RODO a ubezpieczenia grupowe

Praktyką przyjętą przez wielu pracodawców jest zapewnianie pracownikom ubezpieczeń grupowych – zapewnienie opieki zdrowotnej czy ubezpieczenia NNW jest mile widzianym benefitem, który ze względu na skalę osób ubezpieczonych pozwala na wynegocjowanie stosunkowo niskich stawek ubezpieczenia.

W proces obsługi takiego ubezpieczenia bywa zaangażowanych wiele podmiotów: zakład ubezpieczeń, agenci lub brokerzy ubezpieczeniowi, a nawet ubezpieczający (np. zakład pracy) i sami ubezpieczeni. Ustalenie, jakie role podmioty te pełnią przy przetwarzaniu danych osobowych, a w konsekwencji, w jaki sposób należy uregulować proces przetwarzania danych między nimi, może budzić pewne wątpliwości. Aby tego dokonać, należy sięgnąć nie tylko do przepisów o ochronie danych osobowych, ale i do ustaw regulujących działalność ubezpieczeniową.

Zakład ubezpieczeń

Zakład ubezpieczeń w zakresie przetwarzania danych ubezpieczonych lub uprawnionych z umów ubezpieczenia decyduje o „celach i środkach przetwarzania danych osobowych ubezpieczonych”, a więc zgodnie z definicją zawartą w RODO jest administratorem danych. Świadczy o tym również uprawnienie do przetwarzania danych osobowych tej kategorii podmiotów, nadane zakładowi ubezpieczeń wprost w ustawie o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którą może on zbierać dane ubezpieczonych dla oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia. Status zakładu ubezpieczeń jako administratora danych nie budzi zatem kontrowersji.

Agent ubezpieczeniowy

W doktrynie utrwalone jest również stanowisko co do roli agenta ubezpieczeniowego jako podmiotu przetwarzającego dane w relacji z zakładem ubezpieczeń jako administratorem danych[1]. Świadczy o tym zakres czynności agenta ubezpieczeniowego, które wykonuje on w imieniu i na rzecz zakładu ubezpieczeń. Zgodnie również ze stanowiskiem organu nadzorczego ds. ochrony danych[2] agent ubezpieczeniowy w procesie obsługi ubezpieczeń występuje bardziej jako jego przedstawiciel niż samodzielny podmiot. Regułą jest zatem zawieranie umów powierzenia pomiędzy zakładem ubezpieczeń jako administratorem danych a agentem ubezpieczeniowym jako podmiotem przetwarzającym.

Broker ubezpieczeniowy

Bardziej problematyczne jest ustalenie statusu brokera ubezpieczeniowego w łańcuchu przetwarzania danych osobowych w zakresie obsługi ubezpieczeń. Zgodnie z ustawą o pośrednictwie ubezpieczeniowym działalność brokerska polega na wykonywaniu:

czynności w imieniu lub na rzecz podmiotu poszukującego ochrony ubezpieczeniowej […], takich jak zawieranie lub doprowadzanie do zawarcia umów ubezpieczenia […]

Ustawa o pośrednictwie ubezpieczeniowym określa również, iż broker ubezpieczeniowy ma postępować uczciwie i profesjonalnie, po uzyskaniu zezwolenia na wykonywanie działalności brokerskiej oraz musi posiadać obowiązkowe ubezpieczenie OC.

Pomimo zatem, że broker dokonuje czynności w imieniu ubezpieczającego, co mogłoby być przesłanką uregulowania jego relacji z klientem na zasadzie powierzenia danych, wykazuje niezależność w sposobie wykonywania swojej działalności. Samodzielny status brokera zdaje się potwierdzać cytowane już stanowisko organu nadzorczego przywołujące samodzielne podstawy prawne przetwarzania danych przez ten podmiot[3]. Dlatego też – choć nie jest to jednoznacznie rozstrzygnięte stanowisko w doktrynie –  można przyjąć, że broker, przetwarzając dane osobowe, jest samodzielnym administratorem danych osobowych. Każdorazowo wymagana jest jednak analiza konkretnego stanu faktycznego i zakresu działalności brokera w danym przypadku.

Ubezpieczający

Istnieją różne koncepcje dotyczące statusu ubezpieczającego (np. zakładu pracy ubezpieczającego swoich pracowników) w zakresie przetwarzania danych na potrzeby umów grupowych. Ostatnio pojawiła się praktyka, zgodnie z którą w przypadku, gdy ubezpieczający wykonuje pewien zakres czynności dla ubezpieczyciela (np. rejestracja ubezpieczonych), zawierana jest pomiędzy nimi umowa powierzenia danych, której stronami jest zakład ubezpieczeń jako administrator danych i ubezpieczający jako podmiot przetwarzający dane. Na gruncie przepisów o ochronie danych osobowych można znaleźć argumenty przemawiające za zasadnością tej koncepcji (wykonywanie czynności w imieniu ubezpieczyciela, w sposób przez niego wskazany). Wiąże się z nią jednak m.in. pewne ryzyko podatkowe: skoro zakład ubezpieczeń zleca ubezpieczającemu wykonywanie jakichś czynności (czego potwierdzeniem jest umowa powierzenia), to powinien za nie zapłacić, co kłóci się z brzmieniem art. 18 ustawy o działalności ubezpieczeniowej i reasekuracyjnej regulującym zakaz otrzymywania przez ubezpieczającego wynagrodzenia od ubezpieczyciela.

W przypadku natomiast, gdy umowa ubezpieczenia nie nakłada na ubezpieczającego obowiązku wykonania czynności na rzecz zakładu ubezpieczeń, wydaje się, że ubezpieczający będzie miał status odrębnego administratora danych. Podstawą przetwarzania danych ubezpieczonych przez ubezpieczającego w takim przypadku mogłaby być albo ich zgoda albo przyjęcie koncepcji istnienia stosunku umownego pomiędzy ubezpieczającym a ubezpieczonym.

Uregulowanie przetwarzania danych osobowych przy obsłudze ubezpieczeń może zatem następować w różny sposób, a wybór najwłaściwszego wymaga każdorazowo analizy konkretnego przypadku. Temat ten, z uwagi na swoją praktyczną doniosłość, z pewnością doczeka się w niedługiej przyszłości rozwinięcia w formie opinii organu nadzorczego już na gruncie RODO.