BLOG

Dowiedz się co jest naprawdę ważne.

Status brokera ubezpieczeniowego w świetle przepisów RODO.

broker ubezpieczeniowy - RODO
broker ubezpieczeniowy – RODO

Ochrona danych osobowych w sektorze ubezpieczeniowym

Poprzedni rok był dla sektora ubezpieczeniowego wyjątkowo wymagający. 25 maja 2018 r. zaczęło obowiązywać rozporządzenie o ochronie danych osobowych, a 1 października 2018 r. weszła w życie ustawa wdrażająca dyrektywę w sprawie dystrybucji ubezpieczeń (dalej: ”IDD”). Oba akty prawne wymagały wprowadzenia wielu zmian przez pośredników ubezpieczeniowych  i ubezpieczycieli.

Kwestia ochrony danych osobowych w sektorze ubezpieczeniowym jest szczególnie ważna. Bez wątpienia, sektor ten wymaga przetwarzania danych na masową skalę. W związku z charakterem działalności, przetwarzane dane osobowe mogą obejmować zarówno dane zwykłe jak i wrażliwe (np. przy ubezpieczeniach zdrowotnych i na życie), włącznie z danymi nt. wyroków skazujących i naruszeń prawa (np. w przypadku ubezpieczeń OC). Co więcej, w branży ubezpieczeniowej często mamy do czynienia ze zautomatyzowanym podejmowaniem decyzji, co może rodzić dodatkowe obowiązki dla administratorów.

Aby prawidłowo zdefiniować zakres obowiązków  należy określić status organizacji w świetle przepisów o ochronie danych osobowych. Nasz artykuł dotyczy problemu określenia statusu podmiotu, jakim jest broker. Bardzo często pojawiają się wątpliwości czy broker ubezpieczeniowy jest administratorem danych czy podmiotem przetwarzającym. Faktycznie, należy przyznać, że odpowiedź na to pytanie nie jest oczywista.

Zakres obowiązków

Na okoliczność, który z wymienionych statusów przysługuje brokerowi, nie wpływa przecież „chęć” bycia jednym z nich czy określenie statusu w umowie, tylko uwarunkowania związane ze stanem faktycznym. Zgodnie z Art. 4 pkt. 4. Ustawy z dnia 15 grudnia 2018 r. o dystrybucji ubezpieczeń broker ubezpieczeniowy, w ramach prowadzonej działalności brokerskiej, wykonuje czynności w zakresie dystrybucji ubezpieczeń w imieniu i na rzecz klienta. Klientem brokera może być jednak zarówno osoba prawna jak i osoba fizyczna. W zależności między innymi od tego kim jest Klient, broker ubezpieczeniowy może występować zarówno w roli administratora, jak i podmiotu przetwarzającego.

Co do zasady, w praktyce status administratora danych podąża za ubezpieczającym, co jest kluczową tezą niniejszych rozważań.

Broker, a Klient – osoba fizyczna

Zgodnie z Art. 7 ust. 1 Ustawy o dystrybucji ubezpieczeń, dystrybutor, w tym broker, postępuje zgodnie z najlepiej pojętym interesem klientów. Przepis prawa powoduje, że broker jako dystrybutor może być rozliczany z przestrzegania tej zasady. W naszej ocenie, oferowanie klientom ofert produktów ubezpieczeniowych i wykonywanie czynności brokerskich na rzecz osób fizycznych, będzie wypełnianiem obowiązków prawnych. Ustawa o dystrybucji ubezpieczeń nakłada na brokera szereg obowiązków związanych z charakterem wykonywanej działalności. Zgodnie z opinią Grupy Roboczej art. 29, status administratora wynika z faktu nałożenia obowiązków prawnych na dany podmiot. W takiej sytuacji, w przypadku działalności brokerskiej w imieniu i na rzecz  osoby, której dane dotyczą, broker będzie administratorem danych osobowych.

Broker, a Klient – osoba prawna

Sprawa wydaje się być bardziej skomplikowana, kiedy broker przetwarza dane osobowe w związku z umową zawartą z osobą prawną. Obowiązki brokera można bowiem podzielić na dwie kategorie: obowiązków ustawowych oraz obowiązków umownych.

Zgadzamy się, w zakresie wypełniania prawnych obowiązków brokera, jest on administratorem danych. Na przykład, art. 32 ust. 3 pkt. 4 wspomnianej ustawy o dystrybucji ubezpieczeń stanowi, że broker ma obowiązek przechowywania dokumentacji dotyczącej wykonywanej działalności brokerskiej przez 10 lat, od dnia zakończenia współpracy z Klientem. Świadcząc usługi brokerskie dla Klienta, broker działając w jego imieniu, działa na podstawie umowy łączącej Klienta z brokerem. W tym zakresie jest podmiotem przetwarzającym dane osobowe. Najczęściej pojawiająca się sytuacja to przypadek ubezpieczeń grupowych. Osoby ubezpieczone są wtedy jednocześnie pracownikami bądź klientami podmiotu ubezpieczającego (Klienta).

Na gruncie przepisów RODO (art. 4 ust. 7), to administrator danych osobowych ustala cele i sposoby przetwarzania danych osobowych. Czy broker ubezpieczeniowy w przypadku obsługi osób prawnych może więc podejmować tego typu decyzje i stać się administratorem?

W imieniu i na rzecz Klienta = w imieniu administratora?

W obu przywołanych wyżej przypadkach, podstawą prawną jakichkolwiek kontaktów z brokerem jest wyłącznie Umowa łącząca brokera z Klientem. Powołując się na tę Umowę, broker działa jako podmiot przetwarzający. Przetwarza on przekazane dane osobowe jedynie w związku ze stosunkiem umownym jaki ma z Klientem, a nie z pracownikiem Klienta. W przypadku działania na rzecz osoby prawnej, broker nie ma oddzielnej podstawy prawnej do przetwarzania danych osobowych ubezpieczonych.

Trudno nie zgodzić się  z twierdzeniem, że to celem klienta jest odpowiednie przygotowanie i obsługa umowy ubezpieczenia, która zabezpieczy interesy klienta i ubezpieczonych. Klient może, ale nie musi, korzystać z obsługi brokerskiej w celu zawarcia umowy ubezpieczenia. Finalnie zawrą ją przecież reprezentanci klienta z ubezpieczycielem. Przedmiotem umowy brokerskiej jest jedynie pośredniczenie w zawieraniu ubezpieczeń. W praktyce oznacza to, że dany podmiot zdecydował o przetwarzaniu danych za pośrednictwem innego podmiotu. Działanie takie należy uznać jako decydowanie o sposobie przetwarzania danych.

Co więcej, umowa brokera z Klientem, jak w przypadku osób fizycznych, powinna precyzować zakres samodzielności pośrednika ubezpieczeniowego. Broker wykonując usługi na rzecz Klienta działa jedynie w oparciu o postanowienia umowne i nie może sam w pełni decydować o zakresie podejmowanych działań, co wskazuje, że znowu nie decyduje o sposobach przetwarzania danych osobowych.  Broker występuje w roli podmiotu przetwarzającego jako podmiot, który nie posiada własnych podstaw prawnych do przetwarzania powierzonych danych osobowych i działa jedynie w oparciu o udzielone pełnomocnictwo. W świetle ustawy o dystrybucji, broker nie mógłby wykonywać czynności brokerskich bez pełnomocnictwa, a więc nie mógł by przetwarzać danych osobowych gdyby nie udzielone pełnomocnictwo. Świadcząc usługi brokerskie na rzecz Klienta będącego osobą prawną, broker pozyskuje pełnomocnictwo wyłącznie od Klienta, a nie od jego pracowników.

Na zakończenie

Podsumowując, należy ponownie podkreślić, że ochrona danych osobowych w sektorze ubezpieczeniowym wydaje się być szczególnie istotna. Nowość przepisów RODO i ustawy o dystrybucji ubezpieczeń powoduje, że nie dysponujemy jeszcze interpretacjami i stanowiskami sądów i organów nadzorczych. Praktyka rynkowa i dokładna analiza przepisów obu aktów prawnych pozwala jednak na określenie jego nietypowego statusu w świetle przepisów RODO.

Jak wygląda relacja związana z przetwarzaniem danych osobowych między Brokerem, Klientem, a Zakładem Ubezpieczeniowym? Czytaj tutaj

2 komentarze do “Status brokera ubezpieczeniowego w świetle przepisów RODO.”

  1. Art. 7 ustawy o dystrybucji ubezpieczeń dotyczy także Klientów będących osobami prawnymi. Brokera z osobą fizyczną także łączy umowa. Działając w imieniu osoby prawnej brokera także działa realizując obowiązek wynikający z art. 7 ust. 1 ww. ustawy. Z drugiej strony – działając na rzecz osoby fizycznej – realizuje umowę zawartą z tą osobą. “Na gruncie przepisów RODO (art. 4 ust. 7), to administrator danych osobowych ustala cele i sposoby przetwarzania danych osobowych. Czy broker ubezpieczeniowy w przypadku obsługi osób prawnych może więc podejmować tego typu decyzje i stać się administratorem?” – taka sama sytuacja występuje w przypadku osób fizycznych. Mam wrażenie, że w Państwa artykule brak części argumentacji, pozwalającej na uzasadnienie Państwa poglądu.

    Odpowiedz
    • Stoimy na stanowisku, że broker pełni funkcję zarówno podmiotu przetwarzającego, jak i administratora danych osobowych w zależności od konkretnej sytuacji i celu przetwarzania danych osobowych. Oczywistym jest, iż broker zawsze będzie działał w imieniu i na rzecz swojego Klienta, a nie w swoim imieniu, co wynika wprost z przepisów prawa.
      W naszej ocenie broker działając w imieniu i na rzecz osoby fizycznej będzie pełnił funkcję administratora danych osobowych, a posiada do tego odpowiednie podstawy prawne, w tym m.in. przetwarza dane osobowe na podstawie art. 6 ust. 1 lit. b RODO w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
      Świadcząc jednak usługi brokerskie dla Klienta będącego spółką prawa handlowego, broker działając w jego imieniu i na jego rzecz proceduje na podstawie umowy łączącej Klienta z brokerem i w tym zakresie jest podmiotem przetwarzającym dane osobowe. Bieżąca obsługa brokerska wobec klienta będącego spółką prawa handlowego jest rozpatrywana jako działalność wykonywana w imieniu i na rzecz Klienta na podstawie stosunku podstawowego łączącego strony, tj. na podstawie umowy. Gdyby nie umowa podpisana z Klientem, broker nie dysponowałby podstawą prawną do przetwarzania danych osób fizycznych, które nie są stroną umowy z brokerem. Broker nie odnajduje celu w reprezentowaniu osób fizycznych, z którymi nie łączy go żadna umowa podstawowa. Na gruncie przepisów RODO (art. 4 ust. 7), to administrator danych osobowych ustala cele i sposoby przetwarzania danych osobowych. Trudno nie zgodzić się z twierdzeniem, że w tym przypadku to celem Klienta jest odpowiednie przygotowanie i obsługa umowy ubezpieczenia, która zabezpieczy interesy klienta i ubezpieczonych. Klient może, ale nie musi korzystać z obsługi brokerskiej w celu zawarcia umowy ubezpieczenia. Skorzystanie z usług brokerów ww. celu jest tak naprawdę wolą klienta, co przemawia za uznaniem, że Broker działa w imieniu Klienta i tym samym jest podmiotem przetwarzającym dane w imieniu administratora. Broker, działając na podstawie pełnomocnictwa, nie może sam decydować o celach i sposobach przetwarzania danych osobowych i nie przetwarza ich dla własnych celów, co wyklucza uznanie go za administratora danych w rozumieniu przepisów RODO.
      Chcemy jednak zaznaczyć, że każda sytuacja wymaga odrębnej analizy np. z uwagi na fakt, że nie każda umowa ubezpieczenia wiąże się z koniecznością przetwarzania danych osobowych, a charakter współpracy Klienta z brokerem, rodzaj ubezpieczenia czy proces obsługi będą miały niewątpliwie ogromny wpływ na ustalenie procesu przetwarzania danych i statusu Klienta i brokera. Zachęcamy do zapoznania się z pozostałymi artykułami dotyczącymi statusu brokera oraz do bezpośredniego kontaktu: kontakt@auraco.pl.

      Odpowiedz

Skomentuj AS Anuluj pisanie odpowiedzi

*