Utemeljenost zahteve zavarovalnice za posredovanje podatkov zaposlenih

Datum

23.10.2024

Številka

07121-1/2024/1299

Kategorije

Delovna razmerja, Informiranje posameznika, Posredovanje osebnih podatkov, Pravica do seznanitve z lastnimi osebnimi podatki, Zavarovalništvo

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da je vaše podjetje v postopku redne likvidacije. Ob vloženi zahtevi za prekinitev tekoče zavarovalne police, zavarovalnica od vas zahteva, da pošljete vse obrazce M2, da ste delavce odjavili iz zavarovanj. Zanima vas, ali je njihova zahteva utemeljena?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

Za kakršnokoli posredovanje osebnih podatkov mora biti podana ustrezna in zakonita pravna podlaga, ter vi kot upravljavec osebnih podatkov zaposlenih pred samim posredovanjem prepričani, da je ta pravna podlaga ustrezna in zakonita; podatki, ki pa naj bi se posredovali pa potrebni za zasledovan namen.

Splošna pravna podlaga za obdelavo osebnih podatkov zavarovanec ter nameni za kar se osebni podatki s strani zavarovalnice lahko obdelujejo je podrobneje urejena z 268. členom ZZvar-1.

Za pojasnilo glede pravne podlage in utemeljitev potrebnosti zahtevanih podatkov se morate obrniti neposredno na zavarovalnico, ki podatke od vas zahteva ter osebne podatke posredovati izključno, ko boste prepričani v zakonitost zahtevane obdelave osebnih podatkov.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da v okviru nezavezujočih mnenj ne more, niti ne sme namesto upravljavca odločati o tem, ali so v konkretnem primeru podani pogoji za posredovanje osebnih podatkov zaposlenih. Odgovornost za zakonitost obdelave osebnih podatkov je namreč vedno na upravljavcu (tistemu, ki podatke zahteva kot vzporedno tudi tistemu, ki podatke posreduje), ki jo mora biti sposoben tudi dokazati. IP bi zakonitost obdelave osebnih podatkov lahko preveril zgolj v konkretnem inšpekcijskem ali drugem upravnem postopku.

Uvodoma izpostavljamo, da mora za kakršnokoli posredovanje osebnih podatkov biti podana ustrezna pravna podlaga, ter vi kot upravljavec osebnih podatkov zaposlenih pred samim posredovanjem prepričani, da je ta pravna podlaga ustrezna; podatki, ki pa bi se posredovali pa potrebni za zasledovan namen.

Vsak upravljavec osebnih mora za obdelavo osebnih podatkov, denimo za njihovo pridobivanje, hrambo, posredovanje ali drugačno uporabo, imeti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe. Več o pravnih podlagah si lahko preberete na: https://upravljavec.si/kako-uporabljate-te-podatke/kratko-o-pravnih-podlagah/.

Na področju zavarovalnih poslov pravno podlago za obdelavo osebnih podatkov primarno ureja Zakona o zavarovalništvu (Uradni list RS, št. 93/15, 9/19, 102/20, 48/23, 78/23 – ZZVZZ-T in 84/24 – odl. US, ZZavar-1). Ta v prvem odstavek 268. člena določa, da zavarovalnice in Slovensko zavarovalno združenje zbirajo, shranjujejo, posredujejo, uporabljajo ali kako drugače obdelujejo osebne podatke iz tega člena v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja. Med drugim zavarovalnice upravljajo z zbirko podatkov o zavarovalcih in zavarovancih in sicer za točno določene namene, ki jih predvideva ZZavar-1, npr. za sklepanje in izvajanje pogodb o zavarovanju, izterjava neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, in preverjanje politične izpostavljenosti oseb po zakonu, ki ureja preprečevanje pranja denarja in financiranja terorizma.

V zbirki podatkov o zavarovalcih in zavarovancih se ob upoštevanju namena obdelave podatkov glede na četrti odstavek 268. člena ZZavar-1 obdelujejo naslednji podatki:

1. osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta zavarovalca oziroma zavarovanca, v primeru zdravstvenega zavarovanja pa tudi ZZZS številka zavarovane osebe;

2. ime zavarovalnice, številka police, trajanje zavarovanja in zavarovalno kritje;

3. podatki, ki se nanašajo na predmet zavarovanja;

4. zavarovalnice, ki izvajajo dopolnilno prostovoljno zdravstveno zavarovanje, lahko z namenom lažjega uresničevanja pravic zavarovancev poleg podatkov iz 1. točke tega odstavka zbirajo tudi enotno matično številko občana;

5. podatki, ki so jih zavarovalnice zavezane pridobivati in obdelovati na podlagi zakona, ki ureja preprečevanje pranja denarja in financiranja terorizma;

6. podatki, ki opredeljujejo osebni oziroma finančni položaj, življenjski slog oziroma navade, obstoječe ali želeno zavarovalno kritje, motiv za sklenitev zavarovanja, finančno znanje, izkušnje oziroma finančno pismenost zavarovalca, podatki o zmožnosti kritja izgub, ciljih naložbe ter stopnji dovoljenega tveganja oziroma podatki o drugih osebnih okoliščinah, ki jih prostovoljno posreduje zavarovalec, ter so primerni in potrebni za ugotavljanje potreb in zahtev, ocenjevanje primernosti in ustreznosti, izdajo osebnega priporočila zavarovalcu oziroma izvedbo svetovanja zavarovalnice na podlagi poštene in osebne analize.

Navedene podatke zavarovalnice, skladno z osmim odstavkom istega člena praviloma pridobijo neposredno od posameznika, na katerega se nanašajo, od drugih oseb, ki o zavarovalnem primeru kaj vedo, podatki iz navedene evidence pa se lahko pridobivajo tudi iz zbirk podatkov državnih organov. ZZavar-1 v 265. členu določa tudi obveznost, da zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način. Kadar gre hkrati za varovane osebne podatke, se za njihovo obdelavo in zavarovanje upošteva zakon, ki ureja varstvo osebnih podatkov.

Skladno s predstavljeno zakonodajo imajo torej zavarovalnice pravno podlago za pridobivanje in obdelavo osebnih podatkov v obsegu in za namene, kot to določa ZZavar-1. Zavarovalnice tako lahko pridobivajo zgoraj navedene osebne podatke, ki jih potrebujejo za obravnavo konkretnega primera kot tudi za potrebe sklepanja in izvajanja pogodb o zavarovanju (tu tudi njihovih prekinitev), upoštevajoč namene posamezne zbirke. Ob tem je treba upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je treba obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti, torej v konkretnem primeru za prekinitev zavarovalne pogodbe.

Vsak upravljavec mora biti samostojno izkazati pravno podlago, v zvezi s katero osebne podatke zahteva ter potrebnost in nujnost teh podatkov za zasledovan namen. Okoliščine se namreč lahko bistveno razlikujejo od primera do primera, zato ni mogoče vnaprej podati splošnega in enovitega odgovora.

Pomemben vidik vsakršne obdelave osebnih podatkov je ob tem tudi samo obveščanje posameznikov o obdelavi osebnih podatkov. Upravljavec osebnih podatkov mora tako že pred samo obdelavo (npr. še pred posredovanjem osebnih podatkov) zagotoviti informacije o obdelavi osebnih podatkov in sicer: o namenih, za katere bodo pridobljeni podatki posredovani; pravno podlago za njihovo obdelavo ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. in 14. členu Splošne uredbe. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP ter pripravil vzorce obvestil posameznikov po 13. oziroma 14. členu Splošne uredbe:

Kot upravljavci osebnih podatkov, ki se od vas zahtevajo s strani zavarovalnice ste torej dolžni preveriti, ali ima tisti, ki jih od vas zahteva:

i. ustrezno pravno podlago za pridobitev konkretnih podatkov za namen prekinitve zavarovanja ter

ii. potrebnost zahtevanih podatkov za zasledovan namen.

Odločilnega pomena namreč je, da upravljavec pri posredovanju podatkov upošteva tako zakonske in podzakonske določbe kot tudi splošna načela obdelave osebnih podatkov in jih v skladu s tem ustrezno varuje.

IP sklepno poudarja, da v okviru neobveznega mnenja ne more presojati, ali so v konkretnem primeru, za konkreten namen in podatke izpolnjeni navedeni pogoji za obdelavo podatkov, ki jih navajate v vašem zaprosilu za mnenje oziroma za njihovo posredovanje zavarovalnici. Glede na to, da je zakonska določba 268. člena ZZavar-1, ki zavarovalnici daje podlago za pridobivanje podatkov, relativno odprte narave, mora presojo nujnosti (kaj je tisto, kar zavarovalnica nujno potrebuje za konkretni namen – npr. za prekinitev od zavarovalne pogodbe) v prvi vrsti opraviti zavarovalnica. IP zato predlaga, da se za dodatno pojasnilo glede pravne podlage ter namena obdelave in natančnejšo utemeljitev potrebnosti zahtevanih podatkov obrnete neposredno na zavarovalnico. IP ob tem ponavlja, da lahko konkretno presojo zakonitosti obdelave v posameznem primeru opravi le v okviru inšpekcijskega ali upravnega postopka.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Pripravil:

Grega Rudolf, mag.

svetovalec pooblaščenca za mednarodne odnose

dr. Jelena Virant Burnik

informacijska pooblaščenka