Wybrane aspekty prawne udostępniania danych osobowych w sektorze ubezpieczeń Dr Arwid Mednis radca prawny Warszawa 2012 r.
AGENDA Najistotniejsze akty prawne w zakresie ochrony danych osobowych w sektorze ubezpieczeń. Uwagi o przesłankach legalizujących przetwarzanie danych osobowych w sektorze ubezpieczeń. Relacja UODO i UDU w zakresie ochrony danych osobowych Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń. Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń a UFG. Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń a biurami informacji gospodarczej
ochrony danych osobowych w sektorze ubezpieczeń Najistotniejsze akty prawne w zakresie ochrony danych osobowych w sektorze ubezpieczeń
Najistotniejsze akty prawne w zakresie ochrony danych osobowych w sektorze ubezpieczeń Konstytucja Rzeczypospolitej Polskiej (art. 47, 51) Ustawa o ochronie danych osobowych (UODO) Ustawa o działalności ubezpieczeniowej (UDU) Ustawa o ubezpieczeniach obowiązkowych, UFG i PBUK (UUO) Ustawa o udostępnianiu informacji gospodarczej i wymianie danych gospodarczych (u.u.i.g.)
Uwagi o przesłankach legalizujących przetwarzanie danych osobowych w sektorze ubezpieczeń
Uwagi o przesłankach legalizujących przetwarzanie danych osobowych w sektorze ubezpieczeń (1) Zakłady ubezpieczeniowe mogą przetwarzać dane osobowe na podstawie ogólnego katalogu przesłanek z art. 23 ust. 1 UODO Obowiązek zachowania tajemnicy ubezpieczeniowej - Art. 19 ust. 1 UDU: „[…] tajemnica dotycząca poszczególnych umów ubezpieczenia.” Szczególna przesłanka: przepis prawa – art. 24 ust. 1 UDU: „ Zakład ubezpieczeń może zbierać, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy ubezpieczenia, dane ubezpieczonych lub uprawnionych z umowy ubezpieczenia. Względem tych danych na mocy art. 24 ust. 2 UDU wyłączono obowiązek informacyjny z art. 25 ust. 1 UODO.
Relacja UODO i UDU w zakresie ochrony danych osobowych
Relacja UODO i UDU w zakresie ochrony danych osobowych (1) Art. 5 UODO („reguła kolizyjna”): „Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idąca ochronę, niż wynika to z przepisów ustawy, stosuje się przepisy tych ustaw.” Jak należy rozumieć tę regułę? W jaki sposób oceniać poziom ochrony? Czy reguła wyłącza zastosowanie UODO względem danych objętych tajemnica ubezpieczeniową?
Relacja UODO i UDU w zakresie ochrony danych osobowych (2) Kolizja norm rozstrzygana jest na korzyść tych, które przewidują lepszą ochronę danych osobowych. Poziom ochrony powinien być oceniany w odniesieniu do poszczególnych obowiązków wynikających z UODO, a nie „całościowo”. Przepisy UDU stanowią uregulowanie szczególne w stosunku do UODO i nakładają na określone podmioty istotne obostrzenia lub modyfikacje obowiązków w zakresie przetwarzania danych osobowych. Niekiedy to także zwolnienia spod ogólnych obowiązków.
Relacja UODO i UDU w zakresie ochrony danych osobowych (3) Do zakładów ubezpieczeń zastosowanie znajdują m.in. ogólne zasady przetwarzania danych przez administratorów z UODO (art. 26 UODO). W szczególności należy zwrócić uwagę na zasadę adekwatności zbieranych i przetwarzanych danych do celów (ekscesywność): Wyrok Naczelnego Sądu Administracyjnego z dnia 19 grudnia 2001 r. (II SA 2869/00): Przetwarzanie danych osobowych osób trzecich względem (rodziców, dzieci ubezpieczonego) w związku z dochodzeniem roszczeń odszkodowawczych z tytułu umowy dobrowolnego ubezpieczenia OC przez ubezpieczonego jest nieadekwatne do celu przetwarzania.
Relacja UODO i UDU w zakresie ochrony danych osobowych (4) Wyrok WSA w Warszawie z 20 kwietnia 2005 r. (II SA/Wa 1923/04): Uzyskanie zgody na przetwarzanie danych osobowych potencjalnego klienta przez zakład ubezpieczeń na przedstawienie telefonicznej oferty ubezpieczeniowej, nie stanowi dostatecznej przesłanki przetwarzania danych w zakresie szerszym, aniżeli jest to niezbędne dla przygotowania takiej oferty.
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń (1) Udostępnianie danych osobowych objętych tajemnicą ubezpieczeniową Podstawa prawna wyłączenia tajemnicy ubezpieczeniowej między zakładami ubezpieczeń – art. 19 ust. 2 pkt 22 i 21 UDU Udostępnienie następuje wyłącznie w niezbędnym zakresie w celu: przeciwdziałania przestępczości ubezpieczeniowej; zastosowania taryfy w zależności od długości okresu bezszkodowego; ustalenia odpowiedzialności proporcjonalnej zakładów bądź w związku z zawarciem umowy reasekuracji/koasekuracji w zakresie umów ubezpieczeniowych nią objętych.
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń (2) Udostępnianie danych osobowych w oparciu o inne przesłanki (art. 3 ust. 7 UDU) – zlecenie niektórych czynności ubezpieczeniowych innemu zakładowi na jego wniosek w zakresie: wypłacania odszkodowań i innych świadczeń należnych z tytułu umów; prowadzenia postępowań regresowych oraz postępowań windykacyjnych związanych z wykonywaniem umów (ubezpieczenia, gwarancji ubezpieczeniowych, reasekuracji z cedowaniem ryzyka); ustalenia przyczyn i okoliczności zdarzeń losowych oraz wysokości szkód, odszkodowań i innych świadczeń należnych. Decyzja GIODO z 21 sierpnia 2007 r. (GI-DEC-DOLiS-180/07): Udostępnienie danych osobowych ubezpieczonego zawartych w aktach szkody między zakładami było niezbędne dla wypłacenia odszkodowania (art. 23 ust. 1 pkt 2 UODO) oraz realizowało prawnie usprawiedliwiony cel zakładu, który udostępnił dane po dokonaniu wstępnych czynności ubezpieczeniowych i zażądał ze nie wynagrodzenia (art. 23 ust. 1 pkt 5 UODO).
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń (3) Udostępnianie danych osobowych o stanie zdrowia pomiędzy zakładami ubezpieczeń (dane sensytywne) - art. 22 ust. 5 UDU: Żądanie drugiego zakładu ubezpieczeń oraz zgoda osoby, której dane dotyczą (lub jej przedstawiciela ustawowego) – obie wyrażone na piśmie. Udostępnienie następuje wyłącznie w niezbędnym zakresie w celu: oceny ryzyka ubezpieczeniowego i weryfikacji danych; ustalenia prawa ubezpieczonego do świadczenia z zawartej umowy ubezpieczenia i wysokości świadczenia; udzielenia informacji o przyczynie śmierci ubezpieczonego; ustalenia prawa uprawnionego do odszkodowania z tytułu umowy ubezpieczenia i jego wysokości. Zasady te stosujemy odpowiednio do sytuacji zgłoszenia roszczeń z tytułu odpowiedzialności cywilnej w przypadku uszczerbku na zdrowiu (art. 23 UDU)
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń (4) Udostępnianie danych osobowych na cele marketingowe: przesłanką legalizująca przetwarzanie danych dla celów marketingowych własnych produktów lub usług może być usprawiedliwiony cel zakładu ubezpieczeń ale Decyzja GIODO z dnia 30 grudnia 2004 r. (GI-DEC-DS-287/04) oraz Wyrok WSA w Warszawie z dnia 26 lipca 2006 r. w tej sprawie (II SA/Wa 563/05): Jedyną przesłanką umożliwiającą udostępnianie danych osobowych w celu ich przetwarzania na cele marketingowe jest wyraźna zgoda osób, których dane dotyczą.
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń a UFG
Przekazywanie danych do UFG przez zakłady ubezpieczeń (1) Zwolnienie zakładu ubezpieczeń z obowiązku zachowania tajemnicy ubezpieczeniowej - art. 19 ust. 2 pkt 15 UDU Udostępnienia danych UFG przez zakład ubezpieczeń następuje w trybie art. 105 ust. 2 UUO: „Zakład ubezpieczeń przekazuje do Funduszu dane […] niezwłocznie […]” „Dane są przekazywane do Funduszu przez […] zakłady ubezpieczeń […] bez zgody i wiedzy osoby, której dane dotyczą.”
Przekazywanie danych do UFG przez zakłady ubezpieczeń (2) Zakres danych przekazywanych przez zakłady ubezpieczeń do UFG: Obejmują dane osobowe wskazane w art. 102 ust. 2 – 4 UUO oraz art. 103 UUO, m.in.: 1) zawarte w umowach ubezpieczenia casco pojazdów lądowych (z wyjątkiem szynowych) obejmujących szkody w pojazdach; 2) zawarte w umowach ubezpieczeń od odpowiedzialności cywilnej wszelkiego rodzaju wynikającej z posiadania i użytkowania pojazdów lądowych z napędem własnym; 3) uczestników zdarzeń powodujących odpowiedzialność zakładu ubezpieczeń z tytułu umów OC; 4) dane reprezentantów ds. roszczeń.
Przekazywanie danych do UFG przez zakłady ubezpieczeń (3) Zakres podmiotowy przekazywanych UFG danych jest zatem bardzo szeroki. Zakres przedmiotowy przekazywanych UFG danych obejmuje w każdym przypadku co najmniej imię i nazwisko, adres zamieszkania i numer PESEL
Przekazywanie danych do zakładów ubezpieczeń przez UFG (1) Art. 104 ust. 1 UUO: „Fundusz udostępnia zgromadzone dane […] zakładom ubezpieczeń” Art. 104. ust. 1b UUO - Ograniczenie zakresu udostępnianych danych kryterium „niezbędności” i wyłącznie dla określonych celów: do oceny ryzyka ubezpieczeniowego i weryfikacji danych; do ustalenia prawa ubezpieczonego i uprawnionego do świadczenia z zawartej umowy (gdy przedmiot objęto ochroną więcej niż jednego zakładu ubezpieczeń); w celu wykonania umowy ubezpieczenia; a dla innych celów – wyłącznie po anonimizacji.
Przekazywanie danych do zakładów ubezpieczeń przez UFG (2) Ponadto, zgodnie z art. 104 ust. 1c UUO: „Fundusz udostępnia zgromadzone dane dotyczące zdarzeń powodujących odpowiedzialność Funduszu […] zakładom ubezpieczeń, o ile jest to niezbędne dla celów określonych w ust. 1b.”
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń a biurami informacji gospodarczej
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń a biurami informacji gospodarczej (1) Art. 19 ust. 4 UDU: „Zakład ubezpieczeń może udostępniać dane dotyczące umów ubezpieczenia na zasadach i w trybie określonym w [u.u.i.g. – A.M.]” Inaczej niż w przypadku udostępniania danych UFG, udostępnianie danych biurom informacji gospodarczej przez zakłady ubezpieczeń jest fakultatywne.
Udostępnianie danych osobowych pomiędzy zakładami ubezpieczeń a biurami informacji gospodarczej (2) Brak przeszkód normatywnych dla udostępniania informacji przez biura informacji gospodarczej zakładom ubezpieczeń. Udostępnianie może być obustronne. Udostępnianie odbędzie się na zasadach ogólnych przewidzianych w u.u.i.g. Czy z punktu widzenia zakładów ubezpieczeń, dane uzyskane z biur informacji gospodarczej (np. w procesie badania ryzyka kredytowego) mogą być przydatne?
Kontakt: Dr Arwid Mednis Radca prawny tel. +48 22 50 50 766 e-mail: arwid.mednis@eversheds.pl Wierzbowski Eversheds Centrum Jasna ul. Jasna 14/16a 00-041 Warszawa Tel. +48 22 50 50 700 Faks +48 22 50 50 701 www.eversheds.pl
Zapraszam do dyskusji!