Posredovanje davčne številke zavarovalnici

Datum

04.03.2024

Številka

07121-1/2024/237

Kategorije

Zavarovalništvo

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede posredovanja davčne številke zavarovalnici.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

ZZavar-1 jasno določa, katere osebne podatke lahko obdelujejo zavarovalnice v vsaki od svojih zbirk podatkov. Obdelava teh podatkov je dopustna le v obsegu, ki je primeren in potreben za uresničevanje namenov obdelave.

Zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s prvim odstavkom 6. člena Splošne uredbe je obdelava tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

V skladu z Zakonom o zavarovalništvu (Uradni list RS, št. 93/15, 9/19, 102/20, 48/23, 78/23 – ZZVZZ-T; v nadaljevanju: ZZavar-1) zavarovalnice in Slovensko zavarovalno združenje (v nadaljevanju: SZZ) zbirajo, shranjujejo, posredujejo, uporabljajo ali kako drugače obdelujejo osebne podatke iz tega člena v skladu z zakonodajo, ki ureja varstvo osebnih podatkov in zbirke podatkov s področja zavarovanja, in sicer:

1.zbirko podatkov o zavarovalcih in zavarovancih,

2.zbirko podatkov o zavarovalnih primerih,

3.zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine,

4.zbirko podatkov o potencialnih zavarovalcih in zavarovancih.

V zbirki podatkov o zavarovalcih in zavarovancih se ob upoštevanju namena obdelave podatkov lahko (med drugim) zbirajo naslednji osebni podatki: osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta zavarovalca oziroma zavarovanca, v primeru zdravstvenega zavarovanja pa tudi ZZZS številka zavarovane osebe.

V zbirki podatkov o zavarovalnih primerih se ob upoštevanju namena obdelave podatkov lahko (med drugim) zbirajo naslednji osebni podatki: osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta in državljanstvo v škodnem dogodku udeleženih oseb, prič in upravičencev do odškodnine oziroma zavarovalnine.

V zbirki podatkov za presojo zavarovalnega kritja in višine odškodnine oziroma zavarovalnine se ob upoštevanju namena obdelave podatkov lahko (med drugim) zbirajo sledeči osebni podatki: osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta zavarovanca in oškodovanca, za katerega se ugotavlja zavarovalno kritje in odškodnina oziroma zavarovalnina.

V zbirki podatkov o potencialnih zavarovalcih in zavarovancih se ob upoštevanju namena obdelave podatkov lahko (med drugim) od stranke zbirajo sledeči osebni podatki, ki jih ta prostovoljno razkrije: osebno ime, spol, datum in kraj rojstva, stalno in začasno prebivališče oziroma stalni in začasni naslov v tujini, naslov za vročanje, datum smrti, davčna številka, vrsta in številka osebnega dokumenta potencialnega zavarovalca oziroma zavarovanca, v primeru zdravstvenega zavarovanja pa tudi ZZZS številka zavarovane osebe.

Iz naštetega izhaja, da je v vseh navedenih zbirkah torej dopustna tudi obdelava podatka o davčni številki.

Navedeni osebni podatki se skladno z osmim odstavkom 268. člena ZZavar-1 pridobivajo na več načinov, praviloma pa se pridobivajo neposredno od posameznika, na katerega se nanašajo.

IP povzema, da torej ZZavar-1 jasno določa, katere osebne podatke lahko obdelujejo zavarovalnice v vsaki od navedenih zbirk podatkov in da je obdelava teh podatkov dopustna le v obsegu, ki je primeren in potreben za uresničevanje namenov obdelave - v primeru prvih treh zbirk gre za sklepanje in izvajanje pogodb o zavarovanju, izterjava neplačanih obveznosti iz naslova zavarovalnih pogodb, reševanje škod, uveljavljanje povračilnih zahtevkov in drugih pravic ter obveznosti, vključno s preiskovanjem sumljivih primerov neupravičeno izplačanih odškodnin oziroma zavarovalnin, ki izvirajo iz zavarovanj po tem zakonu, in preverjanje politične izpostavljenosti oseb po zakonu, ki ureja preprečevanje pranja denarja in financiranja terorizma. Namen obdelave v zbirki podatkov o potencialnih zavarovalcih in zavarovancih pa je svetovanje oziroma ugotavljanje potreb in zahtev strank v okviru pogajanj za sklenitev zavarovalne pogodbe, izvedba pogajanj za sklenitev pogodbe o zavarovanju, ugotavljanje potreb in zahtev strank ter ocenjevanje primernosti in ustreznosti zavarovalne storitve oziroma produkta za stranko, izdajo osebnega priporočila oziroma izvedbo svetovanja zavarovalnice na podlagi poštene in osebne analize, kot to določa ta zakon.

Skladno s predstavljeno zakonodajo imajo torej zavarovalnice pravno podlago za pridobivanje in obdelavo osebnih podatkov v obsegu in za namene, kot to določa ZZavar-1. Zavarovalnice tako lahko pridobivajo osebne podatke iz 268. člena ZZavar-1, ki jih potrebujejo za obravnavo konkretnega primera, upoštevajoč namene posamezne zbirke. Ob tem je treba upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je treba obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti, torej v konkretnem primeru sklenitev zavarovalne pogodbe oziroma zavarovanje rizika odpovedi.

ZZavar-1 v 265. členu določa tudi obveznost, da zavarovalnica kot zaupne varuje vse podatke, dejstva in okoliščine o posameznem zavarovalcu, zavarovancu ali drugemu upravičencu iz zavarovanja, ki jih je zbrala pri poslovanju z njim ali jih je pridobila na kakšen drug način. Kadar gre hkrati za varovane osebne podatke, se za njihovo obdelavo in zavarovanje upošteva zakon, ki ureja varstvo osebnih podatkov.

IP sklepno poudarja, da v okviru neobvezujočega mnenja ne more presojati, ali so v konkretnem primeru, za konkreten namen in podatke izpolnjeni navedeni pogoji za obdelavo podatkov, ki jih navajate v vašem zaprosilu za mnenje oziroma za njihovo posredovanje zavarovalnici. Glede na to, da je zakonska določba 268. člena ZZavar-1, ki zavarovalnici daje podlago za pridobivanje podatkov, relativno odprte narave, mora presojo nujnosti v prvi vrsti opraviti zavarovalnica. IP zato predlaga, da se za dodatno pojasnilo glede pravne podlage ter namena obdelave in natančnejšo utemeljitev potrebnosti zahtevane dokumentacije obrnete (vaša družba ali konkretni posameznik/stranka, ki ne želi posredovati zahtevanih osebnih podatkov) neposredno na zavarovalnico. IP ob tem ponavlja, da lahko konkretno presojo zakonitosti obdelave v posameznem primeru opravi le v okviru nadzornega ali drugega upravnega postopka.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka