Jak przygotować się do kontroli RODO i IDD w agencji ubezpieczeniowej

PrzezInsly Aktualności w branży,Wiadomości

Ostatnimi czasy nasiliły się kontrole w agencjach w związku z przepisami, które weszły w życie dawno temu, a mianowicie z RODO i IDD. Ten artykuł ma za zadanie odpowiedzieć na pytanie, jak maja postępować osoby korzystające z rozwiązań oferowanych w programie Insly. Zanim jednak do tego przejdziemy, potrzebne jest usystematyzowanie, ponieważ kontrola kontroli nierówna.

Spis treści
1. Kto przeprowadza kontrole w agencjach ubezpieczeniowych?
2. Czego dotyczą kontrole RODO i IDD?
3. Jaka forma audytu?
4. Jak udowodnić zgodność z przepisami RODO i IDD?
5. Co należy przekazać w trakcie kontroli?
6. Podsumowanie

Kto przeprowadza kontrole w agencjach ubezpieczeniowych?

Kontrola w szerszym, uproszczonym znaczeniu oznacza weryfikację prawidłowości, za którą ktoś odpowiada (w przeciwieństwie do wąskiego rozumienia kontroli jako audytu, czyli konkretnych czynności operacyjnych). I tutaj zależy od tego jaką rolę pełni dany uczestnik rynku ubezpieczeń:

TU – odpowiada za zgodność swoich działań z przepisami wytycznymi regulatora – KNF, który też przeprowadza audyty, bo jest do tego zobligowany i uprawniony tymi samymi przepisami;

Agent – z tych samych przepisów wynika, że TU odpowiada za działania agenta i ma również prawo i obowiązek kontrolować agentów, czy przestrzegają oni przepisów i działają zgodnie z zapisami umowy agencyjnej;

OFWCA – analogicznie agent ma prawo weryfikować działania swoich OFWCA, ponieważ za nie w pełni odpowiada (choć częściowo może przerzucić odpowiedzialność na zasadzie regresu poprzez zapisy w umowie o współpracy agencja-OFWCA; analogiczny proceder z pewnością też można wskazać analizując umowy agencyjne).

Podsumowując: każdy poziom w tej „hierarchii” ma swoje obowiązki wynikające z przepisów i podmiot, na rzecz którego działa ma prawo weryfikować prawidłowość ich realizacji, ponieważ ponosi za to odpowiedzialność.

Czego dotyczą kontrole RODO i IDD?

Audyty najczęściej są skierowane na realizację obowiązków wynikających z RODO i IDD. Można znaleźć sporo artykułów poświęconym temu, jakie dokładnie obowiązki są wymagane, a ich realizacja kontrolowana.

Polecane artykuły na naszej stronie:

  1. Kontrola pośrednika część I
  2. Kontrola pośrednika część II
  3. Kontrola pośrednika część III

Podstawowy zakres kontroli opisany jest również na stronach KNF: TUTAJ W praktyce najczęściej TU weryfikują czy:

  1. Przekazano informacje o administratorze danych osobowych klientów (RODO)
  2. Agencja ma właściwe podstawy do przetwarzania powierzonych danych do określonych celów (umowa ubezpieczenia, zgody marketingowe itd.)
  3. Przekazano/udostępniono informacje wymagane przez IDD:
    • Informacje o dystrybutorze ubezpieczeń (agencji)
    • Pełnomocnictwa dla agencji z poszczególnych TU jakie reprezentuje
    • Upoważnienie dla OFWCA wydane przez agencję pozwalające działać w jej imieniu.
  4. Przeprowadzono poprawnie badanie potrzeb klienta przed przedstawieniem oferty i wystawieniem polisy.
  5. Przekazano OWU, IPID, KID czy inne dokumenty wymagane przed zawarciem umowy ubezpieczenia.

Oczywiście kluczowe jest nie tylko czy wykonano te obowiązki, ale też czy zostały one wykonane prawidłowo, na co składa się również właściwa kolejność wymaganych działań.

Jaka forma audytu?

Najczęściej kontrola kojarzy się z wizytą (zapowiedzianą lub nie) „smutnych panów”, którzy zjawiają się w biurze, żeby przeglądać dokumenty i wypytywać zestresowanych agentów. Rzeczywistość ma jednak niewiele wspólnego z tym stereotypowym wyobrażeniem. Szacunkowo ok. 95% kontroli ma formę zdalną, czyli najczęściej jest to kwestionariusz lub lista pytań wysłana w formie elektronicznej. To najprostsza forma, ponieważ jest szybka (dużo podmiotów można skontrolować w tym samym czasie), tania, porównywalna i wystarczająco skuteczna w większości przypadków (i tak zwykle dane nie są przetwarzane w formie papierowej). Niestety w konsekwencji multiagent jest często zasypywany ankietami przez różne TU i to w częstotliwości mnie mniejszej niż raz do roku (a jeszcze nie wspomniałem o audytach związanych z innymi przypisami i wytycznymi jak Komunikat dotyczący przetwarzania danych w chmurze obliczeniowej czy DORA, w którą wkroczył już KNF i TU). Nie należy jednak lekceważyć tych ankiet, ponieważ w oparciu o odpowiedzi są zadawane dodatkowe pytania, formułowane sugestie i zalecenia, a czasami też wyciągane konsekwencje (zwłaszcza w sytuacji zlekceważenia obowiązku wypełnienia i odpisania), z odebraniem uprawnień do reprezentowania danego TU.

Kontrole fizyczne też oczywiście mają miejsce, ale są one raczej sporadyczne i raczej przeprowadzane przez KNF niż TU, zwłaszcza w przypadku zgłoszenia lub wykrycia jakiejś nieprawidłowości.

Należy też mieć na uwadze, że często kontrole siłą rzeczy mają charakter „kaskadowy” czyli przy okazji kontroli TU weryfikowana jest określona pula polis, która zostały wystawione przez konkretnych agentów czy osoby działające w ich imieniu, więc równocześnie albo w dalszej kolejności są i te podmioty weryfikowane.

Jak udowodnić zgodność z przepisami RODO i IDD?

Bez względu na formę i zakres kontroli, kluczowe jest zgromadzenie i przekazanie DOWODÓW na to, że postępuje się prawidłowo. Najczęściej te dowody mają postać dokumentów, których listę KNF zebrał tutaj. Nie dajmy się jednak zwieść nazwie, bo dowód może również mieć formę „niematerialną”, co jest dużo bardziej praktyczne, bezpieczne (przy odpowiednich środkach ochrony danych wdrożonych np. standard ISO wdrożony u dostawcy usług) i ekologiczne. Z tego założenia wyszliśmy również tworząc i modyfikując funkcjonalność RODO i IDD w Insly. Oczywiście kluczowe było spełnienie wymagań regulacyjnych i uwzględnienie praktycznych implementacji tych wytycznych w postaci wniosków pokontrolnych KNF i TU. Z tego wyniknęło, że potrzebne jest zbieranie dowodów nie tylko na samo przeprowadzenie wymaganych działań, ale także na prawidłową ich kolejność w procesie obsługi klienta. Stąd też te czynności zbierane są w postaci zapisów w logach aplikacji i w tej formie stanowią materiał dowodowy w przypadku nie tylko kontroli, ale także ewentualnego procesu sądowego (np. gdy klient podważa prawidłowość zawartej umowy ubezpieczenia, gdzie na skutek niewłaściwego zbadania potrzeb nie uwzględniono jakiegoś ryzyka, co z kolei spowodowało brak odpowiedzialności TU za zgłoszoną szkodę).

Co należy przekazać w trakcie kontroli?

Skupmy się na dostępnych w Insly funkcjonalności obsługi klienta zgodnej z wytycznymi RODO i IDD. Mamy tutaj do czynienia z 3 możliwymi sytuacjami: klient obsługiwany bezpośrednio, zdalnie i hybrydowo (czyli klient znajduje się np. w biurze, ale otrzymuje cześć wymaganych dokumentów np. OWU i IPID na mail). Poniższa tabela przedstawia informację, jakie elementy można wykorzystać jako dowód i przekazać do organu kontrolującego:

Kontakt z klientem
APK
RODO
Przekazanie dokumentów
Bezpośredni
Wersja papierowa lub skan formularza APK z podpisem klienta
Wersja papierowa lub skan oświadczeń RODO z podpisem klienta
Dowodem przekazania/udostępnienia wersji papierowych są wyłącznie oświadczenia podpisane zdalnie lub tradycyjnie
Zdalny
Wygenerowane potwierdzenie wykonania (pdf)
Zrzut ekranu ze statusem zgód i datą potwierdzenia (ilustracja 1)+treści poszczególnych zgód
Treść maili wysłanych do klienta (z systemu Insly lub/i skrzynki agenta) oraz załączniki do nich
Hybryda
Potwierdzenie pdf jeśli nie było możliwości zebrania podpisu.
Jeśli niemożliwe podpisanie wydruku to zrzut ekranu.
Podpisane oświadczenia lub e-maile wraz z załącznikami.

Ilustracja 1

Uwaga! W niektórych sytuacjach KNF/TU/sąd może żądać dodatkowych, bardziej szczegółowych informacji. Wtedy niezwłocznie należy się skontaktować z Działem Wsparcia poprzez czat lub adres pomoc@insly.com. Pracownik Insly może wtedy dostarczyć bardziej szczegółowe informacje zapisane w logach.

Są to trudne do podważenia dowody na to, jakie dokładnie treści były wysłane (nawet jeśli była modyfikowana bezpośrednio przed wysyłką) i kiedy, jakie załączniki zostały dołączone do maila wysyłanego z systemu Insly, kiedy klient kliknął w przycisk wysłany mailem lub kiedy agent zmienił status ręcznie danej zgody czy zmodyfikował APK itp.

Podsumowanie

Na koniec pozytywna informacja: setki tysięcy wykonanych APK i zebranych zgód w programie Insly oraz wiele kontroli przez jakie przeszli nasi klienci pokazuje, że oferowane narzędzie i dostarczane dowody są wystarczające, aby działać wygodnie, efektywnie, bezpiecznie i w zgodzie z przepisami.

Remigiusz Szczechowicz, compliance manager w Insly, członek Koalicji na rzecz zgodności

Szukasz sposobu na automatyzację procesów RODO i IDD w swojej agencji? Zainwestuj w narzędzie, które pomoże Ci działać zgodnie z przepisami i da Ci spokój ducha. Sprawdź Insly i zobacz, jak możemy ułatwić zarządzanie Twoją agencją

Inne ciekawe artykuły: