2018-07-27
Ruszamy z nowym cyklem ukazującym zależności pomiędzy RODO a innymi dziedzinami prawa – dziś o przetwarzaniu danych w sektorze ubezpieczeniowym

RODO ubezpieczeniaRODO nie funkcjonuje w próżni. Bardzo często zagadnienia związane z ochroną danych osobowych dotyczą również innych dziedzin prawa – czasami uzupełniając się z ich zapisami, czasami bywając z nimi sprzeczne. Mając do czynienia z kwestią związaną z przetwarzaniem danych osobowych dotyczącą konkretnej dyscypliny prawa, działamy na podstawie dwóch lub więcej reżimów prawnych. Tym wpisem rozpoczynamy cykl publikacji, w których będziemy omawiać ciekawe zagadnienia pojawiające się właśnie „na styku” prawa ochrony danych osobowych i innej dyscypliny prawnej. Dzisiaj wspólnie z Pawłem Stykowskim, specjalistą prawa ubezpieczeniowego i szefem praktyki compliance w Wierzbowski Eversheds Sutherland, omawiamy status podmiotów biorących udział w obsłudze ubezpieczeń w kontekście przetwarzania danych osobowych.

RODO a ubezpieczenia grupowe

Praktyką przyjętą przez wielu pracodawców jest zapewnianie pracownikom ubezpieczeń grupowych – zapewnienie opieki zdrowotnej czy ubezpieczenia NNW jest mile widzianym benefitem, który ze względu na skalę osób ubezpieczonych pozwala na wynegocjowanie stosunkowo niskich stawek ubezpieczenia.

W proces obsługi takiego ubezpieczenia bywa zaangażowanych wiele podmiotów: zakład ubezpieczeń, agenci lub brokerzy ubezpieczeniowi, a nawet ubezpieczający (np. zakład pracy) i sami ubezpieczeni. Ustalenie, jakie role podmioty te pełnią przy przetwarzaniu danych osobowych, a w konsekwencji, w jaki sposób należy uregulować proces przetwarzania danych między nimi, może budzić pewne wątpliwości. Aby tego dokonać, należy sięgnąć nie tylko do przepisów o ochronie danych osobowych, ale i do ustaw regulujących działalność ubezpieczeniową.

Zakład ubezpieczeń

Zakład ubezpieczeń w zakresie przetwarzania danych ubezpieczonych lub uprawnionych z umów ubezpieczenia decyduje o „celach i środkach przetwarzania danych osobowych ubezpieczonych”, a więc zgodnie z definicją zawartą w RODO jest administratorem danych. Świadczy o tym również uprawnienie do przetwarzania danych osobowych tej kategorii podmiotów, nadane zakładowi ubezpieczeń wprost w ustawie o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którą może on zbierać dane ubezpieczonych dla oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia. Status zakładu ubezpieczeń jako administratora danych nie budzi zatem kontrowersji.

Agent ubezpieczeniowy

W doktrynie utrwalone jest również stanowisko co do roli agenta ubezpieczeniowego jako podmiotu przetwarzającego dane w relacji z zakładem ubezpieczeń jako administratorem danych[1]. Świadczy o tym zakres czynności agenta ubezpieczeniowego, które wykonuje on w imieniu i na rzecz zakładu ubezpieczeń. Zgodnie również ze stanowiskiem organu nadzorczego ds. ochrony danych[2] agent ubezpieczeniowy w procesie obsługi ubezpieczeń występuje bardziej jako jego przedstawiciel niż samodzielny podmiot. Regułą jest zatem zawieranie umów powierzenia pomiędzy zakładem ubezpieczeń jako administratorem danych a agentem ubezpieczeniowym jako podmiotem przetwarzającym.

Broker ubezpieczeniowy

Bardziej problematyczne jest ustalenie statusu brokera ubezpieczeniowego w łańcuchu przetwarzania danych osobowych w zakresie obsługi ubezpieczeń. Zgodnie z ustawą o pośrednictwie ubezpieczeniowym działalność brokerska polega na wykonywaniu:

czynności w imieniu lub na rzecz podmiotu poszukującego ochrony ubezpieczeniowej […], takich jak zawieranie lub doprowadzanie do zawarcia umów ubezpieczenia […]

Ustawa o pośrednictwie ubezpieczeniowym określa również, iż broker ubezpieczeniowy ma postępować uczciwie i profesjonalnie, po uzyskaniu zezwolenia na wykonywanie działalności brokerskiej oraz musi posiadać obowiązkowe ubezpieczenie OC.

Pomimo zatem, że broker dokonuje czynności w imieniu ubezpieczającego, co mogłoby być przesłanką uregulowania jego relacji z klientem na zasadzie powierzenia danych, wykazuje niezależność w sposobie wykonywania swojej działalności. Samodzielny status brokera zdaje się potwierdzać cytowane już stanowisko organu nadzorczego przywołujące samodzielne podstawy prawne przetwarzania danych przez ten podmiot[3]. Dlatego też – choć nie jest to jednoznacznie rozstrzygnięte stanowisko w doktrynie –  można przyjąć, że broker, przetwarzając dane osobowe, jest samodzielnym administratorem danych osobowych. Każdorazowo wymagana jest jednak analiza konkretnego stanu faktycznego i zakresu działalności brokera w danym przypadku.

Ubezpieczający

Istnieją różne koncepcje dotyczące statusu ubezpieczającego (np. zakładu pracy ubezpieczającego swoich pracowników) w zakresie przetwarzania danych na potrzeby umów grupowych. Ostatnio pojawiła się praktyka, zgodnie z którą w przypadku, gdy ubezpieczający wykonuje pewien zakres czynności dla ubezpieczyciela (np. rejestracja ubezpieczonych), zawierana jest pomiędzy nimi umowa powierzenia danych, której stronami jest zakład ubezpieczeń jako administrator danych i ubezpieczający jako podmiot przetwarzający dane. Na gruncie przepisów o ochronie danych osobowych można znaleźć argumenty przemawiające za zasadnością tej koncepcji (wykonywanie czynności w imieniu ubezpieczyciela, w sposób przez niego wskazany). Wiąże się z nią jednak m.in. pewne ryzyko podatkowe: skoro zakład ubezpieczeń zleca ubezpieczającemu wykonywanie jakichś czynności (czego potwierdzeniem jest umowa powierzenia), to powinien za nie zapłacić, co kłóci się z brzmieniem art. 18 ustawy o działalności ubezpieczeniowej i reasekuracyjnej regulującym zakaz otrzymywania przez ubezpieczającego wynagrodzenia od ubezpieczyciela.

W przypadku natomiast, gdy umowa ubezpieczenia nie nakłada na ubezpieczającego obowiązku wykonania czynności na rzecz zakładu ubezpieczeń, wydaje się, że ubezpieczający będzie miał status odrębnego administratora danych. Podstawą przetwarzania danych ubezpieczonych przez ubezpieczającego w takim przypadku mogłaby być albo ich zgoda albo przyjęcie koncepcji istnienia stosunku umownego pomiędzy ubezpieczającym a ubezpieczonym.

Uregulowanie przetwarzania danych osobowych przy obsłudze ubezpieczeń może zatem następować w różny sposób, a wybór najwłaściwszego wymaga każdorazowo analizy konkretnego przypadku. Temat ten, z uwagi na swoją praktyczną doniosłość, z pewnością doczeka się w niedługiej przyszłości rozwinięcia w formie opinii organu nadzorczego już na gruncie RODO.



[1] P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, Komentarz, Warszawa 2018.

[2] Generalny Inspektor Ochrony Danych Osobowych (obecnie Prezes Urzędu Ochrony Danych Osobowych) w swoim stanowisku dostępnym na stronie GIODO. Stanowisko zostało wydane przed dniem bezpośredniego stosowania RODO, ale zachowało aktualność na gruncie RODO.




Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Dzieje się

Mamy przyjemność być patronem ogólnopolskiego konkursu "IP Challenge", mającego na celu wyłonienie studentów o największej wiedzy z zakresu prawa własności intelektualnej.

Więcej o konkursie »

Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Notariusz Szamotuły komentuje Aplikacja i strona to nie wszystko
Archiwum
2018
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)cloud computing (12)dane osobowe (11)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)webinarium (8)własność intelektualna (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)licencja (6)utwory (6)TSUE (6)oprogramowanie (6)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)technologie (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)użytek prywatny (4)prawa pokrewne (4)chmura (4)reklama (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)monitorowanie użytkowników (3)baza danych (3)ryzyka cloud computing (3)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)treści (3)RODO (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)domeny (3)art. 14 uśude (3)ukierunkowane (2)udostępnianie utworu (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)sklepy internetowe (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)SaaS (2)UOKiK (2)internet rzeczy (2)SABAM. Scarlet Extended (2)Platformy internetowe (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)FinTech (2)sztuczna inteligencja (2)dystrybucja (2)audyt oprogramowania (2)prawo angielskie (2)cloud computing dla prawników (2)administrator forum internetowego (2)UKE (1)egzemplarz (1)Procurement Explorer (1)sieci peer-to-peer (1)fan page (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)ACTA (1)artystyczne wykonanie (1)ustawa o krajowym systemie cyberbezpieczeństwa (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)prawa artystów wykonawców (1)usługi cyfrowe (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)cyberbezpieczeństwo (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)rejestracja domen (1)prawo do nadań (1)odpowiedzialność pośredników (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)koszty cloud computing (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)patenty (1)dostawcy usług cyfrowych (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Royal Wedding (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)sunrise period (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję