UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Jakie są zasadnicze podstawy prawne przetwarzania danych osobowych przez zakład ubezpieczeń i pośredników ubezpieczeniowych (agentów i brokerów)?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2011-08-30
Wprowadził‚ informację: 2004-04-30 11:42:29
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Legalność przetwarzania danych osobowych uzależniona jest od spełnienia przez ich administratora jednej z przesłanek wskazanych w art. 23 ust. 1 ustawy o ochronie danych osobowych - jeśli chodzi o tzw. dane zwykłe, oraz w art. 27 ust. 2 - w przypadku danych szczególnie chronionych, których katalog określony został w ust. 1 tego przepisu. Należy jednak pamiętać, że ocena dopuszczalności przetwarzania danych musi być dokonywana każdorazowo w sposób zindywidualizowany z uwzględnieniem konkretnych okoliczności i celów przetwarzania danych.


Przetwarzanie danych osobowych przez firmy ubezpieczeniowe odbywa się - co do zasady - na podstawie przesłanek określonych w art. 23 ust. 1 pkt 1 (gdy osoba, której dane dotyczą wyrazi na to zgodę), pkt 2 (tj., gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa) i pkt 3 (gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą).

Podstawę przetwarzania danych przez firmy ubezpieczeniowe stanowi ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej  oraz wydane na jej podstawie akty wykonawcze. W oparciu o ich przepisy zakłady ubezpieczeń gromadzą dane osobowe klientów w związku z zawieraniem i realizacją umów ubezpieczenia, umów reasekuracji oraz umów gwarancji ubezpieczeniowych. Jednocześnie pozwalają one na kształtowanie treści wspomnianych umów w granicach obowiązujących w tym zakresie przepisów prawa. Poza tym, istotne jest, aby - zgodnie z zasadą adekwatności wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych - zakres danych przetwarzanych przez administratora był adekwatny (proporcjonalny) do celu przetwarzania. Przetwarzanie danych w zakresie szerszym, niż niezbędny do zawarcia, a następnie realizacji zawartej umowy, może odbywać się wyłącznie za zgodą osoby, której dane dotyczą (art. 23 ust. 1 pkt 1).

Kwestia przetwarzania przez zakłady ubezpieczeń informacji o stanie zdrowia została uregulowana w  ustawie o działalności ubezpieczeniowej. Zgodnie z jej art. 22 ust. 1,  zakład ubezpieczeń może uzyskać odpłatnie od podmiotów, o których mowa w art. 4 ustawy, które udzielały świadczeń zdrowotnych, ubezpieczonemu lub osobie, na rzecz której miała być zawarta umowa ubezpieczenia, informacje o okolicznościach związanych z oceną ryzyka ubezpieczeniowego i weryfikacją podanych przez tę osobę danych o jej stanie zdrowia, ustaleniem prawa tej osoby do świadczenia z zawartej umowy ubezpieczenia i wysokością tego świadczenia, a także informacje o przyczynie śmierci ubezpieczonego, z wyłączeniem wyników badań genetycznych. W myśl ust. 3 tego artykułu wystąpienie zakładu ubezpieczeń z wnioskiem o udzielenie informacji, o których mowa w ust. 1, wymaga pisemnej zgody ubezpieczonego lub osoby, na rzecz której ma zostać zawarta umowa ubezpieczenia albo jej przedstawiciela ustawowego.

Ponadto, zgodnie z art. 26 ust. 3 pkt 7 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną m.in. zakładom ubezpieczeń, za zgodą pacjenta.

Przetwarzanie przez zakłady ubezpieczeniowe danych osobowych swoich klientów w celach marketingowych własnych usług i produktów ubezpieczeniowych dopuszczalne jest natomiast na podstawie przesłanki wskazanej w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zgodnie ze znowelizowanym brzmieniem tego przepisu, przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Stosownie do ust. 4 pkt 1 cytowanego przepisu, za prawnie usprawiedliwiony cel uważa się w szczególności m.in. marketing bezpośredni własnych produktów lub usług administratora danych. Powołany przepis usankcjonował zatem wprost legalność przetwarzania danych osobowych w celach marketingowych własnych produktów i usług administratora danych. W tej sytuacji nie jest konieczne, aby zakłady ubezpieczeniowe, będące administratorami danych, posiadały zgodę swoich klientów na przetwarzanie ich danych osobowych w wyżej wskazanym celu. Zgoda ta jest natomiast wymagana wówczas, gdy zakład ubezpieczeń zamierza przetwarzać dane osobowe swoich klientów w celu promocji produktów, czy też usług innego podmiotu. Istotne jest przy tym, aby oświadczenie zawierające zgodę na przetwarzanie danych osobowych złożone zostało w taki sposób, by zgoda ta była wyraźna i dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu oraz ze wskazaniem podmiotu lub grupy podmiotów, których marketing miałby dotyczyć. Oznacza to także, że zgoda na wykorzystywanie danych klientów w celu marketingu produktów innego podmiotu winna być wyraźnie oddzielona od celu realizacji umowy.

Wskazać w tym miejscu należy, iż z uwagi na to, że agent ubezpieczeniowy, działający w imieniu i na rzecz zakładu ubezpieczeń, nie jest administratorem zbioru danych osobowych osób, wobec których występuje jako przedstawiciel zakładu, nie musi on legitymować się samodzielną, odrębną od posiadanej przez zakład ubezpieczeń przesłanką legalności przetwarzania danych. Agent, jako podmiot, któremu zakład ubezpieczeń w drodze zawartej umowy powierzył przetwarzanie danych, obowiązany jest przestrzegać, aby dane te przetwarzać wyłącznie w zakresie i celu w umowie tej przewidzianym oraz zabezpieczyć je w sposób określony w przepisach o ochronie danych osobowych.

Podstawą legalności przetwarzania danych osobowych przez brokerów są natomiast odpowiednio - zgoda osoby, której dane dotyczą (art. 23 ust.1 pkt 1), jeśli chodzi o "potencjalnych" klientów, oraz konieczność do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy przetwarzanie danych jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3). Przetwarzanie przez brokerów - podobnie jak w przypadku zakładów ubezpieczeń - danych osobowych klientów w celach marketingowych własnych produktów i usług odbywa się na mocy art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Marketing produktów i usług innych podmiotów dopuszczalny jest wyłącznie za zgodą podmiotu danych.

 

Ostatnie aktualności