Obdelava osebnih podatkov zaradi najema nadomestnega avtomobila

Datum

10.07.2023

Številka

07121-1/2023/922

Kategorije

Informiranje posameznika, Pravica do seznanitve z lastnimi osebnimi podatki, Zavarovalništvo

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da imate pri … sklenjeno tudi opcijo …, v okviru katere je poleg prevoza okvarjenega ali poškodovanega vozila zagotovljeno nadomestno vozilo za največ 8 dni. Zavarovalnica ima pogodbene avto hiše, ki za zavarovalnico strankam zavarovalnice posojajo nadomestna vozila. Opisujete, da nekatere ob predaji avtomobila zahtevajo le vozniško dovoljenje, kar se vam zdi potreben minimum. Včasih pa se vam zgodi, da od vas zahtevajo še dodatno osebno izkaznico in celo bančno kartico. Menite, da gre za nepooblaščeno zbiranje osebnih podatkov, saj z večino teh podatkov razpolaga zavarovalnica sama, ki bi lahko podatke posredovala avto hiši.

Sprašujete, katere podatke lahko zahteva od vas avto hiša in ali drži, da so podatki z osebne izkaznice in bančne kartice nepotrebni.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Za vsako obdelavo osebnih podatkov (tako za zbiranje kot za posredovanje podatkov) mora upravljavec izkazati ustrezno pravno podlago po prvem odstavku 6. člena Splošne uredbe. Upravljavec mora upoštevati tudi t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. IP tako z nezavezujočim mnenjem ne more vnaprej odgovoriti na vprašanje, kateri osebni podatki so za namen izvajanja pogodbe o najemu nadomestnega vozila nujno potrebni. O konkretni obdelavi bi lahko odločal zgolj v konkretnem inšpekcijskem postopku.

Posameznikom morajo biti pred posredovanjem osebnih podatkov zagotovljene informacije o obdelavi osebnih podatkov skladno s 13. členom Splošne uredbe (npr. nameni ter pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobje hrambe, itd.). Predlagamo vam, da se pred posredovanjem svojih osebnih podatkov vedno prepričate, v katere namene jih želi upravljavec (avto hiša) prejeti.

Obrazložitev

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. IP z nezavezujočim mnenjem torej ne more vnaprej odgovoriti na vprašanje, kateri osebni podatki so za namen sklenitve oz. izvajanja pogodbe o najemu nadomestnega vozila nujno potrebni. IP ob tem tudi ne more presojati, kakšna je narava pogodbenega razmerja med zavarovalnico in pogodbeno hišo. O konkretni obdelavi bi lahko odločal zgolj v konkretnem inšpekcijskem postopku, zato vam podajamo zgolj splošna pojasnila.

Uvodoma pojasnjujemo, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe, npr.:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Zavarovalnica mora zagotoviti ustrezno pravno podlago za obdelavo osebnih podatkov. Kot navajate, ste pri zavarovalnici sklenili tudi zavarovanje …, kar pomeni, da zavarovalnica verjetno obdeluje vaše osebne podatke za izvajanje zavarovalne pogodbe (zgoraj citirana točka (b) prvega odstavka 6. člena Splošne uredbe). IP sicer ni znano, kateri splošni pogoji vas v konkretnem primeru zavezujejo, vendar pa kot izhaja npr. iz … je zavarovanec dolžan spoštovati pogoje najemodajalca vozila, ki so določeni v najemni pogodbi za nadomestno vozilo. Zavarovalnica prav tako ne krije morebitnih dodatnih zavarovanj, razen tistih, ki so kot obvezna dogovorjena v pogodbi o najemu vozila.

Pravna podlaga za obdelavo vaših osebnih podatkov s strani avto hiše je torej verjetno izvajanje pogodbe o najemu vozila (zgoraj citirana točka (b) prvega odstavka 6. člena Splošne uredbe), ki torej določa pogoje za najem nadomestnega vozila in bi lahko vsebovala tudi dodatna zavarovanja. Nadalje pojasnjujemo, da je zakonitost obdelave osebnih podatkov na podlagi pogodbe odvisna od konkretnih okoliščin, npr. od pogodbenih določil oz. splošnih pogojev poslovanja. Ob tem opozarjamo, da se lahko zaradi sklenitve pogodbe obdelujejo zgolj tisti osebni podatki, ki so za izvajanje te pogodbe nujno potrebni. Upravljavec mora namreč spoštovati tudi t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. IP tako vnaprej ne more odgovoriti na vprašanje, kateri osebni podatki so za namen sklenitve iz izvajanja pogodbe o najemu nadomestnega vozila nujno potrebni, to presojo mora v konkretnem primeru glede na okoliščine opraviti upravljavec sam, ki je tudi odgovoren za zakonitost obdelave osebnih podatkov. Ker nam konkretni pogodbi (in njuni splošni pogoji), kakor tudi pogodbeno razmerje med zavarovalnico in avto hišo niso znani, ne moremo komentirati zakonitost morebitnega posredovanja podatkov s strani zavarovalnice avto hiši. Vsekakor mora tudi za posredovanje osebnih podatkov obstajati ustrezna pravna podlaga, ob upoštevanju omenjenega načela najmanjšega obsega podatkov. Več o obdelavi osebnih podatkov s strani zavarovalnice lahko preberete v že izdanih mnenjih IP, ki so dostopna z www.ip-rs.si/vop, npr. v mnenju št. 07121-1/2023/613 z dne 10. 5. 2023.

V zvezi s podatki z osebne izkaznice in vozniškega dovoljenja opozarjamo tudi na določbo prvega odstavka 94. člena ZVOP-2, ki določa, da sme upravljavec za namen identifikacije posameznika ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov vpogledati v njegove uradne identifikacijske dokumente. Če je za vas relevantno, pa lahko preberete informacije glede kopiranja osebne izkaznice na povezavi: https://www.ip-rs.si/varstvo-osebnih-podatkov/in%C5%A1pekcijski-nadzor/najbolj-pogoste-kr%C5%A1itve/kopiranje-osebnih-dokumentov-in-prepisovanje-podatkov-iz-osebnih-dokumentov. Prav tako izpostavljamo, da je lahko skladno s sedmim odstavkom 28. člena Zakona o motornih vozilih (Uradni list RS, št. 75/17 in 92/20 – ZPrCP-E) uporabnik vozila samo oseba, ki ima veljavno vozniško dovoljenje za to kategorijo vozila.

Preden posamezniki upravljavcu posredujejo svoje osebne podatke, morajo biti tudi podrobno informirani o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. prejeti informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Predlagamo vam, da zahtevate navedene informacije od upravljavca, preden mu posredujete svoje osebne podatke in preverite, v katere namene jih želi prejeti oz. nadalje obdelovati. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

Če ste osebne podatke že posredovali, lahko skladno s Splošno uredbo uveljavljate tudi pravico dostopa skladno s 15. členom Splošne uredbe. Posameznik ima namreč od upravljavca pravico pridobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in v teh primerih tudi dostop do osebnih podatkov ter nekatere informacije, kot so npr. nameni obdelave. Več o tem lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

Lepo vas pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo