Privolitev

Datum

13.07.2023

Številka

07121-1/2023/932

Kategorije

Privolitev, Zavarovalništvo

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede določene prakse zavarovalnice.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ni pristojen za presojanje poslovne prakse (plačilo provizije zavarovalnim agentom) zavarovalnice, ki jo opisujete v svojem zaprosilu za mnenje.

Zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način.

Zavarovalnice vodijo posamezne zbirke osebnih podatkov, ki so navedene v drugem odstavku 268. člena. Obdelava osebnih podatkov v teh zbirkah je dopustna le v obsegu, ki je potreben za uresničevanje namenov obdelave.

Privolitev posameznika v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov mora biti podana v skladu z določili 7. člena Splošne uredbe.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne more pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku.

IP posebej poudarja, da ni pristojen za presojanje poslovne prakse (plačilo provizije zavarovalnim agentom) zavarovalnice, ki jo opisujete v svojem zaprosilu za mnenje. IP sme namreč v skladu z načelom zakonitosti ravnati samo v okviru svojih pooblastil, za katera ima neposredno podlago v 2. členu Zakona o Informacijskem pooblaščencu (ZInfP; Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, 14/10 - Odl.US: U-I-303/08-9), na podlagi katerega je pristojen za:

– odločanje o pritožbi zoper odločbo, s katero je organ zavrgel ali zavrnil zahtevo ali drugače kršil pravico do dostopa ali ponovne uporabe informacije javnega značaja ter v okviru postopka na drugi stopnji tudi za nadzor nad izvajanjem zakona, ki ureja dostop do informacij javnega značaja, in na njegovi podlagi izdanih predpisov;

– inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije, ter opravljanje drugih nalog, ki jih določajo ti predpisi;

– odločanje o pritožbi posameznika, kadar upravljavec osebnih podatkov ne ugodi zahtevi posameznika glede pravice posameznika do seznanitve z zahtevanimi podatki, do izpisov, seznamov, vpogledov, potrdil, informacij, pojasnil, prepisovanja ali kopiranja po določbah zakona, ki ureja varstvo osebnih podatkov.

IP splošno pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

V kolikor bi bila v konkretnem primeru torej podana katera izmed navedenih pravnih podlag, bi bilo posredovanje osebnih podatkov odvetniku lahko zakonito.

Upravljavec (v konkretnem primeru zavarovalnica) mora za vsak posamezen namen obdelave osebnih podatkov posebej zagotoviti ločeno in ustrezno pravno podlago. V skladu z Zakonom o zavarovalništvu (Uradni list RS, št. 93/15, 9/19, 102/20, 48/23; v nadaljevanju: ZZavar-1) zavarovalnice vodijo posamezne zbirke osebnih podatkov, ki so navedene v drugem odstavku 268. člena. Obdelava osebnih podatkov v teh zbirkah je dopustna le v obsegu, ki je potreben za uresničevanje namenov obdelave, torej sklepanja in izvajanja pogodb o zavarovanju, kar vključuje tudi izterjavo neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja. ZZavar-1 tako jasno določa, katere osebne podatke lahko obdelujejo zavarovalnice in za kakšne namene.

ZZavar-1 v 265. členu določa tudi obveznost, da zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način. Kadar gre hkrati za varovane osebne podatke, se za njihovo obdelavo in zavarovanje upošteva zakon, ki ureja varstvo osebnih podatkov. Kot omenjeno zgoraj, lahko zavarovalnica obdeluje osebne podatke le v obsegu, ki je potreben za uresničevanje namenov obdelave – sklepanja in izvajanja pogodb o zavarovanju.

Glede privolitve kot pravne podlage za obdelavo osebnih podatkov posameznika za namene trženja v konkretnem primeru pa IP pojasnjuje, da mora biti privolitev posameznika v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, podana v skladu z določili 7. člena Splošne uredbe. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče. IP ob tem poudarja tudi, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Posameznik mora imeti možnost privoliti v obdelavo svojih osebnih podatkov za vsak namen obdelave posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Predhodna informiranost posameznika o obdelavi njegovih podatkov je prav tako ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. Posebno pozornost je tako treba nameniti ustreznemu informiranju posameznikov o vseh pomembnih vidikih obdelave osebnih podatkov v skladu s prvim odstavkom 12. člena in v skladu s 13. oziroma 14. členu Splošne uredbe o varstvu podatkov ter ustrezni formulaciji in obliki privolitvene izjave, ki mora ustrezati zlasti standardom iz (11) točke 4. člena, 7. člena, (a) točke drugega odstavka 9. člena ter uvodnim recitalom (32), (42) in (43) Splošne uredbe o varstvu podatkov. Vsaka privolitev mora biti specifična, prilagojena konkretni obdelavi osebnih podatkov s strani posameznega upravljavca in je tako ni možno posploševati.

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/?id=102

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka