust ali bolniški stalež.

Sprašujete, ali gre v tem primeru za osebne podatke zaposlenega. Zakon o detektivski dejavnosti vam je jasen, in sicer detektiv lahko pridobiva podatke od oseb, ki s tem podatkom razpolagajo, če jih posreduje prostovoljno. Ne veste pa, ali ste pri tem omejeni z ZVOP-1 oz. z ZDIJZ.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

IP uvodoma pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba imeti eno izmed pravnih podlag, ki jih v prvem odstavku 6. člena predpisuje Splošna uredba. Podatki, ki jih navajate (so predmet zahteve) pa so osebni podatki zaposlenega (skladno z definicijo osebenga podatka iz 1. točke 4. člena Splošne uredbe.

 

Glede na to, da je zaprosilo poslal detektiv, bi lahko bila pravna podlaga podana v Zakon o detektivski dejavnosti (Uradni list RS, št. 17/11 - v nadaljevanju ZDD–1) v povezavi seveda z ustreznim pooblastilom, ki ga detektiv mora imeti. Detektiv lahko opravlja dejavnosti na področjih, ki so določena z ZDD–1, in pridobiva informacije npr. o dokaznem gradivu in dejstvih, potrebnih za zavarovanje ali dokazovanje pravic in upravičenj stranke pred sodišči, drugimi pravosodnimi organi in drugimi organi oziroma organizacijami, ki v postopkih odločajo o teh pravicah (drugi odstavek 26. člena ZDD-1) in ima v okviru pisnega pooblastila stranke pravico pridobivati podatke iz določenih evidenc, taksativno naštetih v prvem odstavku 29. člena, vendar med njimi ni nobenih “kadrovskih” evidenc oziroma zbirk podatkov za posameznega delavca. Po tem zakonu, kot že sami predvidevate, zato ne obstoji neposredna pravna podlaga za posredovanje zahtevanih podatkov detektivu.

 

Upoštevajoč, da je v konkretnem primeru detektiv pooblaščenec zavarovalnice, pa je treba pravne podlage ugotavljati tudi po Zakonu o zavarovalništvu (Uradni list RS, št. 93/15 - v nadaljevanju ZZavar-1). Ta v prvem odstavku 268. člena določa, da zavarovalnice in Slovensko zavarovalno združenje zbirajo, obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke za namen sklepanja in izvajanja pogodb o zavarovanju, kar vključuje tudi izterjavo neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja.

 

Drugi odstavek istega člena nadalje določa, da lahko zavarovalnice in Slovensko zavarovalno združenje vzpostavijo, vzdržujejo in vodijo zbirko podatkov o zavarovalcih in zavarovancih (1. točka), zbirko podatkov o škodnih dogodkih (2. točka) in zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine (3. točka). V zadnji zbirki se med drugim zbirajo tudi osebni podatki, kot so:

 1.    osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče in davčna številka zavarovanca in oškodovanca, za katerega se ugotavlja zavarovalno kritje in odškodnina oziroma zavarovalnina,

2.      predhodni zavarovalni primeri v obsegu iz prejšnjega odstavka, prehodne poškodbe in zdravstveno stanje, vrsta telesnih poškodb, trajanje zdravljenja in posledice za zavarovanca in oškodovanca,

3.      dohodki zavarovanca in oškodovanca ter zaposlitev,

4.      upokojitve (redne in invalidske), prekvalifikacije in stopnje invalidnosti zavarovanca in oškodovanca,

5.      stroški za medicinsko oskrbo, zdravila in medicinske pripomočke zavarovanca in oškodovanca,

6.      upravičenosti do kritja razlike do polne vrednosti zdravstvenih storitev po zakonu, ki ureja zdravstveno zavarovanje, iz proračunskih sredstev Republike Slovenije,

7.      podatki o vozniškem dovoljenju,

8.      historični podatki o zgodovini predmeta zavarovanja.

Sedmi odstavek istega člena pa določa način zbiranja podatkov teh podatkov, in sicer se jih praviloma zbira neposredno od posameznika, na katerega se nanašajo (1. točka sedmega odstavka), sicer pa od drugih oseb, ki o zavarovalnem primeru kaj vedo. Med drugim za pridobivanje podatkov o vrsti, kraju, času in opisu zavarovalnega primera, lahko zavarovalnice pridobivajo podatke tudi iz zbirk podatkov delodajalca, Zavoda za pokojninsko in invalidsko zavarovanje in centrov za socialno delo (5. točka sedmega odstavka).

 

Iz navedenega člena torej izhaja, da lahko zavarovalnica v skladu s predpisi, ki urejajo varstvo osebnih podatkov, zbira določene osebne podatke, in da obstaja dolžnost med drugim tudi delodajalca, da ji te podatke posredujejo, seveda na podlagi ustrezne oziroma utemeljene zahteve zavarovalnice (ali njenega pooblaščenca), pri čemer mora zavarovalnica upoštevati tretji odstavek 268. člena, ki določa, da je obdelava osebnih podatkov v zbirkah iz prejšnjega odstavka dopustna le v obsegu, ki je potreben za uresničevanje namenov obdelave iz prvega odstavka tega člena. tj. za sklepanje in izvajanje pogodb o zavarovanju in uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu. Načelo najmanjšega obsega podatkov (pri. načelo sorazmernosti iz 3. člena ZVOP-1) je sicer določeno tudi v točki c) prvega odstavka 5. člena Splošne uredbe (osebni podatki, ki se obdelujejo, moajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

Zavarovalnica (oziroma detektiv kot njen pooblaščenec v njenem imenu) torej lahko pridobi tudi določene podatke o delavcih, vendar IP ob tem opozarja, da mora detektiv pri tem izkazati obstoj pooblastila in pravne podlage na strani zavarovalnice v konkretnem primeru. Slednje lahko izkaže na primer s pooblastilom iz 25. člena ZDD-1, iz katerega mora biti razvidno, na kateri pravni podlagi oziroma za kateri namen zavarovalnica potrebuje osebne podatke določenih posameznikov ter v njem tudi izkazana utemeljena potreba po teh podatkih, upoštevajoč že omenjeno načelo najmanjšega obsega podatkov. V vsakem posamičnem primeru posebej (torej tudi v vašem) mora tako upravljavec osebnih podatkov ugotoviti, ali so podani vsi pogoji oziroma zadostni podatki za posredovanje osebnih podatkov iz njegovih zbirk osebnih podatkov. Ob tem IP še dodaja, da lahko stranka na detektiva prenese samo tiste pravice, ki jih ima sama.

 

V upanju, da ste dobili odgovore na svoja vprašanja, vas lepo pozdravljamo.

 

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka