2018-07-27
Ruszamy z nowym cyklem ukazującym zależności pomiędzy RODO a innymi dziedzinami prawa – dziś o przetwarzaniu danych w sektorze ubezpieczeniowym

RODO ubezpieczeniaRODO nie funkcjonuje w próżni. Bardzo często zagadnienia związane z ochroną danych osobowych dotyczą również innych dziedzin prawa – czasami uzupełniając się z ich zapisami, czasami bywając z nimi sprzeczne. Mając do czynienia z kwestią związaną z przetwarzaniem danych osobowych dotyczącą konkretnej dyscypliny prawa, działamy na podstawie dwóch lub więcej reżimów prawnych. Tym wpisem rozpoczynamy cykl publikacji, w których będziemy omawiać ciekawe zagadnienia pojawiające się właśnie „na styku” prawa ochrony danych osobowych i innej dyscypliny prawnej. Dzisiaj wspólnie z Pawłem Stykowskim, specjalistą prawa ubezpieczeniowego i szefem praktyki compliance w Wierzbowski Eversheds Sutherland, omawiamy status podmiotów biorących udział w obsłudze ubezpieczeń w kontekście przetwarzania danych osobowych.

RODO a ubezpieczenia grupowe

Praktyką przyjętą przez wielu pracodawców jest zapewnianie pracownikom ubezpieczeń grupowych – zapewnienie opieki zdrowotnej czy ubezpieczenia NNW jest mile widzianym benefitem, który ze względu na skalę osób ubezpieczonych pozwala na wynegocjowanie stosunkowo niskich stawek ubezpieczenia.

W proces obsługi takiego ubezpieczenia bywa zaangażowanych wiele podmiotów: zakład ubezpieczeń, agenci lub brokerzy ubezpieczeniowi, a nawet ubezpieczający (np. zakład pracy) i sami ubezpieczeni. Ustalenie, jakie role podmioty te pełnią przy przetwarzaniu danych osobowych, a w konsekwencji, w jaki sposób należy uregulować proces przetwarzania danych między nimi, może budzić pewne wątpliwości. Aby tego dokonać, należy sięgnąć nie tylko do przepisów o ochronie danych osobowych, ale i do ustaw regulujących działalność ubezpieczeniową.

Zakład ubezpieczeń

Zakład ubezpieczeń w zakresie przetwarzania danych ubezpieczonych lub uprawnionych z umów ubezpieczenia decyduje o „celach i środkach przetwarzania danych osobowych ubezpieczonych”, a więc zgodnie z definicją zawartą w RODO jest administratorem danych. Świadczy o tym również uprawnienie do przetwarzania danych osobowych tej kategorii podmiotów, nadane zakładowi ubezpieczeń wprost w ustawie o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którą może on zbierać dane ubezpieczonych dla oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia. Status zakładu ubezpieczeń jako administratora danych nie budzi zatem kontrowersji.

Agent ubezpieczeniowy

W doktrynie utrwalone jest również stanowisko co do roli agenta ubezpieczeniowego jako podmiotu przetwarzającego dane w relacji z zakładem ubezpieczeń jako administratorem danych[1]. Świadczy o tym zakres czynności agenta ubezpieczeniowego, które wykonuje on w imieniu i na rzecz zakładu ubezpieczeń. Zgodnie również ze stanowiskiem organu nadzorczego ds. ochrony danych[2] agent ubezpieczeniowy w procesie obsługi ubezpieczeń występuje bardziej jako jego przedstawiciel niż samodzielny podmiot. Regułą jest zatem zawieranie umów powierzenia pomiędzy zakładem ubezpieczeń jako administratorem danych a agentem ubezpieczeniowym jako podmiotem przetwarzającym.

Broker ubezpieczeniowy

Bardziej problematyczne jest ustalenie statusu brokera ubezpieczeniowego w łańcuchu przetwarzania danych osobowych w zakresie obsługi ubezpieczeń. Zgodnie z ustawą o pośrednictwie ubezpieczeniowym działalność brokerska polega na wykonywaniu:

czynności w imieniu lub na rzecz podmiotu poszukującego ochrony ubezpieczeniowej […], takich jak zawieranie lub doprowadzanie do zawarcia umów ubezpieczenia […]

Ustawa o pośrednictwie ubezpieczeniowym określa również, iż broker ubezpieczeniowy ma postępować uczciwie i profesjonalnie, po uzyskaniu zezwolenia na wykonywanie działalności brokerskiej oraz musi posiadać obowiązkowe ubezpieczenie OC.

Pomimo zatem, że broker dokonuje czynności w imieniu ubezpieczającego, co mogłoby być przesłanką uregulowania jego relacji z klientem na zasadzie powierzenia danych, wykazuje niezależność w sposobie wykonywania swojej działalności. Samodzielny status brokera zdaje się potwierdzać cytowane już stanowisko organu nadzorczego przywołujące samodzielne podstawy prawne przetwarzania danych przez ten podmiot[3]. Dlatego też – choć nie jest to jednoznacznie rozstrzygnięte stanowisko w doktrynie –  można przyjąć, że broker, przetwarzając dane osobowe, jest samodzielnym administratorem danych osobowych. Każdorazowo wymagana jest jednak analiza konkretnego stanu faktycznego i zakresu działalności brokera w danym przypadku.

Ubezpieczający

Istnieją różne koncepcje dotyczące statusu ubezpieczającego (np. zakładu pracy ubezpieczającego swoich pracowników) w zakresie przetwarzania danych na potrzeby umów grupowych. Ostatnio pojawiła się praktyka, zgodnie z którą w przypadku, gdy ubezpieczający wykonuje pewien zakres czynności dla ubezpieczyciela (np. rejestracja ubezpieczonych), zawierana jest pomiędzy nimi umowa powierzenia danych, której stronami jest zakład ubezpieczeń jako administrator danych i ubezpieczający jako podmiot przetwarzający dane. Na gruncie przepisów o ochronie danych osobowych można znaleźć argumenty przemawiające za zasadnością tej koncepcji (wykonywanie czynności w imieniu ubezpieczyciela, w sposób przez niego wskazany). Wiąże się z nią jednak m.in. pewne ryzyko podatkowe: skoro zakład ubezpieczeń zleca ubezpieczającemu wykonywanie jakichś czynności (czego potwierdzeniem jest umowa powierzenia), to powinien za nie zapłacić, co kłóci się z brzmieniem art. 18 ustawy o działalności ubezpieczeniowej i reasekuracyjnej regulującym zakaz otrzymywania przez ubezpieczającego wynagrodzenia od ubezpieczyciela.

W przypadku natomiast, gdy umowa ubezpieczenia nie nakłada na ubezpieczającego obowiązku wykonania czynności na rzecz zakładu ubezpieczeń, wydaje się, że ubezpieczający będzie miał status odrębnego administratora danych. Podstawą przetwarzania danych ubezpieczonych przez ubezpieczającego w takim przypadku mogłaby być albo ich zgoda albo przyjęcie koncepcji istnienia stosunku umownego pomiędzy ubezpieczającym a ubezpieczonym.

Uregulowanie przetwarzania danych osobowych przy obsłudze ubezpieczeń może zatem następować w różny sposób, a wybór najwłaściwszego wymaga każdorazowo analizy konkretnego przypadku. Temat ten, z uwagi na swoją praktyczną doniosłość, z pewnością doczeka się w niedługiej przyszłości rozwinięcia w formie opinii organu nadzorczego już na gruncie RODO.



[1] P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, Komentarz, Warszawa 2018.

[2] Generalny Inspektor Ochrony Danych Osobowych (obecnie Prezes Urzędu Ochrony Danych Osobowych) w swoim stanowisku dostępnym na stronie GIODO. Stanowisko zostało wydane przed dniem bezpośredniego stosowania RODO, ale zachowało aktualność na gruncie RODO.




Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Parts Store komentuje Strategia i jeszcze raz strategia
Archiwum
2018
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)konsumenci (13)dane osobowe (13)orzecznictwo TSUE (13)cloud computing (12)sklep internetowy (11)e-sklep (11)znaki towarowe (11)regulaminy (11)opłaty reprograficzne (11)e-handel (11)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)licencje (10)e-sprzedaż (9)własność intelektualna (8)webinarium (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)dyrektywy (6)utwory (6)licencja (6)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)Znalezione Polubione (6)identyfikacja sprawcy w internecie (6)hosting provider (6)sprawy sądowe (6)nowe technologie (6)platforma ODR (5)kopia (5)embeding (5)prawo konsumenckie (5)prawnicy (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)technologie (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)użytek prywatny (4)prawa pokrewne (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)chmura (4)reklama (4)dane (4)copyrights (4)telekomunikacja (4)program komputerowy (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)RODO (4)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)domeny (3)art. 14 uśude (3)baza danych (3)monitorowanie użytkowników (3)ryzyka cloud computing (3)inwigilacja w sieci (3)Usedsoft (3)sprzedaż programu (3)link (3)treści (3)bitcoin (3)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)Facebook (2)promocja (2)prawa producentów fonogramów (2)metawyszukiwarki (2)varia (2)licencja pudełkowa (2)GIODO (2)ankiety online (2)SaaS (2)UOKiK (2)internet rzeczy (2)Platformy internetowe (2)SABAM. Scarlet Extended (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)cookies (2)FinTech (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)sztuczna inteligencja (2)audyt oprogramowania (2)prawo angielskie (2)dystrybucja (2)administrator forum internetowego (2)cloud computing dla prawników (2)ukierunkowane (2)udostępnianie utworu (2)ustawa o krajowym systemie cyberbezpieczeństwa (2)metawyszukiwarka (2)reklamacje (2)blog (2)właściwości pliku (2)sklepy internetowe (2)cyberbezpieczeństwo (2)przeniesienie autorskich praw majątkowych (2)dyrektywa o handlu elektronicznym (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)prawa autorskie do strony (2)Google (2)strona internetowa (2)legalny użytkownik (2)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ICANN (1)wprowadzenie do obrotu (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)dane nieosobowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)gry hazardowe (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)koszty cloud computing (1)patenty (1)dostawcy usług cyfrowych (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)domena publiczna (1)non disclosure agreement (1)startup (1)Royal Wedding (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)transmisja (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)ochrona opisów produktów (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)sunrise period (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)zasady etyki (1)synchronizacja (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)ETIAS (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)loterie (1)Procurement Explorer (1)sieci peer-to-peer (1)atak hakerski (1)UKE (1)egzemplarz (1)fan page (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)artystyczne wykonanie (1)ACTA (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)MS Word (1)prawa artystów wykonawców (1)usługi cyfrowe (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)Google Reader (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)public viewing (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)odpowiedzialność pośredników (1)rejestracja domen (1)prawo do nadań (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję