Obrada osobnih podataka klijenata osiguravajućih društva


Obrada osobnih podataka klijenata osiguravajućih društva


Agencija za zaštitu osobnih podataka došla je do saznanja kako osiguravajuće društvo kod isplate police životnog osiguranja od korisnika svojih usluga zahtjeva dostavu preslike osobnog dokumenta (osobna iskaznica) kao i presliku bankovne kartice tekućeg računa.

Slijedom navedenog temeljem članka 33. stavka 1. podstavka 7.  Zakona o zaštiti osobnih podataka („Narodne novine“, broj:106/12) u  svrhu unapređenja zaštite osobnih podataka dajemo sljedeću preporuku:


Zakon o zaštiti osobnih podataka uređuje zaštitu osobnih podataka te nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici Hrvatskoj.

Obrada osobnih podataka sukladno Zakonu o zaštiti osobnih podataka mora biti poštena i zakonita, što podrazumijeva da je obrada osobnih podataka dopuštena ako za nju postoji zakonita/opravdana svrha i valjani pravni temelj. Pravni temelji za obradu osobnih podataka taksativno su propisani člankom 7. Zakona o zaštiti osobnih podataka, između ostaloga, to je privola ispitanika i drugi zakon te drugi navedeni slučajevi u predmetnom članku Zakona, a svrha obrade osobnih podataka mora biti poznata i mora biti zakonita.

Osim navedenog sukladno načelu razmjernosti dozvoljeno je prikupljati osobne podatke u opsegu koji je nužan za ispunjenje točno određene svrhe te se osobni podaci ne smiju prikupljati u većem opsegu nego što je nužno da bi se postigla zakonom utvrđena svrha (članak 6. Zakona o zaštiti osobnih podataka).

U opisanom slučaju na prikupljanje i daljnju obradu osobnih podataka primjenjuju se odredbe Zakona o sprječavanju pranja novca i financiranja terorizma („Narodne novine“, broj: 87/08, 25/12) i Zakon o obveznim odnosima („Narodne novine“, broj: 35/05, 41/08, 125/11, 78/15) koji bi u konkretnom slučaju za prikupljanje i daljnju obradu osobnih podataka predstavljali valjani pravni temelj iz članka 7. Zakona o zaštiti osobnih podataka.

Zakonom o sprječavanju pranja novca i financiranja terorizma propisano je kako mjere dubinske analize stranke obuhvaća utvrđivanje identiteta stranke i provjere identiteta na osnovi dokumenata, podataka ili informacija dobivenih iz vjerodostojnog, pouzdanog i neovisnog izvora. Također, navedenim Zakonom propisano je kako društvo za osiguranje može pri sklapanju poslova životnog osiguranja izvršiti provjeru identiteta korisnika police osiguranja i nakon sklapanja ugovora o osiguranju, a najkasnije prije ili u vrijeme isplate osigurane svote, odnosno u trenutku kada imatelj  prava iz osiguranja zatraži isplatu svojih potraživanja, izjavi da želi dobiti zajam na policu, dati je u zalog ili kapitalizirati (članak 10. Zakona).

Zakonom o obveznim odnosima propisano je kako u polici osiguranja života moraju biti naznačeni ime i prezime osobe na čiji se život odnosi osiguranje, nadnevak njezina rođenja ili rok o kojem ovisi nastanak prava na isplatu osiguranog iznosa (članak 967. Zakona).

Nadalje, potrebno je napomenuti da je Zakonom o osobnoj iskaznici („Narodne novine“ broj 62/15), kao posebnim  zakonom,  propisano je  kako je osobna iskaznica elektronička javna isprava kojom hrvatski državljanin dokazuje identitet, hrvatsko državljanstvo, spol, datum rođenja i prebivalište u Republici Hrvatskoj. Dakle, osobna iskaznica javna je isprava  koja služi u svrhu nedvojbenog utvrđivanja identiteta ispitanika, te se na taj način sprječava moguća zamjena identiteta i zlouporaba osobnih  podataka.

Osim toga ukazujemo i na odredbe članka 9. Zakona o zaštiti osobnih podataka temeljem kojeg je Vaše Društvo, kao voditelj zbirke osobnih podataka dužno korisnike svojih usluga prethodno upoznati/informirati o zakonskoj osnovi prikupljanja i daljnje obrade osobnih podataka, o opsegu prikupljanja podataka (primjenjujući načelo razmjernosti) te da li se radi o dobrovoljnom ili obveznom davanju podataka i mogućim posljedicama u slučaju uskrate davanja podataka.

Posebno bitnim navodimo članak 18. Zakona o zaštiti osobnih podataka, kojim je propisano kako su voditelj zbirke osobnih podataka i primatelj dužni poduzeti tehničke, kadrovske i organizacijske mjere zaštite osobnih podataka koje su potrebne da bi se osobni podaci zaštitili od slučajnog gubitka ili uništenja i od nedopuštenog pristupa, nedopuštene promjene, nedopuštenog objavljivanja i svake druge zlouporabe te utvrditi obvezu osoba koje su zaposlene u obradi podataka  na potpisivanje izjave o povjerljivosti. Izjavom o povjerljivosti obvezuju se osobe koje obrađuju osobne podatke na način da su dužne čuvati povjerljivost svih osobnih podataka kojima imaju pravo pristupa te da će osobne podatke koristiti isključivo u svrhu i za potrebe obavljanja svoje djelatnosti. Također u izjavi o povjerljivosti potrebno je navesti da se osobni podaci ne dostavljaju/daju na korištenje trećim (neovlaštenim) osobama, te da će osobe koje obrađuju osobne podatke povjerljivost osobnih podataka čuvati i nakon prestanka radnog odnosa. Isto tako ukazujemo kako je potrebno voditi računa da sadržaj izjave o povjerljivosti mora biti koncipiran na način da se osobe koje obrađuju osobne podatke upozore da neovlašteno davanje osobnih podatka predstavlja povredu radne dužnosti.

Također, u svrhu pravilnog i zakonitog postupanja, tj. poštene i zakonite obrade osobnih podataka potrebno je kontinuirano i sustavno provoditi edukacije osoba zaposlenih u obradi osobnih podataka, kao i službenika za zaštitu osobnih podataka, prvenstveno u pogledu praćenja propisa iz područja zaštite osobnih podataka te primjerne odgovarajućih mjera zaštite osobnih podataka iz članka 18. citiranog Zakona.

Isto tako ukazujemo kako je vrlo važno uspostaviti odgovarajući (pouzdan) komunikacijski kanal, te odnos međusobnog povjerenja između voditelja zbirke osobnih podataka i ispitanika kako bi ispitanik u svakom trenutku bio adekvatno informiran o svim okolnostima obrade njegovih osobnih podataka iz članka 9. citiranog Zakona, prvenstveno o tome tko obrađuje njegove osobne podatke, o svrsi obrade njegovih osobnih podataka te opsegu (vrsti) osobnih podataka koji se obrađuju.

Vezano za obradu osobnih podataka na način da se uzimaju preslike osobnog dokumenta te preslika bankovne kartice tekućeg kunskog računa  s aspekta Zakona o zaštiti osobnih podataka   držimo kako se radi o prekomjernom prikupljanju osobnih podataka koje nije nužno u odnosu na svrhu zbog koje se isti prikupljaju, odnosno kako se radi o obradi koja nije podudarna sa svrhom prikupljanja te stoga takva obrada osobnih podataka ne bi bila u skladu s odredbama Zakona o zašiti osobnih podataka. Isto tako smatramo da se u slučaju prikupljanja i kopiranja iskaznica tekućeg računa radi o preinvazivnom načinu i prekomjernom prikupljanju osobnih podataka Vaših klijenata budući da se prikupljaju osobni podaci koji ne služe za utvrđivanje identiteta. Stoga smatramo da bi dostavljanje podataka o broju računa (IBAN) na koji će biti isplaćena novčana naknada bilo primjereno svrsi obrade.

Nadalje, kada govorimo o svrsi identificiranja odnosno provjere identiteta klijenata smatramo da se ono može postići na način da se osobni podaci obrađuju u znatno manjem opsegu i na manje invazivan način u smislu da se vrši uvid u identifikacijski dokument klijenta (osobnu iskaznicu) a ne i njegovo kopiranje, a osobito traženje od klijenata da isto dostave jer za isto ne nalazimo pravni temelj u smislu članka 7. Zakona o zaštiti osobnih podataka.

Zaključno, napominjemo da se predmetna preporuka daje u svrhu unapređenja zaštite osobnih podataka osobito kako bi u budućnosti obrada osobnih podataka Vaših klijenata bila usklađena sa Zakonom o zaštiti osobnih podataka i posebnim propisima, te kako bi se prikupljanjem osobnih podataka na način da se dostavljaju preslike osobnih dokumenata (osobna iskaznica i bankovna kartica) klijenata spriječila moguća zlouporaba osobnih podataka.

 
 
  Natrag