Rozporządzenie 2016/679 (RODO) i akty towarzyszące Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sporo namieszały w polskim prawie. Można by sądzić, że doskonale znany każdemu skrót RODO, może utrudniać sprawę jedynie w kwestiach wykorzystania wizerunku czy udostępniania informacji o danej jednostce osobowej osobom trzecim. Okazuje się jednak, że RODO przyniosło wiele zmian i związanych z nimi niejasności w większości sektorów gospodarczych. Wśród tych sektorów znalazł się również sektor ubezpieczeniowy. Nie wszystkie kwestie prawne zostały bowiem doprecyzowane, a jedną z takich kwestii jest charakter, w jakim występują brokerzy ubezpieczeniowi – są oni administratorami danych czy może podmiotem przetwarzającym? Należy zatem dokładnie przyjrzeć się temu, jak kwestie związane z ochroną danych osobowych mają wpływ na działanie agentów i brokerów ubezpieczeniowych.
Ochrona danych osobowych w sektorze ubezpieczeniowym
Oprócz RODO, istotna jest tutaj również ustawa z 1 października 2018 r., wdrażająca dyrektywę w sprawie dystrybucji ubezpieczeń. Sektor ubezpieczeniowy jest bowiem jednym z tych sektorów, w których dane osobowe są przetwarzane masowo z oczywistych względów – zarówno broker, jak i agent, mają dostęp do wrażliwych danych swoich klientów oraz wykorzystują je do różnych celów, na przykład broker używa ich do tworzenia slipu brokerskiego. Należy zastanowić się zatem, czy w związku z powyższym, brokerzy i agenci są administratorami czy może podmiotami przetwarzającymi dane osobowe.
W przypadku agentów ubezpieczeniowych sprawa nie jest tak złożona – agent będzie podmiotem przetwarzającym, co wynika z art. 4 pkt 8 RODO. Ową tezę potwierdza również Generalny Inspektor Ochrony Danych Osobowych. Administratorem danych osobowych będzie w tym wypadku zakład ubezpieczeń, dla którego pracuje agent, zaś on sam otrzyma do nich dostęp na podstawie umowy powierzenia.
Sprawa komplikuje się nieco w przypadku brokera. Nie ma jasnych regulacji prawnych związanych z uznawaniem go tylko jako administratora lub tylko jako podmiot przetwarzający dane – chociaż częściej spotkamy się z nazywaniem brokera administratorem. Zdarzają się jednak sytuacje, w których przetwarza on dane. Szukając zaś przepisów prawnych w tej kwestii, dowiemy się jedynie, że nie precyzują one w jakim charakterze występuje broker.
Brokerzy ubezpieczeniowi a RODO
Według opinii Głównego Inspektora Ochrony Danych Osobowych przetwarzanie danych osobowych klienta przez jego brokera może być realizowane na podstawie art. 6 ust. 1 lit. b) RODO. W praktyce jednak, broker nie ma żadnego celu w tym, by podejmować się przetwarzania danych – właściwie robi to jedynie w sytuacjach, które jasno wskaże mu klient. Mogą się zdarzyć natomiast przypadki, w których broker będzie udostępniał dane osobowe klienta ( na mocy wyżej wymienionej ustawy) Warto jednak dodać, że broker, przekazując Zakładowi Ubezpieczeń dane klienta w celu otrzymania propozycji oferty, działa na podstawie umowy powierzenia zawartej z klientem. Można zatem stwierdzić, że broker pełni zarówno rolę administratora danych osobowych, jak i podmiotu przetwarzającego – w zależności od rodzaju świadczonych czynności.
Broker a klient – osoba fizyczna
Broker powinien zawsze postępować mając na uwadze dobro swojego klienta i jego interesów. Wynika to nie tylko z szeroko pojętej etyki zawodowej, ale również z ustawy o dystrybucji ubezpieczeń. Ta sama ustawa obliguje brokera do wykonywania różnych obowiązków o określonym charakterze. Zważywszy na fakt, że status administratora związany jest z nałożeniem obowiązków prawnych na dany podmiot, broker działający na rzecz i w imieniu swojego klienta, będzie administratorem danych osobowych.
Brokera a klient – osoba prawna
W tym wypadku sprawa jest nieco bardziej złożona, bowiem dochodzi do powierzenia przetwarzania danych osobowych w zakresie danych pracowników. Tutaj to klient, będący osobą prawną, jest administratorem danych, za to broker staje się podmiotem przetwarzającym je w procesie świadczenia swoich usług. Administrator danych musi brać pod uwagę, że powinien jasno określić obszar przetwarzania danych w jego imieniu poprzez zawarcia umowy powierzenia.
Podsumowanie
Widzimy zatem, że kwestie związane z RODO w sektorze ubezpieczeń są często dość niejasne i złożone. Nie zmienia to faktu, że są bardzo istotne, zważywszy na fakt, że brokerzy mają dostęp do danych osobowych swoich klientów i, w zależności od warunków zawartych w umowie, pełnią funkcję administratorów danych, jak i podmiotów przetwarzających. Jednak w świecie dynamicznie rozwijającej się technologii pomocą przychodzą programy CRM dla brokerów i kancelarii brokerskich, które nie tylko ułatwiają pracę, pomagając usystematyzować informacje czy tworzyć raporty i analizy, ale również chronią wrażliwe dane użytkowników i pozwalają pracować zgodnie z RODO. Coraz częściej osoby wykonujące czynności brokerskiej decydują się na używanie takich programów w celu usprawnienia wykonywania obowiązków oraz polepszenie jakości swojej współpracy z klientem.