Broker – Ubezpieczający – Ubezpieczyciel
Temat podstaw przetwarzania danych osobowych, w szczególności do przekazywania ich kolejnemu podmiotowi w ramach obsługi umów ubezpieczenia, jest często dyskutowany w środowisku prawno-biznesowym. Oczywiście, legalność przetwarzania danych osobowych musi być przez nas każdorazowo oceniana indywidualnie, z uwzględnieniem konkretnych okoliczności.
W ostatnim artykule analizowaliśmy czy Broker jest administratorem czy podmiotem przetwarzającym. Kolejnym krokiem do zrozumienia procesów przetwarzania danych w ubezpieczeniach jest- w naszej ocenie- usystematyzowanie relacji pomiędzy trzema podmiotami: Zakładem Ubezpieczeń (dalej: ZU), Klientem (ubezpieczającym, na potrzeby niniejszego artykułu na przykładzie pracodawcy- osoby prawnej) oraz Brokerem.
Broker – Zakład Ubezpieczeń
Przedmiotem umowy brokerskiej jest wynegocjowanie warunków umowy generalnej pomiędzy Zakładem ubezpieczeń, a Klientem. W praktyce, relacja łącząca Klienta z Brokerem wygląda tak, że klient przekazuje Brokerowi określone dokumenty ( w tym dane osobowe takie jak np. płeć i wiek) z prośbą o wykonanie usług brokerskich związanych z umową ubezpieczenia. Broker następnie przekazuje dokumentację wraz z zawartymi w niej danymi osobowymi do Zakładu Ubezpieczeń w celu otrzymania najlepszej oferty. Broker pozostaje więc w pewnej relacji z Zakładem Ubezpieczeń, a pytanie które się pojawia dotyczy formalnego uregulowania przekazywania danych.
Zakres czynności wykonywanych przez Brokera uregulowano w ustawie o dystrybucji ubezpieczeń. Zgodnie z art. 30 ust. 1 pkt. 2 ustawy, Broker ubezpieczeniowy nie może pozostawać w stałym stosunku umownym z Zakładem Ubezpieczeń. Nie ulega wątpliwości, że przykładem takiego stałego stosunku umownego będzie umowa powierzenia danych.
Skoro Broker nie może zawrzeć umowy z Zakładem ubezpieczeń, to jaka będzie podstawa prawna przekazywania danych osobowych? Broker nie jest stroną umowy ubezpieczenia grupowego, działa w imieniu i na rzecz swojego Klienta – osoby prawnej, wobec której jest „pośrednikiem” w przedstawionej relacji. Podstawą przekazywania danych osobowych do Zakładu Ubezpieczeń będzie umowa powierzenia przetwarzania danych osobowych z Klientem.
Klient – Broker
Należy zwrócić uwagę, że bardzo często Klientami Brokerów są osoby prawne. W takich przypadkach dochodzi do powierzenia przetwarzania danych osobowych w zakresie danych pracowników.
Trzeci podmiot w relacji ZU- Klient- Broker, przetwarza dane osobowe w imieniu Klienta, stąd też przypisany mu jest status podmiotu przetwarzającego dane (więcej: link). Sam fakt, że administrator zdecydował się na przetwarzanie danych za pośrednictwem zewnętrznego podmiotu (Brokera) kwalifikować należy jako ustalenie sposobu przetwarzania, co również wskazuje, że Klient posiada status administratora danych. Broker wykonuje czynności związane np. z administracją ubezpieczeń, które bez zaangażowania zewnętrznego podmiotu wykonywałby sam Klient.
Zgodnie z przepisami RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora (Klienta), przetwarzanie przez podmiot przetwarzający (Brokera) odbywa się ono na podstawie umowy lub innego instrumentu prawnego.
Konieczne będzie więc zawarcie umowy powierzenia danych między Klientem, a Brokerem.
Zakład Ubezpieczeń – Klient
Zgodnie z obowiązującym prawem, umowa ubezpieczenia może zostać zawarta na cudzy rachunek. [1] W przypadku ubezpieczenia grupowego (np. ubezpieczenia na życie), Klient jako ubezpieczający jest stroną tego ubezpieczenia (obok ubezpieczyciela i ubezpieczonego).[2] Na podstawie umowy ubezpieczenia zobowiązuje się do jego obsługi, a umowę ubezpieczenia zawiera na rzecz swoich pracowników. Warto przy tym podkreślić, że umowa generalna zawiera ogólne warunki ubezpieczenia stanowiące najistotniejsze informacje dotyczące polisy.
Klient jako pracodawca jest co do zasady administratorem danych swoich pracowników. Status administratora przysługuje mu więc również przy zawieraniu umowy ubezpieczenia grupowego. Decyzja o jej zawarciu to decydowanie o celu przetwarzania danych. Co więcej, sam ubezpieczający z mocy prawa zyskuje pewne uprawnienia i obowiązki. Jest to np. możliwość odstąpienia od umowy, [3] obowiązek opłacenia składki ubezpieczeniowej [4] czy obowiązek tzw. deklaracji ryzyka. [5] Ubezpieczający na mocy przepisów ma prawa i powinności, których nie można wypełnić bez zgromadzenia przynajmniej niektórych danych osobowych. Zgodnie z opinią Grupy Roboczej art. 29, w takim przypadku przypisanie statusu administratora wynika wprost z przepisów prawa. [6]
Zakład ubezpieczeń przetwarza dane osobowe w celu wykonania umowy na rzecz osób, których dane dotyczą. Udziela ochrony ubezpieczeniowej najczęściej na podstawie umowy ubezpieczenia zawartej z ubezpieczającym (Klientem) udzielonej na warunkach określonych w umowie generalnej. Podstawą ochrony jest wydany certyfikat lub polisa. W związku z szeregiem obowiązków prawnych warunkujących działalność ubezpieczeniową, Zakład również przetwarza dane osobowe we własnym imieniu, decydując o celach i sposobach przetwarzania.
Na gruncie przepisów dotyczących ochrony danych osobowych mamy do czynienia z dwoma odrębnymi administratorami: Zakładem Ubezpieczeń oraz Klientem. Przekazanie danych osobowych między ubezpieczającym (Klientem) i Zakładem Ubezpieczeń odbywa się na zasadzie udostępnienia danych między administratorami w zakresie danych, w których posiadaniu jest już pracodawca. W takiej sytuacji nie dochodzi więc do powierzenia tych danych.
W praktyce spotkać się można również z innymi modelami współpracy, co jednak będzie przedmiotem oddzielnego opracowania.