Ubezpieczenia to jeden z najbardziej skomplikowanych sektorów gospodarki. Znajduje to również odzwierciedlenie w przepływach danych osobowych między klientami zakładów ubezpieczeń, towarzystwami ubezpieczeniowymi oraz pośrednikami ubezpieczeniowymi. W artykule rozważę kwestię tych ostatnich – postaram się odpowiedzieć na pytanie: w jakim charakterze występują najczęściej agenci i brokerzy ubezpieczeniowi? Zastosujemy umowę powierzenia, udostępnienie danych, a może jeszcze inną konstrukcję? Zapraszam do lektury!
Czym się różni agent od brokera?
Na wstępie warto wskazać, w jakim otoczeniu prawnym działają zarówno agenci, jak i brokerzy ubezpieczeniowi. Ich działalność regulowana jest ustawą o dystrybucji. Oba pojęcia (agent i broker) są zdefiniowane w ustawie o dystrybucji (art. 3 ust. 1 pkt 2 oraz 5 ustawy o dystrybucji). Nie wchodząc jednak zbyt mocno w szczegóły – różnicę między agentem, a brokerem można sprowadzić do jednego aspektu, który będzie miał kluczowe znaczenie dla ich ról w kontekście przetwarzania przez nich danych osobowych klientów.
Jeżeli jestem osobą, która poszukuje ochrony ubezpieczeniowej (celowo pomijam działy ubezpieczeń oraz ich rodzaje), to przychodząc do agenta, otrzymam ofertę ubezpieczenia w zakładzie ubezpieczeń na rzecz którego działa agent. Decydując się na skorzystanie z oferty agenta, zawieram umowę (poprzez agenta) z danym ubezpieczycielem.
Jeśli natomiast udam się do brokera ubezpieczeniowego, zawrę z nim tzw. umowę brokerską, a zatem stanę się jego klientem. Broker w moim imieniu oraz na moją rzecz będzie kierował zapytania ofertowe do zakładów ubezpieczeń, które według jego fachowej wiedzy posiadają w swojej ofercie ubezpieczenie, które byłoby dla mnie, jako klienta, najlepsze.
W jakiej roli występują agenci ubezpieczeniowi?
Typowy agent ubezpieczeniowy, działający na rzecz jednego ubezpieczyciela, będzie podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO. Przypominam definicję tzw. procesora – jest to podmiot, który przetwarza dane osobowe w imieniu administratora.
Porównując więc słowa użyte w definicji legalnej agenta oraz podmiotu przetwarzającego, możemy w łatwy sposób zauważyć podobieństwo i na tej podstawie wnioskować, że agent ubezpieczeniowy będzie procesorem. Skoro bowiem agent jest przedsiębiorcą, który wykonuje czynności dystrybucji ubezpieczeń w imieniu i na rzecz ubezpieczyciela (będącego administratorem danych), to spełnia on w mojej ocenie kryteria uznania go za podmiot przetwarzający.
To stanowisko nie wymaga głębszych wyjaśnień, ponieważ potwierdzone jest (co prawda według starego stanu prawnego, jednak tezy zachowały swoją aktualność) przez Generalnego Inspektora Ochrony Danych Osobowych, który wskazał,w odpowiedziach na swojej stronie internetowej, że agent, jako podmiot, któremu zakład ubezpieczeń w drodze zawartej umowy powierzył przetwarzanie danych, obowiązany jest przestrzegać, aby dane te przetwarzać wyłącznie w zakresie i celu w umowie tej przewidzianym oraz zabezpieczyć je w sposób określony w przepisach o ochronie danych osobowych.
Agenta należy zatem uznać za podmiot przetwarzający. Rodzi to ostatecznie konieczność zawarcia przez towarzystwo ubezpieczeń z agentem umowy powierzenia, która powinna spełniać wszystkie wymogi przewidziane w art. 28 RODO. Przeczytaj więcej o umowach powierzenia przetwarzania danych osobowych.
Umowa powierzenia
Trzy gotowe i sprawdzone szablony umowy powierzenia zgodnej z RODO z instrukcją wypełniania.
Zobacz co otrzymasz w pakiecie.
Chwila o multiagencjach
Sytuację pod kątem przepływów danych osobowych komplikuje kilka rzeczy. Multiagencje:
- z racji profilu swojej działalności – budują często własne bazy klientów np. korzystając z własnego systemu CRM, a nie tylko z narzędzi udostępnionych przez ubezpieczycieli.
- zgodnie z ustawą o dystrybucji, która odsyła również do innych przepisów, multiagencje mają również obowiązek udzielania odpowiedzi na reklamacje klientów (takiego obowiązku nie mają „zwykli” agenci).
- często stosują powszechnie narzędzia umożliwiające dokonanie kalkulacji składki za ubezpieczenie online w sposób samodzielny przez klienta (dotyczy to szczególnie tych multiagencji, które specjalizują się w ubezpieczeniach komunikacyjnych). Takie systemy mogą łączyć się, już na etapie kalkulacji i wprowadzania danych do porównywarki, z systemami poszczególnych ubezpieczycieli.
Jeżeli chodzi o działalność multiagencji, w zakresie dystrybucji ubezpieczeń na rzecz wielu ubezpieczycieli, sytuacja pozostaje bez zmian w stosunku do tego, co wskazałem przy agentach. W tym zakresie multiagencja będzie podmiotem przetwarzającym – istnieje zatem konieczność zawarcia umów powierzenia przez multiagencję z towarzystwami ubezpieczeń.
RODO definiuje administratora jako podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jak słusznie wskazuje Europejska Rada Ochrony Danych (dawniej: Grupa Robocza Art. 29), kluczowym kryterium które decyduje o tym, że dany podmiot jest administratorem danych, jest zakres decyzyjny danego podmiotu, w szczególności możliwość ustalania celu przetwarzania danych osobowych. W działalności multiagencji występują sytuacje, przykładowo budowanie własnej bazy klientów, czy rozpatrywanie reklamacji, kiedy właściwym będzie uznanie multiagencji za administratora danych. Pamiętajmy o tym, że w przypadku uznania multiagencji za ADO, musimy każdorazowo ustalić podstawę prawną przetwarzania danych osobowych klientów. Dla przykładu: przetwarzanie danych osobowych klientów w celu rozpatrywania reklamacji będzie wynikało z obowiązku prawnego, a zatem podstawą prawną będzie art. 6 ust. 1 lit. c) RODO.
W kontekście wspomnianych przeze mnie systemów do kalkulacji składki ubezpieczeniowej polecam również rozważenie, czy w konkretnym przypadku (co wymaga analizy komunikacji systemu oraz analizy workflow aplikacji biznesowej) nie zachodzą warunki do zastosowania konstrukcji współadministrowania.
Pozycja brokerów ubezpieczeniowych
Jak wspomniałem już wcześniej, brokerzy to pośrednicy ubezpieczeniowi, którzy wykonują czynności brokerskie w imieniu i na rzecz swoich klientów. Podstawą działania brokera ubezpieczeniowego jest umowa, którą zawiera z klientem.
Z pomocą przychodzi nam ponownie historia – GIODO wypowiedział się bowiem również na temat brokerów. O ile co do przetwarzania danych potencjalnych klientów podstawą prawną – zdaniem organu nadzoru powinna być zgoda, o tyle przetwarzanie danych osobowych klientów przez brokera, którzy zawarli tzw. umowę brokerską, oparte jest na art. 6 ust. 1 lit. b) RODO tj. wykonaniu umowy, której stroną jest osoba, której dane dotyczą (GIODO, według ówczesnego stanu prawnego wskazywał na art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). Brokera należy więc uznać za administratora danych osobowych swoich klientów.
Na tym nie kończy się jednak rola brokera – musi on jeszcze skontaktować się z ubezpieczycielami, aby przygotowali dla niego oferty zawarcia umowy ubezpieczenia. Kontakt ten nazywany jest w branży slipem ofertowym. Bez wątpienia w niektórych sytuacjach (np. ubezpieczenia odpowiedzialności cywilnej działalności osoby fizycznej – jednoosobowego przedsiębiorcy) dojdzie do przekazania danych osobowych do ubezpieczycieli. Jest to konstrukcja prawna udostępnienia danych osobowych. Poszukując podstawy prawnej udostępnienia danych pamiętajmy o tym, że docelowo umowa ubezpieczenia zostanie zawarta między klientem a ubezpieczycielem (za pośrednictwem brokera). Stąd też według mnie, podstawą prawną do udostępnienia danych ubezpieczycielowi przez brokera będzie ponownie art. 6 ust. 1 lit. b) RODO, z tym że zamiast „wykonania umowy” zastosujemy drugą część tej podstawy prawnej tj. niezbędność przetwarzania do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Na koniec rozważań na temat brokerów musimy pamiętać, że przedstawiona powyżej sytuacja jest najbardziej typową. Możemy spotkać się z wieloma innymi możliwymi konfiguracjami, w zależności od tego, kogo ubezpieczyć ma broker oraz czy np. firma brokerska korzysta, wraz Klientami i/lub ubezpieczycielami z dedykowanych rozwiązań informatycznych.
Profesjonalne wsparcie
Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli nie masz czasu na porządkowanie przepływów danych osobowych wewnątrz swojej firmy, zapraszamy do skorzystania z naszej pomocy.
Zobacz, w jaki sposób możemy Ci pomóc:
Podsumowanie
W sektorze ubezpieczeniowym dochodzi do przetwarzania ogromnej ilości danych osobowych bardzo wielu osób fizycznych. Często są to również tzw. dane wrażliwe. Mnogość podmiotów, które mogą oferować możliwość zawarcia umowy ubezpieczenia powoduje, że niektóre relacje, szczególnie pod kątem przekazywania danych osobowych, są złożone.
Warto jednak pamiętać o tym, aby zawsze, ustalając, czy mamy do czynienia z powierzeniem, udostępnieniem czy współadministrowaniem, zadać sobie podstawowe i proste pytanie – po co przetwarzamy w danym procesie dane osobowe? W dużej ilości sytuacji odpowiedź na to pytanie pozwoli dobrać odpowiednie rozwiązanie.
Źródła:
- Ustawa z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń (t. j. Dz. U. z 2018 r. poz. 2243, zwana w tekście: ustawą o dystrybucji);
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane w tekście: RODO);
- GIODO - Jakie są zasadnicze podstawy prawne przetwarzania danych osobowych przez zakład ubezpieczeń i pośredników ubezpieczeniowych (agentów i brokerów)?, https://www.giodo.gov.pl/pl/362/995 [dostęp 28.03.2019];
- Opinia Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”;
- Doświadczenie praktyczne.
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dziękuję za jasne opisanie poszczególnych przypadków. Mam pytanie odnośnie opisanej sytuacji z brokerem. Czy dobrze rozumiem, że broker jest ADO w stosunku do zakładu pracy, który przekazuje mu dane pracowników, którzy chcą być objęci ubezpieczeniem? W takim przypadku zakład pracy jest podmiotem przetwarzającym i powinien podpisać umowę powierzenia z brokerem, a nie z zakładem ubezpieczeń?
Dzień dobry 🙂 Do problemu można podejść na dwa sposoby: „benefitowo” czyli tak, jak Pani opisała (broker jest ADO, pracodawca wyjątkowo w tej sytuacji procesorem, a broker udostępnia dane dalej ubezpieczycielowi) albo tak, jak w poradniku dot. zatrudnienia opisał to organ nadzoru (Urząd Ochrony Danych Osobowych): pracodawca jako ADO udostępnia (na podstawie zgody) dane osobowe pracowników do brokera, on następnie (przy czym nie na podstawie wykonania umowy) udostępnia dane osobowe do ubezpieczyciela. Ostateczny wybór rozwiązania wymagałby szczegółowej analizy sytuacji-zapraszamy na indywidualne konsultacje tel. + 48 535 400 091, mail: pozdrawiamy