Wniosek Zespołu Roboczego przy Podkomisji Ochrony Danych Podstawa wydania:

Transkrypt

1 Kodeks Dobrych Praktyk w zakresie ochrony danych osobowych w ubezpieczeniach Projekt w fazie koocowej opiniowania przez GIODO DANE DOKUMENTU Tytuł: danych osobowych w ubezpieczeniach Wniosek Zespołu Roboczego przy Podkomisji Ochrony Danych Podstawa wydania: i Standaryzacji Informacji PIU dot. wypracowania Kodeksu Dobrych Praktyk w zakresie ochrony Data wydania: Wersja: 1.04 Stan prawny na Dokument przeznaczony do wykorzystania w celach wewnętrznych, pod warunkiem wskazania źródła pochodzenia materiału. Wykorzystanie do celów komercyjnych przez inne podmioty niż Zakłady Ubezpieczeo/członków Polskiej Izby Ubezpieczeo wyłącznie za zgodą Polskiej Izby Ubezpieczeo. Rozpowszechnianie i publikowanie w całości lub we fragmentach wyłącznie za zgodą Polskiej Izby Ubezpieczeo. Dokument uzyskał pozytywną opinię Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy sp.j. Strona 1 z 83

2 Kodeks Dobrych Praktyk w zakresie ochrony danych osobowych w ubezpieczeniach Projekt w fazie koocowej opiniowania przez GIODO Zawartośd Wprowadzenie... 6 Cel kodeksu... 7 Zbiory danych osobowych w ZU... 8 Zbiór danych osobowych przetwarzanych przez zakład ubezpieczeo na życie w związku z zawieraniem umów ubezpieczenia na życie... 9 Zbiór danych osobowych przetwarzanych przez zakład ubezpieczeo na życie w związku z roszczeniami dotyczącymi wykonywania umów ubezpieczenia na życie Zbiór danych osobowych przetwarzanych w celach marketingowych przez zakład ubezpieczeo na życie Zbiór danych osobowych pośredników ubezpieczeniowych Pośrednicy ubezpieczeniowi i sprzedaż ubezpieczeo (ubezpieczenia działu I-II) Agent ubezpieczeniowy Multiagent Broker Elementy powierzenia danych osobowych w umowie agencyjnej Przykładowy model wymiany danych osobowych w procesie sprzedażowym Zakres danych osobowych przetwarzanych przez agentów Odbieranie oświadczeo dotyczących wyrażenia zgody na przetwarzanie danych osobowych Obowiązki informacyjne Zabezpieczanie danych Retencja i nieodwracalne usuwanie danych z nośników danych Obowiązki agentów i ZU w przypadku wystąpienia nieprawidłowości w przetwarzaniu danych po stronie agenta Strona 2 z 83

3 Kodeks Dobrych Praktyk w zakresie ochrony danych osobowych w ubezpieczeniach Projekt w fazie koocowej opiniowania przez GIODO Zasady wykonywania przez ZU kontroli przetwarzania danych osobowych przez agentów Tajemnica ubezpieczeniowa Sprzedaż ubezpieczeo w kanale direct Cross-selling Up-selling Wznowienia Ocena ryzyka ubezpieczeniowego Przetwarzanie danych osobowych wrażliwych w procesie oceny ryzyka ubezpieczeniowego Zagadnienia związane z wybranymi produktami ubezpieczeniowymi i procesami Ubezpieczenia zdrowotne Ubezpieczenia grupowe Reasekuracja Obsługa Klienta Identyfikacja Klienta Obsługa Klientów w placówce ZU Obsługa Klientów w terenie przez agentów Zdalne kanały dostępu Kanał telefoniczny Kontakt telefoniczny IVR Identyfikacja przez albo serwis internetowy Poprawnośd danych Obsługa skarg w zakresie dotyczącym ochrony danych osobowych Strona 3 z 83

4 Kodeks Dobrych Praktyk w zakresie ochrony danych osobowych w ubezpieczeniach Projekt w fazie koocowej opiniowania przez GIODO Rejestr Skarg Obowiązek informacyjny Prawo do informacji Zdalne kanały dostępu Przetwarzanie danych osobowych w procesie rozpatrywania roszczeo i wypłaty świadczeo/odszkodowao Pozyskiwanie danych o zdarzeniach od Policji i innych organów Wypełnienie obowiązków informacyjnych wobec osób objętych procesem rozpatrywania roszczenia Dodatkowe obowiązki informacyjne Udostępnianie danych innym zakładom ubezpieczeo Udostępnianie informacji zawartych w dokumentacji medycznej służącej weryfikacji zgłoszonych roszczeo brokerowi Współpraca z podmiotami zewnętrznymi Zabezpieczanie danych o roszczeniach i wypłacie świadczeo/odszkodowao Retencja danych osobowych Jak długo można przetwarzad dane? Dopuszczalne okresy przetwarzania dla ZU świadczących usługi w ramach ubezpieczeo osobowych Dopuszczalne okresy dla ZU świadczących usługi w ramach ubezpieczeo majątkowych Dopuszczalne okresy dla sprzedaży w kanale direct Dopuszczalne okresy przetwarzania danych na podstawie wyrażonej zgody odwołanie zgody Zasady usuwania danych Usuwanie danych Anonimizacja Strona 4 z 83

5 Kodeks Dobrych Praktyk w zakresie ochrony danych osobowych w ubezpieczeniach Projekt w fazie koocowej opiniowania przez GIODO Retencja danych w umowie powierzenia przetwarzania danych Administratorzy Bezpieczeostwa Informacji zakres działao i odpowiedzialności Strona 5 z 83

6 WPROWADZENIE Niniejsza pierwsza wersja Kodeksu Dobrych Praktyk w zakresie ochrony danych osobowych w ubezpieczeniach (Kodeks) jest efektem prac zespołu ekspertów przy Podkomisji Ochrony Danych i Standaryzacji Informacji PIU. W powstanie pierwszej części Kodeksu wkład wnieśli następujący członkowie Zespołu: Lp. Imię i nazwisko Rola ZU / PIU 1 Ambroży Wójcik Przewodniczący Grupa AVIVA 2 Tomasz Chełmicki Członek Grupa HDI 3 Marcin Czachowski Członek Grupa PZU 4 Sebastian Dobrzyoski Członek Grupa Allianz 5 Ewa Góralska-Kelly Członek Grupa WARTA 6 Hanna Grobelna Członek Grupa PZU 7 Wojciech Gruszecki Członek Grupa PZU 8 Rafał Jeż Członek Grupa PZU 9 Leszek Kępa Członek Grupa Allianz 10 Anna Kokoczka Członek Grupa VIG 11 Piotr Malczewski Członek Grupa WARTA Strona 6 z 83

7 Lp. Imię i nazwisko Rola ZU / PIU 12 Stefan Szyszko Sekretarz i moderator PIU 13 Mariusz Kuna Wsparcie organizacyjne PIU Zaplanowano wypracowanie drugiej części Kodeksu, poszerzonego o kolejne moduły tematyczne oraz cykliczną aktualizację obu części. CEL KODEKSU Niniejszy Kodeks ma na celu wsparcie zakładów ubezpieczeo (ZU) w praktycznej interpretacji przepisów z zakresu ochrony danych osobowych w działalności ubezpieczeniowej. Jest on formą rekomendacji do wykorzystania w bieżącej działalności ZU. Składa się z serii zaleceo, które koncentrują się na problemach powszechnie uznawanych w środowisku ubezpieczeniowym jako szczególnie istotne z biznesowego punktu widzenia, ponieważ wdrażanie mechanizmów ochrony danych zawsze skutkuje dodatkowymi ograniczeniami w swobodzie realizacji procesów ubezpieczeniowych (nakładając na nie dodatkowe ograniczenia) oraz dodatkowymi kosztami. Kodeks służy zgodnemu z prawem i racjonalnemu ekonomicznie wdrożeniu tych mechanizmów ochrony. Główne cele Kodeksu to zapewnienie wsparcia w ZU: - skutecznej i zgodnej z prawem ochrony danych osobowych, - optymalizacji przetwarzania danych osobowych w procesach dystrybucji i sprzedaży produktów ubezpieczeniowych, Strona 7 z 83

8 - zagwarantowaniu Klientom ZU przyjaznej obsługi i poszanowania ich praw w trakcie przebiegu ubezpieczenia. Pierwsza częśd Kodeksu koncentruje się na zagadnieniach dotyczących jak najszerszej liczby ZU. Ponadto w Kodeksie położono nacisk na kwestie specyficzne przetwarzania danych osobowych w sektorze ubezpieczeo, wskutek czego szereg zagadnieo ogólnych zostało w Kodeksie pominiętych lub jedynie zasygnalizowanych. Także w obszarze bezpieczeostwa informatycznego, Kodeks ogranicza się do kwestii specyficznych dla sektora ubezpieczeniowego. Do zarządzania bezpieczeostwem systemów IT w zakładach ubezpieczeo proponujemy wykorzystanie wytycznych i zaleceo umieszczanych na stronach internetowych Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Oddając w Paostwa ręce danych osobowych w ubezpieczeniach wierzymy, że będzie on stanowid dodatkową wartośd dla zakładów ubezpieczeo. ZBIORY DANYCH OSOBOWYCH W ZU W celu usystematyzowania zagadnienia przetwarzania danych osobowych konieczne jest ustalenie, jakie zbiory danych są przetwarzane w ZU i które powinny zostad zarejestrowane. Poniżej wskazane zestawienia zbiorów danych osobowych są jedynie przykładowe, a rzeczywiste zbiory przetwarzane w ZU mogą byd inaczej zorganizowane ze względu na specyfikę danego ZU oraz obowiązujące stosunki prawne z osobami, których dane dotyczą. W poniższych zestawieniach nie uwzględniono również zbiorów przetwarzanych z innych względów niż ubezpieczeniowe, np. zbiorów kadrowo-płacowych. Zwracamy uwagę, aby w każdym przypadku zakres przetwarzanych danych był zgodny ze zgłoszonym w rejestracji zbioru w GIODO. Strona 8 z 83

9 ZBIÓR DANYCH OSOBOWYCH PRZETWARZANYCH PRZEZ ZAKŁAD UBEZPIECZEO NA ŻYCIE W ZWIĄZKU Z ZAWIERANIEM UMÓW UBEZPIECZENIA NA ŻYCIE Podstawa prawna przetwarzania danych w zbiorze: - art. 27 ust. 2 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej uodo) w zakresie danych osobowych dalej zwanymi danymi wrażliwymi, - art. 27 ust. 2 pkt 2 uodo w związku z art. 21 i 22 ustawy z dnia 23 maja 2003 r. o działalności ubezpieczeniowej (dalej udu) w zakresie danych o stanie zdrowia pozyskiwanych od podmiotów wykonujących działalnośd leczniczą, - art. 23 ust. 1 pkt 2 uodo m.in. w związku z art. 24 udu, - art. 23 ust. 1 pkt 3 uodo, - art. 23 ust. 1 pkt 5 uodo. Cele przetwarzania danych w zbiorze: Ocena ryzyka ubezpieczeniowego, zawarcie umowy ubezpieczenia na życie oraz wykonywanie zobowiązao wynikających z zawarcia umów ubezpieczenia, w tym realizacja obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, cele archiwalne. Strona 9 z 83

10 Opis kategorii osób, których dane dotyczą: Ubezpieczeni, ubezpieczający, osoby uprawnione do otrzymania odszkodowao lub świadczeo, reprezentanci (tj. osoby uprawnione do działania w imieniu osób prawnych lub jednostek organizacyjnych nieposiadających osobowości prawnej), przedstawiciele (tj. przedstawiciele ustawowi osób nieposiadających pełnej zdolności do czynności prawnych, pełnomocnicy), rzeczywiści beneficjenci w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, a także dane ww. osób pochodzące z umów archiwalnych. Zakres przetwarzanych danych w zbiorze danych o osobach: Nazwiska i imiona, NIP, imiona rodziców, miejsce pracy, data urodzenia, zawód, miejsce urodzenia, wykształcenie, adres zamieszkania lub pobytu, adres korespondencyjny, dokument tożsamości (seria i numer) np. dowód osobisty, nr paszportu lub inny dowód tożsamości, numer ewidencyjny PESEL, płed, numer telefonu domowego (komórkowego / służbowego), adres , stan cywilny, dane dotyczące zawartej umowy ubezpieczenia, w tym informacje o nałogach i dokumentacja medyczna, numer rachunku bankowego. Zbiór ten należy zgłosid do rejestracji w GIODO. ZBIÓR DANYCH OSOBOWYCH PRZETWARZANYCH PRZEZ ZAKŁAD UBEZPIECZEO NA ŻYCIE W ZWIĄZKU Z ROSZCZENIAMI DOTYCZĄCYMI WYKONYWANIA UMÓW UBEZPIECZENIA NA ŻYCIE Podstawa prawna przetwarzania danych w zbiorze: Strona 10 z 83

11 - art. 27 ust. 2 pkt 1 uodo w zakresie danych osobowych wrażliwych, - art. 27 ust. 2 pkt 2 uodo w związku z art. 21 i 22 udu w zakresie danych o stanie zdrowia pozyskiwanych od podmiotów wykonujących działalnośd leczniczą, - art. 23 ust. 1 pkt 2 uodo w związku z art. 24 udu, - art. 23 ust. 1 pkt 3 uodo, - art. 23 ust. 1 pkt 5 uodo w zw. z art. 23 ust. 4 pkt 2 uodo (np. do obsługi sytuacji nienależnie wypłaconych świadczeo). Cele przetwarzania danych w zbiorze: Wykonywanie zobowiązao wynikających z umów ubezpieczenia na życie, w tym wypłaty świadczeo, cele archiwalne. Opis kategorii osób, których dane dotyczą: Ubezpieczeni, ubezpieczający i osoby uprawnione do otrzymania odszkodowao lub świadczeo, w tym dane z umów archiwalnych. Zakres przetwarzanych w zbiorze danych o osobach: Nazwiska i imiona, NIP, imiona rodziców, miejsce pracy, data urodzenia, zawód, miejsce urodzenia, wykształcenie, adres zamieszkania lub pobytu, adres korespondencyjny, seria i numer dowodu osobistego, numer ewidencyjny PESEL, seria i numer paszportu lub innego dokumentu tożsamości, płed, numer telefonu domowego (komórkowego / służbowego), adres , stan cywilny, dane dotyczące zawartej umowy Strona 11 z 83

12 ubezpieczenia, data, miejsce i okoliczności zdarzenia, które jest podstawą roszczenia o wypłatę świadczenia z tytułu zawartej umowy ubezpieczenia na życie, rodzaj roszczenia, kwota roszczenia, dokumentacja medyczna, numer rachunku bankowego, informacje dot. orzeczeo wydanych w postępowaniu sądowym lub administracyjnym. Zbiór należy zgłosid do rejestracji w GIODO o ile zakres przetwarzanych danych nie został włączony do wcześniej omawianego zbioru. ZBIÓR DANYCH OSOBOWYCH PRZETWARZANYCH W CELACH MARKETINGOWYCH PRZEZ ZAKŁAD UBEZPIECZEO NA ŻYCIE Podstawa prawna przetwarzania danych w zbiorze: - art. 23 ust 1 pkt 1 uodo, lubart. 23 ust 1 pkt 5 uodo. Cel przetwarzania danych w zbiorze: marketing i promocja produktów oferowanych przez ZU. Opis kategorii osób, których dane dotyczą: Potencjalni Klienci zarówno osoby, które samodzielnie zgłaszają się do ZU, jak i osoby którym ZU zamierza zaproponowad umowę ubezpieczenia, w tym obecni Klienci ZU. Zakres przetwarzanych w zbiorze danych o osobach: Strona 12 z 83

13 Nazwiska i imiona, miejsce pracy, data urodzenia, zawód, wykształcenie, adres zamieszkania lub pobytu, adres korespondencyjny, płed, numer telefonu domowego (komórkowego / służbowego), adres , liczba osób w gospodarstwie domowym (stopieo ich pokrewieostwa i wiek), szacunkowe dochody wszystkich członków gospodarstwa łącznie, informacja dotycząca posiadanych polis ubezpieczeniowych, hobby. Numer identyfikacyjny PESEL Klienta można przetwarzad jedynie w przypadku, gdy jest to niezbędne do osiągnięcia celu przetwarzania. Zbiór należy zgłosid do rejestracji w GIODO. ZBIÓR DANYCH OSOBOWYCH POŚREDNIKÓW UBEZPIECZENIOWYCH Podstawa prawna przetwarzania danych w zbiorze: - art. 27 ust. 2 pkt 2 uodo, w związku z art ustawy z dnia 22 maja 2003 o pośrednictwie ubezpieczeniowym, - art. 23 ust. 1 pkt 2 uodo w związku z art ustawy z dnia 22 maja 2003 o pośrednictwie ubezpieczeniowym, - art. 23 ust. 1 pkt 3 uodo, - art. 23 ust. 1 pkt 5 uodo. Strona 13 z 83

14 Cel przetwarzania danych w zbiorze: Dane będą przetwarzane w celu zapewnienia realizacji obowiązków ZU związanych z wpisem do rejestrów pośredników ubezpieczeniowych, w szczególności obowiązków, o których mowa w art ustawy z dnia 22 maja 2003 roku o pośrednictwie ubezpieczeniowym, a także w związku z wypełnieniem obowiązków wynikających z umów pośrednictwa ubezpieczeniowego. Opis kategorii osób, których dane dotyczą: Osoby fizyczne będące agentami ubezpieczeniowymi lub będące przedstawicielami agenta ubezpieczeniowego. Zakres przetwarzanych w zbiorze danych o osobach: Nazwiska i imiona, miejsce pracy, data urodzenia, zawód, wykształcenie, informacje o karalności, adres zamieszkania lub pobytu, adres korespondencyjny, numer ewidencyjny PESEL, NIP, płed, numer telefonu domowego (komórkowego / służbowego), adres . Zbiór ten należy zgłosid do rejestracji w GIODO, o ile dane nie są przetwarzane przez ZU w celu zawarcia umowy cywilnoprawnej bezpośrednio z tymi osobami. Jeśli takie umowy są zawarte, to zbiór jest zwolniony z rejestracji (art. 43 ust. 1. pkt 4). Inne zbiory W przypadku przetwarzania danych w związku z innymi ubezpieczeniami niż życiowe, należy pamiętad o dodaniu danych charakterystycznych dla tej grupy ubezpieczenia: np. w przypadku ubezpieczeo komunikacyjnych gromadzimy dane o dacie wydania i numerze prawa jazdy, dane o ubezpieczonym pojeździe, dotychczasowej szkodowości sprawcy itd. Strona 14 z 83

15 Podobnie pojawią się również dodatkowe kategorie osób np. w zbiorze związanym ze szkodami mogą występowad świadkowie zdarzeo, sprawcy szkód itd. W dalszej części Kodeksu, w rozdziale dotyczącym dystrybucji, będziemy się posługiwali następującymi uproszczonymi nazwami zbiorów: - Zbiór danych Klientów ZU - Zbiór danych potencjalnych Klientów i zbiór marketingowy. POŚREDNICY UBEZPIECZENIOWI I SPRZEDAŻ UBEZPIECZEŃ (UBEZPIECZENIA DZIAŁU I-II) AGENT UBEZPIECZENIOWY Agent ubezpieczeniowy, współpracujący z jedną grupą ubezpieczeniową (agent wyłączny), powinien byd traktowany jako podmiot występujący w roli tzw. procesora, czyli podmiotu przetwarzającego dane osobowe na zlecenie ZU. Dotyczy to zarówno etapu pozyskiwania danych w celu przedstawienia oferty (tj. potencjalnych Klientów), jak również etapu zawierania i wykonywania umów ubezpieczeniowych, czyli danych Klientów. Podstawą przetwarzania przez agenta wyłącznego danych osobowych jest powierzenie mu przetwarzania danych na mocy art. 31 uodo w umowie agencyjnej. Agent w tej roli będzie pozyskiwał dane do zbioru, którego administratorem jest ZU. Jeśli agent zdecyduje się na samodzielne zorganizowanie zbioru swoich potencjalnych Klientów w zakresie przekraczającym zakres określony w umowie powierzenia, sam staje się administratorem tych danych. Oznacza to, że musi spełnid wszystkie wymogi uodo, a nie tylko te, które Strona 15 z 83

16 dotyczą procesora (art oraz art. 39a uodo), tym samym biorąc na siebie odpowiedzialnośd za przetwarzanie danych oraz za ewentualne naruszanie prawa o ochronie danych osobowych. ZU, zbierając dane osobowe agentów, zobowiązany jest spełnid obowiązek informacyjny wobec nich. MULTIAGENT W nieco odmienny sposób przedstawia się sytuacja tzw. multiagentów, tzn. agentów pracujących dla więcej niż jednej grupy ubezpieczeniowej. Mogą oni bowiem występowad w podwójnej roli: procesora i administratora danych. Co do zasady, w zakresie zbiorów danych Klientów ZU, a więc osób, które zawarły już umowę ubezpieczenia, multiagent powinien byd (podobnie jak agent wyłączny), traktowany jako procesor. Jednakże, w odniesieniu do danych osobowych potencjalnych Klientów, multiagent może tworzyd własne zbiory i działad jako administrator tych danych. Wynika to z charakteru działalności multiagenta, który oferuje produkty różnych ZU, nawet Klientom, którzy pozostają stroną zawartej już umowy ubezpieczenia są wówczas traktowani przez multiagenta jako jego potencjalni Klienci, którym może przedstawiad ofertę wielu ZU. W takiej sytuacji należy uznad, że multiagenci decydują o celach i środkach przetwarzania tych danych, niezależnie od ZU. W opisanym przypadku mamy zatem do czynienia z sytuacją, gdy multiagenci mogą przetwarzad te same dane, występując w różnych rolach. Warto jednak przypomnied, że przetwarzając samodzielnie dane osobowe, multiagent powinien legitymowad się stosowną przesłanką dopuszczalności przetwarzania tych danych (np. zgodą osób, których dane dotyczą), wypełnid obowiązki informacyjne przewidziane w uodo w stosunku do podmiotów danych oraz zarejestrowad swój zbiór danych osobowych w rejestrze GIODO. Strona 16 z 83

17 BROKER Broker ubezpieczeniowy występuje niezależnie od ZU w roli administratora danych zarówno Klientów, jak i potencjalnych Klientów, tworząc własne ich zbiory podlegające wszystkim wymogom uodo. Ponieważ w relacjach z ZU broker występuje jako przedstawiciel Klienta, a ZU nie ponosi odpowiedzialności za jego działania, specyfika przetwarzania danych przez brokerów nie będzie dokładniej rozważana w Kodeksie. Na potrzeby niniejszego opracowania zostanie przede wszystkim przeanalizowana współpraca i wzajemne prawa i obowiązki ZU i pośredników ubezpieczeniowych występujących w relacji administrator-procesor. W tych przypadkach mamy bowiem do czynienia z ponoszeniem odpowiedzialności przez ZU za działania pośredników, w tym za przetwarzanie przez nich danych osobowych. Pośrednicy ubezpieczeniowi, działający jako administratorzy danych, samodzielnie odpowiadają za ich zgodne z prawem przetwarzanie. ELEMENTY POWIERZENIA DANYCH OSOBOWYCH W UMOWIE AGENCYJNEJ Umowa agencyjna powinna zawierad zapisy dotyczące zasad przetwarzania przez agentów danych osobowych należących do ZU. Postanowienia odnoszące się do powierzenia przetwarzania danych mogą występowad w części głównej umowy bądź stanowid załącznik do umowy. W umowie należy zawrzed m.in.: - określenie celu powierzenia danych możliwośd odwołania się do przedmiotu umowy, Strona 17 z 83

18 - wskazanie na zakres powierzonych danych i czynności możliwośd odwołania się do zgłoszonych do GIODO przez ZU zbiorów i zakresów zgłoszonych danych, - zobowiązanie agenta do przetwarzania danych osobowych jedynie w celu i zakresie wskazanym w umowie, - wskazanie na obowiązek zabezpieczenia danych, zgodnie z wymaganiami art a uodo, w tym wymaganiami określonymi w Rozporządzeniu MSWiA 1, jak również doprecyzowanie konkretnych wymagao ZU dotyczących sposobów zabezpieczeo w zależności od tego, czy agent przetwarza dane za pomocą własnych systemów informatycznych, czy też systemów udostępnionych mu przez ZU, - zobowiązanie agenta i osób przez niego zatrudnionych do zachowania danych osobowych i informacji objętych tajemnicą ubezpieczeniową w poufności, także po rozwiązaniu umowy, - zobowiązanie agenta do niezwłocznego udzielania ZU wszelkich informacji dotyczących zaistniałych naruszeo ochrony danych osobowych, interwencji GIODO, skarg i wniosków Klientów, - zobowiązanie agenta (w sytuacji rozwiązania z nim współpracy) do zwrotu ZU i/bądź trwałego nieodwracalnego usunięcia wszystkich danych osobowych przetwarzanych metodą tradycyjną oraz w systemie informatycznym agenta, - ewentualne wprowadzenie kar umownych za niezgodne z umową przetwarzanie danych osobowych oraz uzupełnienie tej odpowiedzialności na zasadach ogólnych, wynikających z Kodeksu Cywilnego, 1 Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadad urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DZ. U. Nr 100, poz. 1024). Strona 18 z 83

19 - zobowiązanie do wypełniania przez pracowników agenta obowiązku informacyjnego w imieniu ZU wobec osób będących Klientami bądź potencjalnymi Klientami ZU, - uregulowanie możliwości przeprowadzenia przez ZU w siedzibie agenta audytu lub kontroli przestrzegania zasad przetwarzania danych, określonych w umowie i w przepisach prawa, oraz zasad współpracy niezbędnych dla ich realizacji. W umowie agencyjnej można również zobowiązad agentów do wypełniania w imieniu ZU obowiązku informacyjnego wobec osób fizycznych wykonujących czynności agencyjne (OWCA-e), których dane są udostępniane ZU przez agentów. Chodzi o przekazanie tym osobom informacji, że odbiorcą ich danych będzie ZU. Zbiór tego rodzaju danych powinien byd również zgłoszony do rejestracji przez ZU w GIODO. Agenci mogą też zostad upoważnieni przez ZU do uczestniczenia w procesie likwidacji szkód należy wówczas pamiętad o obowiązku zwiększenia w umowie agencyjnej zakresu powierzonych im danych i czynności, o ile podejmowane przez agentów działania będą wymagały dostępu do nowych kategorii danych. PRZYKŁADOWY MODEL WYMIANY DANYCH OSOBOWYCH W PROCESIE SPRZEDAŻOWYM Sprzedaż produktów ubezpieczeniowych realizowana jest poprzez pośrednika ubezpieczeniowego współpracującego z multiagencją. Multiagencja ma podpisane umowy agencyjne z zakładem ubezpieczeo na życie (ZUŻ) i zakładem ubezpieczeo ogólnych (ZUO). Klient, zgłaszając się do pośrednika ubezpieczeniowego, przekazuje mu swoje dane osobowe w celu przeprowadzenia analizy jego potrzeb i przedstawienia mu oferty ubezpieczenia. Podstawą do zbierania danych jest art. 23 ust 1 pkt. 1 albo 5 uodo. Multiagencja przetwarza Strona 19 z 83

20 dane Klienta jako administrator danych, by zrealizowad swój cel, którym jest poznanie potrzeb Klienta i dopasowanie do nich oferty produktowej, w swoim zbiorze potencjalnych Klientów dane przedsprzedażowe do przygotowania oferty. Pośrednik ubezpieczeniowy jednocześnie pozyskuje i przekazuje uzyskane dane na podstawie umowy powierzenia zawartej przez niego z multiagencją. Po przedstawieniu oferty produktowej potencjalnemu Klientowi i sporządzeniu wniosku ubezpieczeniowego dane trafiają do ZU, który jest stroną umów: agencyjnej i ubezpieczenia. Umowa między pośrednikiem ubezpieczeniowym i multiagencją powinna zawierad zapisy o powierzeniu przetwarzania danych Klientów oraz potencjalnych Klientów. Natomiast między multiagencją i ZU zawarta musi byd umowa powierzenia danych osobowych Klientów. Uwaga: 1) Bardzo istotne jest prawidłowe wypełnienie obowiązku informacyjnego w stosunku do Klientów, w tym precyzyjne wskazanie celu przetwarzania danych osobowych oraz administratora danych. 2) Rejestracja zbiorów danych osobowych w GIODO jest obowiązkiem zarówno multiagencji, jak i ZU. ZAKRES DANYCH OSOBOWYCH PRZETWARZANYCH PRZEZ AGENTÓW Zakres danych, które mogą byd zbierane przez agentów w celach zawierania umów na rzecz i w imieniu ZU, powinien zostad określony w umowie agencyjnej poprzez wskazanie katalogu danych osobowych bądź odwołanie się do zarejestrowanych w GIODO zbiorów lub procedur udostępnionych przez ZU. Dotyczy to w szczególności zbiorów danych potencjalnych Strona 20 z 83

21 Klientów oraz obecnych Klientów. Szczegółowy zakres danych może zostad doprecyzowany poprzez druki (formularze) ubezpieczeniowe, wykorzystywane przy oferowaniu konkretnego produktu, jak również poprzez stosowane przez ZU procedury zbierania i utrwalania danych. W przypadku potencjalnych Klientów agent powinien ograniczyd się do zebrania wyłącznie niezbędnych danych w celu przedstawienia oferty wybranego produktu. Przy wykonaniu prostej kalkulacji składki nie powinno się zbierad danych osobowych w rozumieniu uodo, a jedynie informacje, których pozyskania taka kalkulacja bezwzględnie wymaga. W sytuacji wystąpienia konieczności zbierania przez agentów danych sensytywnych w rozumieniu uodo, np. danych o stanie zdrowia czy nałogach co będzie odnosiło się w głównej mierze do ubezpieczeo na życie agent powinien zachowad wyjątkową ostrożnośd przy ich zbieraniu i przetwarzaniu. Dla agenta podstawą prawną przetwarzania danych wrażliwych jest umowa powierzenia przetwarzania danych zawarta z ZU, który jest ich administratorem na mocy przepisów przywołanych np. w rozdziale Zbiory danych osobowych w ZU. Gdy Klient dostarczy agentowi szerszy zakres danych niż dopuszczalny w przypadku konkretnego produktu, agent powinien dodatkowe dane nieodwracalnie usunąd bądź zwrócid osobie, której dane dotyczą. W przeciwnym razie może dojśd do naruszenia zasady adekwatności, o której mówi art. 26 ust. 1 pkt 3 uodo. Strona 21 z 83

22 ODBIERANIE OŚWIADCZEO DOTYCZĄCYCH WYRAŻENIA ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH Agent występujący jako procesor jest zobowiązany podczas zawierania i wykonywania umów ubezpieczenia do przestrzegania wymogów ZU w zakresie odbierania wszystkich wymaganych prawem zgód osób na przetwarzanie ich danych osobowych. Dotyczy to zarówno zgód odbieranych na drukach (formularzach) papierowych, jak również zgód Strona 22 z 83

23 występujących w formie elektronicznej. Agent w przypadku braku złożenia przez Klienta stosownego oświadczenia powinien zwrócid Klientowi na to uwagę pozostawiając mu jednak pełną swobodę w dokonaniu wyboru odpowiedniej opcji. Zgody mogą byd odbierane w różnych celach, np. w celach marketingowych, w celach udostępniania danych innym podmiotom, w celach związanych z przetwarzaniem danych wrażliwych. Dla agenta podstawą prawną przetwarzania danych wrażliwych jest umowa powierzenia przetwarzania danych zawarta z ZU, który jest ich administratorem na mocy przepisów przywołanych np. w rozdziale Zbiory danych osobowych w ZU. W przypadku otrzymania od Klienta sprzeciwu wobec przetwarzania jego danych osobowych, np. w celach marketingowych, agent powinien niezwłocznie zawiadomid ZU o wystąpieniu takiego żądania, jak również samemu je respektowad (koniecznośd zaprzestania kierowania do Klienta ofert ZU). Należy też pamiętad, że Klient może odwoład udzieloną wcześniej zgodę na przetwarzanie danych osobowych w celach innych niż wynikające z zawartej umowy ubezpieczenia, co ZU oraz agent powinni również niezwłocznie uwzględnid w swoich działaniach w stosunku do takiego Klienta. OBOWIĄZKI INFORMACYJNE Agenci w procesie zbierania danych osobowych są zobligowani do wypełniania w imieniu i na rzecz ZU obowiązków informacyjnych, określonych w art uodo. W praktyce, obowiązki informacyjne są realizowane najczęściej poprzez umieszczanie przez ZU odpowiednich klauzul na drukach (formularzach) ubezpieczeniowych czy innych nośnikach zawierających prawem wymagane informacje, czyli adres siedziby i pełną nazwę administratora danych, cel zbierania danych, informacje o odbiorcach bądź kategoriach odbiorców, informacje o prawie dostępu do treści danych oraz ich poprawiania, informacje o Strona 23 z 83

24 dobrowolności albo obowiązku podania danych. Rolą agenta jest w takiej sytuacji zapoznanie Klienta z taką klauzulą, jak również pomoc w jej właściwym zrozumieniu. Może jednak zaistnied sytuacja, gdy agent powinien samodzielnie wypełnid taki obowiązek, np. w przypadku zbierania danych na początkowym etapie procesu, gdzie brak jest dostępu do klauzul ZU. Obowiązek informacyjny z art. 25 uodo w przypadku ubezpieczonych czy uprawnionych z umowy ubezpieczenia nieuczestniczących w procesie zawierania umowy, został wyłączony przepisem art. 25 ust 2 pkt 1 uodo, w związku z art. 24 ust. 2 udu. W przypadku zbierania danych innych osób niebezpośrednio od tych osób taki obowiązek istnieje, przy czym należy również takie osoby poinformowad dodatkowo o ich uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 uodo, chyba że obowiązek ten został wyłączony przepisem prawa. Klient ma również prawo, zgodnie z art. 32 uodo, do uzyskania od ZU informacji o procesie przetwarzania jego danych osobowych. W przypadku, gdy Klient zwrócił się z takim wnioskiem bezpośrednio do agenta, jego zadaniem jest niezwłoczne przekazanie przedmiotowego żądania do ZU, który udziela odpowiedzi. Takie prawo przysługuje Klientowi nie częściej niż raz na 6 miesięcy. ZABEZPIECZANIE DANYCH Na agentach spoczywają obowiązki właściwego zabezpieczenia danych, określone w uodo i Rozporządzeniu MSWiA bez względu na to, czy występują w roli procesora czy administratora danych. W obydwu przypadkach mogą oni ponieśd odpowiedzialnośd (prawną i umowną) za niedopełnienie tych wymogów. Umowa agencyjna powinna Strona 24 z 83

25 szczegółowo regulowad kwestie z tym związane, wskazując na koniecznośd wypełnienia przez agentów ustawowych obowiązków, jak również wymagao własnych ZU co będzie miało szczególne znaczenie w przypadku wykorzystywania przez agentów systemów informatycznych należących do ZU. Zgodnie z uodo, na agentach w szczególności spoczywają obowiązki prowadzenia dokumentacji wynikającej z uodo i Rozporządzenia MSWiA. ZU mogą udzielad agentom wskazówek, w jaki sposób sporządzid taką dokumentację. Jednocześnie agenci, w przypadku zatrudniania osób wykonujących czynności agencyjne, powinni te osoby pisemnie upoważnid do przetwarzania danych osobowych, oraz zobowiązad je do zachowania danych w poufności, także po ustaniu zatrudnienia. Konieczne jest także prowadzenie ewidencji osób upoważnionych, zawierającej wymagane w art. 39 ust. 1 uodo informacje. Agenci są ponadto zobowiązani do nadzorowania przestrzegania zasad ochrony. ZU mogą również w umowie agencyjnej oraz w stosownych procedurach i instrukcjach zobowiązad agentów do zastosowania dodatkowych środków technicznych i organizacyjnych, dotyczących np. zabezpieczenia pomieszczeo i systemów informatycznych agenta, sposobu teletransmisji danych, sposobu zabezpieczenia danych do transportu na nośnikach fizycznych, czy sposobu nieodwracalnego usuwania danych z ich nośników, w tym ich fizycznego niszczenia. RETENCJA I NIEODWRACALNE USUWANIE DANYCH Z NOŚNIKÓW DANYCH Agent ma obowiązek przechowywania danych osobowych nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania. ZU jako administratorzy danych powinny udzielad agentom przetwarzającym dane na ich zlecenie wskazówek co do dopuszczalnych oraz wymaganych okresów ich przechowywania, w odniesieniu do elementów poszczególnych Strona 25 z 83

26 zbiorów (potencjalni Klienci/obecni Klienci), a także z wyszczególnieniem odrębności dotyczących ubezpieczeo życiowych i majątkowych. Brak jest w prawie ubezpieczeniowym zapisów wskazujących na okres przechowywania danych osobowych po zakooczeniu umowy ubezpieczenia. Dlatego przy przetwarzaniu danych Klientów archiwalnych należy odwoład się do obowiązków ich przechowywania, wynikających z odrębnych przepisów prawa, np. ustawy o rachunkowości czy ustawy Kodeks Cywilny (patrz rozdział o retencji). Po upływie najdłuższego z okresów pozwalających na przechowywanie danych ZU, jak i agenci, powinni dane Klientów nieodwracalnie usunąd ze wszystkich swoich nośników danych (co może byd realizowane przez fizyczne niszczenie nośników danych) lub zanonimizowad je w sposób, który nieodwracalnie uniemożliwi ustalenie tożsamości tych osób. Analogicznie, po zakooczeniu współpracy z ZU agent powinien zwrócid ZU posiadaną dokumentację ubezpieczeniową lub za zgodą ZU dokonad jej zniszczenia w sposób bezpieczny i niepozwalający na odtworzenie zawartości dokumentacji oraz zwrócid bądź nieodwracalnie usunąd dane przetwarzane we własnych systemach informatycznych, z wyłączeniem danych, które agent powinien posiadad z uwagi na inne przepisy prawa (np. ustawa o rachunkowości). OBOWIĄZKI AGENTÓW I ZU W PRZYPADKU WYSTĄPIENIA NIEPRAWIDŁOWOŚCI W PRZETWARZANIU DANYCH PO STRONIE AGENTA W przypadku naruszenia ochrony danych osobowych przez agentów działających na zlecenie ZU, są oni zobowiązani do niezwłocznego poinformowania o powyższym ZU, jak również do podjęcia kroków zmierzających do przeciwdziałania dalszemu naruszaniu ochrony tych danych. Zgodnie z art. 31 ust. 3 uodo podmiot, któremu powierzono przetwarzanie danych, Strona 26 z 83

27 ponosi w zakresie przestrzegania przepisów o zabezpieczaniu danych odpowiedzialnośd, jak administrator danych. Jednocześnie agent może również ponieśd odpowiedzialnośd karną określoną w szczególności w art uodo m.in. za udostępnienie bądź umożliwienie dostępu do danych osobom nieupoważnionym, oraz za naruszenie chodby nieumyślne obowiązku zabezpieczenia danych. Ponadto podstawę odpowiedzialności agenta może stanowid przetwarzanie danych niezgodnie z umową agencyjną. Z kolei naruszenie tajemnicy ubezpieczeniowej może skutkowad poniesieniem sankcji karnych określonych w art. 232 udu. ZASADY WYKONYWANIA PRZEZ ZU KONTROLI PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ AGENTÓW ZU powinien mied w każdym czasie prawo do przeprowadzenia w siedzibie agenta, działającego na zlecenie ZU, kontroli zgodności przetwarzania danych osobowych z umową agencyjną oraz z uodo. W szczególności, podjęcie czynności kontrolnych ze strony ZU jest niezbędne w przypadku podejrzenia naruszenia przez agenta ochrony powierzonych mu danych osobowych. ZU może również wszcząd działania kontrolne w celu weryfikacji, czy agent wypełnił w sposób właściwy obowiązki dotyczące zabezpieczenia danych osobowych. Taką kontrolę może przeprowadzid zarówno Administrator Bezpieczeostwa Informacji ZU, jak i inne jednostki upoważnione w ZU do prowadzenia inspekcji czy audytów. Możliwośd przeprowadzenia audytu lub kontroli przez ZU lub wynajęty przez ZU podmiot oraz zasady współpracy niezbędne dla ich realizacji powinny byd uregulowane w umowie agencyjnej. Strona 27 z 83

28 TAJEMNICA UBEZPIECZENIOWA Agenci, podobnie jak ZU, zgodnie z art. 19 ust. 1 udu są zobowiązani do zachowania tajemnicy ubezpieczeniowej. W przypadku otrzymania wniosku o udostępnienie danych objętych tą tajemnicą i wątpliwości co do istnienia podstawy prawnej udzielenia takich informacji, agent powinien uprzednio potwierdzid w ZU legalnośd ich udostępnienia. SPRZEDAŻ UBEZPIECZEO W KANALE DIRECT Sprzedaż ubezpieczeo w kanale sprzedaży direct, rozumiana jako pośredniczenie przy zawieraniu umowy ubezpieczenia poprzez wykorzystanie telefonu lub internetu, niesie ze sobą specyficzne uwarunkowania i dodatkowe ryzyka w zakresie ochrony danych osobowych. W trakcie samego procesu możemy wyróżnid dwa etapy: przygotowanie i przedstawienie oferty ubezpieczenia oraz złożenie wniosku lub zawarcie umowy ubezpieczenia. Pierwszy etap (często nazywany kwotacją) w wielu przypadkach może byd przeprowadzony bez pozyskiwania danych osobowych (w szczególności danych identyfikujących osobę fizyczną) i dobrą praktyką jest umożliwienie przeprowadzenia takiego procesu anonimowo. Jeśli Klient w trakcie wykonywania kwotacji udostępni jednak swoje dane osobowe (np. aby tak przygotowaną ofertę przyjąd nieco później), wtedy ZU może je przetwarzad albo zbierając zgodę Klienta, albo wykorzystując przesłankę wskazaną w art. 23 ust. 1 pkt 5 uodo. W obu przypadkach powinniśmy przekazad Klientowi informacje, o których Strona 28 z 83

29 mowa w art. 24 uodo, przy czym przetwarzanie danych może trwad do momentu odwołania zgody wobec przetwarzania danych w celach marketingowych lub zgłoszenia sprzeciwu (marketing własnych towarów i usług). Mając jednak na względzie art. 26 uodo, należy określid czas, po którym dane zostaną nieodwracalnie usunięte lub zanonimizowane, o ile nie dojdzie do zawarcia umowy ubezpieczenia lub nie zostanie odnotowana żadna kolejna akcja sprzedażowa (np. nowa kwotacja). Rozmowa z Klientem powinna byd nagrywana do celów dowodowych, jednakże należy go o tym fakcie uprzedzid. System wykorzystywany do rejestracji rozmów telefonicznych należy traktowad jako system służący do przetwarzania danych osobowych i musi on spełniad wymogi Rozporządzenia MSWiA, w tym powinien byd opisany w dokumentacji przetwarzania danych osobowych, o której mowa w w/w Rozporządzeniu. Podobne wymagania pojawią się w przypadku wykorzystania internetu do kanału sprzedaży direct. Dodatkowo, usługi internetowe muszą spełniad wymogi określone w ustawie z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. CROSS-SELLING Przez cross-selling rozumiemy działania sprzedażowe mające na celu albo pozyskanie danych Klienta na rzecz innej spółki w trakcie zawierania umowy ubezpieczenia, albo późniejsze przekazanie danych o Klientach innym spółkom w ramach grupy ubezpieczeniowej. Jednym z podstawowych narzędzi, służących do identyfikacji Klienta w ramach spółek grupy, jest jego numer PESEL, który do tego celu może byd niezbędny. W pierwszym przypadku np. pośrednik ubezpieczeniowy przygotowując wniosek ubezpieczeniowy, może pozyskad zgodę Klienta na przetwarzanie jego danych osobowych Strona 29 z 83

30 przez podmioty z grupy ubezpieczeniowej w celach marketingowych. Dane Klienta trafią do zbioru danych osobowych Klientów spółki, dla której jest wystawiany wniosek ubezpieczeniowy i jednocześnie do zbioru marketingowego. Ponadto w zależności od treści zgody, dane mogą trafid do zbioru marketingowego innego ZU, wielu ZU lub spółki dystrybucyjnej. W tym przypadku zalecane jest wyraźne wskazanie celu przetwarzania danych oraz podanie nazw administratorów danych - w treści zgody. W drugim przypadku, ZU zbierając dane własnych Klientów może odbierad również ich zgody na udostępnienie danych osobowych innym podmiotom z grupy ubezpieczeniowej. W przypadku udostępnienia danych innemu administratorowi danych, należy w systemie informatycznym odnotowad ten fakt zgodnie z 7 ust. 1 pkt 4 Rozporządzenia MSWiA. Podmiot, któremu udostępniono dane, powinien przekazad osobie, której dane dotyczą informacje, o których mowa w art. 25 uodo, o ile informacja taka nie była umieszczona w treści zgody na przekazanie danych (np. wskazano jedynie kategorie odbiorców danych). Przekazanie danych między spółkami powinno byd potwierdzone odpowiednim protokołem, natomiast sam sposób przekazania danych powinien byd uregulowany w zawartym porozumieniu między spółkami. UP-SELLING Przez up-selling rozumie się działania ZU mające na celu oferowanie Klientom ZU rozszerzenia zakupionych produktów ubezpieczeniowych. W praktyce najczęściej będzie to zaoferowanie dodatkowego ubezpieczenia. Podstawą tego typu działao jest art. 23 ust. 1 pkt Strona 30 z 83

31 5 uodo, należy jednak pamiętad, iż nie można oferowad produktów Klientom, którzy zgłosili sprzeciw, o którym mowa w art. 32 ust. 1 pkt 8 uodo. WZNOWIENIA Przed rozwiązaniem umowy ubezpieczenia, w szczególności umów terminowych, ZU może kontaktowad się z Klientem, oferując mu przedłużenie ubezpieczenia lub odnowienie, powołując się na identyczne przesłanki, jak w punkcie poprzednim. OCENA RYZYKA UBEZPIECZENIOWEGO Udu w art. 24 ust. 1 przyznaje ZU prawo zbierania danych ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawartych w umowach ubezpieczenia lub oświadczeniach ubezpieczających, składanych przed zawarciem umowy ubezpieczenia, w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia. Zatem przetwarzanie danych osobowych ubezpieczonych lub uprawnionych z umowy ubezpieczenia przez ZU odbywa się na podstawie przesłanki określonej w art. 23 ust. 1 pkt 2 uodo (tj. gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa). Zgodnie z zasadą adekwatności wyrażoną w art. 26 ust. 1 pkt 3 uodo, zakres danych przetwarzanych przez ZU powinien byd adekwatny (proporcjonalny) do celu przetwarzania. Przetwarzanie danych w zakresie szerszym niż adekwatny do zawarcia, a następnie realizacji zawartej umowy, może odbywad się wyłącznie za zgodą osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 uodo). Oznacza to, iż dopóki zbierane dane wykorzystywane są do oceny ryzyka Strona 31 z 83

32 ubezpieczeniowego, ZU ma pełne prawo do ich gromadzenia, przy czym musi wykazad, iż dane te są odpowiednie, adekwatne do wyliczenia sumy ubezpieczenia lub składki, oraz do ustalenia klauzul wyłączających odpowiedzialnośd ZU. PRZETWARZANIE DANYCH OSOBOWYCH WRAŻLIWYCH W PROCESIE OCENY RYZYKA UBEZPIECZENIOWEGO Kwestia przetwarzania przez ZU informacji o stanie zdrowia jest uregulowana w ustawie o działalności ubezpieczeniowej. Zgodnie z art. 22 ust. 1 przywołanej ustawy zakład ubezpieczeo może uzyskad odpłatnie od podmiotów wykonujących działalnośd leczniczą w rozumieniu przepisów o działalności leczniczej, które udzielały świadczeo zdrowotnych ubezpieczonemu lub osobie, na rachunek której ma zostad zawarta umowa ubezpieczenia, informacje o okolicznościach związanych z oceną ryzyka ubezpieczeniowego i weryfikacją podanych przez tę osobę danych o jej stanie zdrowia, ustaleniem prawa tej osoby do świadczenia z zawartej umowy ubezpieczenia i wysokością tego świadczenia, a także informacje o przyczynie śmierci ubezpieczonego, z wyłączeniem wyników badao genetycznych. W myśl ust. 3 tegoż artykułu, wystąpienie ZU z wnioskiem o udzielenie informacji, o których mowa w ust. 1, wymaga pisemnej zgody ubezpieczonego lub osoby, na rzecz której ma zostad zawarta umowa ubezpieczenia albo jej przedstawiciela ustawowego. Na mocy art. 26 ust. 3 pkt 7 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 ze zm.) podmiot udzielający świadczeo zdrowotnych udostępnia dokumentację medyczną ZU za zgodą pacjenta. Dodatkowo, zakres informacji, jakie ZU mogą uzyskad od podmiotów wykonujących działalnośd leczniczą, został doprecyzowany w Rozporządzeniu Ministra Zdrowia z 17 maja 2012 r. w sprawie szczegółowego zakresu i trybu udzielania zakładom ubezpieczeo informacji o stanie zdrowia Strona 32 z 83

33 ubezpieczonych lub osób, na rzecz których ma zostad zawarta umowa ubezpieczenia, oraz sposobu ustalania wysokości opłat za udzielenie tych informacji (Dz. U. z 2012 r., poz. 605). Powyższe regulacje pozwalają ZU pozyskiwad informacje o stanie zdrowia ubezpieczonego lub osoby, na rzecz której miała byd zawarta umowa ubezpieczenia po uzyskaniu pisemnej zgody tej osoby, jednakże należy zauważyd, iż ZU pozyskują dane o stanie zdrowia i o nałogach również bezpośrednio od osoby, której dane dotyczą np. poprzez przeprowadzenie ankiety medycznej we wniosku ubezpieczeniowym, lub od lekarza przeprowadzającego badania na zlecenia ZU, wskazaną podstawą prawną przetwarzania danych w tych przypadkach jest art. 27 ust. 2 pkt 1 uodo. Wykorzystanie przepisu z art. 24 udu w odniesieniu do przetwarzania danych wrażliwych (o stanie zdrowia) nie jest w pełni uzasadnione, ponieważ artykuł ten nie wskazuje bezpośrednio na możliwośd przetwarzania danych szczególnie chronionych, których katalog określony został w ust. 1 art. 27 uodo. ZAGADNIENIA ZWIĄZANE Z WYBRANYMI PRODUKTAMI UBEZPIECZENIOWYMI I PROCESAMI UBEZPIECZENIA ZDROWOTNE Współpraca ZU z dostawcami usług medycznych może wymagad przekazania informacji o osobach objętych ubezpieczeniem i zakresem ochrony. Podobnie, proces weryfikacji wykonania umowy ubezpieczenia wymaga możliwości dostępu ubezpieczyciela do danych Strona 33 z 83

34 zakładu opieki zdrowotnej. Kwestie te powinny byd uregulowane w umowie, przy czym należy zauważyd, iż samo powierzenie danych przez ubezpieczyciela nie powoduje, iż dostawca usług medycznych nie prowadzi swojego własnego, znacznie bardziej rozbudowanego, zbioru danych osobowych. Odrębnym zagadnieniem jest zabezpieczenie wymiany informacji między podmiotami, w tym ochrona kryptograficzna (np. szyfrowanie) korespondencji elektronicznej. UBEZPIECZENIA GRUPOWE Specyficzny problem występujący w przypadku ubezpieczeo grupowych dotyczy podstawy prawnej przetwarzania danych osobowych przez podmiot ubezpieczający. Najczęściej osoby ubezpieczane są jednocześnie pracownikami bądź Klientami podmiotu ubezpieczającego. Zatem podmiot ten posiada inną, niezależną od faktu zawarcia umowy ubezpieczenia, podstawę prawną do przetwarzania danych. Przekazanie danych osobowych między ubezpieczającym i ZU odbywa się na zasadzie udostępnienia danych między administratorami danych. Czasami jednak, szczególnie w przypadku przygotowywania kwotacji (symulacji kosztów ubezpieczenia) i użycia do tego celu rzeczywistych danych przyszłych ubezpieczonych, sporządzane są umowy powierzenia przetwarzania danych między ubezpieczającym i potencjalnym ubezpieczycielem. Ważne jest również zauważenie i uwzględnienie tego, iż podmiot będący ubezpieczającym nie ma upoważnienia do dostępu do wszystkich danych ubezpieczonych, np. informacje pochodzące z badao medycznych przeprowadzonych na zlecenie ubezpieczyciela, które to można udostępniad osobie, której dane dotyczą, lub po jej śmierci uposażonemu lub uprawnionemu do otrzymania świadczenia. Strona 34 z 83

35 Administratorzy polis Obsługa umowy ubezpieczenia grupowego po stronie podmiotu ubezpieczającego jest realizowana przez dedykowane osoby często wykonujące swoje zadania również na zlecenie ZU na podstawie umowy powierzenia danych zawartej z ubezpieczycielem zwane administratorami polis. Do zadao tych osób należy dbałośd o jakośd i poprawnośd danych, a także zabezpieczenie ich przekazywania ubezpieczycielowi. Bancassurance w wariancie ubezpieczenia grupowego Typowym przykładem umowy bancassurance jest umowa ubezpieczenia grupowego, zawarta z bankiem, który ubezpiecza swoich Klientów. W najprostszym przypadku bank, będąc ubezpieczającym, przekazuje dane swoich Klientów ubezpieczycielowi, który staje się odrębnym administratorem danych. Należy również zauważyd, iż w wielu przypadkach do przekazania danych dochodzi dopiero w momencie wystąpienia zdarzenia objętego umową ubezpieczenia. Zarówno bank, jak i ubezpieczyciel jako odrębni administratorzy danych odnotowują (zgodnie z art. 38 uodo) w swoich systemach fakt wzajemnego przekazywania sobie danych, przy czym przekazanie danych Klientów banku może wymagad odebrania od Klienta zgody na uchylenie tajemnicy bankowej. Stosowany jest również inny model, w którym to ubezpieczyciel powierza bankowi przetwarzanie danych osób ubezpieczonych. Przypadek taki występuje wtedy, gdy ubezpieczyciel zleca bankowi wykonanie części zadao związanych z umową ubezpieczenia, np. prowadzenie rejestru ubezpieczonych, gromadzenie oświadczeo itd. Model ten pozwala uniknąd rozbudowywania przez bank zakresu zbioru danych Klientów zgłaszanego do rejestru prowadzonego przez GIODO, a także uniknąd odnotowywania przekazywania danych osobowych między ubezpieczycielem a bankiem, gdyż bank działa wtedy jako procesor. Strona 35 z 83

36 Częstym rozwiązaniem jest zawarcie umowy pakietowego ubezpieczenia bancassurance i objęcie tym pakietem zarówno ryzyk związanych z ubezpieczeniem na życie, jak i innymi ubezpieczeniami. W celu prowadzenia wspólnej obsługi pakietu i uproszczonej procedury likwidacji szkód, ZU mogą wówczas zbierad zgody Klienta na wzajemne przekazywanie danych. Fakt udostępnienia danych może byd odnotowywany w systemie informatycznym poprzez oznaczenie, iż ubezpieczenie ma charakter pakietu. Bancassurance realizowany może byd również w modelu, w którym bank występuje jako agent. REASEKURACJA Przekazywanie danych reasekuratorowi przez ZU odbywa się na zasadzie przekazania danych odbiorcy danych w rozumieniu art. 7 pkt 6 uodo. Reasekurator jest odrębnym administratorem danych i jest zobowiązany do wypełnienia obowiązków wynikających z uodo. Fakt udostępnienia danych reasekuratorowi przez ZU powinien byd odnotowywany w systemie informatycznym zarówno w przypadku zgłoszenia umowy ubezpieczenia do reasekuracji, jak i zgłoszenia roszczenia. Zakres i częstotliwośd udostępnianych danych powinny byd uregulowane w umowie reasekuracyjnej, przy czym w części przypadków wystarczające będzie przekazanie informacji o liczbie reasekurowanych umów i należnej składce. Jednakże większośd umów reasekuracji zakłada, iż ZU udostępnia reasekuratorowi raport obejmujący np.: imię i nazwisko ubezpieczonego, datę urodzenia, płed, numer polisy, sumę ubezpieczenia. W przypadku reasekuracji fakultatywnej, dotyczącej umów ubezpieczenia z wysokimi sumami ubezpieczenia, mogą byd przekazywane reasekuratorowi pełne dane ubezpieczonego łącznie z danymi o stanie zdrowia ubezpieczonego w celu przeprowadzenia oceny ryzyka ubezpieczeniowego. Podobnie przy wypłacie świadczenia, Strona 36 z 83

37 cała dokumentacja związana z ustaleniem prawa do wypłaty świadczenia może byd udostępniona reasekuratorowi. Należy również zwrócid uwagę, iż często umowy dotyczące reasekuracji łączone są z umowami dotyczącymi likwidacji szkód. Wówczas umowa powinna zawierad dodatkowe klauzule, wskazujące na powierzenie reasekuratorowi przetwarzania danych przez ZU. Przekazanie danych reasekuratorowi mającemu siedzibę w paostwie trzecim odbywa się na zasadzie art. 47 ust. 3 pkt 1 albo pkt 3 uodo. O ile za podstawę prawną przetwarzania danych osobowych, przez zakład ubezpieczeo i reasekuracji można przyjąd art. 24 ust. 1 udu, o tyle w przypadku podmiotów wskazanych w udu w art. 2 ust 1 pkt 16a (krajowych zakładów reasekuracji) i pkt 16b (zagranicznych zakładów reasekuracji), wskazane jest pozyskanie zgody ubezpieczanego na przetwarzanie jego danych przez reasekuratora. Podobnie, nie wydaje się możliwe skorzystanie przez reasekuratora ze zwolnienia z obowiązku informacyjnego na podstawie art. 24 ust. 2 udu. Dobrą zatem praktyką jest umieszczenie odpowiednich klauzul już na wniosku ubezpieczeniowym, z informacją, że dane będą przekazywane reasekuratorom. OBSŁUGA KLIENTA Celem tego rozdziału jest przedstawienie wymogów, jakie należy spełnid podczas obsługi Klienta. Obejmuje ona zarówno fazę przedsprzedażową, jak i posprzedażową, niezależnie od formy kontaktu (bezpośredni, korespondencyjny lub elektroniczny ) oraz związane z tymi działaniami dopełnianie obowiązków informacyjnych wynikających z uodo. Rozdział ten nie zajmuje się likwidacją szkód i obsługą świadczeo, które ze względu na skalę i wagę problemu są potraktowane odrębnie. Strona 37 z 83