BLOG

Dowiedz się co jest naprawdę ważne.

Podstawy prawne przetwarzania danych w ubezpieczeniach.

przez

Legalizacja przetwarzania danych osobowych, a więc znalezienie i zastosowanie odpowiedniej podstawy prawnej jest jedną z ważniejszych kwestii. Jednym z pierwszych etapów stosowania przepisów o ochronie danych osobowych jest uwzględnienie zasady legalności, czyli dokonanie oceny, czy w ogóle możemy przetwarzać dane osobowe. Brak prawidłowej podstawy prawnej sprawia, że dane osobowe nie mogą być przetwarzane zgodnie z prawem.

Ocena dopuszczalności przetwarzania określonego zakresu danych dla konkretnych celów powinna być pierwszym krokiem w ocenie zgodności z przepisami. Zasada ta ma również znaczenie w odniesieniu do zasady „privacy by design”. RODO nakłada obowiązek uwzględnienia ochrony danych od samego początku cyklu życia danego projektu/ produktu/ procesu. Każdy z nich, jeśli wymaga przetwarzania danych osobowych, powinien być zaprojektowany w sposób zapewniający odpowiednią ochronę prywatności.

Aby legalnie przetwarzać dane osobowe należy spełnić jedną z przesłanek z art. 6 RODO lub art. 9 RODO. Podstawą przetwarzania danych przez podmioty przetwarzające będzie również polecenie Administratora w związku z powierzeniem danych na mocy art. 28 RODO. W praktyce, przetwarzanie danych przez podmioty działające w sektorze ubezpieczeniowym odbywa się najczęściej na podstawie przepisu prawa, zgody czy wykonania umowy. W niniejszym artykule poruszymy temat przetwarzania danych osobowych w najważniejszych procesach ubezpieczeniowych.

Wykonanie umowy

Zakłady ubezpieczeń zbierają oraz w inny sposób przetwarzają dane osobowe w związku z zawieraniem i realizacją umów ubezpieczenia. Przetwarzanie danych osobowych jest więc niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą.

Tak samo, broker ubezpieczeniowy działając na rzecz osoby fizycznej wykonuje czynności brokerskie w oparciu o postanowienia umowne. Podstawą do wykonywania w imieniu klienta czynności brokerskich jest wyłącznie pełnomocnictwo/ umowa brokerska, zgodnie z przepisami ustawy o dystrybucji ubezpieczeń.

Przepis prawa

Działalność ubezpieczeniowa jest działalnością uregulowaną ustawowo. Ma do niej zastosowanie szereg różnych aktów prawnych.

Pośrednicy ubezpieczeniowi

Przesłanką przetwarzania danych przez pośredników ubezpieczeniowych takich jak np. agent czy broker będzie głównie ustawa o dystrybucji ubezpieczeń.

Ww. ustawa nakłada na dystrybutorów ubezpieczeniowych szereg obowiązków. Jest to m.in. obowiązek przeprowadzenia analizy potrzeb oraz przedstawienie klientowi obiektywnych informacji o produkcie ubezpieczeniowym. Analiza potrzeb wymaga zebrania danych, w tym również danych osobowych. Zgodnie z obowiązkiem tzw. „audytu ryzyka”, obowiązek informacyjno-doradczy ma na celu zarekomendowanie klientowi możliwie korzystnej umowy ubezpieczenia uwzględniającej jego rzeczywiste zapotrzebowanie.

Dla tego celu często konieczne zebranie jest danych osobowych takich jak np. wiek, miejsce zamieszkania, skład gospodarstwa domowego itp.

Przesłanie Klientowi oferty produktu ubezpieczeniowego na podstawie przeprowadzonej analizy potrzeb wynika więc z przepisów prawa. Przetwarzanie danych klientów dla celu przedstawienia pierwszej oferty produktu ubezpieczeniowego niewątpliwie odbywa się na podstawie art. 6 ust. 1 lit. c RODO.

Kolejnym ważnym obowiązkiem wynikającym z przepisów ustawy o dystrybucji jest m.in. obowiązek przechowywania danych. Art. 32 ust. 3 pkt. 4 nakłada na brokera ubezpieczeniowego obowiązek przechowywania dokumentacji dotyczącej wykonywanej działalności brokerskiej w zakresie ubezpieczeń przez 10 lat od dnia zakończenia współpracy z Klientem.

Zakłady ubezpieczeń

Podstawę przetwarzania tzw. danych “wrażliwych”  przez zakłady ubezpieczeń stanowi przede wszystkim ustawa o działalności ubezpieczeniowej i reasekuracyjnej.

Art. 41 ww. ustawy stanowi, że zakład ubezpieczeń przetwarza dane dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia. Art. 42 ust. 2 daje również możliwość przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa.

Z kolei zgodnie z art. 26 ust. 3 pkt 7 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną m.in. zakładom ubezpieczeń, za zgodą pacjenta.

Zgoda z art. 9 ust. 2 lit. a RODO

Poza dużą skalą przetwarzania danych zwykłych, w ubezpieczeniach mamy do czynienia z przetwarzaniem tzw. danych „wrażliwych” (np. danych dotyczących zdrowia, danych genetycznych, ujawniających pochodzenie rasowe lub etniczne). Przetwarzanie takich danych powinno odbywać się na podstawie art. 9 ust. 2 RODO. W naszej ocenie ważną przesłanką będzie zgoda osoby, której dane dotyczą.

Art. 9 ust. 2 lit. a RODO będzie podstawą istotną dla brokera oraz multiagenta (w zakresie, w jakim są administratorem danych).

Przetwarzanie danych wrażliwych ma często miejsce przy przeprowadzaniu analizy potrzeb Klienta. Uzyskanie informacji np. o stanie zdrowia i chorobach przewlekłych może być konieczne do oceny ryzyka ubezpieczeniowego. Kolejnym przykładem może być świadczenie usług w zakresie likwidacji szkody.

Uzasadniony interes – art. 6 ust. 1 lit. f RODO

Zgodnie z motywem 47 RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Niewątpliwie, zakłady ubezpieczeń mogą więc w sposób legalny przetwarzać dane osobowe swoich klientów w celach marketingowych własnych usług i produktów ubezpieczeniowych. Czy działanie dla celów marketingu bezpośredniego będzie również dotyczyło pośredników?

Biorąc pod uwagę fakt, że zgodnie z Ustawą o dystrybucji ubezpieczeń, dystrybutor ubezpieczeń jest twórcą produktu ubezpieczeniowego, przesyłanie ofert produktów może w naszej ocenie stanowić realizację uzasadnionych celów również brokera i multiagenta.

Osoba, której dane dotyczą będzie miała możliwość zrezygnowania z przesyłanych ofert poprzez wyrażenie sprzeciwu na przetwarzanie danych osobowych w tym celu.

Należy jednak pamiętać, że konieczne będzie pozyskanie zgody, podczas gdy dane osobowe będą przetwarzane w celu promocji produktów czy usług innego podmiotu.

Umowa powierzenia – art. 28 RODO

Warto odnieść się również do sytuacji, gdzie dane osobowe przetwarzane są w imieniu administratora. Mając do czynienia z powierzonymi danymi osobowymi, podmiot przetwarzający nie jest zobowiązany do zapewnienia samodzielnej, odrębnej podstawy prawnej. Za legalność przetwarzania odpowiada administrator danych, a decydując o celach i sposobach przetwarzania podejmuje również decyzję o ich powierzeniu.

Warto jednak pamiętać, że na podstawie umowy powierzenia, podmiot przetwarzający może przetwarzać dane osobowe jedynie w celu i zakresie w niej wskazanym.

Najczęstszym przykładem powierzenia danych w ubezpieczeniach jest relacja zakładu ubezpieczeń z agentem. Agent ubezpieczeniowy działa na rzecz zakładu ubezpieczeń i w jego imieniu podejmuje czynności związane z zawieraniem umowy ubezpieczenia. Agent jest więc podmiotem przetwarzającym dane w imieniu ubezpieczyciela.