Posredovanje zdravstvenih osebnih podatkov zavarovalnici

Datum

30.07.2025

Številka

07120-1/2025/344

Kategorije

Posebne vrste OP, Zavarovalništvo, Zdravstveni osebni podatki

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede zahteve zavarovalnice po posredovanju zdravstvenih osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za posredovanje osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno posredovanje podatkov zakonito. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, ki nosi tudi odgovornost za tovrstno opravljeno presojo.

Zavarovalnice vodijo posamezne zbirke osebnih podatkov, ki so navedene v drugem odstavku 268. člena. Obdelava osebnih podatkov v teh zbirkah je dopustna le v obsegu, ki je potreben za uresničevanje namenov obdelave. Osebni podatki v teh zbirkah podatkov se skladno z osmim odstavkom 268. člena ZZavar-1 pridobivajo na več načinov.

Obrazložitev

P uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP uvodoma pojasnjuje, da mora imeti upravljavec za vsako obdelavo osebnih podatkov, tudi za njihovo posredovanje, zakonito in ustrezno pravno podlago. Prvi odstavek 6. člena ZVOP-2 določa, da se osebni podatki lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. Ta v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

IP nadalje pojasnjuje, da mora biti v primeru obdelave posebnih vrst osebnih podatkov, med katere sodijo tudi podatki o zdravstvenem stanju, izpolnjen še eden izmed pogojev iz člena 9(2) Splošne uredbe. Skladno s točko (c) člena 6(1) Splošne uredbe je obdelava zakonita, če je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Po točki h) člena 9(2) Splošne uredbe pa načelna prepoved obdelave posebnih vrst osebnih podatkov ne velja, če je obdelava potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3.

V skladu z Zakonom o zavarovalništvu (Uradni list RS, št. 93/15, 9/19, 102/20, 48/23, 78/23 – ZZVZZ-T, 84/24 – odl. US ; v nadaljevanju: ZZavar-1) zavarovalnice vodijo posamezne zbirke osebnih podatkov, ki so navedene v drugem odstavku 268. člena. Zavarovalnice in Slovensko zavarovalno združenje (v nadaljevanju: SZZ) zbirajo, shranjujejo, posredujejo, uporabljajo ali kako drugače obdelujejo osebne podatke iz tega člena v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja, in sicer:

1.zbirko podatkov o zavarovalcih in zavarovancih,

2.zbirko podatkov o zavarovalnih primerih,

3.zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine,

4.zbirko podatkov o potencialnih zavarovalcih in zavarovancih.

Obdelava osebnih podatkov v prvih treh navedenih zbirkah je dopustna le v obsegu, ki je potreben in potreben za uresničevanje namenov obdelave, torej sklepanja in izvajanja pogodb o zavarovanju, kar vključuje tudi izterjavo neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, in preverjanje politične izpostavljenosti oseb po zakonu, ki ureja preprečevanje pranja denarja in financiranja terorizma. Obdelava osebnih podatkov v zbirki iz četrte točke prejšnjega odstavka je dopustna le v obsegu, ki je potreben in primeren za uresničevanje namena obdelave - svetovanje oziroma ugotavljanje potreb in zahtev strank v okviru pogajanj za sklenitev zavarovalne pogodbe, izvedba pogajanj za sklenitev pogodbe o zavarovanju, ugotavljanje potreb in zahtev strank ter ocenjevanje primernosti in ustreznosti zavarovalne storitve oziroma produkta za stranko, izdajo osebnega priporočila oziroma izvedbo svetovanja zavarovalnice na podlagi poštene in osebne analize, kot to določa ta zakon. Podatki za ta namen se pridobivajo od stranke.

V naslednjih odstavkih 268. člena ZZavar-1 je določeno, kateri osebni podatki se lahko zbirajo v posamezni  zbirki podatkov. Tako se v zbirki podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine ob upoštevanju namena obdelave podatkov lahko zbirajo sledeči osebni podatki:

-osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta zavarovanca in oškodovanca, za katerega se ugotavlja zavarovalno kritje in odškodnina oziroma zavarovalnina,

-osebni podatki o predhodnih zavarovalnih primerih v obsegu iz prejšnjega odstavka ter podatki o upoštevnem zdravstvenem stanju zavarovanca in oškodovanca, vključno z zagotavljanjem zdravstvenih storitev, predhodnimi poškodbami in zdravstvenem stanju, vrsti telesnih poškodb, trajanjem zdravljenja in posledicami za oškodovanca in zavarovalca,

-dohodki zavarovanca in oškodovanca ter zaposlitev,

-upokojitve (redne in invalidske), prekvalifikacije in stopnje invalidnosti zavarovanca in oškodovanca,

-stroški za medicinsko oskrbo, zdravila in medicinske pripomočke zavarovanca in oškodovanca,

-podatki o vozniškem dovoljenju,

-historični podatki o zgodovini predmeta zavarovanja.

Osebni podatki v navedenih zbirkah podatkov iz drugega odstavka 268. člena ZZavar-1 se skladno z osmim odstavkom 268. člena ZZavar-1 pridobivajo na več načinov, in sicer:

-praviloma neposredno od posameznika, na katerega se nanašajo,

-od drugih oseb, ki o zavarovalnem primeru kaj vedo,

-če gre za primere iz 270. člena ZZavar-1 (izmenjava osebnih podatkov o spornih zavarovalnih primerih med zavarovalnicami), iz zbirk podatkov posameznih zavarovalnic in SZZ,

-določeni podatki se lahko pridobijo iz Registra nepremičnin,

-določeni podatki se lahko pridobijo iz zbirk podatkov državnih organov,

-določene podatke za zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine lahko pridobivajo v določenih primerih tudi od:

·izvajalcev zdravstvenih in z njimi povezanih storitev ter Zavoda za zdravstveno zavarovanje (gre za podatke o stroških za medicinsko oskrbo, zdravila in medicinske pripomočke zavarovanca in oškodovanca ter za podatke o predhodnih zavarovalnih primerih ter podatke o upoštevnem zdravstvenem stanju zavarovanca in oškodovanca, vključno z zagotavljanjem zdravstvenih storitev, predhodnimi poškodbami in zdravstvenem stanju, vrsti telesnih poškodb, trajanjem zdravljenja in posledicami za oškodovanca in zavarovalca),

·iz zbirk podatkov delodajalca, Zavoda za pokojninsko in invalidsko zavarovanje ter centrov za socialno delo (gre za podatke o dohodkih zavarovanca in oškodovanca ter zaposlitvi, poleg tega pa lahko od Zavoda za pokojninsko in invalidsko zavarovanje pridobivajo tudi podatke o upokojitvi (redni in invalidski), prekvalifikaciji in stopnji invalidnosti zavarovanca in oškodovanca),

-od drugih upravljavcev zbirk podatkov, ki hranijo podatke, ki jih lahko zavarovalnice in SZZ pridobivajo in zbirajo v skladu z ZZavar-1.

Skladno s predstavljeno zakonodajo imajo torej zavarovalnice pravno podlago za pridobivanje in obdelavo osebnih podatkov v obsegu in za namene, kot to določa ZZavar-1. Zavarovalnice (in SZZ) tako lahko pridobivajo zgoraj navedene osebne podatke, ki jih potrebujejo za obravnavo konkretnega primera, upoštevajoč namene posamezne zbirke. Ob tem je treba upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je treba obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti. Poleg obsega in namena obdelave osebnih podatkov iz predstavljenih določb ZZavar-1 tudi jasno izhaja, iz katerih virov zavarovalnice lahko pridobivajo določene osebne podatke.

ZZavar-1 v 265. členu določa tudi obveznost, da zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način. Kadar gre hkrati za varovane osebne podatke, se za njihovo obdelavo in zavarovanje upošteva zakon, ki ureja varstvo osebnih podatkov. Kot omenjeno zgoraj, lahko zavarovalnica obdeluje osebne podatke le v obsegu, ki je potreben za uresničevanje namenov obdelave.

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za posredovanje osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno posredovanje podatkov zakonito. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov (v konkretnem primeru vaše podjetje), ki nosi tudi odgovornost za tovrstno opravljeno presojo. IP se v mnenju ne more in ne sme postaviti v vlogo odločevalca (razsojevalca) v posameznih primerih in odločiti o upravičenosti posredovanja podatkov ali celo odrediti/prepovedati določenemu zavezancu posredovanje določenih podatkov. IP namreč skladno s četrtim odstavkom 41. člena ZVOP-2 v primeru zavrnitve zahteve za posredovanje osebnih podatkov iz uradnih evidenc ali javnih knjig nastopa kot pritožbeni organ, če specialni predpis za posamezne primere ne določa drugače.

Glede na to, da je zakonska določba 268. člena ZZavar-1, ki zavarovalnici daje podlago za pridobivanje podatkov, relativno odprte narave, vam IP predlaga, da se za dodatno pojasnilo glede pravne podlage ter namena obdelave in natančnejšo utemeljitev potrebnosti posredovanja zahtevane zdravstvene dokumentacije obrnete neposredno na zavarovalnico.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka