RODO a działalność ubezpieczniowa











 
 
 
 
 
 
W dniu 21 lutego 2019 roku Sejm uchwalił ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - dalej jako ustawa. Jest to tak zwane sektorowe RODO, czyli ustawa wdrażająca rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - dalej jako RODO w poszczególnych sektorach działalności, głównie gospodarczej. Ustawa została teraz przekazana do Senatu, czyli może jeszcze ulec zmianie. Jednak już teraz przyjrzymy się jej przepisom, a konkretnie art. 138 wprowadzającemu zmiany do ustawy z dnia 11 września 2015 roku o działalności ubezpieczeniowej i reasekuracyjnej (Dziennik Ustaw z 2015 roku, pozycja 1844) - dalej jako UDU
 
 
 
Zacząć należy od tego, że działalność ubezpieczeniowa jest szczególnym rodzajem działalności, który często wiąże się z koniecznością przetwarzania tak zwanych danych osobowych wrażliwych, czyli danych osobowych, o których mowa w art. 9 ust. 1 RODO, do których zalicza się dane osobowe ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Dotyczy to zwłaszcza ubezpieczeń zdrowotnych, w których zdarzeniem ubezpieczeniowym jest wystąpienie lub podejrzenie choroby lub okoliczności pogarszających zdrowie ubezpieczonego. NIestety ustawa nie odróżnia takich ubezpieczeń (a także ubezpieczeń na życie) od innych ubezpieczeń, co w mojej ocenie jest błędem, albowiem w tego rodzaju ubezpieczeniach nie da się po prostu funkcjonować bez ciągłego przetwarzania danych osobowych wrażliwych - tak w odniesieniu do ustalania wysokości składek ubezpieczeniowych, jak i w odniesieniu do ustalania praw do świadczeń ubezpieczeniowych. 
 
 
 
Przechodząc do omawiania zmian wprowadzanych przez ustawę należy wskazać, że pierwsza z nich wprowadza do UDU w art. 3 ust. 1 punkt 33a, który zawiera definicję profilowania. Jest to definicja polegająca na odesłaniu do art. 4 pkt 4 RODO, czyli równie dobrze mogłoby jej nie być. Dla porządku należy wskazać, że przez profilowanie rozumie się:
dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się 
Kolejna zmiana dotyczy art. 35 ust. 7 UDU i polega na rozciągnięciu tajemnicy ubezpieczeniowej z art. 35 ust. 1 UDU nie tylko na Polską Izbę Ubezpieczeń i osoby w niej zatrudnione, ale także na Ubezpieczeniowy Fundusz Gwarancyjny i Polskie Biuro Ubezpieczycieli Komunikacyjnych oraz osoby w nich zatrudnione.
Dodane art. 35a i 35b UDU dotyczą przetwarzania danych osobowych w przypadku uzasadnionego podejrzenia popełniania przestępstwa na szkodę zakładu ubezpieczeń oraz dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom. Szersze omówienie tych regulacji nie będzie przedmiotem tego wpisu. W praktyce przepisy te nie są bowiem często stosowane. 
 
 
 
Zmiany w zakresie art. 38 i 39 UDU obejmują:
 
- zawężenie zakresu informacji o stanie zdrowia ubezpieczonego lub osoby na rachunek, której ma zostać zawarta umowa ubezpieczenia, o udzielenie których może występować zakład ubezpieczeń do podmiotów wykonujących działalność leczniczą, poprzez usunięcie możliwości pozyskania informacji o rokowaniach związanych z leczeniem (zmiany w art. 38 ust. 2 pkt 1 i pkt 2 UDU);
 
 
 
- usunięcie warunku pisemności zgody ubezpieczonego lub osoby na rachunek, której ma zostać zawarta umowa ubezpieczenia, na wystąpienie przez zakład ubezpieczeń o udzielenie powyższych informacji oraz na wystąpienie o udzielenie takich informacji do innego zakładu ubezpieczeń.
 
W praktyce powyższe zmiany nie będą miały zapewne większego znaczenia. Informacja o rokowaniach dotyczących stanu zdrowia rzadko bowiem była udzielana. Tak na prawdę, nikt nie jest przecież w stanie, odpowiedzialnie, udzielić takiej informacji. Stan zdrowia może bowiem zmieniać się i często zmienia się w sposób trudny do przewidzenia. Z kolei zniesienie wymogu pisemności zgody nie zmieni raczej faktu, że zakłady ubezpieczeń i tak będą pozyskiwały tę zgodę w formie pisemnej. Dla własnego bezpieczeństwa zakład ubezpieczeń musi bowiem być w stanie wykazać, że dysponuje tego rodzaju zgodą. Drogą do tego jest przede wszystkim pozyskanie zgody w formie pisemnej. Ewentualnie w grę wchodzić będzie uzyskanie zgody w formie wiadomości e-mail. W tym przypadku pozostanie jednak zawsze wątpliwość czy zgoda została faktycznie udzielona przez osobę, z której adresu e-mail wysłano wiadomość. 
 
 
 
Art. 41 ust. 1 UDU ma otrzymać nową treść, którą warto w tym miejscu przytoczyć:
Zakład ubezpieczeń przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679 dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.
W przypadku tego przepisu należy zatrzymać się na trochę dłużej. W pierwszej kolejności należy zwrócić uwagę na jego wadliwą redakcję. Nie wiedzieć bowiem dlaczego przepis ten wymienia ubezpieczonych i uprawnionych z umowy ubezpieczenia, a nie wymienia osób na rachunek, których ma zostać zawarta umowa ubezpieczenia. Jest to tym bardziej zaskakujące, jeżeli weźmie się pod uwagę, że omawiany przepis wskazuje dokumenty, w których zawarte są dane osobowe wrażliwe oraz cel przetwarzania tych danych, przewidując między innymi, że chodzi o dane osobowe wrażliwe zawarte w oświadczeniach składanych przed zawarciem umowy ubezpieczenia oraz przetwarzanie tych danych osobowych w celu oceny ryzyka ubezpieczeniowego. Tymczasem ocena ryzyka ubezpieczeniowego i przetwarzanie danych osobowych zawartych we wspomnianych oświadczeniach dotyczą raczej osób, na rachunek których ma zostać zawarta umowa ubezpieczenia, a nie ubezpieczonych i uprawnionych z tej umowy. No cóż, nasz ustawodawca, niestety nie pierwszy raz, pozostaje nieprecyzyjny. Wykładnia celowościowa będzie w tym przypadku przemawiała za stosowaniem omawianego przepisu również do osób, na rachunek których ma zostać zawarta umowa ubezpieczenia. Jednakże w materii takiej jak ochrona danych osobowych, w tym w szczególności wrażliwych, sięganie do wykładni celowościowej i wyjście poza wykładnię stricte literalną, wydaje się cokolwiek ryzykowne. 
 
 
 
Kolejną kwestią związaną z art. 41 ust. 1 UDU jest odpowiedź na pytanie, czy istnienie takiego przepisu oznacza, że zakład ubezpieczeń nie musi mieć zgody ubezpieczonych i uprawnionych z umowy ubezpieczenia na przetwarzanie danych osobowych opisane w tym przepisie? Otóż właśnie nie. Pamiętajmy bowiem, że RODO, jako rozporządzenie unijne, jest aktem prawnym nadrzędnym wobec ustawy. Zgodnie z art. 9 ust. 1 i ust. 2 RODO przetwarzanie danych osobowych wrażliwych możliwe jest tylko jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Jak zatem widać, generalnie dane osobowe wrażliwe mogą być przetwarzane za zgodą osoby, której dotyczą, a bez tej zgody, tylko w bardzo wyjątkowych przypadkach. Jako, że omawiana ustawa zmieniająca tego nie wyjaśnia, ani nie wynika to z nowej treści art. 41 UDU, należy się zastanowić, czy przepis ten może podpadać pod jeden z przypadków, o których mowa w punktach od b) do j) powyżej. W zasadzie jedyny przypadek, który mógłby wchodzić w grę, to przypadek wymieniony w literze i). Przynajmniej w przypadku ubezpieczeń zdrowotnych może bowiem chodzić o interes publiczny w dziedzinie zdrowia publicznego. Niestety, motyw 54 przesądza omawianą kwestię. Zgodnie z tym motywem:
(54) Niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego może być przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą. Przetwarzanie takie powinno podlegać konkretnym, odpowiednim środkom chroniącym prawa i wolności osób fizycznych. W tym kontekście "zdrowie publiczne" należy interpretować zgodnie z definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/2008 12), czyli jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez strony trzecie, takie jak pracodawcy, czy zakłady ubezpieczeń i banki.
Nie ma zatem wątpliwości, że art. 41 ust. 1 UDU nie może stanowić podstawy do przetwarzania danych osobowych wrażliwych bez zgody osoby, której dane dotyczą, również na podstawie art. 9 ust. 2 lit. i) RODO.
Jaki zatem jest sens omawianego przepisu? Otóż zgodnie z art. 9 ust. 4 RODO:
Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.
Mając powyższe na uwadze, należy uznać, że art. 41 ust 1 UDU stanowi ograniczenie w możliwości przetwarzania danych osobowych wrażliwych ubezpieczonych i uprawnionych z umowy ubezpieczenia przez zakład ubezpieczeń. Zakład ubezpieczeń może zatem uzyskiwać zgodę tych osób na przetwarzanie ich danych osobowych dotyczących zdrowia, ale wyłącznie jeżeli dane te są zawarte w umowie ubezpieczenia lub oświadczeniu złożonym przed jej zawarciem oraz wyłącznie w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia w zakresie niezbędnym do tego z uwagi na cel i rodzaj ubezpieczenia.
 
 
 
Kolejne zmiany przewidują wprowadzenie ustępów 1a i 1b do art. 41 UDU. Ustęp 1a pozwala na stosowanie przez zakład ubezpieczeń zautomatyzowanego przetwarzania danych osobowych, w tym profilowania, w następujących celach:
 
dokonania oceny ryzyka ubezpieczeniowego,
 
 
 
- ustalenia przyczyn i okoliczności zdarzeń losowych,
 
 
 
- ustalanie wysokości szkód oraz rozmiaru odszkodowań oraz innych świadczeń należnych uprawnionym z umów ubezpieczenia lub umów gwarancji ubezpieczeniowych.
 
Problem polega jednak na tym, że zgodnie z art. 41 ust. 1a UDU, takie zautomatyzowane przetwarzanie danych osobowych może następować przy podejmowaniu przez zakład ubezpieczeń decyzji w indywidualnych przypadkach. Nie wiadomo jednak o co chodzi? Wszak zakład ubezpieczeń nie jest organem administracji i nie wydaje decyzji w indywidualnych sprawach. Uznać należałoby, że chodzi po prostu o dokonywanie przez zakład ubezpieczeń oceny, czy zawrzeć daną umowę ubezpieczenia (ocena ryzyka ubezpieczeniowego) oraz czy danemu ubezpieczonemu lub uprawnionemu z umowy ubezpieczenia przysługuje świadczenie ubezpieczeniowe i w jakiej wysokości. Jednakże taka, a nie inna redakcja, omawianego przepisu wywołuje wątpliwości, czy znajdzie on zastosowanie przy dokonywaniu przez zakład ubezpieczeń oceny czy zawrzeć umowę grupowego ubezpieczenia (czyli taką w której jeden ubezpieczający wykupuje ubezpieczenie dla wielu ubezpieczonych), nie wiadomo bowiem, czy w takim przypadku będziemy mieli dalej do czynienia z decyzją w indywidualnym przypadku. W mojej ocenie, pomimo niefortunnej redakcji przepisu, należałoby uznać, że znajdzie on zastosowanie również w takiej sytuacji. Jako indywidualny przypadek należałoby bowiem traktować jedną umowę ubezpieczenia, bez względu na to, że ma ona na celu udzielenie ochrony ubezpieczeniowej wielu osobom. 
 
 
 
Warunkiem omawianego zautomatyzowanego przetwarzania danych osobowych jest zapewnienie osobie, której dotyczy zautomatyzowana decyzja, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej. W praktyce zatem chodzi o zapewnienie odpowiedniej procedury wyjaśniającej i reklamacyjnej, która i tak gwarantowana jest powszechnie obowiązującymi przepisami: dla osób fizycznych - ustawą z dnia 5 sierpnia 2015 roku o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o rzeczniku finansowym  (Dziennik Ustaw z 2015 roku, pozycja 1348)a dla osób prawnych i spółek nieposiadających osobowości prawnej - ustawą z dnia 15 grudnia 2017 roku o dystrybucji ubezpieczeń (Dziennik Ustaw z 2017 roku, pozycja 2486).
 
 
 
Omawiane zautomatyzowane przetwarzanie może dotyczyć wyłącznie następujących danych osobowych: imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, wiek, płeć, obywatelstwo, numer PESEL, o ile został nadany, numer identyfikacji podatkowej, o ile został nadany, numer i serię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, charakter wykonywanej pracy (branża), miejsce zamieszkania, okres ubezpieczenia, przebieg ubezpieczenia, sumę ubezpieczenia, stan cywilny, stan zdrowia ubezpieczonego, sytuację finansową, datę i numer rejestracji szkody, datę wystąpienia szkody oraz datę zgłoszenia szkody lub roszczenia, dane identyfikujące umowę ubezpieczenia, której szkoda dotyczy, dane identyfikujące przedmiot ubezpieczenia.
 
 
 
Zmiana polegająca na dodaniu ustępu 1c do art. 41 UDU pozwoli zakładom ubezpieczeń na przetwarzanie wymienionych wyżej danych osobowych dotyczących ubezpieczonego, ubezpieczającego lub uprawnionego z umowy ubezpieczenia - bez jego zgody - w celach, o których mowa w art. 33 ust. 3 UDU, jednak nie dłużej niż przez 12 lat od dnia rozwiązania umowy ubezpieczania. Zgodnie z art. 33 ust. 3 UDU:
Zakład ubezpieczeń gromadzi odpowiednie dane statystyczne w celu ustalania na ich podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw techniczno-ubezpieczeniowych dla celów wypłacalności i rezerw techniczno-ubezpieczeniowych dla celów rachunkowości.
Powyższe uregulowanie umożliwi zatem przetwarzanie wielu danych osobowych w celach istotnych z punktu widzenia działalności zakładów ubezpieczeń. Je to więc zmiana, która powinna ułatwić prowadzenie działalności ubezpieczeniowej. Nawet jeżeli bowiem zakład ubezpieczeń nie uzyska zgody na tego rodzaju przetwarzanie danych osobowych, to i tak będzie mógł je przetwarzać dla realizacji przywołanych celów. Powyższa regulacja znajduje swoje umocowanie w art. 9 ust. 2 litera j) RODO, który zasadniczo pozwala na przetwarzanie danych osobowych między innymi do celów statystycznych bez zgody osoby, której dane dotyczą. Zauważyć należy przy tym, że omawiane przetwarzanie danych osobowych nie będzie mogło dotyczyć danych osób, na rzecz których umowa ubezpieczenia miała zostać zawarta, obejmuje ono bowiem wyłącznie osoby, które albo zawarły umowę ubezpieczenia, albo były objęte ochroną ubezpieczeniową, jako ubezpieczeni lub uprawnieni z umowy ubezpieczenia.
 
 
 
Ustawa zmieniająca uchyla ustęp 2 art. 41 UDU, co oznacza, że zakłady ubezpieczeń nie będą korzystały z żadnych zwolnień w zakresie informowania o administratorze danych. Pełne zastosowanie znajdzie zatem art. 14 i 15 RODO.
 
 
 
Ostatnią zmianą jest dodanie art. 2a w art. 42 UDU, który przewiduje że dane osobowe zebrane na podstawie art. 42 ust. 1 i ust. 2 UDU dotyczące osób odpowiedzialnych za zajście zdarzenia losowego będą przetwarzane przez podmioty uprawnione do pozyskania tych danych, w tym zakłady ubezpieczeń, na podstawie art. 10 RODO, który dotyczy wyroków skazujących oraz czynów zabronionych.
 
 
 
Jak widać z powyższej analizy, zmiany które ma wprowadzić ustawa nie będą zmierzały raczej do ułatwienia prowadzenia działalności ubezpieczeniowej, poza małymi wyjątkami. Inną kwestią jest, że w świetle przepisów RODO oraz faktu, że dane osobowe, z których korzystają zakłady ubezpieczeń, to zwykle dane osobowe wrażliwe, pole manewru nie jest tutaj niestety duże. Jeszcze inną kwestią jest, że część z omówionych zmian jest nieprecyzyjna, a część wręcz niepotrzebna. Takich błędów można było z pewnością uniknąć.

Komentarze

formularz kontaktowy

Nazwa

E-mail *

Wiadomość *

obserwatorzy

Copyright © paragrafowanie