Najczęstsze błędy agentów ubezpieczeniowych z zakresu ochrony danych osobowych

Grafika przedstawiająca błędy przy RODO

25 maja 2024 roku minęło dokładnie sześć lat od kiedy stosujemy w Polsce RODO. Nadal jednak temat bezpieczeństwa danych osobowych (a szerzej rzecz ujmując – informacji) budzi wiele wątpliwości oraz powoduje problemy w zgodnej z prawem dystrybucji ubezpieczeń. W poniższym tekście chciałbym przeanalizować najczęstsze błędy jakie w praktyce działania popełniają agenci ubezpieczeniowi i nie tylko.

Pierwszą ważną kwestią jest rozróżnienie na agenta wyłącznego i multiagenta. Pierwszy z nich jest przedstawicielem zakładu, działającym w imieniu i na rzecz jednego ubezpieczyciela. W konsekwencji, działa jako podmiot przetwarzający tego zakładu ubezpieczeń, posiadając podpisaną umowę powierzenia przetwarzania danych.

Status multiagenta przewiduje występowanie w podwójnej roli: podmiotu przetwarzającego i administratora danych osobowych. Co do zasady, w zakresie zbiorów danych klientów zakładu ubezpieczeń, a więc osób, które zawarły już umowę ubezpieczenia, agent powinien być traktowany (podobnie jak agent wyłączny) jako podmiot przetwarzający. Jednak w odniesieniu do danych osobowych potencjalnych klientów multiagent może tworzyć własne zbiory danych i działać jako administrator.

Rola multiagenta jako odrębnego administratora danych wynika również z szeregu obowiązków, które zostały nałożone bezpośrednio na ten podmiot, w tym: konieczność samodzielnego rozpatrywania reklamacji w zakresie niezwiązanym z udzielaną ochroną ubezpieczeniową czy też realizacja obowiązków związanych z przeciwdziałaniem praniu brudnych pieniędzy i finansowaniu terroryzmu (te ostatnie obowiązki dotyczą agentów w zakresie ubezpieczeń na życie – współpracujących z co najmniej dwoma zakładami ubezpieczeń).

Praktyka działania wskazuje też, że multiagencje chcą pełnić rolę administratora danych osobowych, gdyż czują się „właścicielami portfela klientów”. Taka rola z kolei nakłada na nich szereg obowiązków prawnych.

Warto również podkreślić, że osoba fizyczna wykonująca czynności agencyjne (OFWCA) co do zasady nie będzie administratorem danych osobowych. Jest nim bowiem zawsze zakład ubezpieczeń (na rzecz którego OFWCA w ramach agencji wykonuje dystrybucję ubezpieczeń) lub agent.

Zgodnie z art. 13 i 14 RODO administrator danych osobowych powinien posiadać własną klauzulę informacyjną o prawach osób fizycznych oraz sposobie przetwarzania danych osobowych (tzw. klauzula informacyjna RODO), dostosowaną do procesu pozyskiwania informacji. Inna klauzula zatem dotyczyć będzie nowych klientów, a inna – osób składających reklamacje.

Oczywiście, istnieje możliwość połączenia tych informacji w jednym dokumencie. Ważne jednak, aby nie dopuścić do tego, by dokument był zbyt obszerny i nieprzejrzysty. Istnieje możliwość zastosowania podejścia „warstwowego” – na przykład, jeżeli pierwszy kontakt z osobą, której dane dotyczą, ma miejsce drogą telefoniczną, informacje podstawowe (pierwsza warstwa – tj. szczegółowe informacje na temat celów przetwarzania, tożsamość administratora, wskazanie istniejących praw osoby, której dane dotyczą, a także informacje na temat najważniejszych skutków przetwarzania lub na temat przetwarzania, które może zaskoczyć osobę, której dane dotyczą) mogą zostać przekazane podczas rozmowy telefonicznej. Pozostałe informacje, wymagane na podstawie art. 13 i 14 RODO, mogą zostać przekazane za pośrednictwem innych, dodatkowych środków, takich jak przesłanie kopii klauzuli informacyjnej RODO w wiadomości e-mail.

Kolejną kwestią bardzo wątpliwą w praktyce jest zakres i sposób zbierania zgód. Bardzo często agenci zapominają, że w dystrybucji ubezpieczeń podstawowe znaczenie ma podstawa prawna legalizująca przetwarzanie danych w postaci niezbędności przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO).

Opierając się na takiej podstawie prawnej, nie ma konieczności pobierania zgody na przetwarzanie danych klientów. Chcąc jednak prowadzić marketing wobec klientów, mamy do wyboru zgodę lub oparcie się na uzasadnionym interesie administratora. W tym drugim przypadku nie musimy zbierać zgody, ale pojawia się obowiązek przeprowadzenia tzw. „testu równowagi”. Niestety jednak, od zgody nie uciekniemy, gdyż inne niż RODO regulacje prawne wymagają zgody na przesyłanie niezamówionej informacji handlowej oraz na realizację marketingu bezpośredniego. Należy zatem pobrać zgodę na tego typu działalność marketingową.

Bardzo często w praktyce działania spotykam kooperację między pośrednikami ubezpieczeniowymi (np. pomiędzy agencją działającą w formie jednoosobowej działalności gospodarczej oraz agencją działającą jako spółka). Ważne jest, aby pamiętać, że nie dopuszcza się zbierania zgody przez dwa podmioty jednocześnie. Nie będzie miało przy tym znaczenia, że podmioty te działają w jednej grupie kapitałowej albo ściśle ze sobą współpracują. Od zawsze bowiem obowiązuje zasada: jeden administrator – jedna zgoda. W przeciwnym wypadku (zbierając jedną zgodę na dwa podmioty), klient pozbawiony zostaje swobody wyboru, któremu podmiotowi chce pozwolić na przetwarzanie swoich danych. Co za tym idzie, jedna zgoda dla dwóch podmiotów nie jest dobrowolna. Brak dobrowolności to z kolei nieważność zgody. Idąc tym tokiem rozumowania, zgoda domyślnie zaznaczona również jest nieważna. Zgoda wymuszona – także.

Co więcej, każdy z podmiotów pozyskujących dane osobowe powinien mieć swoją klauzulę informacyjną i przekazywać ją klientom. Niezależnie od powyższego, klient wyrażający zgodę powinien mieć również możliwość wyboru kanału komunikacji (np. mail, telefon, SMS), na który chce pozwolić.

Na koniec należy podkreślić, że to na administratorze leży ciężar dowodu, że działa zgodnie z prawem (w tym: posiada podstawę prawną do ich przetwarzania oraz zrealizował obowiązek informacyjny). Oznacza to, że fakt realizacji obowiązków powinien być udokumentowany, np. nagraniem rozmowy telefonicznej (w przypadku zgody ustnej), dokumentem papierowym (w przypadku udzielenia zgody w kontakcie bezpośrednim) lub logiem systemowym (w przypadku udzielenia zgody online). Podobnie udokumentowane powinno być przekazanie klauzuli informacyjnej oraz posiadanie niezbędnego poziomu zabezpieczenia danych.

To administrator odpowiada za treść zgód i dokumentów, którymi się posługuje. Dlatego tak ważne jest dopasowanie ich do realnych procesów występujących w przedsiębiorstwie. Częstym błędem jest powielanie wzorów znalezionych w Internecie bez krytycznej analizy, czy są one dostosowane do specyfiki mojej działalności, polegającej na dystrybucji ubezpieczeń. Warto w tym zakresie skonsultować się ze specjalistą, który pomoże tak dobrać rozwiązania, aby wspierały one procesy biznesowe, nie stanowiąc obciążenia organizacyjnego.

Pamiętać przy tym należy, że sektor ubezpieczeniowy podlega nadzorowi ze strony różnych organów. Stąd należy wziąć pod uwagę różnorakie akty prawne (w tym: DORA, która będzie miała zastosowanie od 17 stycznia 2025 roku) oraz wytyczne takich podmiotów jak np. KNF, UODO czy też UOKiK, tworząc spójny proces. Jest to tym bardziej kluczowe, że już dziś pośrednicy ubezpieczeniowi otrzymują szereg ankiet badających stopień dostosowania się do wskazanych powyżej regulacji. Poprawne wdrożenie RODO pozwala w łatwy sposób wypełnić tego typu dokumenty, a weryfikacja agenta staje się łatwą do realizacji formalnością.

r.pr. Tomasz Klemt
Radca prawny, wykładowca akademicki, specjalista ds. compliance, właściciel Kancelarii Radcy Prawnego kompleksowo obsługującej od wielu lat rynek ubezpieczeń.

Członek Koalicji na Rzecz Zgodności.