arhiv DL, J. A.

##IMAGE-3514837##

Bralci so nas opozorili, da jim zavarovalnice pošiljajo že izpolnjene pogodbe za nova zavarovanja, v njih so tudi njihovi osebni podatki. Informacijsko pooblaščenko Natašo Pirc Musar smo vprašali, kako naša zakonodaja ureja pridobivanje in uporabo osebnih podatkov, ki postajajo vedno pomembnejše tržno blago.

Na kakšen način zavarovalnice lahko pridobijo naše osebne podatke (poleg imena in priimka še rojstne podatke in naslov)?

Nataša Pirc Musar: Pravna podlaga za obdelavo osebnih podatkov za zasebni sektor, kamor v skladu s 23. točko 6. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) spadajo tudi zavarovalnice, je podana v 10. členu ZVOP-1, ki določa, da se osebni podatki v zasebnem sektorju lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika.

Zakon o zavarovalništvu (Uradni list RS, št. 109/2006-UPB2, 9/2007, 102/2007, 69/2008, 19/2009, 49/2009; v nadaljevanju: ZZavar), ki kot krovni zakon ureja področje zavarovalništva v Republiki Sloveniji, v 154. členu ureja pridobivanje, vodenje in uporabo zbirk osebnih podatkov in določa, da lahko zavarovalnice in Slovensko zavarovalno združenje (v nadaljevanju: Združenje) zbirajo, obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke, potrebne za sklepanje zavarovanj in za likvidacijo škod, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonom, ki ureja varstvo osebnih podatkov in posebnimi predpisi o zbirkah podatkov s področja zavarovanja in tako vzpostavijo, vzdržujejo in vodijo zbirko podatkov o zavarovalcih, o škodnih dogodkih in zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine.

V skladu s 152. členom ZZavar je zavarovalnica dolžna, da kot zaupne varuje vse podatke, dejstva in okoliščine, za katere je izvedela pri poslovanju s posameznim zavarovalcem oz. zavarovancem oziroma drugim upravičencem iz zavarovanja. Dolžnost varovanja zaupnih podatkov se skladno s 153. členom ZZavar nanaša tudi na člane organov zavarovalnice, delničarje zavarovalnice oziroma druge osebe, ki so jim v zvezi z njihovim delom v zavarovalnici oziroma opravljanju storitev za zavarovalnico ti podatki na kakršen koli način dostopni. Teh podatkov ne smejo sporočati tretjim osebam niti jih sami izkoriščati ali omogočiti, da bi jih izkoriščale tretje osebe. Dolžnost varovanja zaupnih podatkov pa ne velja v naslednjih primerih:

1. če zavarovalec izrecno pisno pristane, da se sporočijo posamezni zaupni podatki,

2. če so podatki potrebni za ugotavljanje dejstev v kazenskih postopkih in predložitev teh podatkov pisno zahteva oziroma naloži pristojno sodišče,

3. določenih z zakonom o preprečevanju pranja denarja,

4. če so ti podatki potrebni za odločitev o pravnih razmerjih med zavarovalnico in zavarovalcem oziroma zavarovancem oziroma drugim upravičencem iz zavarovanja v sodnem sporu,

5. če so ti podatki potrebni v zapuščinskem postopku in predložitev teh podatkov zahteva oziroma naloži pristojno sodišče,

6. če so ti podatki potrebni zaradi izvršbe na premoženje zavarovalca oziroma zavarovanca oziroma drugega upravičenca iz zavarovanja in predložitev teh podatkov pisno zahteva oziroma naloži pristojno sodišče,

7. če te podatke potrebuje Agencija za zavarovalni nadzor oziroma drug nadzorni organ za potrebe nadzora, ki ga vodi v okviru svojih pristojnosti,

8. če te podatke potrebuje davčni organ v postopku, ki ga vodi v okviru svojih pristojnosti,

9. v primerih, določenih z Zakonom o obveznih zavarovanjih v prometu (Uradni list RS, št. 93/2007-UPB3; v nadaljevanju: ZOZP).

V skladu z 8. členom ZOZP zavarovalnice in Združenje obdelujejo osebne podatke, potrebne za sklepanje zavarovanj in za obravnavanje odškodninskih zahtevkov, ki izvirajo iz zavarovanj, obveznih po navedenem zakonu ali po Uredbi 785/2004/ES, v skladu z zakonom, ki ureja varstvo osebnih podatkov, in posebnimi predpisi o zbirkah podatkov s področja zavarovanja. Zavarovalnice in Združenje vzpostavijo, vodijo in vzdržujejo:

1. zbirko podatkov o zavarovancih (ime in priimek, datum in kraj rojstva, stalno ali začasno prebivališče zavarovanca, enotna matična številka občana, davčna številka ter ime zavarovalnice, številka police, trajanje zavarovanja, zavarovalni predmet in zavarovalno kritje);

2. zbirko podatkov o škodnih dogodkih (ime in priimek, datum in kraj rojstva, stalno ali začasno prebivališče, državljanstvo v škodnem dogodku udeleženih oseb in prič, kazniva dejanja in prekrški v zvezi s škodnim dogodkom, vrsta škodnega dogodka, kraj, čas in potek škodnega dogodka ter opis škode v škodnem dogodku);

3. zbirko podatkov za presojo zavarovalnega kritja in višine odškodnine (ime in priimek, datum in kraj rojstva, stalno ali začasno prebivališče zavarovanca, za katerega se ugotavlja zavarovalno kritje, in oškodovanca, predhodne poškodbe in zdravstveno stanje, vrsta telesnih poškodb, trajanje zdravljenja in posledice za oškodovanca; dohodki zavarovanca in oškodovanca; upokojitve (redne in invalidske), prekvalifikacije in stopnje invalidnosti; stroški za medicinsko oskrbo, zdravila in ortopedske pripomočke; prekrški po zakonu, ki ureja varnost v cestnem prometu, kazniva dejanja zoper varnost cestnega prometa ter kazniva dejanja goljufije na področju zavarovalništva).

Koliko časa lahko hranijo podatke zavarovancev, ki so z njimi prekinili pogodbe, in koliko časa jim lahko pošiljajo informativni in drug material (tudi pogodbe)?

Nataša Pirc Musar: ZZavar v 154. členu določa, da se podatki o zavarovancih shranjujejo deset let po prenehanju zavarovalne pogodbe, v primeru nastanka škodnega dogodka pa deset let po koncu obdelave škodnega dogodka. Po preteku roka za shranjevanje se podatki iz navedene zbirke podatkov zbrišejo.

Ob tem je potrebno navesti še pravico, ki jo posamezniku v primeru, ki ga navajate daje ZVOP-1. Posameznik namreč lahko v skladu s 73. členom ZVOP-1 kadarkoli pisno ali na drug dogovorjen način zahteva, da upravljavec osebnih podatkov trajno ali začasno preneha uporabljati njegove osebne podatke za namen neposrednega trženja. Upravljavec osebnih podatkov je dolžan v 15 dneh ustrezno preprečiti uporabo osebnih podatkov za namen neposrednega trženja ter o tem v nadaljnjih petih dneh pisno ali na drug dogovorjen način obvestiti posameznika, ki je to zahteval. Stroške vseh dejanj upravljavca osebnih podatkov v zvezi z navedeno zahtevo krije upravljavec."

Kaj moramo storiti, da nas izbrišejo iz svoje podatkovne baze?

Nataša Pirc Musar: Kot izhaja že iz odgovora na prejšnje vprašanje, lahko posameznik od upravljavca zbirk osebnih podatkov zahteva, da trajno ali začasno preneha uporabljati njegove osebne podatke za namene neposrednega trženja in upravljavec mora tako zahtevo posameznika v prihodnje spoštovati. Iz naslova drugih obveznosti, ki izhajajo iz sklenjene pogodbe med zavarovalnico in zavarovancem pa je upravljavec-zavarovalnica zavezan v skladu z določbami 154. člena ZZavar in določenem roku, hraniti osebne podatke zavarovanca.

Ali mora tisti, ki upravlja z bazo osebnih podatkov, stranki iz te baze povedati, kako je pridobil njene osebne podatke?

Nataša Pirc Musar: V primeru, ko upravljavec dejansko razpolaga z zbirko osebnih podatkov (ne glede na obstoj pravne podlage-v konkretnem primeru gre za določbe ZZavar), ki se nanaša na posameznika, ima ta pravico do seznanitve z lastnimi osebnimi podatki. Gre za ustavno pravico iz 3. odstavka 38. člena Ustave RS, ki določa, da je posamezniku zagotovljena pravica do seznanitve z zbranimi osebnimi podatki, ki se nanašajo nanj (lastni osebni podatki), kot tudi pravica do sodnega varstva ob zlorabi lastnih osebnih podatkov. Ustavna pravica posameznika do seznanitve z lastnimi osebnimi podatki je konkretizirana v ZVOP-1. V okviru te pravice, ki je določena v 30. členu ZVOP-1, je upravljavec osebnih podatkov v prvi vrsti dolžan posamezniku omogočiti vpogled v katalog zbirke osebnih podatkov (1. točka 1. odstavka 30. člena ZVOP-1).

Posameznik, na katerega se osebni podatki nanašajo, ima pravico v te podatke vpogledati, jih prepisati ali kopirati. Upravljavec osebnih podatkov je dolžan tudi potrditi, ali se podatki v zvezi s posameznikom obdelujejo ali ne (2. točka 1. odstavka 30. člena ZVOP-1). Pri tem je dolžan upravljavec posamezniku posredovati tudi seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen (4. točka 1. odstavka 30. člena ZVOP-1). Prav tako je upravljavec osebnih podatkov posamezniku dolžan dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem (6. točka 1. odstavka 30. člena ZVOP-1).

Postopek seznanitve posameznika z lastnimi osebnimi podatki ureja 31. člen ZVOP-1. Iz navedenega člena izhaja, da postopek temelji na zahtevi posameznika, pri čemer je upravljavec vezan na to zahtevo in mora posamezniku omogočiti takšno vrsto seznanitve z lastnimi osebnimi podatki, kot jo ta zahteva. Posameznik mora torej v zahtevi natančno opredeliti, kakšno vrsto seznanitve zahteva, pri čemer ima na razpolago tiste vrste seznanitev, ki so navedene v 1. odstavku 30. člena ZVOP-1. V primeru, ko upravljavec razpolaga z zbirko osebnih podatkov, ki se nanaša na posameznika, ima ta, upoštevaje 30. in 31. čl. ZVOP-1, pravico do seznanitve z lastnimi osebnimi podatki. Posameznik lahko v te podatke vpogleda, jih prepiše ali kopira, lahko zahteva informacije komu so bili posredovani ter vsa druga potrebna pojasnila v zvezi z obdelavo njegovih osebnih podatkov.

V katerem primeru sme upravljavec baze osebnih podatkov le-te posredovati drugemu upravljavcu osebnih podatkov?

Nataša Pirc Musar: Po definiciji iz 6. člena ZVOP-1 je obdelava osebnih podatkov tudi posredovanje oziroma razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, za katero kot že navedeno mora imeti upravljavec pravno podlago ali predhodno pridobljeno osebno privolitev posameznika.

Kakšne kršitve v zvezi z nedovoljenim pridobivanjem, obdelavo in izmenjavo osebnih podatkov so pri nas najpogostejše, in kdo jih največkrat prijavi?

Nataša Pirc Musar: Največ takšnih kršitev, ki jih zaznavamo v uradu Informacijskega pooblaščenca, se nanaša na nespoštovanje določb 73. člena ZVOP-1 in obdelavo osebnih podatkov za namene neposrednega trženja, ne glede na to, da je posameznik zahteval, da upravljavec preneha obdelovati njegove osebne podatke za ta namen. Najpogosteje so prijavitelji navedenih kršitev posamezniki, katerih navedeno zahtevo za obdelavo osebnih podatkov upravljavec ne spoštuje.

Pooblaščenec je pred mesecem oglobil dve slovenski zavarovalnici (Tilio in Vzajemno), ker sta si nezakonito izmenjevali baze osebnih podatkov zavarovancev za namene neposrednega trženja. Vsaki je izrekel najvišjo globo v zgodovini Pooblaščenca, in sicer 120.000 evrov, odgovornima osebama pa za 20.000 evrov.

Kakšna kazen lahko doleti kršitelje? Kakšna je pri nas dosedanja praksa?

Nataša Pirc Musar: V kolikor nezakonito ravnanje ugotovimo, ukrepamo v skladu z inšpekcijskimi pristojnostmi in kršitelje v prekrškovnih postopkih tudi kaznujemo.

Globe za ugotovljeno kršitev določb ZVOP-1 s področja neposrednega trženja (kršitev 73. člena ZVOP-1) so za pravno osebo 2080 evrov in za odgovorno osebo pravne osebe 410 evrov. Za kakršnokoli kršitev ZVOP-1, ki se nanaša na nezakonito obdelavo osebnih podatkov z vidika posredovanja ali nezakonitega pridobivanja ali neustreznega zavarovanja zbirke osebnih podatkov (kršitve 8. ali 24. člena ZVOP-1) pa znašajo globe za pravno osebo 4170 evrov in za odgovorno osebo pravne osebe 830 evrov. Ta globa se izreče za en storjeni prekršek. Prekrškov pa je toliko, kolikor je oškodovanih posameznikov na drugi strani. Večja baza je zlorabljena, višja je skupna globa.