Pridobivanje OP s strani zavarovalnice

Datum

10.05.2023

Številka

07121-1/2023/613

Kategorije

Pravne podlage, Stanovanjsko in nepremičninsko pravo, Zavarovalništvo

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše sporočilo, v katerem nas prosite za odgovor na vaše vprašanje, in sicer nas sprašujete, ali lahko kot upravnik večstanovanjske stavbe zavarovalnici posredujete osebne podatke, ki se nanašajo na udeležene v škodnem dogodku (izliv vode iz enega stanovanja v drugega).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še, da se IP lahko dokončno opredeljuje do konkretnih primerov obdelav osebnih podatkov le v inšpekcijskih in pritožbenih postopkih.

IP meni, da je zakonska določba 268. člena ZZavar-1, ki zavarovalnici daje podlago za pridobivanje podatkov, relativno odprte narave, zato mora presojo nujnosti (kaj je tisto, kar zavarovalnica nujno potrebuje za konkretni namen – npr. pri obravnavi škodnega dogodka) v prvi vrsti opraviti zavarovalnica. Pred posredovanjem pa ste kot upravljavec seveda zavezani k tehtanju zakonitosti tega namena, ki je v prvi vrsti vezan na to, kdo je zavarovalec in kdo zavarovanec po pogodbi o zavarovanju (zavarovalni polici), iz katere se uveljavlja škoda.

IP uvodoma poudarja, da lahko podaja neobvezna mnenja in pojasnila, ne sme pa v okviru teh mnenj presojati ustreznosti posameznih obdelav osebnih podatkov z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti (ali zavarovalnica od vas kot upravnika lahko zahteva posredovanje osebnih podatkov posameznika, ki je relevanten pri obravnavi škodnega postopka) bi lahko izvedli zgolj v okviru konkretnega inšpekcijskega ali upravnega postopka. To pomeni, da IP v okviru izdaje mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo konkretnih osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava podatkov zakonita.

IP splošno pojasnjuje, da mora vsak upravljavec za zakonito obdelavo osebnih podatkov imeti ustrezno pravno podlago iz 6. člena Splošne uredbe, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

-če je podana privolitev posameznika;

-če je obdelava potrebna za izvajanje pogodbe;

-za izpolnitev zakonske obveznosti upravljavca;

-za zaščito življenjskih interesov posameznika;

-zaradi javnega interesa ali

-zakonitih interesov upravljavca (vse pod določenimi strogimi pogoji).

Prvi odstavek 268. člena Zakona o zavarovalništvu (Uradni list RS, št. 93/15, 9/19 in 102/20, ZZavar-1) določa, da zavarovalnice in Slovensko zavarovalno združenje zbirajo, shranjujejo, posredujejo, uporabljajo ali kako drugače obdelujejo osebne podatke iz tega člena v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja. Zavarovalnice upravljajo z zbirko podatkov o zavarovalcih in zavarovancih; zbirko podatkov o zavarovalnih primerih; zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine; zbirko podatkov o potencialnih zavarovalcih in zavarovancih in sicer za točno določene namene, ki jih predvideva ZZavar-1, npr. za sklepanje in izvajanje pogodb o zavarovanju, izterjava neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, in preverjanje politične izpostavljenosti oseb po zakonu, ki ureja preprečevanje pranja denarja in financiranja terorizma

ZZavar-1 v 265. členu določa tudi obveznost, da zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način. Kadar gre hkrati za varovane osebne podatke, se za njihovo obdelavo in zavarovanje upošteva zakon, ki ureja varstvo osebnih podatkov.

Skladno s predstavljeno zakonodajo imajo torej zavarovalnice pravno podlago za pridobivanje in obdelavo osebnih podatkov v obsegu in za namene, kot to določa ZZavar-1. Zavarovalnice tako lahko pridobivajo zgoraj navedene osebne podatke, ki jih potrebujejo za obravnavo konkretnega primera, upoštevajoč namene posamezne zbirke. Ob tem je treba upoštevati kdo je zavarovalec in kdo zavarovanec po pogodbi o zavarovanju, iz katere se uveljavlja škoda in načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je treba obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti, torej v konkretnem primeru za uveljavljanje zavarovalnine za škodo po sklenjeni zavarovalni pogodbi.

IP sklepno poudarja, da v okviru neobveznega mnenja ne more presojati, ali so v konkretnem primeru, za konkreten namen in podatke izpolnjeni navedeni pogoji za obdelavo podatkov, ki jih navajate v vašem zaprosilu za mnenje oziroma za njihovo posredovanje zavarovalnici. Glede na to, da je zakonska določba 268. člena ZZavar-1, ki zavarovalnici daje podlago za pridobivanje podatkov, relativno odprte narave, mora presojo nujnosti (kaj je tisto, kar zavarovalnica nujno potrebuje za konkretni namen – npr. pri obravnavi škodnega dogodka) v prvi vrsti opraviti zavarovalnica. IP zato predlaga, da se za morebitno dodatno pojasnilo glede namena obdelave in natančnejšo utemeljitev potrebnosti zahtevanih podatkov posameznika obrnete neposredno na zavarovalnico. Najverjetneje pa glede na poznavanje okoliščin primera prijavljene škode in odgovorov zavarovalnice lahko ocenite nujnost obdelave osebnih podatkov v konkretnem postopku. IP ob tem ponavlja, da lahko konkretno presojo zakonitosti obdelave v posameznem primeru opravi le v okviru inšpekcijskega ali upravnega postopka.

Lepo vas pozdravljamo,

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

mag. Tanja SLAK, država nadzornica za varstvo osebnih podatkov