Działalność ubezpieczeniowa w większości przypadków wiąże się ściśle z przetwarzaniem danych osobowych osób ubezpieczonych. Zakłady ubezpieczeń, przed lub w chwili zawierania umowy ubezpieczenia, a także podczas jej trwania zbierają istotne informacje w celu oceny ryzyka ubezpieczeniowego, bądź też identyfikacji ubezpieczonego, czy ustalenia wysokości odszkodowania lub świadczenia.
Z uwagi na charakter przekazywanych informacji, dane uzyskiwane przez ubezpieczycieli mają często charakter wrażliwy, czyli dotyczą m.in. stanu zdrowia ubezpieczonego, jego nałogów lub skazania ubezpieczonego za określone przestępstwo (np. spowodowanie wypadku komunikacyjnego).
Przetwarzanie takich danych wiąże się nie tylko z koniecznością przestrzegania przepisów ustawy o ochronie danych osobowych, ale także innych regulacji prawnych chroniących dane, m.in. ustawy o działalności ubezpieczeniowej w zakresie ochrony informacji objętych tajemnicą ubezpieczeniową, czyli wszelkich informacji dotyczących umów ubezpieczenia.
Nie bezpośrednio
Wiele zakładów ubezpieczeń korzysta z usług agentów ubezpieczeniowych. Niejednokrotnie, szczególnie na etapie zawierania umowy ubezpieczenia, całość kontaktu z ubezpieczonym odbywa się poprzez agenta, a wszelkie informacje dotyczące ubezpieczającego czy ubezpieczonego trafiają do zakładu ubezpieczeń właśnie za jego pośrednictwem.
Może on, oczywiście, nie być jedynie biernym pośrednikiem pomiędzy zainteresowanym klientem a zakładem ubezpieczeń, lecz podejmować także aktywne działania w celu sprzedaży produktów ubezpieczeniowych. Wszelkie takie czynności dotyczące osób fizycznych wiążą się z przetwarzaniem ich danych osobowych >patrz ramka.
Czy zawsze w imieniu ubezpieczyciela
Z punktu widzenia ustawy o ochronie danych osobowych w działalności agenta ubezpieczeniowego można wyróżnić dwa istotne aspekty. Z jednej strony agent może działać w imieniu i na rzecz zakładu ubezpieczeń, reprezentując jego interesy i pośrednicząc w zawieraniu umów ubezpieczenia.
Z drugiej jednak strony, agent, jako odrębny podmiot, jest także zainteresowany podejmowaniem działań we własnym interesie, dążąc do zyskania jak największej liczby klientów – co pozostaje w ścisłym związku z wysokością uzyskiwanej przez niego prowizji. Te dwa aspekty działalności agentów mają istotny wpływ na kwestie dotyczące przetwarzania danych osobowych.
Co do zasady, agent wykonuje czynności w imieniu lub na rzecz zakładu ubezpieczeń polegające m.in. na: pozyskiwaniu klientów, wykonywaniu czynności zmierzających do zawierania lub zawieraniu umów ubezpieczenia, uczestniczenia w administrowaniu i wykonywaniu umów ubezpieczenia, jak również na organizowaniu i nadzorowaniu czynności agencyjnych. Działając na zlecenie zakładu ubezpieczeń – agent wykonuje czynności w jego imieniu lub na jego rzecz.
Agent może, i w większości przypadków jest (chociaż nie musi być), uprawniony do zawierania umów ubezpieczenia w imieniu zakładu ubezpieczeń. W tym ostatnim przypadku, w zakresie, w jakim działa na podstawie pełnomocnictwa udzielonego przez zakład ubezpieczeń, wszelkie czynności związane z zawieraniem lub wykonywaniem umów ubezpieczenia agent wykonuje w imieniu mocodawcy – zakładu ubezpieczeń.
Zatem, z punktu widzenia przepisów ustawy o ochronie danych osobowych, w omawianym zakresie, agent – działający w imieniu i na rzecz zakładu ubezpieczeń – nie staje się administratorem danych osobowych, mimo że je przetwarza. Nie on bowiem decyduje o środkach i celach przetwarzania danych osobowych, lecz zakład ubezpieczeń.
Jaki jest status
Jaki więc jest status agenta i czy jest jakaś podstawa, która zezwala mu na przetwarzanie danych osobowych? Odpowiedź jest prosta. Gdy agent działa w imieniu i na rzecz zakładu ubezpieczeń, działa on zwykle jako podmiot, któremu administrator danych, czyli zakład ubezpieczeń, powierzył przetwarzanie danych osobowych.
Umowa o powierzenie
Zatem, podstawę do przetwarzania danych przez agenta będzie stanowić umowa o powierzeniu przetwarzania danych, których administratorem pozostaje zakład ubezpieczeń. Trzeba pamiętać jednak że umowa taka co do zasady powinna zostać zawarta na piśmie (chociaż brak formy pisemnej nie będzie skutkował nieważnością umowy).
Oczywiście, powinna także określać zakres i cel przetwarzania danych, gdyż tylko w tym zakresie i w takim celu, jaki został określony w umowie, agent ma prawo przetwarzania danych. Przykładowo, jeżeli powierzenie danych nastąpi wyłącznie w celu realizacji określonych akcji promocyjnych i tylko w określonym czasie wobec określonej grupy klientów, to po zakończeniu akcji promocyjnej te dane nie powinny być w żaden sposób przetwarzane przez agenta.
Może odpowiadać jak administrator
Wspomniana konieczność zawarcia umowy o powierzeniu przetwarzania danych to nie wszystko. Mimo że agent w zakresie działalności wykonywanej w imieniu i na rzecz zakładu ubezpieczeń nie posiada statusu administratora danych, a tym samym nie jest, na przykład zobowiązany do zgłaszania w tym zakresie zbiorów danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (GIODO), to jednak ciążą na nim pewne obowiązki wynikające bezpośrednio z ustawy o ochronie danych osobowych.
Pozostaje bowiem podmiotem przetwarzającym dane osobowe. Zatem na przykład jeszcze przed rozpoczęciem przetwarzania danych agent musi podjąć odpowiednie środki zabezpieczające zbiór danych, które zostaną mu powierzone. Wymienia je szczegółowo ustawa o ochronie danych osobowych i inne przepisy. To ważne, bo w tym zakresie – zabezpieczenia zbioru danych – agent ponosi odpowiedzialność tak jak administrator danych.
Generalny inspektor czuwa
W pozostałym zakresie co prawda odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych spoczywa głównie na administratorze danych (zakładzie ubezpieczeń), ale agent nadal ponosi odpowiedzialność za przetwarzanie danych niezgodnie z umową o powierzenie przetwarzania danych osobowych. Zatem, agent musi pamiętać, aby dane te przetwarzać ściśle zgodnie z celem i zakresem wcześniej uzgodnionym. Jest to tym bardziej istotne, że GIODO może skontrolować zgodność przetwarzania danych przez agenta z odpowiednimi przepisami o ochronie danych osobowych.
Odpowiednia umowa
W praktyce, jak widać, istotne będzie sformułowanie odpowiednich postanowień dotyczących przetwarzania danych osobowych w imieniu zakładu ubezpieczeń. Dla agenta będzie to podstawą do wykazania, że przetwarza dane osobowe w oparciu o odpowiednią podstawę prawną i zgodnie z podstawą umowną.
Odnośnie podstawy prawnej agent jako reprezentant zakładu ubezpieczeń „korzysta" z przepisów uprawniających ubezpieczyciela do przetwarzania takich danych (przede wszystkim art. 24 ustawy o działalności ubezpieczeniowej) i nie musi wykazywać odrębnej „własnej" podstawy prawnej do takich działań.
Postanowienia umowy powinny przy tym wskazywać wyraźnie cel i zakres przetwarzanych danych, który jest zgodny z sytuacją faktyczną i relacją łączącą strony. Warto również wskazać, że prawidłowa treść umowy także powinna pomóc zakładom ubezpieczeń w wykazaniu, że odpowiednio chronią dane swoich klientów (również z punktu widzenia przepisów o ochronie tajemnicy ubezpieczeniowej).
We własnym interesie
Podstawowym celem agenta ubezpieczeniowego jest w praktyce dotarcie do jak największej grupy klientów. Często korzysta on z istniejących już kontaktów (klientów) ubezpieczyciela albo działając w jego imieniu lub na jego rzecz oferuje produkty ubezpieczeniowe nowym klientom.
Nie należy jednak zapominać, że oprócz czynności wykonywanych w imieniu zakładu ubezpieczeń i na jego rzecz, agent może także podejmować działania we własnym interesie. To zrozumiałe ekonomicznie – istotnym elementem działalności agentów jest aktywne poszukiwanie potencjalnych klientów, którym będą mogli zaoferować produkty ubezpieczeniowe jednego lub kilku ubezpieczycieli, niekoniecznie tego, z którym aktualnie współpracują.
Taka sytuacja może także mieć miejsce podczas wykonywania czynności poprzedzających etap występowania przez agenta w roli reprezentanta ubezpieczyciela. Niejednokrotnie działania polegające na kontaktowaniu się z osobami fizycznymi będą wiązać się z przetwarzaniem danych osobowych tych osób.
Co z multiagentem
Z punktu widzenia przepisów o ochronie danych osobowych, chociaż nie tylko, należy dokonać rozróżnienia tych czynności (wykonywanych przez agenta we własnym imieniu i interesie) od tych, które agent wykonuje w imieniu lub na rzecz zakładu ubezpieczeń. Kwestia ta jest szczególnie istotna dla agentów, którzy jednocześnie działają na rzecz kilku zakładów ubezpieczeń, czyli tzw. multiagentów.
Zapobiegliwy i mający przygotowaną odpowiednią strategię biznesową agent może tworzyć i prowadzić, na swój użytek i dla swoich celów, bazę danych potencjalnych lub obecnych klientów, którym w przyszłości będzie mógł zaoferować inne produkty ubezpieczeniowe. Działania polegające na zbieraniu danych osobowych zależą w znacznej mierze od inwencji agenta, pod warunkiem że będą mieściły się w granicach przewidzianych przepisami prawa.
Agent może, zatem, uzyskiwać dane kontaktowe na zasadzie kontaktów towarzyskich (np. rekomendacje znajomych), poszukiwać danych w źródłach powszechnie dostępnych (np. książki telefoniczne), nabywać dane od wyspecjalizowanych podmiotów, prowadzić akcje marketingowe lub wchodzić w relacje biznesowe z podmiotami dysponującymi bazami danych potencjalnych klientów.
Czynności samodzielne
Ważny jest także jeszcze jeden aspekt sprawy. Niezależnie od strategii biznesowej agenta, czynności wykonywane przez niego samodzielnie, jeszcze przed przedstawieniem potencjalnemu klientowi oferty konkretnego produktu ubezpieczeniowego, mogą zostać uznane za czynności, które nie są wykonywane w imieniu zakładu ubezpieczeń.
Jakkolwiek agent działający na rzecz jednego zakładu może podnosić, że w istocie wszystkie wykonywane przez niego działania mieszczą się w zakresie działania w imieniu ubezpieczyciela, to już podniesienie takiego argumentu przez multiagenta będzie dużo trudniejsze.
Z punktu widzenia przepisów o ochronie danych osobowych podejmowanie takich czynności, niezależnie od tego czy w sposób zamierzony czy nie, może prowadzić do uznania agenta za administratora danych osobowych ze wszystkimi wynikającymi z tego faktu konsekwencjami. To on będzie bowiem decydował o celu i zakresie przetwarzania zebranych przez siebie danych.
Będzie też już jako administrator zobowiązany m.in. spełnić obowiązki informacyjne wobec podmiotów, których dane dotyczą (art. 24 lub 25 ustawy o ochronie danych osobowych), dołożyć szczególnej staranności w celu właściwego przetwarzania danych (art. 26), spełniać określone obowiązki w celu zagwarantowania praw osób, których dane dotyczą (art. 32–35), zastosować odpowiednie środki w celu zabezpieczenia danych osobowych (art. 36–39a), a także zgłosić zbiór danych do rejestracji GIODO (art. 40).
Bartosz Romanowski aplikant adwokacki kancelaria Hogan Lovells
Komentuje Bartosz Romanowski, aplikant adwokacki kancelaria Hogan Lovells
Agent ubezpieczeniowy, działający w zakresie pełnomocnictwa udzielonego mu przez zakład ubezpieczeń, co do zasady przetwarza dane osobowe nie jako ich administrator, lecz jako podmiot, któremu zakład ubezpieczeń powierzył zadanie przetwarzania danych osobowych.
Nie oznacza to jednak, że agent zwolniony jest od przestrzegania przepisów o ochronie danych osobowych lub, że nie odpowiada za ich prawidłowe zabezpieczenie.
Sytuacja komplikuje się, gdy agent wykonuje czynności związane z przetwarzaniem danych osobowych nie w imieniu i na rzecz konkretnego ubezpieczyciela, lecz we własnym imieniu i na własną rzecz. W takim wypadku agent może zostać uznany za administratora danych, co będzie wiązało się z istotnymi konsekwencjami na gruncie ustawy o ochronie danych osobowych.
W pewnych przypadkach agent może zostać uznany za administratora danych osobowych
