ZAKŁAD UBEZPIECZEŃ A PRZETWARZANIE DANYCH

INFORMATOR ADMINISTRATORA DANYCH

OCHRONA DANYCH OSOBOWYCH W PRAKTYCE

POWIERZENIE DANYCH

SEKTOR MEDYCZNY

20 marca 2016

1

2213

zakład ubezpieczeń

Jakie są zasadnicze podstawy prawne przetwarzania danych osobowych przez zakład ubezpieczeń i pośredników ubezpieczeniowych (agentów i brokerów)

     Legalność przetwarzania danych osobowych uzależniona jest od spełnienia przez administratora danych jednej z przesłanek wskazanych w art. 23 ust. 1 ustawy o ochronie danych osobowych – jeśli chodzi o tzw. dane zwykłe, oraz w art. 27 ust. 2 – w przypadku danych szczególnie chronionych, których katalog określony został w ust. 1 tego przepisu. Należy jednak pamiętać, że ocena dopuszczalności przetwarzania danych musi być dokonywana każdorazowo w sposób zindywidualizowany z uwzględnieniem konkretnych okoliczności i celów przetwarzania danych.

     Przetwarzanie danych osobowych przez firmy ubezpieczeniowe odbywa się – co do zasady – na podstawie przesłanek określonych w art. 23 ust. 1 pkt 1 (gdy osoba, której dane dotyczą wyrazi na to zgodę), pkt 2 (tj., gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa) i pkt 3 (gdy to konieczne do realizacji umowy, osoby, której dane dotyczą, jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą).

     Podstawę przetwarzania danych przez firmy ubezpieczeniowe stanowi ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej  oraz wydane na jej podstawie akty wykonawcze. W oparciu o ich przepisy zakłady ubezpieczeń gromadzą dane osobowe klientów w związku z zawieraniem i realizacją umów ubezpieczenia, umów reasekuracji oraz umów gwarancji ubezpieczeniowych. Jednocześnie pozwalają one na kształtowanie treści wspomnianych umów w granicach obowiązujących w tym zakresie przepisów prawa. Poza tym, istotne jest, aby – zgodnie z zasadą adekwatności wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych – zakres danych przetwarzanych przez administratora był adekwatny (proporcjonalny) do celu przetwarzania. Przetwarzanie danych w zakresie szerszym, niż niezbędny do zawarcia, a następnie realizacji zawartej umowy, może odbywać się wyłącznie za zgodą osoby, której dane dotyczą (art. 23 ust. 1 pkt 1).

     Kwestia przetwarzania przez zakłady ubezpieczeń informacji o stanie zdrowia została uregulowana w  ustawie o działalności ubezpieczeniowej. Zgodnie z jej art. 22 ust. 1,  zakład ubezpieczeń może uzyskać odpłatnie od podmiotów, o których mowa w art. 4 ustawy, które udzielały świadczeń zdrowotnych, ubezpieczonemu lub osobie, na rzecz której miała być zawarta umowa ubezpieczenia, informacje o okolicznościach związanych z oceną ryzyka ubezpieczeniowego i weryfikacją podanych przez tę osobę danych o jej stanie zdrowia, ustaleniem prawa osoby do świadczenia z zawartej umowy ubezpieczenia i wysokością świadczenia, a także informacje o przyczynie śmierci ubezpieczonego, z wyłączeniem wyników badań genetycznych. W myśl ust. 3 tego artykułu wystąpienie zakładu ubezpieczeń z wnioskiem o udzielenie informacji, o których mowa w ust. 1, wymaga pisemnej zgody ubezpieczonego lub osoby, na rzecz której ma zostać zawarta umowa ubezpieczenia albo jej przedstawiciela ustawowego.

     Ponadto, zgodnie z art. 26 ust. 3 pkt 7 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną m.in. zakładom ubezpieczeń, za zgodą pacjenta.

     Przetwarzanie przez zakłady ubezpieczeniowe danych osobowych swoich klientów w celach marketingowych własnych usług i produktów ubezpieczeniowych dopuszczalne jest na podstawie przesłanki wskazanej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zgodnie ze znowelizowanym brzmieniem tego przepisu, przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane ów dane – a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Stosownie do ust. 4 pkt 1 cytowanego przepisu, za prawnie usprawiedliwiony cel uważa się w szczególności m.in. marketing bezpośredni własnych produktów lub usług administratora danych. Powołany przepis usankcjonował zatem wprost legalność przetwarzania danych osobowych w celach marketingowych własnych produktów i usług administratora danych. W tej sytuacji nie jest konieczne, aby zakłady ubezpieczeniowe, będące administratorami danych, posiadały zgodę swoich klientów na przetwarzanie danych osobowych w wyżej wskazanym celu. Zgoda jest natomiast wymagana wówczas, gdy zakład ubezpieczeń zamierza przetwarzać dane osobowe swoich klientów w celu promocji produktów, czy też usług innego podmiotu. Istotne jest, aby oświadczenie zawierające zgodę na przetwarzanie danych osobowych złożone zostało w taki sposób, by zgoda była wyraźna i dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu oraz ze wskazaniem podmiotu lub grupy podmiotów, których marketing miałby dotyczyć. Oznacza to także, że zgoda na wykorzystywanie danych klientów w celu marketingu produktów innego podmiotu winna być wyraźnie oddzielona od celu realizacji umowy.

     Wskazać w tym miejscu należy, iż z uwagi na to, że agent ubezpieczeniowy, działający w imieniu i na rzecz zakładu ubezpieczeń, nie jest administratorem zbioru danych osobowych osób, wobec których występuje jako przedstawiciel zakładu. Nie musi on legitymować się samodzielną, odrębną od posiadanej przez zakład ubezpieczeń przesłanką legalności przetwarzania danych. Agent, jako podmiot, któremu zakład ubezpieczeń w drodze zawartej umowy powierzył przetwarzanie danych, obowiązany jest przestrzegać, aby dane przetwarzać wyłącznie w zakresie i celu w umowie przewidzianym oraz zabezpieczyć dane  w sposób określony w przepisach o ochronie danych osobowych.

     Podstawą legalności przetwarzania danych osobowych przez brokerów są natomiast odpowiednio – zgoda osoby, której dane dotyczą (art. 23 ust.1 pkt 1), jeśli chodzi o „potencjalnych” klientów, oraz konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy przetwarzanie danych jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3). Przetwarzanie przez brokerów – podobnie jak w przypadku zakładów ubezpieczeń – danych osobowych klientów w celach marketingowych własnych produktów i usług odbywa się na mocy art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Marketing produktów i usług innych podmiotów dopuszczalny jest wyłącznie za zgodą podmiotu danych.

Oprogramowanie dla ABI

Tagi:

Jedno przemyślenie nt. „ZAKŁAD UBEZPIECZEŃ A PRZETWARZANIE DANYCH”

  1. Michał Ostruś napisał(a):

    „Marketing produktów i usług innych podmiotów dopuszczalny jest wyłącznie za zgodą podmiotu danych.” – Prowadząc firmę, chyba najważniejsze zdanie w artykule. Pozdrawiam cały zarząd Kryptos.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Copyright © 2016 Kryptos - All Rights Reserved