Przetwarzanie danych osobowych w branży ubezpieczeniowej to jedno z najistotniejszych działań w tym sektorze.
W jakich celach i na podstawie jakich przepisów instytucje ubezpieczeniowe przetwarzają dane osobowe?
Ponieważ realizują następujące zadania ustawowe:
- gromadzą i aktualizują dane na kontach ubezpieczonych i płatników oraz dane świadczeniobiorców, którym są przyznawane lub wypłacane świadczenia;
- przyjmują i rozpatrują sprawy, z którymi zwracają się klienci;
- lekarze orzecznicy ZUS i komisje lekarskie ZUS orzekają dla potrzeb ustalenia uprawnień do świadczeń z dziedziny ubezpieczeń społecznych lub zabezpieczenia społecznego;
- przyjmują zgłoszenia do ubezpieczenia zdrowotnego członków rodziny osoby, która jest objęta tym ubezpieczeniem; przekazują dane z tych zgłoszeń do centrali Narodowego Funduszu Zdrowia (NFZ);
- prowadzą prewencję rentową;
- wykonują zadania powierzone na podstawie innych ustaw z dziedziny ubezpieczeń społecznych lub zabezpieczenia społecznego.
Oznacza to, że instytucje ubezpieczeniowe przetwarzają dane osobowe, aby wypełnić obowiązki prawne a także wykonać zadania w interesie publicznym oraz w ramach sprawowania powierzonej władzy publicznej.
Dane, które podajemy dobrowolnie – np. dodatkowe dane do kontaktu (adres email lub numer telefonu) – przetwarzane są na podstawie naszej zgody (art. 6 ust. 1 lit. a RODO).
Zakłady ubezpieczeń zbierają oraz w inny sposób przetwarzają dane osobowe w związku z zawieraniem i realizacją umów ubezpieczenia. Przetwarzanie danych osobowych jest więc niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą.
Art. 41 ww. ustawy stanowi, że zakład ubezpieczeń przetwarza dane dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia. Z kolei zgodnie z art. 26 ust. 3 pkt 7 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną m.in. zakładom ubezpieczeń, za zgodą pacjenta.
Poza dużą skalą przetwarzania danych zwykłych, w ubezpieczeniach mamy do czynienia z przetwarzaniem tzw. danych „wrażliwych” (np. danych dotyczących zdrowia, danych genetycznych, ujawniających pochodzenie rasowe lub etniczne),wówczas istotną przesłanką będzie zgoda osoby, której dane dotyczą.
Przetwarzanie danych wrażliwych ma często miejsce przy przeprowadzaniu analizy potrzeb klienta. Uzyskanie informacji np. o stanie zdrowia i chorobach przewlekłych może być konieczne do oceny ryzyka ubezpieczeniowego.
Przesłanką przetwarzania danych przez pośredników ubezpieczeniowych takich jak np. agent czy broker będzie głównie ustawa o dystrybucji ubezpieczeń. Ustawa nakłada na dystrybutorów ubezpieczeniowych szereg obowiązków. Jest to m.in. obowiązek przeprowadzenia analizy potrzeb oraz przedstawienie klientowi obiektywnych informacji o produkcie ubezpieczeniowym. Analiza potrzeb wymaga zebrania danych, w tym również danych osobowych. Zgodnie z obowiązkiem tzw. „audytu ryzyka”, obowiązek informacyjno-doradczy ma na celu zarekomendowanie klientowi możliwie korzystnej umowy ubezpieczenia uwzględniającej jego rzeczywiste zapotrzebowanie.
Dla tego celu często konieczne zebranie jest danych osobowych takich jak np. wiek, miejsce zamieszkania, skład gospodarstwa domowego itp.
Przesłanie Klientowi oferty produktu ubezpieczeniowego na podstawie przeprowadzonej analizy potrzeb wynika więc z przepisów prawa.
Kolejnym ważnym obowiązkiem wynikającym z przepisów ustawy o dystrybucji jest m.in. obowiązek przechowywania danych. Art. 32 ust. 3 pkt. 4 nakłada na brokera ubezpieczeniowego obowiązek przechowywania dokumentacji dotyczącej wykonywanej działalności brokerskiej w zakresie ubezpieczeń przez 10 lat od dnia zakończenia współpracy z Klientem.
Instytucje ubezpieczeniowe mogą także więc w sposób legalny przetwarzać dane osobowe swoich klientów w celach marketingowych własnych usług i produktów ubezpieczeniowych. Należy jednak pamiętać, że konieczne będzie pozyskanie zgody klienta.
Osoba, której dane dotyczą będzie miała możliwość zrezygnowania z przesyłanych ofert poprzez wyrażenie sprzeciwu na przetwarzanie danych osobowych w tym celu.
Warto odnieść się również do sytuacji, gdzie dane osobowe przetwarzane są w imieniu administratora. Za legalność przetwarzania odpowiada administrator danych, a decydując o celach i sposobach przetwarzania podejmuje również decyzję o ich powierzeniu.
Warto jednak pamiętać, że na podstawie umowy powierzenia, podmiot przetwarzający może przetwarzać dane osobowe jedynie w celu i zakresie w niej wskazanym.
Najczęstszym przykładem powierzenia danych w ubezpieczeniach jest relacja zakładu ubezpieczeń z agentem. Agent ubezpieczeniowy działa na rzecz zakładu ubezpieczeń i w jego imieniu podejmuje czynności związane z zawieraniem umowy ubezpieczenia. Agent jest więc podmiotem przetwarzającym dane w imieniu ubezpieczyciela.
Zwrócić należy uwagę na szereg obowiązków które generuje przetwarzanie danych osobowych w sektorze ubezpieczeń.
Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego i niezbędnego minimum. Należą do nich m.in. obowiązek informacyjny, prawo dostępu do danych, prawo do sprostowania danych, prawo do bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, szczególne zasady przy zautomatyzowanym podejmowaniu decyzji w indywidualnych sprawach. Ostatnie z wyżej wymienionych obejmuje także przypadki automatycznego odrzucenia wniosku ubezpieczeniowego czy kalkulacji składki.
W sektorze ubezpieczeń częściej niż w innych organizacjach dochodzi do naruszeń ochrony danych osobowych. Ma na to wpływ między innymi fakt, że branża ta przetwarza duże ilości danych.
Współczesna gospodarka oparta na sieci i informacji, wsparta szeroko pojętą Polityką Ochrony Danych Osobowych wymaga od instytucji ubezpieczeniowych należytego poszanowania powierzonych im zgodnie z przepisami i regulaminem danych osobowych, potrzebnych do przetwarzania, w całym procesie realizacji umowy lub świadczonych usług. W ten sposób dane osobowe stają się cennym kapitałem, a ich ochrona, obwarowana prawami i wartościami ponadnormatywnymi, leży w żywotnym interesie zarówno po stronie osób powierzających swoje dane osobowe (lub czyniąc to pośrednio za pomocą podmiotu trzeciego), jak po stronie podmiotu, któremu te dane powierzono. W ten sposób podmiot ów bierze na siebie odpowiedzialność, aby strzec i bronić dostępu do powierzonych mu cennych informacji.
Opracowano na podstawie materiałów : https://odo24.pl/
https://auraco.pl/
https://www.pzu.pl/,
https://www.zus.pl/