RODO u brokerów

 

Pytania i odpowiedzi dotyczące RODO w działalności brokerskiej

 

Pośrednicząc w umowach grupowego ubezpieczenia na życie, działając w imieniu Klienta posługujemy się zbiorem danych osób ubezpieczonych. Szczególnie przy listach ubezpieczonych, raportach itd.

I stąd pojawia się wątpliwość jak prawidłowo tą sferę zabezpieczyć.

Administratorem tych danych jest Ubezpieczyciel. Nam jako brokerom nie wolno podpisać dodatkowych umów z ubezpieczycielem za wyjątkiem wymienionych w ustawie, poza tym żaden z Ubezpieczycieli nie będzie chciał zawrzeć z nami umów powierzenia danych.

  1. Procesorem w tym wypadku jest Klient. Tym samym czy wystarczy umowa podpowierzenia danych osobowych z Klientem na przetwarzanie danych osobowych osób ubezpieczonych? Czy potrzebujemy osobno zgody na przetwarzanie danych każdego z ubezpieczonych?
  2. Nasz firma posiada autorski program informatyczny do obsługi ubezpieczeń grupowych. Tam widnieją nazwiska ubezpieczonych. Dostęp mamy my oraz Klient na podstawie loginu i hasła. Czy tym samym będąc administratorem takiego programu stajemy się Administratorem danych? Czy jesteśmy nadal procesorem i nie potrzeba innych formalności? Czy każda osoba, która w tym systemie funkcjonuje musi wyrazić na to zgodę (łącznie z tymi osobami, które już wcześniej tam widniały)? Czy wystarczy umowa podpowierzenia danych osobowych z danym Klientem?

Odpowiedzi:

  1. Broker w relacji z ubezpieczycielem może działać zarówno jako Administrator i jako przetwarzający. Ubezpieczyciel jest zawsze administratorem danych ubezpieczonych, a broker w zakresie w którym celem jest zbieranie danych w celu zawarcia umowy ubezpieczenia będzie rzeczywiście przetwarzającym. Ubezpieczyciele (nie wszyscy, ale sporo) proponuje jednak zawarcie umów o przetwarzanie danych. Taka umowa to z pewnością kwestia szczególna do zakazu zawierania umów z ubezpieczycielem i nie tylko może, ale powinna być zawarta. Nie wszyscy ubezpieczyciele jednak takie umowy proponują, wówczas broker powinien zastosować takie środki bezpieczeństwa jak administrator. Umowa podpowierzenia powinna zasadniczo być zawarta na podstawie umowy powierzenia, gdyż nie może zawierać więcej praw niż w umowie powierzenia; w przypadku braku umowy powierzenia z ubezpieczycielem, wydaje się, że broker będzie zmuszony działać jak administrator; jak w pkt. niżej.
  2.     Broker może być też jednak administratorem danych swoich klientów, posiada on własną bazę klientów, a dane używane nie tylko w celu zawarcia umowy ubezpieczenia, lecz także tylko oceny ryzyka. W przypadku posiadania danych w systemie informatycznym brokera, to właśnie on jest Administratorem tych danych, a osoby które korzystają z tego systemu powinny zawrzeć umowy powierzenia z brokerem lub zostać upoważnione (w zależności od łączącej relacji).
  3.       Zgoda ubezpieczonych będzie potrzebna w przypadku danych wrażliwych; RODO bowiem nie przewiduje innej podstawy w tym zakresie; być może podstawa taka zostanie przyjęta w regulacjach sektorowych

 

Przy umowach grupowych pracowniczych, przy których pośredniczył broker – zawarcie z Klientem/ Ubezpieczającym umowy powierzenia przetwarzania danych? Klient de facto nie jest Administratorem tych danych, bo ADO jest Ubezpieczyciel. Czy w takim wypadku umowa taka jest właściwa ? Jak powinny nazywać się strony ?

Ubezpieczyciel faktycznie jest administratorem danych osobowych ubezpieczonych, jednak w zakresie dotyczącym zawarcia i wykonania umowy ubezpieczenia (w zakresie w jakim realizuje swój cel). Jak niżej wspomniano w zakresie czynności pośrednictwa ubezpieczeniowego możliwe jest przyjęcie stanowiska, że broker realizuje swój własny cel, a więc jest administratorem danych osobowych ubezpieczonych, z zastrzeżeniem oczywiście, iż dane takie (w podanym zakresie) faktycznie potrzebne są mu do wykonania takich czynności. Innymi słowy broker nie pozyskuje danych na zlecenie ubezpieczyciela, a w celu wykonania własnych czynności.

W naszej ocenie, w rozpatrywanej sytuacji brokera należałoby traktować jako administratora danych osobowych, zaś pracodawcę (Klienta/Ubezpieczającego) jako jego podmiot przetwarzający (oczywiście w zakresie czynności przetwarzania dokonywanych w procesie świadczenia usług pośrednictwa ubezpieczeniowego, a nie w innych celach, które Klient realizuje np. jako pracodawca osób, których dane dotyczą/ubezpieczonych).

 

Nasza kancelaria posiada dedykowany Klientom program informatyczny do ubezpieczeń grupowych pracowniczych. Jest to baza nie tylko Ubezpieczających – Klientów, ale również Ubezpieczonych – są w niej dane osobowe każdego ubezpieczonego pracownika Ubezpieczającego. Do tego programu to Klient/ Ubezpieczający wpisuje te osoby. I teraz pytanie czy nasza spółka jest Administratorem tych danych ? Czy każdy z ubezpieczonych pracowników powinien wyrazić zgodę na umieszczenie w tej bazie ? Czy nasza spółka ma względem każdej z tych osób obowiązek informacyjny ? Jak zawrzeć umowę powierzenia przetwarzania danych? Kto komu powierza te dane ?

Zakładamy, że system dedykowany jest świadczeniu usług brokerskich. Jeśli faktycznie tak jest, to w naszej ocenie spełniacie Państwo przesłanki do uznania Państwa za administratora danych osobowych w zakresie czynności przetwarzania realizowanych z użyciem tego systemu. W takim też układzie (jak zaznaczono powyżej) brokera należałoby traktować jako podmiot powierzający ubezpieczającemu przetwarzanie danych osobowych ubezpieczonych.

Podstawy przetwarzania danych osobowych pracowników ubezpieczonego upatrywalibyśmy nie w zgodzie tych osób na przetwarzanie ich danych osobowych we wspomnianym systemie, a w prawnie uzasadnionym interesie administratora danych osobowych. Innymi słowy w naszej ocenie zgoda taka nie jest potrzebna.

Nadmienić należy, że obowiązek informacyjny określony przepisami RODO spoczywa na administratorze, stąd powinniście Państwo zadbać o jego wykonanie względem pracowników ubezpieczonego, których dane zostały umieszczone we wspomnianym systemie IT.