Agent ubezpieczeniowy – procesor czy administrator danych osobowych?
Często spotykamy się z pytaniem o rolę pośredników ubezpieczeniowych w procesie przetwarzania danych osobowych. O ile obowiązki brokera ubezpieczeniowego możemy określić dość jasno i występuje on jako administrator danych osobowych, to w przypadku agenta ubezpieczeniowego nierzadko pojawiają się wątpliwości.
Agent jako procesor danych osobowych
W sytuacji, gdy agent operuje danymi osobowymi klientów na zlecenie zakładu ubezpieczeniowego to nie staje się ich administratorem lecz procesorem. Warto jednak zauważyć, że ciąży na nim ta sama odpowiedzialność co na administratorze danych osobowych (w tym przypadku zakładzie ubezpieczeń). Taka sytuacja ma najczęściej miejsce w przypadku agenta wyłącznego.
Jakie są obowiązki procesora danych osobowych?
Procesor to podmiot, który w imieniu administratora przetwarza dane osobowe. Agent występujący w tej roli musi być przygotowany na nadchodzące zmiany związane z wejściem w życie rozporządzenia o ochronie danych osobowych (RODO).
Zakres obowiązków procesora danych osobowych wobec administratorów danych osobowych zwiększy się. Pojawią się także istotne ograniczenia w ich funkcjonowaniu.
Do najważniejszych regulacji należą:
- zakaz podpowierzania przetwarzania danych osobowych innym podmiotom bez pisemnej zgody administratora tych danych,
- przetwarzanie powierzonych danych wyłącznie na udokumentowane polecenie administratora tych danych,
- zapewnienie, by osoby które zostały upoważnione do przetwarzania powierzonych danych osobowych zachowały je w tajemnicy,
- odpowiedzialność za odpowiedni poziom bezpieczeństwa wdrożony po stronie podmiotu, któremu podpowierzył przetwarzanie danych osobowych,
- pomoc, w miarę możliwości, administratorowi danych w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą,
- po zakończeniu przetwarzania powierzonych danych konieczność usunięcia ich lub zwrócenia administratorowi danych w zależności od jego woli,
- udostępnienie administratorowi wszystkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w przepisach RODO oraz umożliwienie administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji
Umowa o powierzeniu danych
Aby agent działający jako przedstawiciel zakładu ubezpieczeniowego mógł zgodnie z prawem przetwarzać dane osobowe, konieczne jest zawarcie umowy o powierzeniu przetwarzania danych osobowych. Nowością w RODO jest dopuszczenie możliwości zawarcia takiej umowy w formie elektronicznej.
Czy istnieją jednak przypadki, gdy agent ubezpieczeniowy staje się administratorem danych osobowych?
Agent jako administrator danych osobowych
Za taką sytuację można uznać na przykład multiagentów, czyli agentów, którzy działają na rynku we własnym imieniu i oferują produkty ubezpieczeniowe kilku zakładów ubezpieczeniowych.
W momencie, gdy multiagenci działają w swoim interesie i zakresie pozyskiwania danych to do nich należy decyzja o celach i środkach przetwarzania danych. Spełniają definicję administratora danych osobowych.
Gdy dojdzie do tego typu sytuacji, agent musi zadbać o zapewnienie odpowiednich środków organizacyjnych i technicznych będących gwarancją zabezpieczenia danych osobowych zgodnie z przepisami prawa.
Kim jest administrator danych osobowych i jakie ma obowiązki?
Wchodzące wkrótce w życie Rozporządzenie o ochronie danych osobowych (RODO) nie zmieni definicji administratora danych osobowych, który pozostanie podmiotem ustalającym cele i zasady przetwarzania danych osobowych.
Podobnie jednak, jak w przypadku procesora, administratorzy danych osobowych będą musieli zmierzyć się z nowymi obowiązkami. Oto najważniejsze z nich:
- Obowiązek dokonania oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania (art. 35 Rozporządzenia),
- Obowiązek zgłaszania naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o tym osoby, której dane te dotyczą (art. 33 i 34 Rozporządzenia).
- Obowiązek minimalizacji danych (art. 5 ust. 1 lit. c) Rozporządzenia RODO)
- Obowiązek ograniczenia przechowywania danych (art. 5 ust. 1 lit. e) Rozporządzenia RODO),
- Dodatkowe obowiązki informacyjne administratora danych przy zbieraniu danych osobowych, wymaganych (art. 13 i 14 Rozporządzenia RODO),
- „Prawo do bycia zapomnianym” (art. 17 Rozporządzenia RODO)
- Prawo do ograniczenia przetwarzania (art. 17 Rozporządzenia RODO)
- Obowiązek zapewnienia osobom, których dane dotyczą prawa do sprzeciwu wobec przetwarzania danych (art. 21 Rozporządzenia RODO)
Jak przetwarzać dane osobowe zgodnie z prawem?
Już za niecałe 5 miesięcy wejdzie w życie Rozporządzenie o ochronie danych osobowych (RODO). Przewiduje ono szereg nowych obowiązków i ustanawiania surowe sankcje za niedostosowanie się do przepisów. Pośrednicy ubezpieczeniowi powinni dokładnie zapoznać się z nowymi zmianami prawnymi i krok po kroku wdrażać odpowiednie środki, które pozwolą ze spokojem przygotować się na 25 maja 2018 roku.