Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1

Agenda Dane osobowe w branży ubezpieczeniowej – podstawowe pojęcia Rodzaje danych osobowych przetwarzanych w działalności ubezpieczeniowej Podstawy prawne przetwarzania danych osobowych przetwarzanych w działalności ubezpieczeniowej   2 2

Pojęcie danych osobowych (I) Za dane osobowe uważa się: wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 3 3

Dane zwykłe Dane wrażliwe Pojęcie danych osobowych (II) Dane zwykłe Dane wrażliwe brak wyliczenia (wszelkie inne dane osobowe oprócz danych wrażliwych) • dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.) 4 4

Przesłanki przetwarzania tzw. danych zwykłych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa, jest konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych albo odbiorców danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. (...) 4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych, 5 5

Przesłanki przetwarzania tzw. danych wrażliwych Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem, przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, (...) 6 6

Przesłanki przetwarzania danych osobowych w działalnosći ubezpieczeniowej przepis prawa – art. 24 ust. 1 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej Zakład ubezpieczeń może zbierać, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy ubezpieczenia, dane ubezpieczonych lub uprawnionych z umowy ubezpieczenia. obowiązek zachowania tajemnicy ubezpieczeniowej Zakład ubezpieczeń i osoby w nim zatrudnione lub osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia. zgoda na przetwarzanie danych osobowych działanie w ramach prawnie usprawiedliwionego celu administratora danych osobowych 7 7

Obowiązek informacyjny Zbieranie danych bezpośrednio od osób, których dane dotyczą (art. 24) Dobrowolne lub obowiązkowe podanie danych osobowych Pełna nazwa i siedziba administratora danych Cel przetwarzania danych W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych Prawo dostępu do treści danych oraz ich poprawiania Zbieranie danych nie od osób, których dane dotyczą (art. 25) – dodatkowo informacje o Źródle danych Prawie sprzeciwu Zwolnienie z obowiązku informacyjnego – art. 24 ust. 2 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej Zbieranie danych, o których mowa w ust. 1, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia przez zakład ubezpieczeń, nie powoduje po stronie zakładu ubezpieczeń obowiązku powiadomienia, o którym mowa w art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 8 8

Przetwarzanie danych osobowych w celach marketingowych (I) podstawy prawne przetwarzania danych w celach marketingowych zgoda osoby, której dane dotyczą prawnie usprawiedliwiony cel administratora danych przetwarzanie danych osobowych w celu prowadzenia różnych form działań marketingowych przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej kierowanie do konsumentów propozycji zawierania umów korzystanie z automatycznym systemów wywołujących w celach marketingowych sposób dokumentowania udzielenia zgody zgodnie z wyrokiem NSA w spr. do sygn. OSK 507/04, nie można też wysyłać jednocześnie z wykonaniem obowiązku informacyjnego ofert marketingowych, gdyż dalsze korzystanie z takich danych zależy od zainteresowanych, którzy mogą zgłosić sprzeciw lub skorzystać z innych form kontroli. 9 9

Przetwarzanie danych osobowych w celach marketingowych (II) udostępnianie danych osobowych w celu włączenia do zbioru danych stanowi formę przetwarzania danych i nie jest regulowane w szczególny sposób przez ustawę o ochronie danych osobowych szczególny przypadek – udostępnianie danych osobowych na cele marketingowe zgodnie z decyzją GIODO z dnia 30 grudnia 2004 r. (GI- DEC-DS-287/04), jedyną przesłanką umożliwiającą udostępnianie danych osobowych w celu ich przetwarzania na cele marketingowe jest wyraźna zgoda osób, których dane dotyczą decyzja została utrzymana w mocy przez Wojewódzki Sąd Administracyjny wyrokiem Wojewódzkiego Sądu Administracyjnego z dnia 26 lipca 2006 r. (II SA/Wa 563/05) 10 10

Pierwotne i wtórne cele przetwarzania danych osobowych (I) zasada legalności (art.23,27 u.o.d.o.) cel pierwotny to cel dla którego podmiot danych przekazał swoje dane osobowe cel wtórny to inny cel przetwarzania danych niż cel dla którego dane zostały przekazane zasada celowości (art.26 ust.2 pkt 1 u.o.d.o.) cel pierwotny to cel określony przez administratora przy zbieraniu danych cel wtórny to cel określony później niż przy zbieraniu danych inne rozumienie pojęć „pierwotny” i „wtórny” cel przetwarzania danych na gruncie zasady legalności i zasady celowości 11 11

Pierwotne i wtórne cele przetwarzania danych osobowych (II) zakaz przetwarzania danych osobowych w celach niezgodnych z celami dla których dane zostały zebrane (art.26 ust.1 pkt 2 u.o.d.o.) rodzaje wtórnych celów przetwarzania danych cele tożsame z pierwotnie określonymi celami przetwarzania cele różne, ale nie niezgodne z pierwotnymi celami przetwarzania cele niezgodne (sprzeczne) z pierwotnie określonymi celami przetwarzania zakaz z art.26 ust.1 pkt 2 u.o.d.o. obejmuje jedynie cele sprzeczne przykłady dopuszczalnego przetwarzania danych w celach różnych od celów pierwotnie określonych zasada celowości a treść art.23 ust.2 u.o.d.o. („zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania”) 12 12

Pierwotne i wtórne cele przetwarzania danych osobowych (III) wykładnia wyjątku z art. 26 ust.2 u.o.d.o.: administrator może nadal przetwarzać dane, jeżeli nie narusza to praw i wolności osoby, której dane dotyczą dalsze przetwarzanie następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych zachowane pozostają przepisy art.23 i 25 u.o.d.o. zmiana celu na podstawie zgody podmiotu danych 13 13

Pierwotne i wtórne cele przetwarzania danych osobowych (IV) odpowiedzialność administracyjna za naruszenie zasady celowości rodzaje decyzji Generalnego Inspektora (art.18 ust.1 u.o.d.o.) weryfikacja przez Generalnego Inspektora w ramach postępowania rejestracyjnego (art.44 ust.1 lub art.44 ust.1-2 u.o.d.o.) odpowiedzialność karna za naruszenie zasady celowości (art. 50 u.o.d.o.) odwołanie się do pojęcia „przechowywania danych w zbiorze niezgodnie z celem utworzenia zbioru” krąg osób odpowiedzialnych 14 14

Dziękuję za uwagę litwinski@bartalitwinski.pl 15 15