Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

RODO w ubezpieczeniach – agenci i brokerzy

Ubezpieczenia to jeden z najbardziej skomplikowanych sektorów gospodarki. Znajduje to również odzwierciedlenie w przepływach danych osobowych między klientami zakładów ubezpieczeń, towarzystwami ubezpieczeniowymi oraz pośrednikami ubezpieczeniowymi. W artykule rozważę kwestię tych ostatnich – postaram się odpowiedzieć na pytanie: w jakim charakterze występują najczęściej agenci i brokerzy ubezpieczeniowi? Zastosujemy umowę powierzenia, udostępnienie danych, a może jeszcze inną konstrukcję? Zapraszam do lektury!

Czym się różni agent od brokera?

Na wstępie warto wskazać, w jakim otoczeniu prawnym działają zarówno agenci, jak i brokerzy ubezpieczeniowi. Ich działalność regulowana jest ustawą o dystrybucji. Oba pojęcia (agent i broker) są zdefiniowane w ustawie o dystrybucji (art. 3 ust. 1 pkt 2 oraz 5 ustawy o dystrybucji). Nie wchodząc jednak zbyt mocno w szczegóły – różnicę między agentem, a brokerem można sprowadzić do jednego aspektu, który będzie miał kluczowe znaczenie dla ich ról w kontekście przetwarzania przez nich danych osobowych klientów.

Agent ubezpieczeniowy to taki podmiot (musi być przedsiębiorcą), który działa w imieniu i na rzecz zakładu ubezpieczeń (w artykule zamiennie będę używał określeń: towarzystwo ubezpieczeń oraz ubezpieczyciel). W praktyce oznacza to, że ofertując klienta rynku ubezpieczeniowego, agent będzie działał (uwzględniając regulacje ustawy o dystrybucji) w interesie swojego mocodawcytowarzystwa ubezpieczeń. Z kolei broker ubezpieczeniowy to osoba fizyczna lub osoba prawna, która będzie wykonywała czynności w zakresie dystrybucji ubezpieczeń w imieniu lub na rzecz klienta.

Jeżeli jestem osobą, która poszukuje ochrony ubezpieczeniowej (celowo pomijam działy ubezpieczeń oraz ich rodzaje), to przychodząc do agenta, otrzymam ofertę ubezpieczenia w zakładzie ubezpieczeń  na rzecz którego działa agent. Decydując się na skorzystanie z oferty agenta, zawieram umowę (poprzez agenta) z danym ubezpieczycielem.

Jeśli natomiast udam się do brokera ubezpieczeniowego, zawrę z nim tzw. umowę brokerską, a zatem stanę się jego klientem. Broker w moim imieniu oraz na moją rzecz  będzie kierował zapytania ofertowe do zakładów ubezpieczeń, które według jego fachowej wiedzy posiadają w swojej ofercie ubezpieczenie, które byłoby dla mnie, jako klienta, najlepsze.

W jakiej roli występują agenci ubezpieczeniowi?

Typowy agent ubezpieczeniowy, działający na rzecz jednego ubezpieczyciela, będzie podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO. Przypominam definicję tzw. procesora – jest to podmiot, który przetwarza dane osobowe w imieniu administratora.

Porównując więc słowa użyte w definicji legalnej agenta oraz podmiotu przetwarzającego, możemy w łatwy sposób zauważyć podobieństwo i na tej podstawie wnioskować, że agent ubezpieczeniowy będzie procesorem. Skoro bowiem agent jest przedsiębiorcą, który wykonuje czynności dystrybucji ubezpieczeń w imieniu i na rzecz ubezpieczyciela (będącego administratorem danych), to spełnia on w mojej ocenie kryteria uznania go za podmiot przetwarzający.

To stanowisko nie wymaga głębszych wyjaśnień, ponieważ potwierdzone jest  (co prawda według starego stanu prawnego, jednak tezy zachowały swoją aktualność) przez Generalnego Inspektora Ochrony Danych Osobowych, który wskazał,w odpowiedziach na swojej stronie internetowej, że agent, jako podmiot, któremu zakład ubezpieczeń w drodze zawartej umowy powierzył przetwarzanie danych, obowiązany jest przestrzegać, aby dane te przetwarzać wyłącznie w zakresie i celu w umowie tej przewidzianym oraz zabezpieczyć je w sposób określony w przepisach o ochronie danych osobowych.

Agenta należy zatem uznać za podmiot przetwarzający. Rodzi to ostatecznie konieczność zawarcia przez towarzystwo ubezpieczeń z agentem umowy powierzenia, która powinna spełniać wszystkie wymogi przewidziane w art. 28 RODO. Przeczytaj więcej o umowach powierzenia przetwarzania danych osobowych.

Umowa powierzenia przetwarzania danych

Instrukcja wypełniania i gotowy szablon umowy powierzenia zgodnej z RODO. Działaj na sprawdzonym szablonie i wytycznych, których autorem są eksperci Lex Artist – lidera na rynku ochrony danych osobowych.

Sprawdź

Chwila o multiagencjach

Multiagencja to specyficzny rodzaj agenta ubezpieczeniowego. Wykonuje ona czynności dystrybucji ubezpieczeń w imieniu i na rzecz więcej niż jednego zakładu ubezpieczeń.

 Sytuację pod kątem przepływów danych osobowych komplikuje kilka rzeczy. Multiagencje:

  • z racji profilu swojej działalności – budują często własne bazy klientów np. korzystając z własnego systemu CRM, a nie tylko z narzędzi udostępnionych przez ubezpieczycieli.
  • zgodnie z ustawą o dystrybucji, która odsyła również do innych przepisów, multiagencje mają również obowiązek udzielania odpowiedzi na reklamacje klientów (takiego obowiązku nie mają „zwykli” agenci).
  • często stosują powszechnie narzędzia umożliwiające dokonanie kalkulacji składki za ubezpieczenie online w sposób samodzielny przez klienta (dotyczy to szczególnie tych multiagencji, które specjalizują się w ubezpieczeniach komunikacyjnych). Takie systemy mogą łączyć się, już na etapie kalkulacji i wprowadzania danych do porównywarki, z systemami poszczególnych ubezpieczycieli.

Jeżeli chodzi o działalność multiagencji, w zakresie dystrybucji ubezpieczeń na rzecz wielu ubezpieczycieli, sytuacja pozostaje bez zmian w stosunku do tego, co wskazałem przy agentach. W tym zakresie multiagencja będzie podmiotem przetwarzającym – istnieje zatem konieczność zawarcia umów powierzenia przez multiagencję z towarzystwami ubezpieczeń.

RODO definiuje administratora jako podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jak słusznie wskazuje Europejska Rada Ochrony Danych (dawniej: Grupa Robocza Art. 29), kluczowym kryterium które decyduje o tym, że dany podmiot jest administratorem danych, jest zakres decyzyjny danego podmiotu, w szczególności możliwość ustalania celu przetwarzania danych osobowych. W działalności multiagencji występują sytuacje, przykładowo budowanie własnej bazy klientów, czy rozpatrywanie reklamacji, kiedy właściwym będzie uznanie multiagencji za administratora danych. Pamiętajmy o tym, że w przypadku uznania multiagencji za ADO, musimy każdorazowo ustalić podstawę prawną przetwarzania danych osobowych klientów. Dla przykładu: przetwarzanie danych osobowych klientów w celu rozpatrywania reklamacji będzie wynikało z obowiązku prawnego, a zatem podstawą prawną będzie art. 6 ust. 1 lit. c) RODO.

W kontekście wspomnianych przeze mnie systemów do kalkulacji składki ubezpieczeniowej polecam również rozważenie, czy w konkretnym przypadku (co wymaga analizy komunikacji systemu oraz analizy workflow aplikacji biznesowej) nie zachodzą warunki do zastosowania konstrukcji współadministrowania.

Pozycja brokerów ubezpieczeniowych

Jak wspomniałem już wcześniej, brokerzy to pośrednicy ubezpieczeniowi, którzy wykonują czynności brokerskie w imieniu i na rzecz swoich klientów. Podstawą działania brokera ubezpieczeniowego jest umowa, którą zawiera z klientem.

Z pomocą przychodzi nam ponownie historia – GIODO wypowiedział się bowiem również na temat brokerów. O ile co do przetwarzania danych potencjalnych klientów podstawą prawną – zdaniem organu nadzoru  powinna być zgoda, o tyle przetwarzanie danych osobowych klientów przez brokera, którzy zawarli tzw. umowę brokerską, oparte jest na art. 6 ust. 1 lit. b) RODO tj. wykonaniu umowy, której stroną jest osoba, której dane dotyczą (GIODO, według ówczesnego stanu prawnego wskazywał na art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). Brokera należy więc uznać za administratora danych osobowych swoich klientów.

Na tym nie kończy się jednak rola brokera – musi on jeszcze skontaktować się z ubezpieczycielami, aby przygotowali dla niego oferty zawarcia umowy ubezpieczenia. Kontakt ten nazywany jest w branży slipem ofertowym. Bez wątpienia w niektórych sytuacjach (np. ubezpieczenia odpowiedzialności cywilnej działalności osoby fizycznej – jednoosobowego przedsiębiorcy) dojdzie do przekazania danych osobowych do ubezpieczycieli. Jest to konstrukcja prawna udostępnienia danych osobowych. Poszukując podstawy prawnej udostępnienia danych pamiętajmy o tym, że docelowo umowa ubezpieczenia zostanie zawarta między klientem a ubezpieczycielem (za pośrednictwem brokera). Stąd też według mnie, podstawą prawną do udostępnienia danych ubezpieczycielowi przez brokera będzie ponownie art. 6 ust. 1 lit. b) RODO, z tym że zamiast „wykonania umowy” zastosujemy drugą część tej podstawy prawnej tj. niezbędność przetwarzania do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.

Na koniec rozważań na temat brokerów musimy pamiętać, że przedstawiona powyżej sytuacja jest najbardziej typową. Możemy spotkać się z wieloma innymi możliwymi konfiguracjami, w zależności od tego, kogo ubezpieczyć ma broker oraz czy np. firma brokerska korzysta, wraz Klientami i/lub ubezpieczycielami z dedykowanych rozwiązań informatycznych.

Podsumowanie

W sektorze ubezpieczeniowym dochodzi do przetwarzania ogromnej ilości danych osobowych bardzo wielu osób fizycznych. Często są to również tzw. dane wrażliwe. Mnogość podmiotów, które mogą oferować możliwość zawarcia umowy ubezpieczenia powoduje, że niektóre relacje, szczególnie pod kątem przekazywania danych osobowych, są złożone.

Warto jednak pamiętać o tym, aby zawsze, ustalając, czy mamy do czynienia z powierzeniem, udostępnieniem czy współadministrowaniem, zadać sobie podstawowe i proste pytanie – po co przetwarzamy w danym procesie dane osobowe? W dużej ilości sytuacji odpowiedź na to pytanie pozwoli dobrać odpowiednie rozwiązanie.

Źródła:

2 Odpowiedzi

  1. Sylwia

    Dziękuję za jasne opisanie poszczególnych przypadków. Mam pytanie odnośnie opisanej sytuacji z brokerem. Czy dobrze rozumiem, że broker jest ADO w stosunku do zakładu pracy, który przekazuje mu dane pracowników, którzy chcą być objęci ubezpieczeniem? W takim przypadku zakład pracy jest podmiotem przetwarzającym i powinien podpisać umowę powierzenia z brokerem, a nie z zakładem ubezpieczeń?

    1. Kancelaria Lex Artist

      Dzień dobry 🙂 Do problemu można podejść na dwa sposoby: „benefitowo” czyli tak, jak Pani opisała (broker jest ADO, pracodawca wyjątkowo w tej sytuacji procesorem, a broker udostępnia dane dalej ubezpieczycielowi) albo tak, jak w poradniku dot. zatrudnienia opisał to organ nadzoru (Urząd Ochrony Danych Osobowych): pracodawca jako ADO udostępnia (na podstawie zgody) dane osobowe pracowników do brokera, on następnie (przy czym nie na podstawie wykonania umowy) udostępnia dane osobowe do ubezpieczyciela. Ostateczny wybór rozwiązania wymagałby szczegółowej analizy sytuacji-zapraszamy na indywidualne konsultacje tel. + 48 535 400 091, mail: lp.ts1556095171itra-1556095171xel@a1556095171carpl1556095171opsw1556095171 pozdrawiamy

Zostaw odpowiedź