Jak agenci ubezpieczeniowi powinni przygotować się do RODO? – rozmowa z ekspertem

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych budzi wśród pośredników ubezpieczeniowych wiele niewiadomych. Kilka tygodni temu rozpoczęliśmy cykl artykułów edukacyjnych, które mają pomóc agentom i brokerom ubezpieczeniowym w dostosowaniu się do przepisów nowego prawa.
Dzisiaj porozmawiamy ze specjalistą w tej dziedzinie. Tomasz Klemt z Kancelarii CZUBLUN TRĘBICKI wyjaśnił nam najważniejsze kwestie dotyczące obowiązków agentów i brokerów ubezpieczeniowych w świetle RODO.
Przeczytaj więcej o współpracy Insly z Kancelarią CZUBLUN TRĘBICKI


Maciej Biegajewski: Panie Tomaszu, przede wszystkim odpowiedzmy sobie na jedno z podstawowych pytań - czym są dane osobowe i kiedy dochodzi do ich przetwarzania?

Tomasz Klemt: Pojęcie danych osobowych to centralne pojęcie, które wyznacza zakres zastosowania obecnej ustawy o ochronie danych osobowych jak i obowiązującego od 25 maja 2018 roku Rozporządzania w sprawie Ochrony Danych Osobowych (RODO). Definicja danych osobowych w obu tych aktach prawnych obejmuje trzy elementy: jest to informacja (1) dotycząca osoby fizycznej (2) zidentyfikowanej lub możliwej do zidentyfikowania (3). Przez osobę zidentyfikowaną należy rozumieć podmiot, którego tożsamość jest znana, wskutek czego nie ma konieczności przeprowadzania identyfikacji.

Co to znaczy, że osoba jest możliwa do zidentyfikowania?

Osoba możliwa do zidentyfikowania to osoba fizyczna, którą można bezpośrednio lub pośrednio zidentyfikować na podstawie różnych identyfikatorów. RODO wprost wskazuje tu również identyfikatory internetowe – takie jak adresy IP czy identyfikatory plików cookie. Co ciekawe nie zawsze, np. imię i nazwisko będą stanowiły dane osobowe wystarczające do identyfikacji. Może się bowiem okazać, że w jednej firmie pracuje trzech Janów Nowaków.
Przy ustalaniu możliwości zidentyfikowania należy wziąć pod uwagę również koszty, czas oraz technologie niezbędne do identyfikacji. Wynika z tego wniosek, że dla małych podmiotów, nieposiadających odpowiednich technologii oraz zasobów, te same informacje, które w innym przypadku podlegają ochronie, nie będą uważane za dane osobowe. Warto również zaznaczyć, że informacje pseudonimizowane również pozostają danymi osobowymi.

Kiedy mamy do czynienia z przetwarzaniem danych?

Przetwarzanie to z kolei pojedyncza operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Celem ułatwienia interpretacji prawodawca unijny dodał przykładowy katalog czynności, które mogą stanowić przetwarzanie – są to: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.

Jakie dane najczęściej spotykamy w działalności pośredników ubezpieczeniowych?

Pośrednicy ubezpieczeniowi (agenci, brokerzy) codziennie spotykają się z całym spektrum danych osobowych. Co więcej, wchodząca w życie 1 października 2018 r. ustawa o dystrybucji ubezpieczeń, wymagać będzie od nich jeszcze szerszego pozyskania danych osobowych klientów oraz potencjalnych klientów. Wynika to m.in. z konieczności przeprowadzenia analizy wymagań i potrzeb, w trakcie której ujawnianych będzie wiele informacji, także mających charakter danych wrażliwych (w RODO nazywanych danymi szczególnej kategorii).
Agent/broker prowadząc bazę swoich klientów przetwarza takie dane jak np.: imię, nazwisko, wiek, dane teleadresowe czy dane o stanie zdrowia. W szczególności powinniśmy zwrócić uwagę na tę ostatnią kategorię, ponieważ podlega ona odrębnym zasadom określonym w art. 9 RODO. Agent sprzedający ubezpieczenia za pomocą systemu informatycznego może przetwarzać także takie dane jak adres IP lub identyfikator plików cookie. Wszystkie te informacje należy odpowiednio zabezpieczyć i przetwarzać.

Może mógłby Pan podpowiedzieć naszym czytelnikom jak zorganizować proces przetwarzania, by był zgodny z przepisami i bezpieczny dla podmiotów, których dane dotyczą?

Pełna odpowiedź na to pytanie jest bardzo rozbudowane oraz wymaga analizy konkretnego przypadku działalności pośrednika ubezpieczeniowego. Ważne jednak, aby zwrócić uwagę na konieczność posiadania podstawy dla przetwarzania danych osobowych. Wynika to m.in. z art. 51 Konstytucji RP, który jako zasadę ustanawia zakaz pozyskiwania przez organy publiczne danych obywateli, z wyłączeniem przypadków określonych ustawą – i w tym przypadku w możliwie ograniczonym zakresie. Przepis ten wpisuje się w unijną zasadę adekwatności.
RODO odwołuje się do zasady adekwatności choćby w motywie 39 preambuły, gdzie wskazuje, że dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego i niezbędnego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu.
Zwrócić należy uwagę na szereg obowiązków które generuje przetwarzanie danych osobowych. Należą do nich m.in. obowiązek informacyjny, prawo dostępu do danych, prawo do sprostowania danych, prawo do bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, szczególne zasady przy zautomatyzowanym podejmowaniu decyzji w indywidualnych sprawach. Ostatnie z ww. wymienionych obejmuje także przypadki automatycznego odrzucenia wniosku ubezpieczeniowego czy kalkulacji składki. Konieczne jest posiadanie odpowiedniej dokumentacji ochrony danych osobowych, która objąć może ok. 14 dokumentów – polityk, instrukcji, rejestrów – niezbędnych do posiadania przez pośrednika. Oczywiście w przypadku agentów wyłącznych, którzy nie posiadają własnej bazy danych, a jedynie przetwarzają dane na zlecenie zakładu ubezpieczeń, zakres obowiązków będzie węższy. Ważnym jest również posiadanie odpowiedniego zabezpieczenia środków technicznych służących do przetwarzania danych osobowych – niezależnie czy jest to plik Excel czy specjalistyczne oprogramowanie.

W kontekście RODO wiele słyszy się o zasadach privacy by design i privacy by default. Czym są te zasady i czy pośrednicy ubezpieczeniowi powinni się przejmować tymi przepisami?

Zasady te określane są również jako „zasada prywatności w fazie projektowania” oraz „zasada prywatności w ustawieniach domyślnych”. Do tej pory stanowiły one jedynie dobre praktyki, jednakże od 25 maja 2018 r., na podstawie art. 25 RODO, uzyskają moc wiążącą w prawie unijnym. Obie z wymienionych zasad odnoszą się do administratora danych. Tak więc, jeżeli pośrednik ubezpieczeniowy nie posiada statusu administratora danych, zasady te nie będą miały wobec niego zastosowania. Zwrócić należy uwagę, że multiagent oraz broker co do zasady będą administratorami, z kolei agenci wyłączni zwykle będą jedynie procesorami.
Zasada privacy by design zakłada, że ochrona danych osobowych powinna być „wbudowana” w każdą działalność, która zakłada przetwarzanie danych osobowych. Oznacza to, że tworząc nowy projekt biznesowy, należy ująć w nim wszelkie zasady wynikające z przepisów o ochronie danych osobowych oraz wdrożyć środki techniczne i organizacyjne zapewniające stosowanie tychże zasad. W praktyce oznacza to konieczność opracowania lub nowelizacji instrukcji kancelaryjnych, sposobów zabezpieczenia i przesyłania dokumentów zawierających dane osobowe (np. wniosków ubezpieczeniowych) oraz przeprowadzenia oceny sposobu przetwarzania danych w związku z np. konkursami marketingowymi.
Zasada privacy by default dotyczy wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu przetwarzania, okresu przechowywania oraz ich dostępności. Oznacza to m.in., że każdy system służący do przetwarzania danych osobowych powinien być tak skonstruowany, aby domyślnie zakładać najwyższy poziom ochrony prywatności. Zmiana tego typu ustawień powinna odbywać się wyłącznie wskutek wyraźnego, aktywnego działania użytkownika systemu. Dotyczy to m.in. systemów teleinformatycznych do zawierania umów ubezpieczenia na odległość, czy zakresu pozyskiwania danych przez pośredników, które nie są niezbędne do realizacji umowy ubezpieczenia.

Jak zapewnić realizację prawa do bycia zapomnianym i prawa do przenoszenia danych?

Prawo do bycia zapomnianym jest w istocie inną nazwą prawa do usunięcia danych, którego może żądać osoba fizyczna, której dane dotyczą. Uprawnienie to funkcjonuje już na gruncie obecnej ustawy o ochronie danych osobowych, ale w węższym wymiarze. RODO wylicza przypadki, kiedy można żądać realizacji ww. uprawnienia. Prawo do bycia zapomnianym realizowane jest wobec administratora danych osobowych. Co więcej – w przypadku upublicznienia danych – administrator informuje pozostałych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Warto zaznaczyć wyraźnie, że obowiązek poinformowania dotyczy również podmiotów, którym administrator nie ujawnił bezpośrednio tychże danych. W konsekwencji należy z uwagą analizować, czy upubliczniać dane osobowe (np. na stronie internetowej). Artykuł 17 RODO przewiduje również wyjątki od prawa do bycia zapomnianym. Dlatego przed jego realizacją należy każdorazowo sprawdzić, czy w danym przypadku którykolwiek z wyjątków nie zachodzi.
Prawo do przenoszenia jest nowym uprawnieniem, które składa się z dwóch komponentów. Osoby których dane dotyczą mają prawo do otrzymania danych osobowych oraz do przesyłania danych od jednego administratora do drugiego. Co ważne, uprawnienie to dotyczy jedynie sytuacji, gdy przetwarzanie odbywa się na podstawie zgody (np. na marketing) lub umowy (np. ubezpieczenia). Odbywać się to ma w ustrukturyzowanym, powszechnie używanym formacie. Stąd powstaje pierwsze wyzwanie w postaci możliwości wygenerowania odpowiedniego pliku z systemu w którym przetwarzane są dane. Należy również wdrożyć takie rozwiązania (np. w postaci wewnętrznych procedur), które pozwolą na realizację prawa do bycia zapomnianym bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od otrzymania żądania. Stąd też ważna jest rola podmiotu odpowiedzialnego za IT, którego zadaniem jest wyodrębnienie odpowiedniego zbioru danych i jego przekazanie. Warto zaznaczyć, że nawet w przypadku odmowy realizacji konieczne jest zachowanie terminów przewidzianych przez RODO.
Administrator danych jest odpowiedzialny za podjęcie wszelkich środków bezpieczeństwa potrzebnych do zapewnienia, aby dane osobowe zostały bezpiecznie przesłane (np. z zastosowaniem szyfrowania na całej drodze przesyłu danych lub szyfrowania danych) do właściwego miejsca przeznaczenia (przy użyciu silnych środków uwierzytelniających). Ponadto odpowiedzialność obejmuje kontynuację ochrony danych osobowych, które pozostają w ich systemach, jak również przejrzyste procedury postępowania z możliwymi naruszeniami danych.

Wierzymy, że wszyscy zdążą przygotować się do nowych przepisów prawnych. Warto jednak dmuchać na zimne i zadać sobie ważne pytanie. Co zrobić w przypadku stwierdzenia wycieku danych?

Wyciek danych stanowi przykład naruszenia (incydentu) ochrony danych osobowych. Zgodnie z RODO naruszenie podlega zgłoszeniu do organu nadzoru, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie powinno mieć miejsce w ciągu 72 godzin od stwierdzenia naruszenia. Za niedopełnienie tego obowiązku grozi kara - w wysokości do 10 mln Euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego – przy czym zastosowanie będzie miał limit wyższy.
W związku z tym pierwszą czynnością powinno być włączenie stopera. Następnie konieczne jest przeprowadzanie postępowania, które umożliwi ustalenie charakteru, przybliżonej skali naruszenia oraz jego konsekwencji. Powinno się również wdrożyć, odpowiednie środki minimalizujące negatywne skutki naruszenia. Raport z tych działań powinien być przekazany w formie zgłoszenia do organu nadzoru. Zakres czynności jest więc bardzo szeroki, a czas ograniczony. Skuteczna realizacja tych czynności wymaga posiadania i wdrożenia odpowiednich procedur postępowania.
Koniecznym jest podkreślenie, że obowiązek zgłoszenia naruszenia ochrony danych osobowych dotyczy także procesora – z tym, że on realizuje go wobec administratora. Oznacza to, że agent wyłączny realizował będzie go zwykle wobec zakładu ubezpieczeń. Z kolei wobec multiagenta (administratora danych) realizowały go będą podmioty, którym powierzył on dane do przetwarzania. Wszystkie te podmioty odpowiadają solidarnie za niedopełnienie ww. obowiązków. Dlatego tak istotnym jest odpowiednie ukształtowanie postanowień umów oraz wybór wiarygodnych partnerów.

Dziękuję za rozmowę.

KLIKNIJ I WYPRÓBUJ SYSTEM INSLY PRZEZ 14 DNI

***

Tomasz Klemt RODOTomasz Klemt

Prawnik w Kancelarii CZUBLUN TRĘBICKI, aplikant radcowski w Okręgowej Izbie Radców Prawnych w Warszawie. Doktorant w Katedrze Prawa Europejskiego Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, gdzie przygotowuje rozprawę z zakresu nadzoru nad rynkiem finansowym. Absolwent prawa na WPiA Uniwersytetu Warszawskiego oraz finansów i rachunkowości w Szkole Głównej Handlowej w Warszawie.
Specjalizuje się w zagadnieniach dot. europejskiego prawa administracyjnego, prawie ubezpieczeniowym, ochronie danych osobowych oraz compliance. Jego doświadczenie zawodowe obejmuje m.in. pełnienie funkcji kluczowej Chief Compliance Officer (CCO) w towarzystwie ubezpieczeń, pełnienie funkcji koordynatora współpracy z Ubezpieczeniowym Funduszem Gwarancyjnym, doradztwo dla jednostek finansów publicznych (m.in. PFRON).
 

More reading from

Innowacje w ubezpieczeniach