Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 01.10.2019
Naslov: Obdelava OP s strani zavarovalnic
Številka: 0712-1/2019/2228
Vsebina: Pravne podlage, Zavarovalništvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede morebitne kršitve osebnostnih pravic v zvezi s pridobivanjem osebnih podatkov s strani zavarovalnice.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Zakon o obveznih zavarovanjih v prometu (Uradni list RS, št. 70/9429/9667/0213/0530/06114/06 - ZUE, 52/0740/12 - ZUJF, 4/1633/16 - PZ-F, 41/17 - PZ-G; v nadaljevanju: ZOZP), v 8. členu določa pravno podlago, na temelju katere zavarovalnice in Slovensko zavarovalno združenje (v nadaljevanju: SZZ) obdelujejo osebne podatke, potrebne za sklepanje zavarovanj in za obravnavanje odškodninskih zahtevkov, ki izvirajo iz teh zavarovanj. Osebne podatke tako lahko obdelujejo v skladu z ZVOP-1 in posebnimi predpisi o zbirkah podatkov s področja zavarovanja. Kadar zavarovalnica oziroma SZZ podatke o posamezniku zbira iz že obstoječih zbirk podatkov, o tem ni dolžna predhodno obvestiti posameznika, na katerega se podatki nanašajo.

V skladu z drugim odstavkom 268. člena Zakona o zavarovalništvu (Uradni list RS, št. 93/15, 9/19; v nadaljevanju: ZZavar-1) zavarovalnice in SZZ zbirajo, shranjujejo, posredujejo, uporabljajo ali kako drugače obdelujejo osebne podatke iz tega člena v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja, in sicer:

  1. zbirko podatkov o zavarovalcih in zavarovancih,
  2. zbirko podatkov o zavarovalnih primerih,
  3. zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine,
  4. zbirko podatkov o potencialnih zavarovalcih in zavarovancih.

V zbirki podatkov o zavarovalcih in zavarovancih se ob upoštevanju namena obdelave podatkov lahko zbirajo naslednji osebni podatki:

  • osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta zavarovalca oziroma zavarovanca, v primeru zdravstvenega zavarovanja pa tudi ZZZS številka zavarovane osebe,
  • ime zavarovalnice, številka police, trajanje zavarovanja in zavarovalno kritje,
  • podatki, ki se nanašajo na predmet zavarovanja;
  • zavarovalnice, ki izvajajo dopolnilno prostovoljno zdravstveno zavarovanje, lahko z namenom lažjega uresničevanja pravic zavarovancev, poleg podatkov iz 1. točke tega odstavka, zbirajo tudi enotno matično številko občana,
  • podatki, ki so jih zavarovalnice zavezane pridobivati in obdelovati na podlagi zakona, ki ureja preprečevanje pranja denarja in financiranja terorizma;
  • podatki, ki opredeljujejo osebni oziroma finančni položaj, življenjski slog oziroma navade, obstoječe ali želeno zavarovalno kritje, motiv za sklenitev zavarovanja, finančno znanje, izkušnje oziroma finančno pismenost zavarovalca, podatki o zmožnosti kritja izgub, ciljih naložbe ter stopnji dovoljenega tveganja oziroma podatki o drugih osebnih okoliščinah, ki jih prostovoljno posreduje zavarovalec, ter so primerni in potrebni za ugotavljanje potreb in zahtev, ocenjevanje primernosti in ustreznosti, izdajo osebnega priporočila zavarovalcu oziroma izvedbo svetovanja zavarovalnice na podlagi poštene in osebne analize.

V zbirki podatkov o zavarovalnih primerih se ob upoštevanju namena obdelave podatkov lahko zbirajo naslednji osebni podatki:

  • osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti,, davčna številka, vrsta in številka osebnega dokumenta in državljanstvo v škodnem dogodku udeleženih oseb, prič in upravičencev do odškodnine oziroma zavarovalnine,
  • oznaka škodnega spisa, datum vložitve zahtevka in izplačila odškodnine oziroma zavarovalnine,
  • vrsta, kraj, čas in opis zavarovalnega primera,
  • opis materialne in nematerialne škode, nastale v zavarovalnem primeru,
  • podatki o kaznivih dejanjih in prekrških v zvezi z zavarovalnimi primeri.

 

V zbirki podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine se ob upoštevanju namena obdelave podatkov lahko zbirajo sledeči osebni podatki:

  • osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta zavarovanca in oškodovanca, za katerega se ugotavlja zavarovalno kritje in odškodnina oziroma zavarovalnina,
  • osebni podatki o predhodnih zavarovalnih primerih v obsegu iz prejšnjega odstavka ter podatki o upoštevnem zdravstvenem stanju zavarovanca in oškodovanca, vključno z zagotavljanjem zdravstvenih storitev, prehodnimi poškodbami in zdravstvenem stanju, vrsti telesnih poškodb, trajanjem zdravljenja in posledicami za oškodovanca in zavarovalca,
  • dohodki zavarovanca in oškodovanca ter zaposlitev,
  • upokojitve (redne in invalidske), prekvalifikacije in stopnje invalidnosti zavarovanca in oškodovanca,
  • stroški za medicinsko oskrbo, zdravila in medicinske pripomočke zavarovanca in oškodovanca,
  • upravičenosti do kritja razlike do polne vrednosti zdravstvenih storitev po zakonu, ki ureja zdravstveno zavarovanje, iz proračunskih sredstev Republike Slovenije,
  • podatki o vozniškem dovoljenju,
  • historični podatki o zgodovini predmeta zavarovanja.

Navedeni osebni podatki se skladno z 8. odstavkom 268. člena ZZavar-1 pridobivajo na več načinov, in sicer:

  • praviloma neposredno od posameznika, na katerega se nanašajo,
  • od drugih oseb, ki o zavarovalnem primeru kaj vedo,
  • če gre za primere iz 270. člena ZZavar-1 (izmenjava osebnih podatkov o spornih zavarovalnih primerih med zavarovalnicami), iz zbirk podatkov posameznih zavarovalnic in SZZ,
  • določeni podatki se lahko pridobijo iz Registra nepremičnin,
  • določeni podatki se lahko pridobijo iz zbirk podatkov državnih organov,
  • podatke za zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine lahko pridobivajo v določenih primerih tudi od: izvajalcev zdravstvenih in z njimi povezanih storitev, Zavoda za zdravstveno zavarovanje, iz zbirk podatkov delodajalca, Zavoda za pokojninsko in invalidsko zavarovanje, centrov za socialno delo in iz zbirk podatkov različnih ministrstev,
  • od drugih upravljavcev zbirk podatkov, ki hranijo podatke, ki jih lahko zavarovalnice in SZZ pridobivajo in zbirajo v skladu z ZZavar-1.

 

Podatki v zbirki podatkov o zavarovalcih in zavarovancih se shranjujejo deset let po prenehanju zavarovalne pogodbe, v primeru nastanka zavarovalnega primera deset let po koncu obdelave zavarovalnega primera, v primeru sodnega postopka izterjave neplačanih obveznosti iz naslova zavarovalnih pogodb deset let po zaključku sodnega postopka in v primeru, če se nanašajo na dopolnilno zdravstveno zavarovanje, skladno s predpisi o zdravstvenem varstvu in zdravstvenem zavarovanju, deset let po smrti zavarovanca ali prenehanju zavarovanja. Podatki v zbirki podatkov o zavarovalnih primerih in v zbirki podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine se shranjujejo deset let po koncu obdelave zavarovalnega primera. Če zavarovanec ali oškodovanec v tem roku vloži ali če se utemeljeno pričakuje vložitev novega zahtevka za uveljavitev pravic iz zavarovalnega primera po poteku tega roka, se rok hrambe po potrebi podaljša tako, da se podatki hranijo do pet let po koncu obdelave novega zahtevka oziroma dokler traja možnost vložitve novega utemeljenega zahtevka.

Obdelava osebnih podatkov v navedenih zbirkah je dopustna le v obsegu, ki je primeren in potreben za uresničevanje namenov obdelave - sklepanje in izvajanje pogodb o zavarovanju, izterjava neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, in preverjanje politične izpostavljenosti oseb po zakonu, ki ureja preprečevanje pranja denarja in financiranja terorizma.

Nadalje ZZavar v 270. členu določa, da smejo zavarovalnice, ki obravnavajo zahtevke v spornem zavarovalnem primeru, za namen ugotovitve dejanskih okoliščin in v obsegu, ki je potreben, v postopku reševanja zavarovalnega primera ali preiskave sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin izmenjati osebne in druge podatke iz zbirk podatkov zavarovalnic in SZZ, ki se vodijo v skladu z drugim odstavkom 268. člena tega zakona, z drugimi zavarovalnicami in SZZ. Kadar zavarovalnica v postopku reševanja zavarovalnega primera ugotovi, da sporne okoliščine ne vplivajo na obveznosti zavarovalnice po zavarovalni pogodbi, podatke, ki jih je prejela od Slovenskega zavarovalnega združenja oziroma druge zavarovalnice, izbriše v 30 dneh po izplačilu odškodnine oziroma zavarovalnine, dokumentacijo pa uniči tako, da ni več možno ugotoviti njene vsebine oziroma je ni več možno ponovno uporabljati.

Skladno s predstavljeno zakonodajo imajo torej zavarovalnice pravno podlago za pridobivanje in obdelavo osebnih podatkov v obsegu in za namene, kot to določa ZZavar-1. Zavarovalnice in SZZ tako lahko pridobivajo zgoraj navedene osebne podatke, ki jih potrebujejo za obravnavo konkretnega primera, upoštevajoč namene posamezne zbirke. Ob tem je treba upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je treba obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti, torej v konkretnem primeru vodenje postopka likvidacije škode.

IP sklepno poudarja, da v okviru nezavezujočega mnenja ne more presojati, ali so v konkretnem primeru, za konkreten namen in podatke izpolnjeni navedeni pogoji za obdelavo podatka in njegovo posredovanje. To je namreč naloga upravljavca. Konkretno presojo zakonitosti obdelave v posameznem primeru pa lahko IP opravi le v okviru inšpekcijskega ali upravnega postopka.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka