RODO w praktyce ubezpieczeniowej Alwisa

Każda osoba fizyczna wykonująca czynności agencyjne (OFWCA) w Alwis&Secura, wykonuje te czynności za pośrednictwem Alwisa na rzecz konkretnego zakładu ubezpieczeń, dla którego posiada upoważnienie Zarządu Alwis&Secura na wykonywanie tych czynności. Polegają one głównie na: pozyskiwaniu klientów, wykonywaniu czynności zmierzających do zawarcia ubezpieczenia, zawarciu umów ubezpieczenia (w tym wystawieniu polisy) oraz w uczestniczeniu w ich wykonywaniu.

Niezwykle ważna rola ochrony danych osobowych w działalności ubezpieczeniowej

Ta działalność praktycznie wiąże się w każdym przypadku z przetwarzaniem danych osobowych osób: ubezpieczających, ubezpieczonych i uposażonych. Podczas tych czynności zbierane są dane niezbędne do zawarcia ubezpieczenia: przeprowadzenia rozpoznania potrzeb (APK), oceny ryzyka ubezpieczeniowego, wyboru najlepszego wariantu ubezpieczenia dla klienta, a także identyfikacji samego ubezpieczającego. Są to podstawowe dane, ale często – zwłaszcza przy ubezpieczeniach życiowych – dane te mają charakter “danych wrażliwych”, ponieważ wiążą się np. ze stanem zdrowia ubezpieczonego, jego stylem życia, nałogami itd.

Przetwarzanie wszystkich danych wiąże się z koniecznością przestrzegania  przepisów o ochronie danych osobowych (RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679  z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych… zwane: “Ogólnym rozporządzeniem w sprawie ochrony danych”) oraz danych objętych tajemnicą ubezpieczeniową, czyli wszystkich informacji i danych dotyczących zawartych umów ubezpieczenia. Praktycznie, w przypadku dystrybucji ubezpieczeń poprzez Agenta (multiagenta jakim jest Alwis) całość kontaktu Zakładu Ubezpieczeń z ubezpieczonym i ubezpieczającym odbywa się za pośrednictwem OFWCA tego agenta. Czyli wszystkie dane trafiają do tego zakładu ubezpieczeń za pośrednictwem OFWCA i agenta. Stąd tak ważne jest, aby wszystkie czynności wykonywane były zgodnie z przepisami prawa o ochronie danych osobowych. Jest to tym bardziej ważne, że agent i jego OFWCA występują w dwojakiej roli. Z jednej strony działają w imieniu i na rzecz konkretnego zakładu ubezpieczeń, reprezentując jego interesy i zawierając ubezpieczenia zgodnie z posiadanym pełnomocnictwem. I występują wtedy w imieniu mocodawcy, czyli zakładu ubezpieczeń. Z drugiej strony, agent i jego OFWCA występują jako samodzielne, odrębne podmioty, zainteresowane podejmowaniem własnych działań zmierzających np. do zwiększenia ilości ubezpieczonych, ilości zawartych ubezpieczeń i osiągnięciem większego dochodu.

Rola agenta/OFWCA w dystrybucji ubezpieczeń, a przetwarzanie danych osobowych

Te dwa aspekty działalności dystrybutora ubezpieczeń (agenta/OFWCA) mają istotny wpływ na kwestie związane z przetwarzaniem danych osobowych. Ponieważ np. czynności związane z rozpoznaniem potrzeb klienta i zarekomendowaniem odpowiedniego, najlepszego ubezpieczenia to już działanie w imieniu zakładu ubezpieczeniowego? Przecież jeszcze nie wiadomo, którego. W naszym przypadku – multiagencji – OFWCA zawsze działa w imieniu jednego z ZU, w którym może zawierać ubezpieczenie (posiada upoważnienie Zarządu Alwis&Secura). A więc działania związane z APK możemy moim zdaniem zaliczyć do zadań w ramach zadań na rzecz konkretnego zakładu ubezpieczeń, w rezultacie, w którym zawarte zostanie to ubezpieczenie. Dlatego z punktu widzenia RODO w przedstawionym zakresie agent/OFWCA działają w imieniu i na rzecz zakładu ubezpieczeń i nie stają się administratorem danych osobowych mimo, że je przetwarzają. Wynika to także z tego, że to nie oni decydują o środkach i celach przetwarzania danych tylko dany zakład ubezpieczeń, w którym zawarto ubezpieczenie. Agent działa jako podmiot, któremu administrator danych (ZU) powierzył przetwarzanie danych. A podstawą prawną jest umowa o powierzeniu przetwarzania danych, których administratorem jest zakład ubezpieczeń. Agent dalej powierza przetwarzanie danych swoim OFWCA także na podstawie umowy o powierzeniu przetwarzania danych. Dla celów dowodowych powinna ona być zawarta na piśmie, chociaż brak formy pisemnej nie będzie skutkował nieważnością umowy. Każda umowa o powierzeniu przetwarzania danych powinna precyzyjnie określać zakres i cel przetwarzania danych, bo tylko w takim zakresie agent i OFWCA mają prawo przetwarzania danych.

Z analizy przepisów o ochronie danych osobowych wynika, że podejmowanie czynności związanych z przeprowadzeniem rozpoznania potrzeb klienta (APK) , niezależnie od tego, czy w sposób zamierzony, czy nie, to nie może prowadzić do uznania agenta/OFWCA za administratora danych osobowych ze wszystkimi wynikającymi z tego faktu konsekwencjami. To nie on będzie decydował o celu i zakresie przetwarzania zebranych przez siebie danych, ale ZU w którym ostatecznie zawarł ubezpieczenie, ale jest on – mimo, że nie jest administratorem danych – zobowiązany: spełniać obowiązki informacyjne wobec podmiotów, których dane dotyczą (zawsze przed rozpoczęciem APK), dołożyć szczególnej staranności w celu właściwego przetwarzania danych, spełniać określone obowiązki w celu zagwarantowania praw osób, których dane dotyczą, zastosować odpowiednie środki w celu zabezpieczenia danych osobowych. Nie jest natomiast zobowiązany do zgłaszania zbioru danych do rejestracji w GIODO.

Ważne aspekty ochrony danych osobowych w Alwis&Secura

Trzeba także pamiętać, że agent/OFWCA przetwarzający dane na podstawie takiej umowy, muszą podjąć odpowiednie środki zabezpieczające przetwarzane dane osobowe. Wynikają one z oceny sytuacji i zagrożeń oraz RODO i innych szczegółowych przepisów. Zawsze należy też pamiętać, że właściwe postępowanie z danymi osobowymi to nie tylko efekt wymuszony prawem, ale to także podstawowy element, który doceniają nasi klienci. Mimo, że na co dzień nam tego nie okazują. Dlatego w Alwis&Secura dbamy, aby także poprzez właściwą ochronę danych osobowych budować długofalowe pozytywne relacje z klientami. Dobra ochrona danych, bardzo dobra informacja dla klientów o ich wykorzystywaniu, powodują, że nasza Agencja jest postrzegana jako odpowiedzialna i godna zaufania.

Myślę, że wszyscy pamiętamy trzy kluczowe założenia RODO:

  • Zasada minimalizacji danych – czyli, że możemy zbierać jedynie te dane osobowe, które są nam niezbędne do określonego działania, np. zawarcia ubezpieczenia. Oznacza to, że każde pozyskanie danych osobowych musi być jasno uzasadnione. W każdym działaniu należy określać z góry niezbędny zakres potrzebnych danych i czas ich przechowywania np. dane z rozpoznania potrzeb (APK), jeśli nie zawrzemy ubezpieczenia, powinny być od razu usuwane.

  • Konkretna informacja do użytkowników – czyli klient otrzymuje już na wstępie pełną i wyczerpującą informacje: w jakim celu zbieramy i przetwarzamy dane, jakie dane zbieramy, jak je przechowujemy, czy przekazujemy te dane innym podmiotom, jakie klient posiada prawa z tym związane oraz jakie są nasze obowiązki w tym zakresie. Jest to szczegółowo określone w przepisach prawa.

  • Ograniczenie przechowywania danych oznacza to, że dane przechowujemy tylko w takim okresie, jaki jest niezbędny do realizacji celu, dla którego zostały zebrane np. przy ubezpieczeniach do czasu trwania odpowiedzialności ZU.

Dobre praktyki ochrony danych osobowych w Alwis&Secura

Problemy ochrony danych osobowych w Alwis&Secura zawsze znajdowały się, od początku działalności na czołowym miejscu. Dlatego RODO nie było żadnym zaskoczeniem i wdrożenie ich zasad do praktyki dystrybucyjnej (wtedy pośrednictwa ubezpieczeniowego) nie stanowiło problemu. Opracowane szczegółowo zasady działania zostały wdrożone do praktyki i są według mojej oceny dobrze realizowane. W większości, zasady te “weszły w krew” OFWCA i są jakby automatycznie realizowane, co nie znaczy, że nie trzeba o tym pamiętać, weryfikować działania, nadzorować realizację. A konkretnie:

  • Wszyscy dystrybutorzy – OFWCA  Alwisa – posiadają zwarte umowy o powierzeniu przetwarzania danych. Każda nowa OFWCA przy zawarciu umowy o wykonywanie czynności agencyjnej zawiera także umowę o powierzeniu przetwarzania danych. Określa ona: przedmiot, czas trwania przetwarzania, cel i podstawowe zasady przetwarzania danych, obowiązki i odpowiedzialność. OFWCA otrzymuje także opracowanie zasad ochrony danych osobowych w Alwis&Secura sp. z o.o.
  • Opracowano wytyczne Zarządu Alwis&Secura, “Politykę bezpieczeństwa i ochrony przetwarzania danych osobowych w strukturach sprzedażowych Alwis&Secura sp. z o.o.” i zapoznano z nią wszystkie zainteresowane osoby i pracowników. Każdy nowy współpracownik otrzymuje ten dokument do wglądu. Uzupełnieniem tego dokumentu są “Zasady postępowania przy przetwarzaniu danych osobowych (czyli 10 przykazań dla każdego, kto dane takie przetwarza)”.
  • Przygotowano uniwersalną informację dla klientów Alwisa “Informację o gromadzeniu i przetwarzaniu danych osobowych “. Każda OFWCA ma obowiązek okazywać ją klientom w biurze, oraz wysyłać klientom przy zdalnym zawieraniu ubezpieczeń.
  • Przygotowano dla OFWCA wzór upoważnienia i oświadczenia dla jego pracowników, nieposiadających uprawnień do wykonywania czynności agencyjnych, oraz “Klauzulę zgody na przetwarzanie danych osobowych”, jeśli OFWCA zamierza zbierać dane osobowe np. dla własnych celów marketingowych. Wszystkie te dokumenty są w posiadaniu dystrybutorów Alwisa.

Dokumentacja i podejście do RODO w Alwisie

I jeszcze jedna uwaga. Przygotowując dokumenty i zasady realizacji RODO w agencji, przyjęliśmy już na wstępie, że w zakresie  przetwarzania danych dla poszczególnych ZU nie będziemy zwykłym procesorem (przetwarzającym dane), ale będziemy  współadministratorem danych. Jest to zgodne z art. 21 RODO bo “Jeżeli dwóch lub więcej administratorów wspólnie ustala cele i sposoby przetwarzania, to są oni współadministratorami niezależnie od tego czy została zawarta odpowiednia umowa”. Wynika to z potrzeb praktycznych właściwego zabezpieczenia przetwarzania danych osobowych klientów, chociaż nie w całości wypełnia teoretyczne rozważania o instytucji współadministrowania. Cel mamy jeden, wspólny z zakładem ubezpieczeniowym, zabezpieczyć przetwarzane dane osobowe. Szczegóły zostały określone w umowie o przetwarzanie danych. Alwis&Secura ma obowiązek zapewnić prawidłowość przetwarzania tych danych przez kilkaset swoich OFWCA. Musi więc uszczegóławiać i wdrażać praktyczne rozwiązanie dla zapewnienia osiągnięcia tego celu. Spełniona jest więc przesłanka RODO (art. 21), że “wspólnie ustala cele i potrzeby przetwarzania “, tylko na innych stopniach szczegółowości – ZU ogólnie, a dystrybutor bardzo szczegółowo. Zamiast nowej umowy o współadministrowaniu przyjmujemy jako podstawę prawną, “umowę o powierzeniu przetwarzania danych”, która praktycznie określa cele i potrzeby w zakresie przetwarzania danych. Alwis nie musi zawierać prawie 30 dodatkowych umów z ZU o współadministrowaniu w przetwarzaniu danych.

Co prawda odpowiedzialność za przestrzeganie przepisów RODO o ochronie danych osobowych spoczywa głównie na administratorze danych (zakładzie ubezpieczeń), ale agent zawsze ponosi odpowiedzialność za przetwarzanie danych zgodnie z umową o powierzeniu przetwarzania danych osobowych. I agent musi pamiętać, aby dane te przetwarzać ściśle, zgodnie z celem i zakresem wcześniej uzgodnionym. Jest to tym bardziej istotne, że organ nadzoru (także ZU) może skontrolować zgodność przetwarzania danych przez agenta z odpowiednimi przepisami o ochronie danych osobowych.

Opracowano i wdrożono w Alwisie także system wychwytywania wszystkich nieprawidłowości i pojawiania się tzw. “incydentów RODO”. I funkcjonuje on prawidłowo.

Podsumowanie

Reasumując, należy stwierdzić, że wAlwis&Secura dobrze są realizowane wszystkie zasady RODO dotyczące przetwarzania danych osobowych osób fizycznych. Dotyczy to nie tylko strony organizacyjnej i dokumentacyjnej Agenta, ale w szczególności działań dystrybutorów – OFWCA Alwisa – które codziennie przetwarzają dane klientów z zachowaniem wszystkich zasad ochrony danych.

Poprzedni wpis

Bezpieczne przechowywanie danych ubezpieczeniowych: własne bazy czy chmury?

Następny wpis

Czasowe wyrejestrowanie pojazdu