Skoro agent może także być administratorem danych osobowych, to czy podstawa do przetwarzania przez niego danych będzie taka sama, jak w przypadku, gdy działa on w imieniu i na rzecz ubezpieczyciela?
Niestety, nie. W zakresie, w jakim agent nie działa w imieniu zakładu ubezpieczeń, nie może on korzystać z podstawy prawnej dla przetwarzania danych przez ubezpieczyciela. W celu przetwarzania danych będzie musiał legitymować się „własną" podstawą prawną. Najczęściej w grę będzie wchodziła jedynie podstawa określona w art. 23 ust. 1 pkt 1) ustawy o ochronie danych osobowych, czyli zgoda osoby, której dane dotyczą.
W niektórych przypadkach, gdy agent prowadzi także inną działalność, podstawą tą mogą być także umowy zawarte z klientami agenta, o ile dane te są przetwarzane w celu zawarcia lub wykonania tych umów. Jednak w większości przypadków, jeżeli brak będzie zgody klienta na przetwarzanie jego danych przez agenta, agent może mieć trudność z powołaniem się na inną podstawę prawną, na przykład określoną w art. 23 ust. 1 pkt 5) w związku z art. 23 ust. 4 pkt 1) ustawy o ochronie danych osobowych, dotyczącą przetwarzania danych w celu marketingu własnych produktów lub usług administratora danych.
Ta podstawa w praktyce może okazać się niewystarczająca, gdyż agenci z racji charakteru wykonywanych czynności nie oferują zwykle własnych produktów i usług, lecz produkty i usługi ubezpieczycieli.
Własna baza
W przypadku, gdy agent zamierza stworzyć „własną" bazę danych marketingowych, musi więc zwracać szczególną uwagę na kwestie odpowiedniej podstawy prawnej dla przetwarzania danych osobowych potencjalnych klientów.
Nie wystarczy zatem, aby współpracujący z agentem podmiot przekazał mu bazę danych potencjalnych klientów. Warunkiem zgodnego z prawem przetwarzania takich danych jest, aby podmiot przekazujący uzyskał od odpowiednich osób zgody na przekazywanie ich danych innym podmiotom i przetwarzanie danych przez takie podmioty dla celów marketingowych.
Agent powinien to sprawdzić jeszcze przed zawarciem umowy o przekazanie bazy danych, dla własnego bezpieczeństwa. Może bowiem okazać się, że mimo dobrych chęci, nie będzie mógł zgodnie z prawem korzystać z nabytej przez siebie bazy danych.
Co z danymi „na przyszłość"
Na koniec warto także zwrócić uwagę na problematyczną kwestię przechowywania przez agentów danych osób, w stosunku do których agenci w przeszłości pośredniczyli w zawarciu umowy ubezpieczenia, bez wyraźnej zgody tych osób (przy braku spełniania innej przesłanki dla przetwarzania danych). Chodzi tutaj o przetwarzanie danych „na przyszłość".
Z zastrzeżeniem uwarunkowań wynikających z umów zawartych z ubezpieczycielami, w których kwestia ta może być szczegółowo uregulowana i pomijając dyskusję na temat potencjalnej możliwości naruszenia zasady lojalności wobec ubezpieczyciela – teoretycznie agent mógłby uzyskiwać odrębną zgodę na przetwarzanie danych danego klienta także przez agenta – jako administratora danych w celu zaoferowania im w przyszłości innych usług świadczonych za pośrednictwem agenta.
Podobny problem może zaistnieć w przypadku, gdy agent przetwarzający dane klienta w związku z działaniem na rzecz danego zakładu ubezpieczeń chciałby wykorzystać te dane w celu zaoferowania klientowi innych usług (np. usług innego ubezpieczyciela). Co do zasady, należałoby uznać, że każdy taki zabieg będzie wymagał uprzedniej zgody klienta na przetwarzanie jego danych osobowych we właściwym zakresie.
Anna Tarasiuk-Flodrowska radca prawny, kancelaria Hogan Lovell
Komentuje Anna Tarasiuk-Flodrowska radca prawny, kancelaria Hogan Lovells
Dostęp do potencjalnych klientów może być kluczowy dla osiągnięcia przez agenta zakładanych celów. Zrozumiałe jest więc, że agent (nie tylko ubezpieczeniowy) dąży do uzyskania jak największej liczby kontaktów do osób, którym będzie mógł teraz lub w przyszłości zaoferować określone produkty.
Należy jednak pamiętać, że w każdym przypadku, gromadzenie i przetwarzanie danych osobowych będzie się wiązać z koniecznością dostosowania działalności do odpowiednich przepisów dotyczących przetwarzania tych danych.
Warto pamiętać, że nie zawsze upoważnienie do działania w imieniu lub na rzecz ubezpieczyciela zwolni agenta od wypełnienia obowiązków nałożonych na administratorów danych przez przepisy ustawy o ochronie danych osobowych. Dzieje się tak, ponieważ agent może jednocześnie występować w podwójnej roli – podmiotu, któremu zakład ubezpieczeń powierzył przetwarzanie danych osobowych klientów tego zakładu oraz samodzielnego administratora danych, przetwarzającego dane dla własnych potrzeb.
W niektórych przypadkach wyznaczenie wyraźnej granicy w zakresie roli pełnionej przez agenta i zaliczenie określonych czynności wykonywanych przez niego do jednej lub drugiej kategorii może okazać się trudne.
Jednak dołożenie starań w celu wyodrębnienia „własnych" danych osobowych agenta od danych przetwarzanych w imieniu zakładów ubezpieczeń może nie tylko ograniczyć ryzyko naruszenia przepisów o przetwarzaniu danych osobowych, lecz także zaprocentować w przyszłości lepszą organizacją działalności i, co za tym idzie, nowymi możliwościami biznesowymi.
