Ochrona danych w działalności ubezpieczeniowej i reasekuracyjnej r.pr. Patrycja Kozik audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001:2013
Akty prawne Działalność ubezpieczeniowa i reasekuracyjna – najważniejsze pojęcia Działalność ubezpieczeniowa a ochrona danych osobowych Działalność ubezpieczeniowa na gruncie UODO Działalność ubezpieczeniowa a RODO i proponowane przepisy sektorowe Wymogi RODO z perspektywy UDUR
Akty prawne Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej Ustawa określa warunki wykonywania: działalności w zakresie ubezpieczeń osobowych i ubezpieczeń majątkowych działalności reasekuracyjnej.
Akty prawne Art. 805 § 1. kodeksu cywilnego: Przez umowę ubezpieczenia ubezpieczyciel zobowiązuje się, w zakresie działalności swego przedsiębiorstwa, spełnić określone świadczenie w razie zajścia przewidzianego w umowie wypadku, a ubezpieczający zobowiązuje się zapłacić składkę. Art. 808. § 1 kodeksu cywilnego: Ubezpieczający może zawrzeć umowę ubezpieczenia na cudzy rachunek. Ubezpieczony może nie być imiennie wskazany w umowie, chyba że jest to konieczne do określenia przedmiotu ubezpieczenia
Ustawa z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń Akty prawne Ustawa z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń Art. 4. 1. Dystrybucja ubezpieczeń oznacza działalność wykonywaną wyłącznie przez dystrybutora ubezpieczeń polegającą na: 1) doradzaniu, proponowaniu lub wykonywaniu innych czynności przygotowawczych zmierzających do zawarcia umów ubezpieczenia lub umów gwarancji ubezpieczeniowych; 2) zawieraniu umów ubezpieczenia lub umów gwarancji ubezpieczeniowych w imieniu zakładu ubezpieczeń, w imieniu lub na rzecz klienta albo bezpośrednio przez zakład ubezpieczeń; 3) udzielaniu pomocy przez pośrednika ubezpieczeniowego w administrowaniu umowami ubezpieczenia lub umowami gwarancji ubezpieczeniowych i ich wykonywaniu, także w sprawach o odszkodowanie lub świadczenie. pośrednik ubezpieczeniowy – oznacza: agenta ubezpieczeniowego, agenta oferującego ubezpieczenia uzupełniające, brokera ubezpieczeniowego oraz brokera reasekuracyjnego, którzy wykonują dystrybucję ubezpieczeń albo dystrybucję reasekuracji za wynagrodzeniem
Agent ubezpieczeniowy Różne podmioty – różne relacje Ubezpieczyciel Ubezpieczony Ubezpieczający Agent ubezpieczeniowy Broker ubezpieczeniowy
Definicje – za rf.gov.pl ubezpieczyciel - zakład ubezpieczeń, towarzystwo ubezpieczeń wzajemnych, strona umowy ubezpieczenia, zapewniająca ochronę ubezpieczeniową na wypadek określonych zdarzeń. ubezpieczający - osoba (fizyczna, prawna, jednostka organizacyjna nie posiadająca osobowości prawnej) zawierająca umowę ubezpieczenia zobowiązana do zapłaty składki ubezpieczeniowej. ubezpieczony - osoba na rzecz której zawarto umowę ubezpieczenia, podlegająca ochronie ubezpieczeniowej. agent ubezpieczeniowy – oznacza przedsiębiorcę, innego niż agent oferujący ubezpieczenia uzupełniające, wykonującego działalność agencyjną na podstawie umowy agencyjnej zawartej z zakładem ubezpieczeń i wpisanego do rejestru agentów; broker ubezpieczeniowy – oznacza osobę fizyczną albo osobę prawną, posiadającą wydane przez organ nadzoru zezwolenie na wykonywanie działalności brokerskiej w zakresie ubezpieczeń, wpisaną do rejestru brokerów;
UDUR a RODO
Rodzaje danych przetwarzanych w działalności ubezpieczeniowej „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej Dane szczególnych kategorii m.in. dane dotyczące zdrowia. „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;
UDUR a RODO Wielość i złożoność relacji Dane zwykłe, dane wrażliwe Różne cele przetwarzania Np. Ocena ryzyka, zawarcie i wykonanie umowy ubezpieczenia, Raportowanie do UFG, Marketing własny/cudzy Co przekłada się na: Różne podstawy przetwarzania danych Różne role podmiotów (administrator/procesor) Różne obowiązki
UDUR a przetwarzanie danych – dotychczasowy stan prawny
UDUR a dane – aktualne przepisy Art. 41 ust.1 UDUR Zakład ubezpieczeń może zbierać dane ubezpieczonych lub uprawnionych z umów ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia. 2. Zbieranie przez zakład ubezpieczeń danych, o których mowa w ust. 1, nie powoduje po stronie zakładu ubezpieczeń obowiązku powiadomienia, o którym mowa w art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Art. 41 UDUR Przetwarzanie danych zawartych w umowach lub oświadczeniach w celu: oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia. Wszelkie inne cele będą podlegały ogólnym przepisom o ochronie danych osobowych.
UDUR a UODO (dane wrażliwe) Dane „zawarte w umowach lub oświadczeniach” Dane zwykłe? A co z danymi wrażliwymi? 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (na gruncie starych przepisów) (….) ?
UDUR a UODO (dane wrażliwe) Zdaniem GIODO, odstąpienie od generalnego zakazu przetwarzania danych osobowych wrażliwych jest możliwe jedynie w sytuacji, gdy inna ustawa wyraźnie zezwala na przetwarzanie danych wrażliwych. „dane zawarte w umowach lub oświadczeniach” Czy to wystarczająca podstawa? Po co zatem wprowadzono wskazany przepis? Ubezpieczający, ubezpieczony – podstawy prawne
UDUR a UODO – obowiązek informacyjny – na gruncie dotychczasowego stanu prawnego Zbieranie przez zakład ubezpieczeń danych, o których mowa w ust. 1, nie powoduje po stronie zakładu ubezpieczeń obowiązku powiadomienia, o którym mowa w art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dotyczyło to zatem tylko sytuacji zbierania danych niebezpośrednio od osoby której dane dotyczą. Obowiązek z art. 24 ust. 1 UODO należało zrealizować na zasadach ogólnych.
UDUR a przepisy projektowane
RODO – art. 22 ZPD 1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. 2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
RODO – art. 22 ZPD W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
UDUR a przepisy projektowane: w art. 41: ust. 1 otrzymuje brzmienie: „1. Zakład ubezpieczeń może podejmować decyzje w indywidualnych przypadkach, opierając się wyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu: 1) dokonania oceny ryzyka ubezpieczeniowego w przypadku danych osobowych dotyczących ubezpieczonych, 2) wykonania czynności ubezpieczeniowych, o których mowa w art. 4 ust. 9 pkt 1 i 2 w przypadku danych osobowych dotyczących ubezpieczonych, ubezpieczających i uprawnionych z umowy ubezpieczenia pod warunkiem zapewnienia osobie, której dotyczy zautomatyzowana decyzja, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.”,
UDUR a przepisy projektowane: po ust. 1 dodaje się ust. 1a i 1b w brzmieniu: „1a. Decyzje, o których mowa w ust. 1, mogą być podejmowane wyłącznie w oparciu o następujące kategorie danych dotyczących osoby fizycznej: 1) imiona i nazwisko; 2) nazwisko rodowe; 3) imiona rodziców; 4) datę i miejsce urodzenia; 5) wiek; 6) płeć; 7) obywatelstwo; 8) numer PESEL, o ile został nadany;
9) numer identyfikacji podatkowej, o ile został nadany; 10) numer i seria dowodu osobistego lub innego dokumentu potwierdzającego tożsamość; 11) charakter wykonywanej pracy (branża); 12) miejsce zamieszkania; 13) okres ubezpieczenia; 14) przebieg ubezpieczenia; 15) suma ubezpieczenia; 16) stan cywilny; 17) stan zdrowia ubezpieczonego; 18) sytuacja finansowa; 19) data i numer rejestracji szkody, data wystąpienia szkody oraz data zgłoszenia szkody lub roszczenia;
20) identyfikujące umowę ubezpieczenia, której szkoda dotyczy; 21) identyfikujące przedmiot ubezpieczenia. 1b. Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa w ust. 1a, dotyczące ubezpieczonych, ubezpieczających lub innych uprawnionych z umowy ubezpieczenia, bez zgody osoby, której te dane dotyczą, w celach, o których mowa w art. 33 ust. 3, nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia.”, c) uchyla się ust. 2;
UDUR a przepisy projektowane: Biorąc pod uwagę ciągły rozwój technologiczny polskiego sektora finansowego, konieczność dokonywania przez zakłady ubezpieczeń oceny ryzyka ubezpieczeniowego ubezpieczonego przed zawarciem umowy ubezpieczenia oraz wypłacania należnych odszkodowań i świadczeń, a także prawidłowe ustalenie wysokości składki i efektywność procesów likwidacyjnych - projektodawca zdecydował o wprowadzeniu przepisu, na podstawie którego zakłady ubezpieczeń będą mogły podejmować decyzję, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, w procesie dokonywania oceny ryzyka ubezpieczeniowego oraz wykonywania czynności ubezpieczeniowych, o których mowa w art. 4 ust. 9 pkt 1 i 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (zmieniany art. 41 ust. 1).
UDUR a przepisy projektowane: Jednocześnie zdecydowano się na wprowadzenie przepisów, których celem jest zapewnienie osobie fizycznej zarówno prawa do zakwestionowania takiej decyzji, prawa do wyrażenia własnego stanowiska w tej sprawie oraz do uzyskania interwencji ludzkiej. Ponadto zakład ubezpieczeń będzie zobowiązany do przedstawienia - na wniosek osoby, której dane dotyczą - stosownych wyjaśnień, co do podstaw podjętej decyzji wyłącznie na podstawie zautomatyzowanego przetwarzania, w tym profilowania.
UDUR a przepisy projektowane: Z kolei dodawany ust. 1a w art. 41 ustawy o działalności ubezpieczeniowej i reasekuracyjnej, zawierający katalog danych, sprawi, iż w celu podjęcia decyzji w oparciu o dane osobowe wyłącznie przetwarzane automatycznie, w tym profilowanie, zakład ubezpieczeń będzie mógł wykorzystać tylko te dane, które zostały określone w ustawie. W katalogu tym wymienione zostały również dane wrażliwe o stanie zdrowia ubezpieczonego, których przetwarzanie jest niezbędne m.in. przy ocenie ryzyka ubezpieczeniowego oraz wypłaty świadczenia w ubezpieczeniach na życie. Należy przy tym podkreślić, że jednym z warunków przetwarzania szczególnych kategorii danych osobowych, w tym danych o stanie zdrowia, jest wyrażenia wyraźnej zgody na ich przewarzania przez osobę, której te dane dotyczą (art. 9 ust. 2 lit. a RODO).
UDUR a przepisy projektowane: Z kolei dodawany ust. 1a w art. 41 ustawy o działalności ubezpieczeniowej i reasekuracyjnej, zawierający katalog danych, sprawi, iż w celu podjęcia decyzji w oparciu o dane osobowe wyłącznie przetwarzane automatycznie, w tym profilowanie, zakład ubezpieczeń będzie mógł wykorzystać tylko te dane, które zostały określone w ustawie. W katalogu tym wymienione zostały również dane wrażliwe o stanie zdrowia ubezpieczonego, których przetwarzanie jest niezbędne m.in. przy ocenie ryzyka ubezpieczeniowego oraz wypłaty świadczenia w ubezpieczeniach na życie. Należy przy tym podkreślić, że jednym z warunków przetwarzania szczególnych kategorii danych osobowych, w tym danych o stanie zdrowia, jest wyrażenia wyraźnej zgody na ich przewarzania przez osobę, której te dane dotyczą (art. 9 ust. 2 lit. a RODO).
UDUR a przepisy projektowane: Z kolei na podstawie art. 22 ust. 4 rozporządzenia RODO, decyzje oparte na zautomatyzowanym przetwarzaniu, w tym profilowaniu, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1 RODO, chyba że zastosowanie ma art. 9 ust. 2 lit. a. W tym przypadku znajdzie więc zastosowanie wyjątek określony w art. 22 ust. 4 rozporządzenia RODO, który zostanie wprost określony w prawie krajowym zgodnie z możliwością wynikającą z art. 22 ust. 2 lit. b RODO. W konsekwencji w przypadku wyrażenia zgody na podstawie art. 9 ust. 2 lit. a RODO, zakład ubezpieczeń będzie mógł podejmować zautomatyzowane decyzje w oparciu o dane dotyczące stanu zdrowia ubezpieczonego na podstawie zaproponowanego przepisu. Ponadto zakład ubezpieczeń będzie zobowiązany do spełnienia ogólnych warunków dotyczących obowiązków informacyjnych, o których mowa w art. 13 i art. 14 RODO, m.in. w zakresie informowania osoby o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu na podstawie danych dotyczących tej osoby.
UDUR a przepisy projektowane: Wydaje się zatem, iż wprowadzany przepis w pełni koresponduje z przepisami RODO dot. decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu. Rozwiązanie implementowane do prawa polskiego powinno zapewnić możliwość usprawnienia procedury oceny ryzyka ubezpieczeniowego i procesów likwidacyjnych, tak aby te procesy były efektywniejsze przy jednoczesnym zachowaniu praw dla osoby, której dane dotyczą, do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji czy uzyskania interwencji ludzkiej. Z
UDUR a przepisy projektowane: Ponadto, biorąc pod uwagę art. 17 RODO dotyczący tzw. prawa do bycia zapomnianym, warto wskazać, iż w przypadku cofnięcia zgody osoba, której dane dotyczą, ma prawo do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator bez zbędnej zwłoki ma obowiązek te dane usunąć chyba, że występuje inna podstawa prawna przetwarzania tych danych. W przypadku przetwarzania danych osobowych zakłady ubezpieczeń, na podstawie dodawanego w art. 41 ust. 1b ustawy, będą mogły przetwarzać dane klientów niezależnie od tego, czy klient cofnie wyrażoną zgodę, w celach, o których mowa w art. 33 ust. 3 ustawy. Dane statystyczne, o których mowa w art. 33 ust. 3 ustawy, obejmują dane zagregowane (zbiorcze) oraz dane dotyczące poszczególnych osób fizycznych w celu ustalania na ich podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw techniczno-ubezpieczeniowych. Dodatkowo projektodawca przewiduje, że dane te będą przetwarzane nie dłużej niż przez 12 lat od rozwiązania umowy ubezpieczenia. Propozycja 12-letniego okresu przetwarzania danych jest analogiczna do regulacji zawartej w art. 105a ust. 5 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.). Z
UDUR na gruncie UODO – udostępnianie danych
Tajemnica ubezpieczeniowa Art. 35 ust. 1 UDUR: Zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia. Nie dotyczy: Policji, sądów, organów, ale też np.: ubezpieczającego, ubezpieczonego, a w przypadku zgłoszenia wystąpienia zdarzenia losowego, z którym umowa wiąże odpowiedzialność zakładu ubezpieczeń − także uprawnionego z umowy ubezpieczenia;
Tajemnica ubezpieczeniowa Zakład ubezpieczeń, jako dysponent informacji objętych tajemnicą ubezpieczeniową ponosi odpowiedzialność za niezgodne z prawem ujawnienie informacji (karną, cywilną, administracyjną). Naczelny Sąd Administracyjny w orzeczeniu z dnia 5 czerwca 2001 r., III SA 2661/00, uznał, że zakaz ujawniania danych stanowiących tajemnicę ubezpieczeniową obejmuje zakaz ujawniania treści samej umowy (art. 805 k.c.), dokumentu ubezpieczenia (art. 809 k.c.), informacji o wysokości składki (art. 813 k.c.), informacji pochodzącej od ubezpieczonego (art. 815 k.c.) Wszelkie dane uzyskane przez zakład ubezpieczeń
Tajemnica ubezpieczeniowa c.d. Art. 35 ust. 6. Nie narusza obowiązku zachowania tajemnicy, o którym mowa w ust. 1, złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa na szkodę zakładu ubezpieczeń albo o tym, że działalność zakładu ubezpieczeń jest wykorzystywana w celu ukrycia przestępstwa lub przestępstwa skarbowego lub dla celów mających związek z przestępstwem lub przestępstwem skarbowym.
UDUR a przepisy projektowane: po art. 35 dodaje się art. 35a i art. 35b w brzmieniu: „Art. 35a. Zakład ubezpieczeń może przetwarzać dane osobowe, w tym dane osobowe objęte obowiązkiem zachowania tajemnicy, o którym mowa w art. 35 ust. 1, w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń w celu i zakresie niezbędnym do zapobiegania temu przestępstwu. Art. 35b. Do przetwarzania danych osobowych przez zakład ubezpieczeń przepisu art. 15 rozporządzenia 2016/679 w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom, nie stosuje się.”;
UDUR Art. 38 UDUR Zakład ubezpieczeń może uzyskać odpłatnie od podmiotów wykonujących działalność leczniczą w rozumieniu przepisów o działalności leczniczej, które udzielały świadczeń zdrowotnych ubezpieczonemu lub osobie, na rachunek której ma zostać zawarta umowa ubezpieczenia, informacje o okolicznościach związanych z oceną ryzyka ubezpieczeniowego i weryfikacją podanych przez tę osobę danych o jej stanie zdrowia, ustaleniem prawa tej osoby do świadczenia z zawartej umowy ubezpieczenia i wysokością tego świadczenia. Wystąpienie zakładu ubezpieczeń o informacje, o których mowa w ust. 2, wymaga pisemnej zgody ubezpieczonego lub osoby, na rachunek której ma zostać zawarta umowa ubezpieczenia, albo jej przedstawiciela ustawowego.
UDUR Art. 38 ust. 8 UDUR 8. Zakład ubezpieczeń może uzyskać odpłatnie od Narodowego Funduszu Zdrowia dane o nazwach i adresach świadczeniodawców, którzy udzielili świadczeń opieki zdrowotnej w związku z wypadkiem lub zdarzeniem losowym będącym podstawą ustalenia jego odpowiedzialności oraz wysokości odszkodowania lub świadczenia. Wystąpienie zakładu ubezpieczeń o te informacje wymaga pisemnej zgody ubezpieczonego albo jego przedstawiciela ustawowego.
UDUR Art. 39 ust. 1 udur: Zakład ubezpieczeń może, za pisemną zgodą osoby, której dane dotyczą, albo jej przedstawiciela ustawowego, na pisemne żądanie innego zakładu ubezpieczeń, udostępnić temu zakładowi ubezpieczeń przetwarzane przez siebie dane osobowe w zakresie potrzebnym do oceny ryzyka ubezpieczeniowego i weryfikacji danych podanych przez ubezpieczającego, ubezpieczonego lub osobę, na rachunek której ma zostać zawarta umowa ubezpieczenia, ustalenia prawa ubezpieczonego do świadczenia z zawartej umowy ubezpieczenia i wysokości tego świadczenia, a także do udzielenia posiadanych przez siebie informacji o przyczynie śmierci ubezpieczonego lub informacji niezbędnych do ustalenia prawa uprawnionego z umowy ubezpieczenia do świadczenia i jego wysokości.
UDUR PROJEKT: 4) w art. 38 w ust. 6 i w ust. 8 w zdaniu drugim skreśla się wyraz „pisemnej”; 5) w art. 39 w ust. 1 skreśla się użyty dwukrotnie w różnym rodzaju i przypadku wyraz „pisemny”;
UDUR Art. 40 ust. 1 UDUR: Przepisy art. 37−39 stosuje się odpowiednio do pozyskiwania przez zakłady ubezpieczeń danych osoby poszkodowanej w zdarzeniu losowym objętym ubezpieczeniem odpowiedzialności cywilnej. Udostępnianie danych może dotyczyć informacji niezbędnych zakładowi ubezpieczeń do ustalenia prawa osoby zgłaszającej roszczenie do odszkodowania lub świadczenia z ubezpieczenia odpowiedzialności cywilnej, a także określenia ich wysokości. Przepis ust. 1 stosuje się odpowiednio do Ubezpieczeniowego Funduszu Gwarancyjnego i Polskiego Biura Ubezpieczycieli Komunikacyjnych.
ROLE PODMIOTÓW W UDUR a WYMOGI RODO
Role podmiotów Agent ubezpieczeniowy działa na rzecz jednego zakładu ubezpieczeń i w jego imieniu podejmuje czynności związane z zawieraniem umowy ubezpieczenia. Agent jest podmiotem przetwarzającym dane w imieniu ubezpieczyciela.
Rodo a współpraca z agentami Należy zawrzeć z procesorem umowę powierzenia zgodną z RODO Umowa powierzenia na gruncie uodo: cel i zakres zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu. Należy wybierać procesorów dających gwarancje, że przetwarzanie będzie zgodne z RODO.
Rodo a współpraca z innymi podmiotami A jaka jest rola brokera? Broker - osoba upoważniona przez ubezpieczonego do stałego bądź doraźnego dokonywania w jej imieniu czynności prawnych lub faktycznych związanych z zawieraniem bądź wykonywaniem umów ubezpieczenia albo pośredniczenia przy zawieraniu umów ubezpieczenia na rzecz ubezpieczającego Działa na rzecz klienta, wyszukuje dla niego oferty Broker – jako administrator danych
Rodo a współpraca z innymi podmiotami Jaka jest rola innego podmiotu powiązanego kapitałowo z ubezpieczycielem np. innego ubezpieczyciela? Udostępnianie danych między ubezpieczycielami Udostępnianie danych między placówkami medycznymi a ubezpieczycielami
UDUR a WYMOGI RODO
UDUR a wymogi RODO Prowadzenie działalności ubezpieczeniowej może wiązać się z szeregiem wymogów wynikających z RODO: Ocena skutków dla ochrony danych – wymagana m.in. w przypadku: przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10;
UDUR a wymogi RODO Powołanie inspektora ochrony danych jest obowiązkowe gdy: główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Dziękuję za uwagę! p.kozik@gkklegal.pl