RODO w ubezpieczeniach: podstawa prawna i praktyka
Sektor ubezpieczeniowy opiera się na przetwarzaniu ogromnych ilości danych osobowych. Każda kalkulacja składki, zawarcie umowy czy proces likwidacji szkody wymagają od ubezpieczycieli pozyskania szczegółowych informacji o klientach. W dobie obowiązywania Ogólnego Rozporządzenia o Ochronie Danych (RODO), zakłady ubezpieczeń muszą precyzyjnie balansować między potrzebą rzetelnej oceny ryzyka a ochroną prywatności ubezpieczonych. Niniejsze opracowanie stanowi szczegółową analizę prawną i praktyczną dotyczącą stosowania przepisów o ochronie danych osobowych w działalności ubezpieczeniowej.
Teza publikacji: Równowaga między oceną ryzyka a minimalizacją danych
Główną tezą niniejszego artykułu jest stwierdzenie, że zgodne z prawem przetwarzanie danych w ubezpieczeniach wymaga od administratorów ścisłego przestrzegania zasady minimalizacji danych oraz precyzyjnego dobierania podstaw prawnych do poszczególnych etapów relacji z klientem. Ubezpieczyciele nie mogą gromadzić danych „na zapas”, a przetwarzanie informacji o stanie zdrowia (danych szczególnej kategorii) podlega wyjątkowo rygorystycznym obostrzeniom prawnym, których naruszenie grozi dotkliwymi sankcjami ze strony organu nadzorczego.
Na czym polega problem przetwarzania danych w ubezpieczeniach?
Specyfika działalności ubezpieczeniowej polega na konieczności szacowania ryzyka matematycznego i statystycznego. Aby ubezpieczyciel mógł rzetelnie wycenić polisę na życie lub zdrowotną, musi poznać historię medyczną klienta. Z kolei przy ubezpieczeniach komunikacyjnych czy majątkowych kluczowe są informacje o dotychczasowym przebiegu ubezpieczenia, szkodowości, a czasem nawet o stylu życia czy sposobie użytkowania pojazdu.
Konfrontacja tych potrzeb z zasadami RODO rodzi fundamentalny konflikt. RODO opiera się na zasadzie adekwatności i minimalizacji – administrator powinien przetwarzać tylko te dane, które są niezbędne do osiągnięcia celu. Z perspektywy ubezpieczyciela pojęcie „niezbędności” bywa jednak interpretowane bardzo szeroko, co często prowadzi do sporów z klientami oraz interwencji Urzędu Ochrony Danych Osobowych.
Kogo dotyczy RODO w ubezpieczeniach?
Przepisy o ochronie danych osobowych w kontekście ubezpieczeń dotyczą szerokiego kręgu podmiotów:
- Ubezpieczycieli (zakładów ubezpieczeń) – występujących najczęściej jako administratorzy danych osobowych (ADO), którzy decydują o celach i sposobach przetwarzania;
- Pośredników ubezpieczeniowych – agentów oraz brokerów, którzy w zależności od formy prawnej i zakresu umów mogą działać jako samodzielni administratorzy lub podmioty przetwarzające dane w imieniu ubezpieczyciela (procesorzy);
- Klientów – ubezpieczających (zawierających umowę), ubezpieczonych (objętych ochroną), uposażonych (uprawnionych do otrzymania świadczenia w przypadku śmierci ubezpieczonego);
- Poszkodowanych i sprawców – osób trzecich biorących udział w zdarzeniach losowych, których dane są niezbędne do likwidacji szkody z ubezpieczeń odpowiedzialności cywilnej (OC).
Podstawa prawna przetwarzania danych osobowych
W ubezpieczeniach nie ma jednej uniwersalnej podstawy prawnej przetwarzania danych. Wybór odpowiedniej podstawy zależy od etapu umowy oraz rodzaju przetwarzanych danych.
Dane zwykłe (art. 6 RODO)
W przypadku danych standardowych (takich jak imię, nazwisko, PESEL, adres zamieszkania, numer telefonu) ubezpieczyciele najczęściej opierają się na następujących przesłankach:
- Niezbędność do wykonania umowy lub podjęcia działań przed jej zawarciem (art. 6 ust. 1 lit. b RODO) – to podstawowa ścieżka przy kalkulacji składki na wniosek klienta oraz przy samej realizacji umowy ubezpieczenia;
- Wypełnienie obowiązku prawnego (art. 6 ust. 1 lit. c RODO) – ubezpieczyciele mają ustawowe obowiązki wynikające m.in. z ustawy o działalności ubezpieczeniowej i reasekuracyjnej, ustawy o ubezpieczeniach obowiązkowych czy przepisów o przeciwdziałaniu praniu pieniędzy (AML);
- Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) – stosowany np. przy marketingu bezpośrednim własnych usług, zapobieganiu oszustwom ubezpieczeniowym (przestępczości ubezpieczeniowej) czy dochodzeniu roszczeń regresowych.
Dane szczególnej kategorii (art. 9 RODO)
Dane dotyczące stanu zdrowia są kluczowe przy ubezpieczeniach życiowych i osobowych. Ich przetwarzanie jest co do zasady zabronione, chyba że zachodzi jeden z wyjątków przewidzianych w art. 9 ust. 2 RODO. W praktyce polskiego rynku ubezpieczeniowego najistotniejsze są dwie podstawy:
- Wyraźna zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit. a RODO) – klient dobrowolnie wyraża zgodę na przetwarzanie danych o swoim zdrowiu w celu oceny ryzyka i zawarcia umowy;
- Ustalenie, dochodzenie lub obrona roszczeń (art. 9 ust. 2 lit. f RODO) – ta przesłanka pozwala ubezpieczycielowi przetwarzać dane medyczne w procesie likwidacji szkody i wypłaty odszkodowania, nawet bez odrębnej zgody, ponieważ jest to niezbędne do realizacji roszczeń wynikających z umowy lub przepisów prawa.
Obowiązki ubezpieczyciela jako administratora danych
Zakłady ubezpieczeń, jako profesjonalni uczestnicy obrotu gospodarczego, muszą realizować szereg obowiązków nałożonych przez RODO. Do najważniejszych z nich należą:
Obowiązek informacyjny i termin jego realizacji
Każdy klient, którego dane są zbierane, musi zostać poinformowany o tożsamości administratora, celach przetwarzania, odbiorcach danych oraz przysługujących mu prawach. Jeżeli dane są zbierane bezpośrednio od klienta, obowiązek ten należy spełnić w momencie ich pozyskiwania (np. na formularzu wniosku o ubezpieczenie). Jeżeli dane pochodzą z innego źródła (np. od Ubezpieczeniowego Funduszu Gwarancyjnego lub placówki medycznej), ubezpieczyciel ma termin maksymalnie jednego miesiąca na przekazanie tych informacji osobie, której dane dotyczą.
Rozpatrywanie wniosków osób, których dane dotyczą
Klienci mają prawo do zgłoszenia wniosku o realizację swoich praw, takich jak prawo dostępu do danych, ich sprostowania, usunięcia („bycia zapomnianym”) czy ograniczenia przetwarzania. Ubezpieczyciel ma ustawowy termin na udzielenie odpowiedzi – bez zbędnej zwłoki, a najpóźniej w ciągu jednego miesiąca od otrzymania żądania. W sprawach szczególnie skomplikowanych termin ten może zostać przedłużony o kolejne dwa miesiące, o czym należy klienta uprzednio poinformować, podając przyczyny opóźnienia.
Profilowanie i zautomatyzowane podejmowanie decyzji (art. 22 RODO)
Jednym z najbardziej zaawansowanych technologicznie procesów w nowoczesnych ubezpieczeniach jest profilowanie. Wykorzystanie algorytmów i systemów taryfikacyjnych pozwala na automatyczne dopasowanie wysokości składki do profilu ryzyka danego klienta. Zgodnie z art. 22 RODO, osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa.
W ubezpieczeniach zautomatyzowane podejmowanie decyzji (np. automatyczna odmowa zawarcia umowy online lub automatyczne wyliczenie składki bez udziału człowieka) jest dopuszczalne, jeżeli jest to niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem. Niemniej jednak, ubezpieczyciel musi wdrożyć odpowiednie środki ochrony praw i wolności klienta. Klient musi mieć prawo do uzyskania interwencji ludzkiej ze strony ubezpieczyciela, wyrażenia własnego stanowiska i zakwestionowania podjętej automatycznie decyzji. Informacja o stosowaniu takich algorytmów musi być jasno przedstawiona w klauzuli informacyjnej.
Rola Inspektora Ochrony Danych (IOD) w zakładzie ubezpieczeń
Ze względu na masowy charakter przetwarzania danych oraz regularne operowanie danymi wrażliwymi (medycznymi), każdy zakład ubezpieczeń ma prawny obowiązek wyznaczenia Inspektora Ochrony Danych (IOD). IOD pełni kluczową rolę w strukturze organizacyjnej ubezpieczyciela. Do jego zadań należy monitorowanie zgodności procesów z RODO, doradztwo w zakresie oceny skutków dla ochrony danych (DPIA) oraz pełnienie funkcji punktu kontaktowego dla klientów oraz dla Urzędu Ochrony Danych Osobowych.
Dla klienta ubezpieczalni kontakt z IOD jest najszybszą drogą do wyjaśnienia wątpliwości związanych z tym, jak przetwarzane są jego dane. Wszelkie wnioski o realizację praw, skargi na nadmierne żądania dokumentacji medycznej czy pytania o podstawy prawne powinny być kierowane bezpośrednio do wyznaczonego Inspektora, którego dane kontaktowe ubezpieczyciel ma obowiązek publicznie udostępnić na swojej stronie internetowej oraz w dokumentach polisowych.
Udostępnianie danych podmiotom trzecim: Reasekuracja, UFG i PIU
Przetwarzanie danych w ubezpieczeniach nie ogranicza się wyłącznie do relacji klient-ubezpieczyciel. Specyfika rynku wymaga wymiany informacji z innymi wyspecjalizowanymi podmiotami:
- Zakłady reasekuracji – ubezpieczyciele często transferują część ryzyka na innych, globalnych partnerów (reasekuratorów). Wiąże się to z koniecznością przekazania danych o ubezpieczonych ryzykach. Przekazywanie to opiera się na przepisach ustawy o działalności ubezpieczeniowej oraz na prawnie uzasadnionym interesie ubezpieczyciela;
- Ubezpieczeniowy Fundusz Gwarancyjny (UFG) – ubezpieczyciele mają ustawowy obowiązek przekazywania do UFG danych dotyczących zawartych umów ubezpieczeń obowiązkowych (OC komunikacyjne, AC) oraz zgłoszonych szkód. Baza UFG służy m.in. do weryfikacji historii bezszkodowej jazdy przy kalkulacji składek;
- Polska Izba Ubezpieczeń (PIU) – instytucja ta ułatwia wymianę informacji w celu przeciwdziałania przestępczości ubezpieczeniowej. Wymiana danych w tym zakresie opiera się na wyraźnych podstawach ustawowych i ma na celu ochronę funduszu ubezpieczeniowego przed wyłudzeniami.
Rola organu nadzorczego i konsekwencje naruszeń
Organem stojącym na straży przestrzegania przepisów o ochronie danych osobowych w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Organ ten posiada szerokie uprawnienia kontrolne i może nakładać administracyjne kary pieniężne na podmioty naruszające RODO. Dla sektora ubezpieczeniowego kary te mogą sięgać milionów złotych, nie wspominając o stratach wizerunkowych, które w branży opartej na zaufaniu są niezwykle dotkliwe. Dodatkowo, klienci poszkodowani w wyniku wycieku danych lub bezprawnego ich przetwarzania mają prawo dochodzić zadośćuczynienia na drodze cywilnej.
Najczęstsze błędy i ryzyka w praktyce ubezpieczeniowej
Analiza decyzji PUODO oraz sporów sądowych pozwala na zidentyfikowanie najczęstszych uchybień ubezpieczycieli:
- Naruszenie zasady minimalizacji – żądanie pełnej dokumentacji medycznej z wielu lat wstecz w sytuacjach, gdy do oceny ryzyka lub likwidacji szkody wystarczyłoby zaświadczenie lekarskie dotyczące konkretnego urazu;
- Niewłaściwe zabezpieczenie danych – wysyłanie korespondencji zawierającej wrażliwe dane medyczne lub finansowe na błędne adresy e-mail lub tradycyjne (błędy adresowania);
- Uzależnianie zawarcia umowy od zgód marketingowych – zgoda na marketing bezpośredni musi być w pełni dobrowolna i nie może warunkować możliwości zakupu polisy;
- Przekraczanie terminów retencji danych – przechowywanie danych byłych klientów przez okres dłuższy niż wymaga tego zabezpieczenie przedawnienia roszczeń (standardowo 3 lub 6 lat, w zależności od rodzaju umowy, a w przypadku szkód z OC nawet do 20 lat).
Praktyczny przykład: Proces likwidacji szkody osobowej
Aby lepiej zobrazować funkcjonowanie RODO w ubezpieczeniach, przyjrzyjmy się procesowi likwidacji szkody po wypadku komunikacyjnym. Pan Tomasz został poszkodowany w wypadku drogowym i doznał urazu kręgosłupa. Zgłasza szkodę do ubezpieczyciela sprawcy z tytułu obowiązkowego ubezpieczenia OC.
Ubezpieczyciel, aby ustalić wysokość zadośćuczynienia, musi przeanalizować dokumentację medyczną Pana Tomasza. Podstawą prawną przetwarzania tych wrażliwych danych jest art. 9 ust. 2 lit. f RODO (ustalenie i dochodzenie roszczeń). Ubezpieczyciel wysyła do Pana Tomasza wniosek o dostarczenie dokumentów ze szpitala oraz historii leczenia ortopedycznego. Pan Tomasz ma prawo żądać, aby ubezpieczyciel ograniczył zakres dokumentów tylko do tych, które bezpośrednio dotyczą urazu kręgosłupa powstałego w wyniku wypadku. Żądanie przez ubezpieczyciela historii leczenia kardiologicznego czy stomatologicznego byłoby w tym przypadku bezprawne i stanowiłoby naruszenie RODO.
Podsumowanie i rekomendacje dla stron
Zarówno zakłady ubezpieczeń, jak i klienci powinni być świadomi swoich praw i obowiązków wynikających z RODO. Dla ubezpieczycieli kluczem do sukcesu jest wdrożenie zasady privacy by design (ochrony danych w fazie projektowania) oraz regularne szkolenie personelu i agentów. Klienci natomiast powinni uważnie czytać klauzule informacyjne i nie wahać się kwestionować żądań ubezpieczycieli, które wydają się nadmiarowe. RODO w ubezpieczeniach nie powinno być traktowane jako bariera biurokratyczna, lecz jako standard gwarantujący bezpieczeństwo i transparentność na rynku finansowym.