W myśl art. 6 ust. 1 lit c RODO możliwe jest przetwarzanie danych osobowych gdy jest to niezbędne do realizowania uprawnień lub spełnienia obowiązku wynikającego z przepisów prawa. Dla sektora ubezpieczeń przepisem prawa, który zezwala ubezpieczycielom na przetwarzanie danych osobowych, bez konieczności uzyskiwania zgody osób, których dane dotyczą jest art. 41 Ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2015 r. poz.1844 ze zm.). Zgodnie z brzmieniem przywołanego przepisu zakład ubezpieczeń może zbierać dane ubezpieczonych lub uprawnionych z umów ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy ubezpieczenia (np. wniosek o zawarcie umowy ubezpieczenia), odpowiednio w celu:
- oceny ryzyka ubezpieczeniowego lub
- wykonania umowy ubezpieczenia.
Każdorazowej pisemnej zgody osoby, której dane dotyczą będzie wymagać jednak podanie przez nią danych o charakterze wrażliwym (stan zdrowia, nałogi etc.), które niezbędne są do zawarcia pewnego rodzaju umów ubezpieczeniowych. Dyspozycja art. 41 ustawy o działalności ubezpieczeniowej i reasekuracyjnej nie zezwala bowiem na przetwarzanie danych wrażliwych.
Rola agenta w zakresie umów ubezpieczenia i przetwarzania danych osobowych
Zakłady ubezpieczeniowe najczęściej zawierają umowy ubezpieczenie ze swoimi klientami za pośrednictwem agentów, którzy wszystkie pozyskane od ubezpieczającego lub ubezpieczonego informacje przekazują ubezpieczycielowi.
Podstawą prawną do przetwarzania danych osobowych przez agenta, który działa jako przedstawiciel zakładu ubezpieczeniowego jest umowa o powierzeniu przetwarzania danych. Umowa taka zawarta pomiędzy zakładem ubezpieczeniowym a agentem musi posiadać formę pisemną oraz precyzyjnie określać zakres i cel przetwarzania. W takim układzie agent ubezpieczeniowy nie jest Administratorem tylko podmiotem przetwarzającym zakładu ubezpieczeniowego. Administratorem będzie w tym przypadku zakład ubezpieczeń.
Odmienna jest sytuacja agentów, którzy działają we własnym imieniu oferując produkty ubezpieczeniowe kilku ubezpieczycieli – tzw. multiagenci.
Jak wspomniano wyżej, tylko gdy przetwarzanie danych osobowych odbywa się w imieniu konkretnego zakładu ubezpieczeniowego i na jego rzecz agenci pozostają podmiotem przetwarzającym. Natomiast w zakresie, w jakim multiagenci działają we własnym interesie oraz w zakresie pozyskiwania danych, to oni sami decydują o celach i środkach przetwarzania danych, a więc we wskazanym obszarze są Administratorami Danych. W tym przypadku agent przed podjęciem przetwarzania danych osobowych jako Administrator, musi przedsięwziąć odpowiednie środki organizacyjne i techniczne, które zagwarantują bezpieczeństwo danych osobowych zgodne z przepisami prawa. Szczegóły: https://adwokat-kalka.pl/porady/co-powinna-zawierac-dokumentacja-przetwarzania-danych-osobowych/
