Baner - Wpływ cyfryzacji ubezpieczeń na branżę brokerską. Be digital, ale czy Go digital? Baner - Wpływ cyfryzacji ubezpieczeń na branżę brokerską. Be digital, ale czy Go digital?

Wpływ cyfryzacji ubezpieczeń na branżę brokerską. Be digital, ale czy Go digital?

O ile XXI wiek charakteryzuje „przyspieszenie” technologiczne na niespotykaną nigdy wcześniej skalę, o tyle okres pandemii COVID-19, trwającej od ponad dwóch lat, stał się silnym katalizatorem dla tego procesu. Według niektórych opinii osiągnięty już został poziom wykorzystania instrumentów cyfrowych przewidywany dopiero na rok 2030.

Be digital

Trend ten widoczny jest wyraźnie również w branży ubezpieczeniowej – zarówno w zakresie głębokiego sięgania przez zakłady ubezpieczeń do analizy danych wytwarzanych przez klientów, jak i w obszarze digitalizacji procesów obsługi klientów. W podobnym kierunku zmierza również branża brokerska.

Dla przykładu można przywołać przypadek spółki, w której pracuję. Obecna fala epidemii dotknęła ok. 70% jej zasobów pracowniczych. Jednak trwające od ponad 8 lat inwestycje w odpowiednie narzędzia cyfrowe pozwoliły nam nie tylko uniknąć przestoju w działalności, ale sprawiły, że zachowany został właściwy standard obsługi klienta.

Bądź bezpieczny

Pewnym ograniczeniem dla tego cyfrowego optymizmu są jednak dwa poważne zagrożenia, jakie dla branży brokerskiej niesie szybki postęp technologiczny.

Pierwsze związane jest z szeroko pojętym bezpieczeństwa danych, w tym danych osobowych. Wprowadzane w takich rozmiarach do systemów informatycznych bardziej niż kiedykolwiek są one narażone na ryzyko naruszenia ich poufności, dostępności lub integralności. Wstępne analizy zdają się wskazywać, że rok 2021 będzie pod względem takich naruszeń rekordowy.

Na marginesie warto może przypomnieć, że i na polskim rynku brokerskim doszło w 2020 roku do bardzo poważnego incydentu. Jak podawał „Niebezpiecznik”, w przypadku tym miał miejsce potężny wyciek danych, wśród których znalazły się kopie polis, numery PESEL klientów i ich dzieci, informacje o stanie zdrowia, adresy i numery telefonów, a nawet (sic!) plik z hasłami do systemów brokera. Wyciek mógł trwać nawet przez kilka dni. I nawet jeśli jego powodem był wirus, zawsze należy mieć na względzie konieczność wdrażania i ulepszania zabezpieczeń organizacyjnych i technicznych, które zminimalizują tego rodzaju zagrożenia.

W branży brokerskiej nie da się już dzisiaj zaoszczędzić na dobrym informatyku, kompetentnym inspektorze ochrony danych osobowych, a trzeba też przemyśleć zatrudnienie biegłego compliance officera. Zresztą rola tego ostatniego w minimalizacji ryzyka niezgodności działania przedsiębiorstwa z obowiązującymi regulacjami prawnymi zasługuje na odrębny temat. 

Z uwagi na fakt, że działalność brokerska wiąże się z przetwarzaniem ogromnej liczby danych ubezpieczeniowych i osobowych, tak istotne jest, aby narzędzia, przy pomocy których dane te są przetwarzane podlegały permanentnej analizie ryzyka.

Trzeba skończyć z myśleniem, że RODO to tylko doręczenie treści klauzuli i na tym sprawa się kończy. I że ewentualnie wystarczy dokupić „jakiś” program antywirusowy. Ochrona danych bowiem, w tym przede wszystkim osobowych, czy w ogóle szeroko rozumiane cyberbezpieczeństwo to proces ciągły, który w związku z wykładniczym rozwojem zagrożeń domaga się systematycznego weryfikowania odporności systemów na atak.

Z pewnością więc nowy rok powinien przynieść w naszej branży intensyfikację działań prowadzących do wdrożenia odpowiednich środków technicznych, tj. właściwych zabezpieczeń, jak i organizacyjnych, dotyczących monitorowania potencjalnych zagrożeń. I pamiętajmy, że aż w 41% źródłem incydentów jest błąd człowieka (dane za PWC).

W naszej działalności nie można już liczyć wyłącznie na szczęście, wyrażane w stwierdzeniu „jakoś to będzie, mnie to nie spotka”, a dobre przygotowanie na odparcie cyberataków może mieć decydujący wpływ na przetrwanie naszych firm, biorąc pod uwagę wysokość kar administracyjnych oraz utratę reputacji. Zdaje się, że obszar ten wciąż nie stanowi priorytetu w działalności firm brokerskich i tutaj widzę zadanie na cały rok 2022.

Na dodatek działać należy proporcjonalnie, ponieważ rozwiązania minimum mogą już nie wystarczyć. Naszych działań nie można więc ograniczać tylko do tzw. okazji legislacyjnych, gdy wdrażane są jakieś krajowe lub unijne regulacje, jak np. rozporządzenie RODO, czy dyrektywa NIS.

Go digital? Uzasadniony tradycjonalizm

Równie poważnym zagrożeniem, bo niosącym konsekwencje ekonomiczne, jest przeniesienie z powodu pandemii procesu pozyskiwania nowych klientów do internetu. Biorąc pod uwagę branżę ubezpieczeniową, cyfrowe narzędzia sprzedaży sprawdzają się niewątpliwie w odniesieniu do produktów masowych, prostych, nieskomplikowanych, przygotowanych dla klienta indywidualnego.

Broker ubezpieczeniowy nie sprzedaje jednak co do zasady ubezpieczeń – jego oferta obejmuje bowiem przede wszystkim usługi brokerskie (serwis), a więc szeroko rozumiane profesjonalne doradztwo, prowadzące do uzyskania oferty ubezpieczenia, adekwatnej do potrzeb i wymagań klienta. Sam zaś proces pozyskiwania nowych kontrahentów jest stosunkowo trudny i długotrwały. I co istotne – nie da się go przenieść do rzeczywistości cyfrowej.

Nieskuteczne okazują się tutaj nie tylko systemy wykorzystujące sztuczną inteligencję, co jest raczej oczywiste, ale także marketing bezpośredni w formie np. kampanii mailingowych (cold mailing) – przygotowanych nawet przez profesjonalne agencje, czy wykorzystanie social mediów itp. Niewielki efekt przynoszą także najbardziej nawet wyspecjalizowane aplikacje umożliwiające spotkania on-line w czasie rzeczywistym.  

Dzieje się tak dlatego, że usługi brokerskie domagają się bezpośredniego spotkania z potencjalnym kontrahentem, a zawarcie kontraktu najczęściej poprzedzone jest stworzeniem chociażby w minimalnym stopniu wzajemnych relacji, których podstawą jest zaufanie. Z reguły efektu takiego nie można osiągnąć w realiach wirtualnych. Broker bowiem przed sprzedażą usług swojej firmy „sprzedaje” najpierw siebie, a ściślej – swoją osobowość.

Jest to prosta i oczywista zasada dobrej sprzedaży, ale w branży brokerskiej jakby dodatkowo niedająca się zamienić na rozwiązania technologiczne. Zresztą nawet cross-seling lub up-selling prowadzony u dotychczasowych klientów domaga się najczęściej osobistego spotkania, ponieważ nowe propozycje, rozsyłane pocztą elektroniczną, z reguły pozostają bez większego odzewu. I oby było tak jak najdłużej.

Zdajemy sobie sprawę, że kiedyś sztuczna inteligencja będzie mogła niemalże wszystko – nawet rozpatrywać sprawy w sądzie, jak przewidują niektórzy; póki co jednak górą są osobiste relacje i profesjonalizm pośrednika, a to oznacza, że nadal wygrywają kompetencje.      

I tutaj na przeszkodzie staje pandemia oraz związane z nią rygory sanitarne i ludzkie obawy. O ile bowiem w zakresie obsługi klientów z pomocą brokerom przyszły rozwiązania technologiczne (Be digital), o tyle  strach przed transmisją wirusa wywiera negatywny wpływ na możliwości bezpośrednich spotkań. Jest ich decydowanie mniej niż w okresie przed pandemią.

Oczywiście proces pozyskiwania nowych partnerów nie wyklucza możliwości zastosowania technologii cyfrowych na dalszych etapach „dopinania” kontraktu, jednak jego fundamentem pozostanie bezpośrednia interakcja. To wtedy poznajemy potrzeby i problemy klienta, budujemy jego zainteresowanie, a następnie przedstawiamy naszą spersonalizowaną ofertę. Technologie cyfrowe nie są w stanie w decydujący sposób wesprzeć tego etapu w procesie pozyskiwania klientów, z uwagi na specyfikę usług brokerskich.

Podsumowując, uważam że rok 2022 będzie rokiem dalszej ekspansji technologii cyfrowych w branży brokerskiej – nastąpi intensyfikacja trendu Be digital, tj. procesu cyfryzacji działalności brokerów w obszarze wsparcia obsługi. Znikome zastosowanie – wobec specyfiki zawodu – będzie miał trend Go digital, szczególnie w obszarze klientów i ubezpieczeń korporacyjnych.

Jednocześnie rok 2022 musi być poświęcony bardziej niż kiedykolwiek polityce bezpieczeństwa cyfrowego. Pamiętajmy, że poważne incydenty odbiją się negatywnie na zaufaniu do całej branży.

artykuł opublikowany w tygodniku Gazeta Ubezpieczeniowa nr 07/2022 (1183)

Piotr Mikuszewski

Piotr Mikuszewski

dyrektor biura analiz i projektów ubezpieczeniowych
specjalista ds. zamówień publicznych

lider projektu, który doprowadził do uzyskania przez Inter-Broker sp. z o.o. godła promocyjnego „Teraz Polska” w 2021 roku

Baner - Ślepy zaułek, czyli o aktualnym stanowisku UODO w przedmiocie statusu brokerów ubezpieczeniowych Baner - Ślepy zaułek, czyli o aktualnym stanowisku UODO w przedmiocie statusu brokerów ubezpieczeniowych

Ślepy zaułek, czyli o aktualnym stanowisku UODO w przedmiocie statusu brokerów ubezpieczeniowych

RODO – hasło to spędza sen z powiek wielu ekspertom w dziedzinie ochrony danych osobowych i nie tylko. Co jakiś czas bombardowani jesteśmy doniesieniami o kolejnych sankcjach finansowych zastosowanych głównie wobec przedsiębiorców. Z jednej strony istnieje wyraźna obawa przed wysokimi karami za brak wdrożenia bezpiecznych procedur, z drugiej zaś, wciąż wiele podmiotów błądzi jak we mgle, którą spowite są nie do końca jasne i klarowne regulacje.

Sytuacji nie ułatwia także podejście Europejskiej Rady Ochrony Danych (EROD), która cyklicznie wydaje nowe zlecenia dotyczące istotnych kwestii stosowania RODO. Te z bardziej doniosłych opisane zostały w Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego, gdzie zaakcentowane zostało, że kluczowe znaczenie ma w tym miejscu dokładne określenie celu (w jakim celu, po co przetwarzam dane) oraz sposobu ich przetwarzania (jakie środki należy zastosować, aby osiągnąć cel przetwarzania).

Te dwa faktory zasadniczo determinują status danego podmiotu jako administratora danych. Bez znaczenia przy tym pozostaje treść zawartych umów powierzenia, nawet jeśli umowa przewiduje, że jedna strona jest podmiotem przetwarzającym, podczas gdy w rzeczywistości ta strona decyduje o celach i sposobach przetwarzania – pomimo zapisów umownych będzie ona administratorem.

Ale czy aby na pewno udzielenie odpowiedzi na rzeczone pytania da nam satysfakcjonującą receptę na poprawność wdrożonych i stosowanych mechanizmów zmierzających do odpowiedniego zabezpieczenia przetwarzanych danych osobowych?

Broker i pozyskane dane osobowe

Sprawa nie wygląda już tak różowo (czy raczej czarno-biało) jeśli idzie o branżę brokerów ubezpieczeniowych. Jaką rolę bowiem odgrywa broker ubezpieczeniowy w stosunku do danych osobowych, które pozyskuje i przetwarza w toku wykonywanych czynności dystrybucyjnych? Jest administratorem, procesorem, a może występuje w podwójnej roli – w zależności od tego jakie i czyje dane przetwarza? Problem ten pozostawał bez rozstrzygnięcia zasadniczo od wejścia w życie RODO. Stąd też, praktyka była różnoraka. Część brokerów ubezpieczeniowych uznawała siebie za odrębnych administratorów wobec wszystkich kategorii osób, których dane dotyczą. Dominowało jednak i wciąż dominuje zapatrywanie, że broker ubezpieczeniowy – w zależności od rodzaju świadczonych czynności z materii dystrybucji ubezpieczeń – jest zarówno administratorem jak i podmiotem przetwarzającym. Ciężko bowiem doszukiwać się samodzielnych celów przetwarzania danych osobowych chociażby pracowników klienta brokera czy osób trzecich – poszkodowanych występujących do klienta brokera z roszczeniami, skoro broker, zgodnie z ustawą działa na wyraźnie zlecenie swojego klienta, wyłącznie w ramach udzielonego umocowania. Idąc tą drogą, broker nie posiada innego celu przetwarzania danych osobowych poza celem wyraźnie wskazanym przez pierwotnego administratora danych, swojego klienta. 

sTATUS BrokerA WEDŁUG PUODO

Na kanwie wyżej zaakcentowanych wytycznych EROD, Polski Urząd Ochrony Danych Osobowych publikuje własne wskazówki interpretacyjne odnoszące się do statusu poszczególnych podmiotów w odniesieniu do dyscypliny danych osobowych. Obecnie zaobserwować można swoisty trend. Po pierwsze odchodzi się od zgody jako przesłanki legalizującej przetwarzanie danych osobowych. Tym samym zauważa się wyraźną tendencję do poszukiwania podstawy do przetwarzania danych w obowiązujących przepisach. Po drugie – nadaje się przymiot administratora danych osobowych zasadniczo każdemu podmiotowi, którego działalność podlega własnym, sektorowym regulacjom. Nie inaczej stało się z branżą brokerską. Nie tak dawno, na stronie UODO opublikowane zostały dyrektywy w przedmiocie określenia pozycji brokera ubezpieczeniowego w procesie składającym się na przetwarzanie danych osobowych. Organ nadzoru uznał – biorąc za model sytuację prawną i zawód biegłego rewidenta – że broker ubezpieczeniowy w związku ze świadczeniem swoich usług ma status administratora danych. Zaakcentowane zostało przy tym, , że chodzi o wszelkie dane osobowe jakie broker pozyskuje i przetwarza, w tym dane pracowników swojego klienta, osób ubezpieczonych, świadków zdarzeń, które pozostają pod ochroną ubezpieczeniową czy niezależnych osób trzecich, które występują do kontrahentów brokera z różnego rodzaju roszczeniami. Rodzi to niezwykle doniosłe konsekwencje.

nIEZWYKLE DONIOSŁE KONSEKWENCJE DECYZJI URZĘDU

Jeżeli uznamy, że broker ubezpieczeniowy rzeczywiście realizuje swoje własne cele wobec pozyskiwanych od swojego klienta i przetwarzanych danych osobowych, choć na wyraźne zlecenie i polecenie swojego mocodawcy, to nie lada wyzwaniem staje się wskazanie podstaw przetwarzania tychże danych. Przede wszystkim problem dotyczy danych osobowych pracowników kontrahenta brokera lub osób trzecich (poszkodowanych) kierujących żądania wobec klientów serwisu brokerskiego. Sprawa jeszcze nie nastręcza wielu trudności, jeśli idzie o tzw. dane zwykłe, albowiem zasadniczo broker realizując świadczenia uregulowane w ustawie o dystrybucji ubezpieczeń wykonuje ciążący na nim obowiązek prawny. Komplikacje zaczynają się przy danych wrażliwych. Na jakiej podstawie zatem broker może przykładowo zlikwidować szkodę pracownika swojego klienta, skoro likwidacja ta wymaga przetworzenia danych o stanie zdrowia? Przepisy ustawy dystrybucyjnej z całą pewnością nie dają (wprost) takiego umocowania, a zatem odpada nam realizacja obowiązku prawnego. Czy przesłanką przetwarzania ma być wówczas zgoda, która z kolei spełniać musi określone warunki by można było uznać ją za wyrażoną dobrowolnie? A przecież zgoda ta niezbędna jest do wykonania czynności przez brokera. To z kolei powoduje, że owa zgoda pozbawiona może zostać podstawowego przymiotu – bycia nieprzymuszoną. Czy też właściwe jest w tym przypadku poszukiwanie innych podstaw legalności przetwarzania opisanych w art. 9 ust. 1 RODO? Ale czy na pewno działalność brokerską możemy upatrywać w kategoriach ważnego interesu publicznego (art. 9 ust. 1 lit. g)? Odpowiedź twierdząca nie jest oczywista, nawet gdyby uznać, że regulacje sektorowe w sferze pośrednictwa ubezpieczeń zapewniają minimum gwarancji bezpieczeństwa przetwarzania danych osobowych, zważywszy chociażby na kontekst obowiązku zachowania tajemnicy zawodowej przez brokera.

UZASADNIONE WĄTPLIWOŚCI

Jeszcze bardziej złożona pozostaje problematyka przetwarzania przez brokera danych osób trzecich, roszczących wobec klientów serwisu brokerskiego. Podążając za wskazówkami UODO – podczas likwidacji szkód z ubezpieczenia odpowiedzialności cywilnej ubezpieczonego (klienta brokera) mamy do czynienia z trzema niezależnymi administratorami danych: ubezpieczycielem, ubezpieczonym (adresatem roszczenia) oraz brokerem ubezpieczeniowym (pośrednikiem ubezpieczonego). Każdy z nich musi spełnić wobec podmiotu danych obowiązek informacyjny. Abstrahując już od arcytrudnego wskazania podstawy przetwarzania przez brokera danych takiej osoby, uzasadnione wątpliwości budzi również kwestia dystrybucji obowiązku informacyjnego. W sytuacji, gdy w strukturach organizacyjnych brokera ubezpieczonego funkcjonują wyspecjalizowane departamenty zajmujące się likwidacją szkód, spełnienie obowiązku informacyjnego wobec każdego z podmiotów danych osobowych wydaje się być zadaniem bardzo uciążliwym. Naturalnie, jak wynika z klarownego w tej materii orzecznictwa, jakiekolwiek względy finansowe, organizacyjne czy administracyjne nie mogą zwalniać ze spełnienia obowiązku informacyjnego, to jednak chyba nie taki sposób winny być położone akcenty w zakresie stosowania RODO. Wszak praca brokera polega na niesieniu merytorycznej pomocy swoim klientom w zakresie zwłaszcza likwidacji szkód, nie zaś poświęcanie czasu na weryfikację czy aby na pewno klauzula informacyjna (pełna lub warstwowa) dotarła do konkretnej osoby fizycznej, podmiotu danych, np. świadka zdarzenia. Dochodzimy wówczas do absurdu, gdzie czynności stricte techniczne pochłaniać będą ilości czasu niezbędnego do starannego wykonania zawodowej działalności. Czy zatem taki był cel i zamiar zunifikowanej i zharmonizowanej regulacji z zakresu ochrony danych osobowych?

W obliczu narastających wątpliwości środowisku brokerskiemu nie pozostaje nic innego, jak tylko wystąpienie do organu nadzoru z wnioskiem o pomoc w doprecyzowaniu wielu niejasnych kwestii. Jako że Urząd zdecydował się zając stanowisko wobec zawodu brokera ubezpieczeniowego, być może pochyli się także nad postulatem poszerzenia i rozwinięcia wytycznych interpretacyjnych. Co za tym idzie – udzieli  brokerom odpowiedniego merytorycznego wsparcia celem ujednolicenia funkcjonującej praktyki. Do tego czasu jednak, wdrożenie przez brokerów odpowiednich procedur adekwatnych do sugestii UODO przybiera formę zagubienia się w ślepym zaułku.

artykuł opublikowany w tygodniku Gazeta Ubezpieczeniowa nr 03/2022 (1179)

Emilia Sobierajska

radca prawny

broker ubezpieczeniowy

specjalista z dziedziny ochrony danych osobowych