BLOG

Dowiedz się co jest naprawdę ważne.

Status brokera ubezpieczeniowego w świetle przepisów RODO.

broker ubezpieczeniowy - RODO
broker ubezpieczeniowy – RODO

Ochrona danych osobowych w sektorze ubezpieczeniowym

Poprzedni rok był dla sektora ubezpieczeniowego wyjątkowo wymagający. 25 maja 2018 r. zaczęło obowiązywać rozporządzenie o ochronie danych osobowych, a 1 października 2018 r. weszła w życie ustawa wdrażająca dyrektywę w sprawie dystrybucji ubezpieczeń (dalej: ”IDD”). Oba akty prawne wymagały wprowadzenia wielu zmian przez pośredników ubezpieczeniowych  i ubezpieczycieli.

Kwestia ochrony danych osobowych w sektorze ubezpieczeniowym jest szczególnie ważna. Bez wątpienia, sektor ten wymaga przetwarzania danych na masową skalę. W związku z charakterem działalności, przetwarzane dane osobowe mogą obejmować zarówno dane zwykłe jak i wrażliwe (np. przy ubezpieczeniach zdrowotnych i na życie), włącznie z danymi nt. wyroków skazujących i naruszeń prawa (np. w przypadku ubezpieczeń OC). Co więcej, w branży ubezpieczeniowej często mamy do czynienia ze zautomatyzowanym podejmowaniem decyzji, co może rodzić dodatkowe obowiązki dla administratorów.

Aby prawidłowo zdefiniować zakres obowiązków  należy określić status organizacji w świetle przepisów o ochronie danych osobowych. Nasz artykuł dotyczy problemu określenia statusu podmiotu, jakim jest broker. Bardzo często pojawiają się wątpliwości czy broker ubezpieczeniowy jest administratorem danych czy podmiotem przetwarzającym. Faktycznie, należy przyznać, że odpowiedź na to pytanie nie jest oczywista.

Zakres obowiązków

Na okoliczność, który z wymienionych statusów przysługuje brokerowi, nie wpływa przecież „chęć” bycia jednym z nich czy określenie statusu w umowie, tylko uwarunkowania związane ze stanem faktycznym. Zgodnie z Art. 4 pkt. 4. Ustawy z dnia 15 grudnia 2018 r. o dystrybucji ubezpieczeń broker ubezpieczeniowy, w ramach prowadzonej działalności brokerskiej, wykonuje czynności w zakresie dystrybucji ubezpieczeń w imieniu i na rzecz klienta. Klientem brokera może być jednak zarówno osoba prawna jak i osoba fizyczna. W zależności między innymi od tego kim jest Klient, broker ubezpieczeniowy może występować zarówno w roli administratora, jak i podmiotu przetwarzającego.

Co do zasady, w praktyce status administratora danych podąża za ubezpieczającym, co jest kluczową tezą niniejszych rozważań.

Broker, a Klient – osoba fizyczna

Zgodnie z Art. 7 ust. 1 Ustawy o dystrybucji ubezpieczeń, dystrybutor, w tym broker, postępuje zgodnie z najlepiej pojętym interesem klientów. Przepis prawa powoduje, że broker jako dystrybutor może być rozliczany z przestrzegania tej zasady. W naszej ocenie, oferowanie klientom ofert produktów ubezpieczeniowych i wykonywanie czynności brokerskich na rzecz osób fizycznych, będzie wypełnianiem obowiązków prawnych. Ustawa o dystrybucji ubezpieczeń nakłada na brokera szereg obowiązków związanych z charakterem wykonywanej działalności. Zgodnie z opinią Grupy Roboczej art. 29, status administratora wynika z faktu nałożenia obowiązków prawnych na dany podmiot. W takiej sytuacji, w przypadku działalności brokerskiej w imieniu i na rzecz  osoby, której dane dotyczą, broker będzie administratorem danych osobowych.

Broker, a Klient – osoba prawna

Sprawa wydaje się być bardziej skomplikowana, kiedy broker przetwarza dane osobowe w związku z umową zawartą z osobą prawną. Obowiązki brokera można bowiem podzielić na dwie kategorie: obowiązków ustawowych oraz obowiązków umownych.

Zgadzamy się, w zakresie wypełniania prawnych obowiązków brokera, jest on administratorem danych. Na przykład, art. 32 ust. 3 pkt. 4 wspomnianej ustawy o dystrybucji ubezpieczeń stanowi, że broker ma obowiązek przechowywania dokumentacji dotyczącej wykonywanej działalności brokerskiej przez 10 lat, od dnia zakończenia współpracy z Klientem. Świadcząc usługi brokerskie dla Klienta, broker działając w jego imieniu, działa na podstawie umowy łączącej Klienta z brokerem. W tym zakresie jest podmiotem przetwarzającym dane osobowe. Najczęściej pojawiająca się sytuacja to przypadek ubezpieczeń grupowych. Osoby ubezpieczone są wtedy jednocześnie pracownikami bądź klientami podmiotu ubezpieczającego (Klienta).

Na gruncie przepisów RODO (art. 4 ust. 7), to administrator danych osobowych ustala cele i sposoby przetwarzania danych osobowych. Czy broker ubezpieczeniowy w przypadku obsługi osób prawnych może więc podejmować tego typu decyzje i stać się administratorem?

W imieniu i na rzecz Klienta = w imieniu administratora?

W obu przywołanych wyżej przypadkach, podstawą prawną jakichkolwiek kontaktów z brokerem jest wyłącznie Umowa łącząca brokera z Klientem. Powołując się na tę Umowę, broker działa jako podmiot przetwarzający. Przetwarza on przekazane dane osobowe jedynie w związku ze stosunkiem umownym jaki ma z Klientem, a nie z pracownikiem Klienta. W przypadku działania na rzecz osoby prawnej, broker nie ma oddzielnej podstawy prawnej do przetwarzania danych osobowych ubezpieczonych.

Trudno nie zgodzić się  z twierdzeniem, że to celem klienta jest odpowiednie przygotowanie i obsługa umowy ubezpieczenia, która zabezpieczy interesy klienta i ubezpieczonych. Klient może, ale nie musi, korzystać z obsługi brokerskiej w celu zawarcia umowy ubezpieczenia. Finalnie zawrą ją przecież reprezentanci klienta z ubezpieczycielem. Przedmiotem umowy brokerskiej jest jedynie pośredniczenie w zawieraniu ubezpieczeń. W praktyce oznacza to, że dany podmiot zdecydował o przetwarzaniu danych za pośrednictwem innego podmiotu. Działanie takie należy uznać jako decydowanie o sposobie przetwarzania danych.

Co więcej, umowa brokera z Klientem, jak w przypadku osób fizycznych, powinna precyzować zakres samodzielności pośrednika ubezpieczeniowego. Broker wykonując usługi na rzecz Klienta działa jedynie w oparciu o postanowienia umowne i nie może sam w pełni decydować o zakresie podejmowanych działań, co wskazuje, że znowu nie decyduje o sposobach przetwarzania danych osobowych.  Broker występuje w roli podmiotu przetwarzającego jako podmiot, który nie posiada własnych podstaw prawnych do przetwarzania powierzonych danych osobowych i działa jedynie w oparciu o udzielone pełnomocnictwo. W świetle ustawy o dystrybucji, broker nie mógłby wykonywać czynności brokerskich bez pełnomocnictwa, a więc nie mógł by przetwarzać danych osobowych gdyby nie udzielone pełnomocnictwo. Świadcząc usługi brokerskie na rzecz Klienta będącego osobą prawną, broker pozyskuje pełnomocnictwo wyłącznie od Klienta, a nie od jego pracowników.

Na zakończenie

Podsumowując, należy ponownie podkreślić, że ochrona danych osobowych w sektorze ubezpieczeniowym wydaje się być szczególnie istotna. Nowość przepisów RODO i ustawy o dystrybucji ubezpieczeń powoduje, że nie dysponujemy jeszcze interpretacjami i stanowiskami sądów i organów nadzorczych. Praktyka rynkowa i dokładna analiza przepisów obu aktów prawnych pozwala jednak na określenie jego nietypowego statusu w świetle przepisów RODO.

Jak wygląda relacja związana z przetwarzaniem danych osobowych między Brokerem, Klientem, a Zakładem Ubezpieczeniowym? Czytaj tutaj

Dodaj komentarz

*