Ślepy zaułek, czyli o aktualnym stanowisku UODO w przedmiocie statusu brokerów ubezpieczeniowych

17 stycznia, 2022

RODO – hasło to spędza sen z powiek wielu ekspertom w dziedzinie ochrony danych osobowych i nie tylko. Co jakiś czas bombardowani jesteśmy doniesieniami o kolejnych sankcjach finansowych zastosowanych głównie wobec przedsiębiorców. Z jednej strony istnieje wyraźna obawa przed wysokimi karami za brak wdrożenia bezpiecznych procedur, z drugiej zaś, wciąż wiele podmiotów błądzi jak we mgle, którą spowite są nie do końca jasne i klarowne regulacje.

Sytuacji nie ułatwia także podejście Europejskiej Rady Ochrony Danych (EROD), która cyklicznie wydaje nowe zlecenia dotyczące istotnych kwestii stosowania RODO. Te z bardziej doniosłych opisane zostały w Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego, gdzie zaakcentowane zostało, że kluczowe znaczenie ma w tym miejscu dokładne określenie celu (w jakim celu, po co przetwarzam dane) oraz sposobu ich przetwarzania (jakie środki należy zastosować, aby osiągnąć cel przetwarzania).

Te dwa faktory zasadniczo determinują status danego podmiotu jako administratora danych. Bez znaczenia przy tym pozostaje treść zawartych umów powierzenia, nawet jeśli umowa przewiduje, że jedna strona jest podmiotem przetwarzającym, podczas gdy w rzeczywistości ta strona decyduje o celach i sposobach przetwarzania – pomimo zapisów umownych będzie ona administratorem.

Ale czy aby na pewno udzielenie odpowiedzi na rzeczone pytania da nam satysfakcjonującą receptę na poprawność wdrożonych i stosowanych mechanizmów zmierzających do odpowiedniego zabezpieczenia przetwarzanych danych osobowych?

Broker i pozyskane dane osobowe

Sprawa nie wygląda już tak różowo (czy raczej czarno-biało) jeśli idzie o branżę brokerów ubezpieczeniowych. Jaką rolę bowiem odgrywa broker ubezpieczeniowy w stosunku do danych osobowych, które pozyskuje i przetwarza w toku wykonywanych czynności dystrybucyjnych? Jest administratorem, procesorem, a może występuje w podwójnej roli – w zależności od tego jakie i czyje dane przetwarza? Problem ten pozostawał bez rozstrzygnięcia zasadniczo od wejścia w życie RODO. Stąd też, praktyka była różnoraka. Część brokerów ubezpieczeniowych uznawała siebie za odrębnych administratorów wobec wszystkich kategorii osób, których dane dotyczą. Dominowało jednak i wciąż dominuje zapatrywanie, że broker ubezpieczeniowy – w zależności od rodzaju świadczonych czynności z materii dystrybucji ubezpieczeń – jest zarówno administratorem jak i podmiotem przetwarzającym. Ciężko bowiem doszukiwać się samodzielnych celów przetwarzania danych osobowych chociażby pracowników klienta brokera czy osób trzecich – poszkodowanych występujących do klienta brokera z roszczeniami, skoro broker, zgodnie z ustawą działa na wyraźnie zlecenie swojego klienta, wyłącznie w ramach udzielonego umocowania. Idąc tą drogą, broker nie posiada innego celu przetwarzania danych osobowych poza celem wyraźnie wskazanym przez pierwotnego administratora danych, swojego klienta.

sTATUS BrokerA WEDŁUG PUODO

Na kanwie wyżej zaakcentowanych wytycznych EROD, Polski Urząd Ochrony Danych Osobowych publikuje własne wskazówki interpretacyjne odnoszące się do statusu poszczególnych podmiotów w odniesieniu do dyscypliny danych osobowych. Obecnie zaobserwować można swoisty trend. Po pierwsze odchodzi się od zgody jako przesłanki legalizującej przetwarzanie danych osobowych. Tym samym zauważa się wyraźną tendencję do poszukiwania podstawy do przetwarzania danych w obowiązujących przepisach. Po drugie – nadaje się przymiot administratora danych osobowych zasadniczo każdemu podmiotowi, którego działalność podlega własnym, sektorowym regulacjom. Nie inaczej stało się z branżą brokerską. Nie tak dawno, na stronie UODO opublikowane zostały dyrektywy w przedmiocie określenia pozycji brokera ubezpieczeniowego w procesie składającym się na przetwarzanie danych osobowych. Organ nadzoru uznał – biorąc za model sytuację prawną i zawód biegłego rewidenta – że broker ubezpieczeniowy w związku ze świadczeniem swoich usług ma status administratora danych. Zaakcentowane zostało przy tym, , że chodzi o wszelkie dane osobowe jakie broker pozyskuje i przetwarza, w tym dane pracowników swojego klienta, osób ubezpieczonych, świadków zdarzeń, które pozostają pod ochroną ubezpieczeniową czy niezależnych osób trzecich, które występują do kontrahentów brokera z różnego rodzaju roszczeniami. Rodzi to niezwykle doniosłe konsekwencje.

nIEZWYKLE DONIOSŁE KONSEKWENCJE DECYZJI URZĘDU

Jeżeli uznamy, że broker ubezpieczeniowy rzeczywiście realizuje swoje własne cele wobec pozyskiwanych od swojego klienta i przetwarzanych danych osobowych, choć na wyraźne zlecenie i polecenie swojego mocodawcy, to nie lada wyzwaniem staje się wskazanie podstaw przetwarzania tychże danych. Przede wszystkim problem dotyczy danych osobowych pracowników kontrahenta brokera lub osób trzecich (poszkodowanych) kierujących żądania wobec klientów serwisu brokerskiego. Sprawa jeszcze nie nastręcza wielu trudności, jeśli idzie o tzw. dane zwykłe, albowiem zasadniczo broker realizując świadczenia uregulowane w ustawie o dystrybucji ubezpieczeń wykonuje ciążący na nim obowiązek prawny. Komplikacje zaczynają się przy danych wrażliwych. Na jakiej podstawie zatem broker może przykładowo zlikwidować szkodę pracownika swojego klienta, skoro likwidacja ta wymaga przetworzenia danych o stanie zdrowia? Przepisy ustawy dystrybucyjnej z całą pewnością nie dają (wprost) takiego umocowania, a zatem odpada nam realizacja obowiązku prawnego. Czy przesłanką przetwarzania ma być wówczas zgoda, która z kolei spełniać musi określone warunki by można było uznać ją za wyrażoną dobrowolnie? A przecież zgoda ta niezbędna jest do wykonania czynności przez brokera. To z kolei powoduje, że owa zgoda pozbawiona może zostać podstawowego przymiotu – bycia nieprzymuszoną. Czy też właściwe jest w tym przypadku poszukiwanie innych podstaw legalności przetwarzania opisanych w art. 9 ust. 1 RODO? Ale czy na pewno działalność brokerską możemy upatrywać w kategoriach ważnego interesu publicznego (art. 9 ust. 1 lit. g)? Odpowiedź twierdząca nie jest oczywista, nawet gdyby uznać, że regulacje sektorowe w sferze pośrednictwa ubezpieczeń zapewniają minimum gwarancji bezpieczeństwa przetwarzania danych osobowych, zważywszy chociażby na kontekst obowiązku zachowania tajemnicy zawodowej przez brokera.

UZASADNIONE WĄTPLIWOŚCI

Jeszcze bardziej złożona pozostaje problematyka przetwarzania przez brokera danych osób trzecich, roszczących wobec klientów serwisu brokerskiego. Podążając za wskazówkami UODO – podczas likwidacji szkód z ubezpieczenia odpowiedzialności cywilnej ubezpieczonego (klienta brokera) mamy do czynienia z trzema niezależnymi administratorami danych: ubezpieczycielem, ubezpieczonym (adresatem roszczenia) oraz brokerem ubezpieczeniowym (pośrednikiem ubezpieczonego). Każdy z nich musi spełnić wobec podmiotu danych obowiązek informacyjny. Abstrahując już od arcytrudnego wskazania podstawy przetwarzania przez brokera danych takiej osoby, uzasadnione wątpliwości budzi również kwestia dystrybucji obowiązku informacyjnego. W sytuacji, gdy w strukturach organizacyjnych brokera ubezpieczonego funkcjonują wyspecjalizowane departamenty zajmujące się likwidacją szkód, spełnienie obowiązku informacyjnego wobec każdego z podmiotów danych osobowych wydaje się być zadaniem bardzo uciążliwym. Naturalnie, jak wynika z klarownego w tej materii orzecznictwa, jakiekolwiek względy finansowe, organizacyjne czy administracyjne nie mogą zwalniać ze spełnienia obowiązku informacyjnego, to jednak chyba nie taki sposób winny być położone akcenty w zakresie stosowania RODO. Wszak praca brokera polega na niesieniu merytorycznej pomocy swoim klientom w zakresie zwłaszcza likwidacji szkód, nie zaś poświęcanie czasu na weryfikację czy aby na pewno klauzula informacyjna (pełna lub warstwowa) dotarła do konkretnej osoby fizycznej, podmiotu danych, np. świadka zdarzenia. Dochodzimy wówczas do absurdu, gdzie czynności stricte techniczne pochłaniać będą ilości czasu niezbędnego do starannego wykonania zawodowej działalności. Czy zatem taki był cel i zamiar zunifikowanej i zharmonizowanej regulacji z zakresu ochrony danych osobowych?

W obliczu narastających wątpliwości środowisku brokerskiemu nie pozostaje nic innego, jak tylko wystąpienie do organu nadzoru z wnioskiem o pomoc w doprecyzowaniu wielu niejasnych kwestii. Jako że Urząd zdecydował się zając stanowisko wobec zawodu brokera ubezpieczeniowego, być może pochyli się także nad postulatem poszerzenia i rozwinięcia wytycznych interpretacyjnych. Co za tym idzie – udzieli brokerom odpowiedniego merytorycznego wsparcia celem ujednolicenia funkcjonującej praktyki. Do tego czasu jednak, wdrożenie przez brokerów odpowiednich procedur adekwatnych do sugestii UODO przybiera formę zagubienia się w ślepym zaułku.

artykuł opublikowany w tygodniku Gazeta Ubezpieczeniowa nr 03/2022 (1179)

Emilia Sobierajska

radca prawny

broker ubezpieczeniowy

specjalista z dziedziny ochrony danych osobowych

POWRÓT

Nierzetelnych ubezpieczycieli można i trzeba wykluczyć

13 grudnia, 2021

Dla ogromnej grupy klientów na polskim rynku zawieranie umowy ubezpieczenia musi być poprzedzone procedurą zamówienia publicznego. W mojej opinii, opartej na ponad piętnastoletnim doświadczeniu, jest to skuteczny instrument do pozyskiwania korzystnych ofert, zasadniczo bowiem stosowanie reżimu zamówień publicznych powoduje obniżenie kosztów ubezpieczenia oraz poprawę zakresu ochrony.

Nieprawidłowości w świadczeniu usług ubezpieczeniowych.

O ile jednak w większości przypadków nie jest problemem uzyskiwanie ofert ubezpieczenia w trybach ustawowym, staje się nim – i to stosunkowo często – nienależyta realizacja usługi przez wyłoniony w postępowaniu zakład ubezpieczeń. Takie praktyki, jak celowe przedłużanie procesu likwidacji szkód, odmowa wypłaty odszkodowania w przypadku zasadnych roszczeń, opartych na warunkach umowy lub zaniżanie wysokości należnego odszkodowania, nadal nie są rzadkością, a nawet zyskują na intensywności.

Działania te stanowią po stronie ubezpieczycieli próbę obniżenia kosztów działalności w celu ochrony wyniku finansowego. Szczególnie w sytuacji, gdy zaoferowana w postępowaniu składka zdecydowanie odbiega od wielkości ryzyka, nie gwarantując przez to już na samym początku pokrycia wszystkich możliwych zobowiązań wynikających z udzielanej ochrony ubezpieczeniowej.

Dla przykładu można podać, że jeden tylko ubezpieczyciel w bieżącym roku uchybił w istotnym zakresie w ponad 90 sprawach o wypłatę odszkodowania, w prowadzonej korespondencji wprost uznając swoją odpowiedzialność za opóźnienia i zaniechania.

Narzędzia odstraszające nierzetelnych wykonawców

W jaki sposób można przeciwdziałać takiemu procederowi? Otóż instrumentów jest przynajmniej kilka, ale wydaje się, że tylko jeden okaże się skuteczny, o czym mowa będzie dalej.

Pierwszy z mechanizmów związany jest jeszcze z procedurą badania ofert złożonych w postępowaniu w sprawie zamówienia. Zamawiający na tym etapie zobowiązany jest do ustalenia, czy oferta nie zawiera rażąco niskiej ceny w stosunku do przedmiotu zamówienia.

W świetle przepisów ustawy Prawo zamówień publicznych (art. 224) prowadzący postępowanie powinien zażądać od wykonawcy wyjaśnień, w tym złożenia dowodów w zakresie wyliczenia ceny. Zamawiający nie może więc zadowolić się wyłącznie uzasadnieniem przedstawionym przez zakład ubezpieczeń, ale swoją decyzję w sprawie badanej oferty powinien oprzeć także na dostarczonych przez ubezpieczyciela dowodach potwierdzających, że cena nie jest rażąco niska.

Takimi dowodami mogą być wykazy stawek i składek stosowanych w innych postępowaniach, dla podobnej grupy podmiotów, ze zbliżonym przedmiotem i zakresem zamówienia. Powinny jednak być nimi również, w mojej opinii, dokumenty finansowe ubezpieczyciela, w szczególności te zawierające informacje o wyniku technicznym, który może w jakimś stopniu wskazywać, czy polityka oferowania zaniżonych składek nie ma przypadkiem charakteru stałej tendencji, a w konsekwencji – czy nie przyczynia się do strat zakładu ubezpieczeń.

Na podstawie przedstawionych dowodów i wyjaśnień zamawiający będzie w stanie jednoznacznie ocenić, czy oferta zawiera rażąco niską cenę, w rezultacie nie gwarantując należytego wykonania zamówienia. Tym sposobem, już na początku z obrotu można wyłączyć ofertę, która nie daje rękojmi, że zawarte na jej podstawie umowy ubezpieczenia spełnią zasadę realności ochrony ubezpieczeniowej.

Innym zabezpieczeniem właściwego wykonania umowy może być kara umowna. Jest to jednak instrument rzadko stosowany, ponieważ ubezpieczyciele zasadniczo nie chcą składać ofert, gdy projektowane postanowienia umowy przewidują takie kary. Wydaje się, że ta niechęć jest symptomatyczna i to pomimo faktu, że kary umowne mogą dotyczyć wyłącznie zobowiązań niepieniężnych.

Kolejną możliwością jest żądanie przez zamawiającego wniesienia zabezpieczenia należytego wykonania umowy. Słabość tego instrumentu polega jednak na niewielkiej maksymalnej wartości takiego zabezpieczenia – do 5% ceny całkowitej podanej w ofercie, a w wyjątkowych sytuacjach – do 10% ceny ofertowej.

Duży kaliber – wykluczenie

Ostatecznie, jak wskazuje doświadczenie – w obliczu ograniczonej roli dotychczas opisanych instrumentów – należy zastanowić się nad bardziej radykalnym rozwiązaniem. Jest nim możliwość wykluczenia wykonawcy, który w sposób zawiniony poważnie narusza obowiązki zawodowe, co podważa jego uczciwość – w szczególności, gdy wykonawca w wyniku zamierzonego działania lub rażącego niedbalstwa nie wykonał lub nienależycie wykonał zamówienie. Mamy tutaj do czynienia z fakultatywną przesłanką wykluczenia, zawartą w ustawie Prawo zamówień publicznych (art. 109 ust. 1 pkt 5). Wprowadzenie jej jednak do dokumentów postępowania pozbawia ją atrybutu dobrowolności, a po stronie zamawiającego rodzi obowiązek zbadania, czy przesłanka taka nie zachodzi w odniesieniu do konkretnego wykonawcy.

Ciężar udowodnienia zawinionego i poważnego naruszenia obowiązków zawodowych przez wykonawcę spoczywa na zamawiającym (uprawdopodobnienie jest w tej procedurze niewystarczające). Dowodami mogą być zarówno dokumenty urzędowe, jak i prywatne, w tym analizy sporządzane przez brokera ubezpieczeniowego, zwłaszcza te wynikające z jego wiedzy o sposobie realizacji usług ubezpieczeniowych przez poszczególnych ubezpieczycieli.

Przesłanki wskazane w przywołanym wyżej przepisie muszą wystąpić łącznie. Zatem naruszenie obowiązków zawodowych musi być zawinione przez wykonawcę i poważne. Jeśli jednak weźmiemy pod uwagę legalny charakter umowy ubezpieczenia, wskazany w kodeksie cywilnym (art. 805 §1), zgodnie z którym przez umowę taką ubezpieczyciel zobowiązuje się, w zakresie działalności swego przedsiębiorstwa (podmiot profesjonalny), spełnić określone świadczenie w razie zajścia przewidzianego w umowie wypadku, jakiekolwiek nierzetelne działania lub zaniechania w tym zakresie nie tylko można, ale wręcz należy uznać za poważne i zawinione naruszenie obowiązków zawodowych, prowadzące do niewykonania lub nienależytego wykonania zobowiązania.

Nie ulega wątpliwości, że obowiązek wypłaty odszkodowania w odpowiedniej, wynikającej z warunków umowy wysokości, w terminach przewidzianych w ustawie, należy – zgodnie z poglądem doktryny, przede wszystkim zaś z wyraźną wolą ustawodawcy – do kategorii najistotniejszych czynności ubezpieczeniowych zakładu ubezpieczeń.

Wykluczenie wykonawcy w opisanych wyżej okolicznościach ma spełniać niejako funkcję kary za jego wcześniejszą wadliwą pracę przy kontraktach. Jej celem jest eliminacja podmiotów, które postępowały w sposób nierzetelny, z rynku zamówień publicznych. Kara ta jest o tyle dotkliwa, że okres wykluczenia wynosi aż 3 lata od zaistnienia zdarzenia będącego podstawą tego wykluczenia i dotyczy wszystkich zamówień na usługę ubezpieczenia, a nie tylko tych organizowanych przez zamawiającego, dokonującego wykluczenia.

Skorzystają wszyscy

Wykluczenie nierzetelnego wykonawcy, chociaż drastyczne w swych konsekwencjach, leży w interesie wszystkich stron – poszukującego ochrony ubezpieczeniowej klienta, jego brokera i rynku ubezpieczeniowego. Pierwszy zwiększa dzięki takiemu rozwiązaniu prawdopodobieństwo wyboru wykonawcy, który zapewni należyte wykonanie umowy w sprawie zamówienia. Drugi zyskuje ochronę dla swoich kontraktów, ponieważ niezadowolenie klientów związane z trudnościami w realizacji umowy ubezpieczenia najczęściej kończy się zakończeniem współpracy. Rynek ubezpieczeniowy otrzymuje zaś możliwość oczyszczenia się z praktyk, które podważają w poważny sposób zaufanie klientów do zakładów ubezpieczeń. Brokerowi pozostaje w tej sytuacji przygotowanie i opracowanie odpowiedniego materiału dowodowego. Z nadzieją, że w międzyczasie nierzetelni wykonawcy – po zapoznania się z niniejszą zapowiedzią przeciwdziałania ich nagannym praktykom – wdrożą odpowiednie działania naprawcze. Takie działania dają bowiem zamawiającemu możliwość odstąpienia od wykluczenia ubezpieczyciela z udziału w postępowaniu.

artykuł opublikowany w tygodniku Gazeta Ubezpieczeniowa nr 50/2021 (1175)

Piotr Mikuszewski

dyrektor biura analiz i projektów ubezpieczeniowych
specjalista ds. zamówień publicznych

lider projektu, który doprowadził do uzyskania przez Inter-Broker sp. z o.o. godła promocyjnego „Teraz Polska” w 2021 roku

POWRÓT