Baner - Ślepy zaułek, czyli o aktualnym stanowisku UODO w przedmiocie statusu brokerów ubezpieczeniowych Baner - Ślepy zaułek, czyli o aktualnym stanowisku UODO w przedmiocie statusu brokerów ubezpieczeniowych

Ślepy zaułek, czyli o aktualnym stanowisku UODO w przedmiocie statusu brokerów ubezpieczeniowych

RODO – hasło to spędza sen z powiek wielu ekspertom w dziedzinie ochrony danych osobowych i nie tylko. Co jakiś czas bombardowani jesteśmy doniesieniami o kolejnych sankcjach finansowych zastosowanych głównie wobec przedsiębiorców. Z jednej strony istnieje wyraźna obawa przed wysokimi karami za brak wdrożenia bezpiecznych procedur, z drugiej zaś, wciąż wiele podmiotów błądzi jak we mgle, którą spowite są nie do końca jasne i klarowne regulacje.

Sytuacji nie ułatwia także podejście Europejskiej Rady Ochrony Danych (EROD), która cyklicznie wydaje nowe zlecenia dotyczące istotnych kwestii stosowania RODO. Te z bardziej doniosłych opisane zostały w Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego, gdzie zaakcentowane zostało, że kluczowe znaczenie ma w tym miejscu dokładne określenie celu (w jakim celu, po co przetwarzam dane) oraz sposobu ich przetwarzania (jakie środki należy zastosować, aby osiągnąć cel przetwarzania).

Te dwa faktory zasadniczo determinują status danego podmiotu jako administratora danych. Bez znaczenia przy tym pozostaje treść zawartych umów powierzenia, nawet jeśli umowa przewiduje, że jedna strona jest podmiotem przetwarzającym, podczas gdy w rzeczywistości ta strona decyduje o celach i sposobach przetwarzania – pomimo zapisów umownych będzie ona administratorem.

Ale czy aby na pewno udzielenie odpowiedzi na rzeczone pytania da nam satysfakcjonującą receptę na poprawność wdrożonych i stosowanych mechanizmów zmierzających do odpowiedniego zabezpieczenia przetwarzanych danych osobowych?

Broker i pozyskane dane osobowe

Sprawa nie wygląda już tak różowo (czy raczej czarno-biało) jeśli idzie o branżę brokerów ubezpieczeniowych. Jaką rolę bowiem odgrywa broker ubezpieczeniowy w stosunku do danych osobowych, które pozyskuje i przetwarza w toku wykonywanych czynności dystrybucyjnych? Jest administratorem, procesorem, a może występuje w podwójnej roli – w zależności od tego jakie i czyje dane przetwarza? Problem ten pozostawał bez rozstrzygnięcia zasadniczo od wejścia w życie RODO. Stąd też, praktyka była różnoraka. Część brokerów ubezpieczeniowych uznawała siebie za odrębnych administratorów wobec wszystkich kategorii osób, których dane dotyczą. Dominowało jednak i wciąż dominuje zapatrywanie, że broker ubezpieczeniowy – w zależności od rodzaju świadczonych czynności z materii dystrybucji ubezpieczeń – jest zarówno administratorem jak i podmiotem przetwarzającym. Ciężko bowiem doszukiwać się samodzielnych celów przetwarzania danych osobowych chociażby pracowników klienta brokera czy osób trzecich – poszkodowanych występujących do klienta brokera z roszczeniami, skoro broker, zgodnie z ustawą działa na wyraźnie zlecenie swojego klienta, wyłącznie w ramach udzielonego umocowania. Idąc tą drogą, broker nie posiada innego celu przetwarzania danych osobowych poza celem wyraźnie wskazanym przez pierwotnego administratora danych, swojego klienta. 

sTATUS BrokerA WEDŁUG PUODO

Na kanwie wyżej zaakcentowanych wytycznych EROD, Polski Urząd Ochrony Danych Osobowych publikuje własne wskazówki interpretacyjne odnoszące się do statusu poszczególnych podmiotów w odniesieniu do dyscypliny danych osobowych. Obecnie zaobserwować można swoisty trend. Po pierwsze odchodzi się od zgody jako przesłanki legalizującej przetwarzanie danych osobowych. Tym samym zauważa się wyraźną tendencję do poszukiwania podstawy do przetwarzania danych w obowiązujących przepisach. Po drugie – nadaje się przymiot administratora danych osobowych zasadniczo każdemu podmiotowi, którego działalność podlega własnym, sektorowym regulacjom. Nie inaczej stało się z branżą brokerską. Nie tak dawno, na stronie UODO opublikowane zostały dyrektywy w przedmiocie określenia pozycji brokera ubezpieczeniowego w procesie składającym się na przetwarzanie danych osobowych. Organ nadzoru uznał – biorąc za model sytuację prawną i zawód biegłego rewidenta – że broker ubezpieczeniowy w związku ze świadczeniem swoich usług ma status administratora danych. Zaakcentowane zostało przy tym, , że chodzi o wszelkie dane osobowe jakie broker pozyskuje i przetwarza, w tym dane pracowników swojego klienta, osób ubezpieczonych, świadków zdarzeń, które pozostają pod ochroną ubezpieczeniową czy niezależnych osób trzecich, które występują do kontrahentów brokera z różnego rodzaju roszczeniami. Rodzi to niezwykle doniosłe konsekwencje.

nIEZWYKLE DONIOSŁE KONSEKWENCJE DECYZJI URZĘDU

Jeżeli uznamy, że broker ubezpieczeniowy rzeczywiście realizuje swoje własne cele wobec pozyskiwanych od swojego klienta i przetwarzanych danych osobowych, choć na wyraźne zlecenie i polecenie swojego mocodawcy, to nie lada wyzwaniem staje się wskazanie podstaw przetwarzania tychże danych. Przede wszystkim problem dotyczy danych osobowych pracowników kontrahenta brokera lub osób trzecich (poszkodowanych) kierujących żądania wobec klientów serwisu brokerskiego. Sprawa jeszcze nie nastręcza wielu trudności, jeśli idzie o tzw. dane zwykłe, albowiem zasadniczo broker realizując świadczenia uregulowane w ustawie o dystrybucji ubezpieczeń wykonuje ciążący na nim obowiązek prawny. Komplikacje zaczynają się przy danych wrażliwych. Na jakiej podstawie zatem broker może przykładowo zlikwidować szkodę pracownika swojego klienta, skoro likwidacja ta wymaga przetworzenia danych o stanie zdrowia? Przepisy ustawy dystrybucyjnej z całą pewnością nie dają (wprost) takiego umocowania, a zatem odpada nam realizacja obowiązku prawnego. Czy przesłanką przetwarzania ma być wówczas zgoda, która z kolei spełniać musi określone warunki by można było uznać ją za wyrażoną dobrowolnie? A przecież zgoda ta niezbędna jest do wykonania czynności przez brokera. To z kolei powoduje, że owa zgoda pozbawiona może zostać podstawowego przymiotu – bycia nieprzymuszoną. Czy też właściwe jest w tym przypadku poszukiwanie innych podstaw legalności przetwarzania opisanych w art. 9 ust. 1 RODO? Ale czy na pewno działalność brokerską możemy upatrywać w kategoriach ważnego interesu publicznego (art. 9 ust. 1 lit. g)? Odpowiedź twierdząca nie jest oczywista, nawet gdyby uznać, że regulacje sektorowe w sferze pośrednictwa ubezpieczeń zapewniają minimum gwarancji bezpieczeństwa przetwarzania danych osobowych, zważywszy chociażby na kontekst obowiązku zachowania tajemnicy zawodowej przez brokera.

UZASADNIONE WĄTPLIWOŚCI

Jeszcze bardziej złożona pozostaje problematyka przetwarzania przez brokera danych osób trzecich, roszczących wobec klientów serwisu brokerskiego. Podążając za wskazówkami UODO – podczas likwidacji szkód z ubezpieczenia odpowiedzialności cywilnej ubezpieczonego (klienta brokera) mamy do czynienia z trzema niezależnymi administratorami danych: ubezpieczycielem, ubezpieczonym (adresatem roszczenia) oraz brokerem ubezpieczeniowym (pośrednikiem ubezpieczonego). Każdy z nich musi spełnić wobec podmiotu danych obowiązek informacyjny. Abstrahując już od arcytrudnego wskazania podstawy przetwarzania przez brokera danych takiej osoby, uzasadnione wątpliwości budzi również kwestia dystrybucji obowiązku informacyjnego. W sytuacji, gdy w strukturach organizacyjnych brokera ubezpieczonego funkcjonują wyspecjalizowane departamenty zajmujące się likwidacją szkód, spełnienie obowiązku informacyjnego wobec każdego z podmiotów danych osobowych wydaje się być zadaniem bardzo uciążliwym. Naturalnie, jak wynika z klarownego w tej materii orzecznictwa, jakiekolwiek względy finansowe, organizacyjne czy administracyjne nie mogą zwalniać ze spełnienia obowiązku informacyjnego, to jednak chyba nie taki sposób winny być położone akcenty w zakresie stosowania RODO. Wszak praca brokera polega na niesieniu merytorycznej pomocy swoim klientom w zakresie zwłaszcza likwidacji szkód, nie zaś poświęcanie czasu na weryfikację czy aby na pewno klauzula informacyjna (pełna lub warstwowa) dotarła do konkretnej osoby fizycznej, podmiotu danych, np. świadka zdarzenia. Dochodzimy wówczas do absurdu, gdzie czynności stricte techniczne pochłaniać będą ilości czasu niezbędnego do starannego wykonania zawodowej działalności. Czy zatem taki był cel i zamiar zunifikowanej i zharmonizowanej regulacji z zakresu ochrony danych osobowych?

W obliczu narastających wątpliwości środowisku brokerskiemu nie pozostaje nic innego, jak tylko wystąpienie do organu nadzoru z wnioskiem o pomoc w doprecyzowaniu wielu niejasnych kwestii. Jako że Urząd zdecydował się zając stanowisko wobec zawodu brokera ubezpieczeniowego, być może pochyli się także nad postulatem poszerzenia i rozwinięcia wytycznych interpretacyjnych. Co za tym idzie – udzieli  brokerom odpowiedniego merytorycznego wsparcia celem ujednolicenia funkcjonującej praktyki. Do tego czasu jednak, wdrożenie przez brokerów odpowiednich procedur adekwatnych do sugestii UODO przybiera formę zagubienia się w ślepym zaułku.

artykuł opublikowany w tygodniku Gazeta Ubezpieczeniowa nr 03/2022 (1179)

Emilia Sobierajska

radca prawny

broker ubezpieczeniowy

specjalista z dziedziny ochrony danych osobowych