Rzecznik Ubezpieczonych

Wyszukiwarka:

Wczytuję
Rzecznik Ubezpieczonych > Inicjatywy > Działalność edukacyjna > „Ochrona danych osobowych w ubezpieczeniach - problemy w praktyce obrotu” - konferencja Rzecznika Ubezpieczonych oraz Fundacji Edukacji Ubezpieczeniowej, Warszawa, 21 maja 2010

„Ochrona danych osobowych w ubezpieczeniach - problemy w praktyce obrotu” - konferencja Rzecznika Ubezpieczonych oraz Fundacji Edukacji Ubezpieczeniowej, Warszawa, 21 maja 2010

Szanowni Państwo,

w dniu 21 maja 2010 r. odbyła się konferencja „Ochrona danych osobowych w ubezpieczeniach - problemy w praktyce obrotu” zorganizowana przez Rzecznika Ubezpieczonych oraz Fundację Edukacji Ubezpieczeniowej.

Konferencja stanowiła płaszczyznę wymiany poglądów, omówienia występujących w praktyce problemów, wskazania postulowanych kierunków rozwiązań legislacyjnych, co w przyszłości przekładać się będzie na prawidłowe, z poszanowaniem interesów stron umowy stosowanie regulacji prawnych z zakresu ochrony danych osobowych.

W konferencji udział wzięli przedstawiciele Generalnego Inspektora Ochrony Danych Osobowych, Ministerstwa Finansów, przedstawiciele nauki i praktyki, organizacji samorządowych oraz konsumentów.

Program konferencji


Poniżej sprawozdanie z konferencji, a także w załącznikach wystąpienia (w formie prezentacji) poszczególnych prelegentów
oraz galeria zdjęć.

 

„Ochrona danych osobowych w ubezpieczeniach - problemy w praktyce obrotu" to tytuł konferencji, zorganizowanej przez Rzecznika Ubezpieczonych oraz Fundację Edukacji Ubezpieczeniowej, która odbyła się 21 maja br. w siedzibie NOT w Warszawie. Inicjując debatę na tak ważny temat, organizatorzy kierowali się przede wszystkim tym, że ochrona danych osobowych stanowi wyjątkowo istotny element działalności zakładów ubezpieczeń, pośredników ubezpieczeniowych, banków i innych podmiotów rynku finansowego. Okazuje się, że tryb i zakres pozyskiwania informacji od klientów już na etapie zawarcia umowy, a później jej realizacji, co wiąże się z gromadzeniem, przechowywaniem i przetwarzaniem danych, rodzi w praktyce wiele pytań i wątpliwości. Starano się je wyjaśniać w czasie kilkugodzinnej debaty uczestników konferencji.

       Blisko 150-osobową grupę uczestników konferencji, wśród których, obok prelegentów - specjalistów w zakresie ochrony danych osobowych, znaleźli się m.in. przedstawiciele zakładów ubezpieczeń, banków, funduszy inwestycyjnych, firm brokerskich, instytucji zajmujących się ochroną danych osobowych i praw konsumentów, a także Ministerstwa Finansów, UFG, KG Policji i PIU, powitała Halina Olendzka, Rzecznik Ubezpieczonych. Powiedziała, że ochrona danych osobowych jest sprawą szczególnej troski instytucji Rzecznika Ubezpieczonych. Przypomniała, że ustawa z dnia 29 sierpnia 1997 r. daje podstawę do ochrony danych osobowych i określa, kiedy i w jakim celu ich ujawnienie może mieć miejsce. Ustawa uwzględnia także prawa osób fizycznych, których dane mogą być przetwarzane. Nakłada ona na administratora przetwarzającego dane osobowe szczególną staranność w celu ochrony interesów osób, których te dane dotyczą. A więc muszą być one przetwarzane poprawnie i adekwatnie do celu. Jest to istotne i z tego względu, że zarówno zakłady ubezpieczeń, jak i instytucje około ubezpieczeniowe gromadzą i przetwarzają miliony danych osobowych, dotyczących obywateli naszego kraju, w tym również te dane wrażliwe, które powinny być otoczone szczególną ochroną.

       Rzecznik dodała, że konferencja ma na celu wymianę doświadczeń i spostrzeżeń na temat ochrony przetwarzania oraz udostępniania wzajemnego danych w obrębie szeroko rozumianej działalności ubezpieczeniowej. Konferencję objęli patronatem medialnym: „Gazeta Ubezpieczeniowa", „Dziennik Ubezpieczeniowy", „Miesięcznik Ubezpieczeniowy", „Prawo Asekuracyjne", „Prawo, Ubezpieczenia, Reasekuracja", „Rozprawy Ubezpieczeniowe" oraz „Wiadomości Ubezpieczeniowe".

       Następnie głos zabrała Monika Krasińska, dyrektor Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych.

Zwróciła uwagę, że liczba osób obecnych na konferencji świadczy o tym, jak dużym zainteresowaniem w sektorze ubezpieczeń cieszy się problematyka przetwarzania danych, ale także o tym, że problematyka ta budzi szereg wątpliwości i kontrowersji.  Na co dzień zainteresowane instytucje szukają odpowiedzi na nurtujące ich pytania przede wszystkim w przepisach prawnych, ale także w stanowiskach zajmowanych przez organ ochrony danych osobowych i w orzecznictwie sądów administracyjnych.

Przetwarzanie danych osobowych w sektorze ubezpieczeń dla celów ubezpieczeń jest nie tylko uzasadnione dla zawarcia lub rozwiązania umowy ubezpieczenia, ale często ułatwia racjonalne i oszczędne zarządzanie ubezpieczeniami, jak również zapobiega oszustwom. Dla osób ubezpieczonych ważne jest przede wszystkim to, aby dane osobowe były odpowiedniej jakości i integralności. Z kolei ubezpieczyciele często stawiają na ilość danych osobowych, co zawsze budziło najwięcej wątkowości, także z punktu widzenia zasad ochrony danych osobowych. W tej sytuacji szczególnie istotne jest zarówno przestrzeganie przepisów ustawy o ochronie danych osobowych jak i dyrektywy 95/46 Parlamentu Europejskiego i Rady Europy, będącej niejako konstytucją ochrony danych osobowych, która ustanowiła standardy i wytyczyła ścieżki interpretacji określonych zjawisk. Ustawa o ochronie danych osobowych jest w zasadzie jej odzwierciedleniem. Generalny Inspektor Ochrony Danych Osobowych w zajmowanych stanowiskach, jeżeli chodzi o proces przetwarzania danych w sektorze ubezpieczeń, na pierwszym miejscu stawia zasady wynikające z tej dyrektywy. Nakłada ona na państwa członkowskie Unii Europejskiej i na przetwarzających dane osobowe przede wszystkim obowiązek poszanowania zasady legalności przetwarzanych danych, a więc stosowania własnych przepisów branżowych w tym zakresie, w sposób czytelny i zrozumiały. Nakłada ona również obowiązek stosowania zasady adekwatności, tj. zbierania danych osobowych tylko w takim zakresie, jaki jest niezbędny dla osiągnięcia celu. Dane nie powinny być dalej przetwarzane, chyba że istnieje prawny obowiązek ich przetwarzania, wynikający z odrębnych ustaw.

       W sygnałach, jakie docierają do GIODO bardzo często wskazuje się też na konieczność właściwego przestrzegania obowiązku informacyjnego wobec klientów i zapewnienia osobom, których dane dotyczą, realizacji uprawnień kontrolnych. Zwłaszcza na początku działalności Biura Generalnego Inspektora Ochrony Danych Osobowych ten obowiązek nie zawsze był przez ubezpieczycieli właściwie interpretowany. Na pewno złożoność sektora ubezpieczeń w zakresie przetwarzania danych osobowych wyróżnia go od innych dziedzin gospodarki. Wynika to chociażby z faktu, że w przypadku ubezpieczeń komercyjnych, wystawienie polisy wiąże się ze zbieraniem szeregu informacji odnośnie danej osoby, nie wyłączając danych poufnych nawet sprzed lat. Ponadto, już w czasie trwania polisy może powstać sytuacja zebrania dodatkowych danych osobowych od klienta. W związku z tym, pojawiły się różne problemy, które dzięki wspólnym działaniom, a także stanowisku sądów administracyjnych, udało się rozstrzygnąć.

       Na pewno istotną sprawą jest to, aby w procesie pozyskiwania informacji przez ubezpieczycieli wyraźnie odróżnić osoby, które faktycznie zamierzają zawrzeć umowę i ją kontynuować od tych, które zainteresowane są tylko pewnymi usługami i chcą uzyskać ogólną informację o działalności ubezpieczyciela. Zdarza się jednak, że w praktyce te dwie kategorie osób traktowane są przez ubezpieczycieli tak samo. W świetle orzecznictwa sądów administracyjnych pozyskanie informacji od potencjalnego klienta powinno następować za jego wyraźną zgodą. Kwestia ta została rozstrzygnięta przez sąd definitywnie, chociażby na gruncie wyroków wydanych w sprawie ubezpieczeń komunikacyjnych. Zakres danych, które powinny być pozyskiwane dla danej umowy ubezpieczeniowej powinien być do niej adekwatny. Przyznać trzeba, że w ciągu wielu lat obowiązywania ustawy o ochronie danych osobowych ubezpieczyciele poczynili duże postępy w zakresie zachowania zasady adekwatności.

       Równie istotną kwestią jest samo przetwarzanie danych osobowych klientów w celach marketingowych. Ten temat był przedmiotem licznych dyskusji, które odbywały się w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Sądy wyraźnie wskazały, iż przetwarzanie danych osobowych aktualnych klientów w celach marketingowych zdecydowanie różni się od kontynuacji przetwarzania w takich celach danych klientów już archiwalnych. Sądy wskazywały też na potrzebę oddzielenia zbiorów klientów aktywnych od archiwalnych, którzy również powinni wyrazić zgodę na przetwarzanie ich danych w celach marketingowych. Instytucja sprzeciwu wskazuje, że proces przetwarzania danych osobowych do prowadzenia marketingu własnych produktów i usług powinien uwzględniać możliwość jego wniesienia. Często jednak, administratorzy danych twierdzą, że niezwłoczne uwzględnienie sprzeciwu uniemożliwia proces technologiczny. Tymczasem, ustawa o ochronie danych osobowych nie przewiduje żadnych okresów przejściowych dla zaprzestania przetwarzania danych osobowych po wniesieniu sprzeciwu. Chwila wniesienia sprzeciwu jest momentem decydującym dla dalszego nie przetwarzania danych osobowych w ustalonych celach.

       Urząd Generalnego Inspektora Ochrony Danych Osobowych spotkał się także z zagadnieniem merytorycznej niepoprawności danych osobowych przetwarzanych przez ubezpieczycieli w systemach informatycznych. Chodziło np. o to, że osoba, posiadająca w nazwisku „U - umlaut" miała problem z zaistnieniem w systemie informatycznym. A dyrektywa wyraźnie stanowi, iż przetwarzanie danych osobowych powinno następować w sposób zapewniający merytoryczną poprawność danych i gwarantuje jednolity poziom ochrony danych osobowych na terenie całej Unii. Na tym tle pojawiły się rozbieżności. W istocie, system informatyczny powinien uwzględniać poprawną pisownię nazwisk.

       Wiele problemów i skarg dotyka zbywania danych osobowych przez ubezpieczycieli w ramach cesji, bądź też udostępniania ich innym podmiotom na podstawie nieznanej osobom, których umowy dotyczą. Okazuje się, że ubezpieczyciele często zawierają umowy powierzenia, a taka umowa, wynikająca z ustawy o ochronie danych osobowych, daje administratorowi danych prawo do udostępniania informacji w celu realizacji własnych celów przez inny podmiot. Takie działanie trudno uznać za naruszające zasadę ochrony danych osobowych. Powstaje jednak pytanie, na ile ubezpieczyciel może sprzedawać wierzytelność, a wraz z nią dane osobowe? Ta kwestia została również rozstrzygnięta przez sądy administracyjne. Określiły one, że prawem wierzyciela jest sprzedaż danych osobowych w ramach cesji na zasadach określonych w kodeksie cywilnym. A kwestia dochodzenia, czy umowa została wykonana właściwie czy nie, tak przez klienta, jak ubezpieczyciela, należy do sądów powszechnych. Częstym zjawiskiem spotykanym w zakładach ubezpieczeń jest kwestia klauzul zgód w treści formularzy, za pomocą których pozyskiwane są dane osobowe, chociaż widać postęp odnośnie wyodrębniania zgód dla udostępniania danych innym podmiotom w celu prowadzenia marketingu produktów i usług. Takie zgody, o czym przesądziły sądy administracyjne, muszą być wyodrębnione. Nie może jeden podpis, następujący pod całością umowy, oznaczać zgody na udostępnienie danych w innych celach niż realizacja samej umowy. Nadal częstym zjawiskiem pozostaje brak wyodrębniania zgód na przetwarzanie danych w celach marketingowych od zgody np. na świadczenie usług drogą elektroniczną. Trwają dyskusje, czym w istocie różnią się te cele. Administratorzy danych argumentują, że w istocie niczym. Trzeba jednak pamiętać, że obie te zgody wynikają z różnego reżimu prawnego - jedna z ustawy o ochronie danych osobowych, a druga z ustawy o świadczeniu usług drogą elektroniczną. Trudno więc mówić, wobec różnych konsekwencji prawnych, o tożsamości tych zgód. Powinny być one wyraźnie wyodrębniane, aby klient miał świadomość celu i mógł wyrazić zgodę, lub nie.

       M. Krasińska wskazała też na zagadnienie związane z pozyskiwaniem danych przez ubezpieczycieli, jako pracodawców, za pomocą testów psychometrycznych. Dotyczy ono nie tylko sektora ubezpieczeń. Kwestie związane z pozyskiwaniem takich danych osobowych, jako nieuregulowane wprost w przepisach prawa pracy, musiały stać się przedmiotem rozstrzygnięcia, chociażby podczas kontroli prowadzonych wśród pracodawców. Na temat pozyskiwania danych osobowych w postaci testów psychologicznych, badań wariograficznych, czy szerszych niż stanowią przepisy kodeksu pracy, toczy się ożywiona dyskusja. Generalny Inspektor Ochrony Danych Osobowych ma świadomość złożoności tego zagadnienia i niedostosowania przepisów prawa pracy do warunków środowisk pracy. To prawda, że często pracodawca potrzebuje więcej informacji o pracownikach, ale też i oni potrzebują ochrony prawnej. Na tym tle Generalny Inspektor wystąpił do Ministerstwa Pracy z postulatem zmiany przepisów kodeksu pracy.

       Kontrole Generalnego Inspektora Ochrony Danych Osobowych wykazały także, że zapewnienie bezpieczeństwa danych osobowych, gromadzonych w zasobach ubezpieczycieli, nie zawsze jest odpowiednie. Często odnotowuje się przypadki braku należytej kontroli, nie wiadomo, kto wprowadził dane do zbioru, czy np. nie zapisano identyfikatora użytkownika wprowadzającego dane do systemu. A ma to znaczenie chociażby przy ustalaniu odpowiedzialności ludzi na poszczególnych etapach przetwarzania danych w przypadku, gdy dojdzie do nieuprawnionej ingerencji w system. Chodzi nie tylko o zagrożenia zewnętrzne, ale przede wszystkim wewnętrzne. GIODO spotyka się też z brakiem zgłoszeń aktualizacji zbiorów danych osobowych.        Zdarza się również, że osoby dopuszczone do przetwarzania danych osobowych nie mają stosownych upoważnień. Życie pokazuje, że nie wszystkie podstawowe zasady są przestrzegane przez niektóre podmioty sektora ubezpieczeń. W tym zakresie konieczna jest szersza edukacja i większa staranność przetwarzania danych osobowych.

Dyrektor M. Krasińska, w swoim wystąpieniu zaledwie dotknęła zagadnień, które najczęściej pojawiają się w skargach i pytaniach, jakie wpływają do Generalnego Inspektora Danych Osobowych. Dlatego potrzebna jest dyskusja nad stosowaniem prawa dotyczącego ochrony danych osobowych i przeciwdziałanie skutkom działań niepożądanych.   

       Praktycznymi refleksjami, związanymi z przetwarzaniem danych osobowych w branży ubezpieczeniowej i finansowej, podzielił się z uczestnikami konferencji Paweł Litwiński, adwokat w Kancelarii Radców Prawnych i Adwokatów Barta, Litwiński. Skupił się na rodzajach danych osobowych przetwarzanych w firmach ubezpieczeniowych oraz na podstawach prawnych ich przetwarzania. Szczególną uwagę zwrócił na przetwarzanie danych osobowych wiążących się z działalnością marketingową. W działalności ubezpieczeniowej obserwowany jest chyba największy konflikt pomiędzy potencjalną możliwością selekcjonowania obiektów działań marketingowych, a możliwością legalności działania administratorów danych osobowych.

       Zakres danych osobowych, w działalności ubezpieczeniowej lub innej, odnosi się nie tylko do informacji pozyskanych przy zawieraniu umowy w ankiecie lub formularzu. Praktyka wskazuje na to, że w działalności zakładów ubezpieczeń często tworzone są kryteria dotyczące wiarygodności płatniczej, potencjału ubezpieczeniowego obecnych czy przyszłych klientów. Dane osobowe to również te uzyskiwane w trakcie wykonywania umowy ubezpieczenia lub innej. Inny problem dotyczy kategorii danych osobowych, które nie pojawiały się w związku z prowadzeniem działalności gospodarczej. Dotyczy to m.in. komunikacji elektronicznej związanej ze stosowaniem nowych technologii w działalności ubezpieczeniowej, np. elektronicznych kanałów obsługi ubezpieczonych. W tym przypadku zachodzi konieczność opisania nowych kategorii danych osobowych. Gdy chodzi o przetwarzanie danych osobowych wrażliwych, należy mieć na uwadze obowiązki wynikające z prawa i związany z nim odpowiedni poziom zabezpieczeń tych danych.

       Omawiając działalność ubezpieczeniową, prelegent wymienił cztery podstawy prawne przetwarzania danych osobowych, a m.in. art. 24 ustawy o działalności ubezpieczeniowej, który daje wprost taką podstawę prawną dla przetwarzania danych. Wymienia się w nim dwa cele, w których wyraźnie dopuszczone jest przetwarzanie danych osobowych. Nie sposób też nie podkreślić zasady zachowania tajemnicy ubezpieczeniowej, która nie wpływa na możliwość przetwarzania danych przez zakład ubezpieczeń do momentu, dopóki te dane pozostają w strukturze organizacyjnej zakładu. Sytuacja zmienia się, jeśli zakład ubezpieczeń zechce faktycznie wytransferować te dane poza swoją strukturę.

       W przetwarzaniu danych w celach marketingowych potencjalnie istnieją dwie podstawy prawne, które można wykorzystać w działalności ubezpieczeniowej: zgoda osób, których te dane dotyczą i prawnie usprawiedliwiony cel. Coraz częściej pojawia się problem marketingu własnego, czyli reklamowania produktów i usług świadczonych przez inne formy niż administrator danych. Mówca odradzał sztuczne kreowanie wspólnych produktów po to tylko, by można było powołać się na własny, prawnie usprawiedliwiony cel. Musi to być usługa świadczona przez oba podmioty. Kolejny problem to nabywanie baz danych od zewnętrznych brokerów. Gdy chodzi o legalność i celowość wykorzystywania danych osobowych należy zwrócić uwagę na art. 26 ust. 2 pkt.1 ustawy o ochronie danych osobowych. Ten przepis tak naprawdę zakazuje przetwarzania danych osobowych w innych celach niż te, dla których dane zebrano lub sprzecznych z tymi celami. Rozróżnia się trzy cele przetwarzania danych: tożsame z pierwotnymi, inne oraz cele niezgodne z pierwotnym celem przetwarzania danych. Jak zmieniać cele przetwarzania danych osobowych? W zasadzie jedynym, bezpiecznym sposobem jest zgoda klienta.

       Po wystąpieniach dwóch prelegentów wywiązała się burzliwa dyskusja. Dorota Krajewska-Jadczak pytała, czy jest już przesądzone w orzecznictwie, że zgoda marketingowa musi być wyodrębniona na poszczególne cele. Szczególne znaczenie ma to dla produktów sprzedawanych drogą elektroniczną, gdyż potwierdzenie zgody każdej osoby spowoduje, że klient zniechęci się do kontynuowania umowy - argumentowała. W odpowiedzi usłyszała, że zgoda potencjalnych klientów na przetwarzanie danych musi być i może być poświadczona drogą elektroniczną. Klient ma swoje prawa i poruszanie się niezgodne z prawem będzie obciążało zakład ubezpieczeń w przypadku kontroli, czy przed sądem administracyjnym. Przede wszystkim w interesie administratora danych powinno leżeć wykazanie, że posiada stosowną zgodę na piśmie lub przesłaną drogą elektroniczną. Z kolei Ełżbieta Łyczko pytała jak należy traktować postępowania klientów, którzy odchodząc z funduszu emerytalnego wysyłają do niego informację o zawarciu umowy z innym funduszem. Odpowiedź: można podejmować działania tylko w ramach przepisów prawa, bo czym innym jest udostępnianie danych w ramach działalności jednego podmiotu, a czym innym na zewnątrz. Stanisław Garstka pytał, czy w ramach Bankowego Funduszu Gwarancyjnego można przetwarzać dane i przeprowadzać przy ich wykorzystaniu analizy statystyczne. W odpowiedzi usłyszał, że jest to możliwe tylko wtedy, gdy są to dane anonimowe. Inne pytania dotyczyły m.in. niszczenia danych osobowych po wygaśnięciu umowy ubezpieczenia, czy uzyskiwania odrębnej zgody na przetwarzanie danych od osób poszkodowanych w wypadkach drogowych, dochodzących odszkodowań z tytułu OC komunikacyjnego.

       Problemy konsumentów, w odniesieniu do ochrony ich danych osobowych, na podstawie sygnałów odbieranych przez Biuro Rzecznika Ubezpieczonych podczas codziennych dyżurów telefonicznych i zgłaszanych drogą mejlową, omówiła Krystyna Krawczyk, dyrektor Biura Rzecznika Ubezpieczonych.

       Wracając do początków, przypomniała, że gdy ustawa o ochronie danych osobowych weszła w życie w sierpniu 1997 r., Urząd Rzecznika Ubezpieczonych wystosował do zainteresowanych klientów komunikat i formularz oświadczenia do wypełnienia „czy wyrażam zgodę na przetwarzanie moich danych osobowych". I tylko jedna osoba odpowiedziała, że absolutnie sobie tego nie życzy. Jeśli chodzi o uwarunkowanie prawne, istotnym momentem było wejście w życie w 2004 r. pakietu ustaw ubezpieczeniowych. Ustawa o nadzorze ubezpieczeniowym i emerytalnym oraz Rzeczniku Ubezpieczonych dała instytucji Rzecznika uprawnienia i nałożyła obowiązki w zakresie ochrony danych osobowych.

       W skargach i dokumentach przesyłanych do Biura Rzecznika klienci często proszą o pomoc, jednocześnie przesyłając dokumenty zawierające informacje szczególnie wrażliwe, m.in. decyzje o uznaniu niepełnosprawności przez ZUS. Problemy występujące wyłącznie na tle stosowania zapisów ustawy o ochronie danych osobowych raczej sporadycznie zgłaszane są Rzecznikowi. Klienci zazwyczaj zwracają się z prośbą o pomoc w dostępie do dokumentów dotyczących ich umów ubezpieczenia, czy jakiegoś zdarzenia ubezpieczeniowego, gdy znajdują się one w posiadaniu zakładu ubezpieczeń, UFG, albo policji. W tych sprawach zgłaszają się osoby ubezpieczone, uprawnione, pełnomocnicy, ubezpieczyciele. Osoby występujące o pomoc, jako uzasadnienie podają często udzielenie odmowy w dostępie do informacji czy dokumentów przez różne osoby i instytucje. Do Biura Rzecznika napływają też liczne pytania, zarówno od kandydatów do umów ubezpieczenia, jak i osób już ubezpieczonych, w których wyrażają wątpliwości odnośnie ochrony ich danych osobowych.

       W odczuciu osób ubezpieczonych żądanie zakładu ubezpieczeń odnośnie podania danych osobowych jest zasadne, jeśli dotyczy odpowiedniego zakresu informacji. Niemniej, nie zawsze występuje właściwa otoczka informacyjna towarzysząca procesowi pozyskiwania badań przy ubezpieczeniach życiowych i zdrowotnych, toteż niektórzy odczuwają to jako swoisty szantaż. Często klientom towarzyszy również brak zaufania do ubezpieczycieli i obawa, co z ich danymi się stanie. Zwykle te obawy są nieuzasadnione, ale wskazują na to, jak wrażliwe są dane o stanie zdrowia. Docierają też do Rzecznika, na szczęście nieliczne, skargi od konsumentów, którzy twierdzą, że udostępnianie danych o stanie zdrowia, przebytym leczeniu, jest bezpodstawne, zwłaszcza wówczas, gdy wymaga się przedstawienia dokumentów. Konsument w zasadzie nie protestuje przeciwko podaniu danych o zdrowiu, ale gdy dochodzi do realizacji umowy, czuje się głęboko urażony. Zdarzają się też przypadki, kiedy nie dochodzi do porozumienia klienta z ubezpieczycielem. W ubezpieczeniach majątkowych też są pewne problemy. Ujawniły się one, kiedy ruszyła sprzedaż ubezpieczeń majątkowych w systemie direct. Klienci zgłaszali, że niektóre wymagane dane były nieuzasadnione. Na przykład, przy ubezpieczeniu OC, zawieranym metodą direct, domagano się informacji potrzebnych jak przy ubezpieczeniu AC. Niektóre sygnały świadczą też o tym, że zakłady ubezpieczeń często przesadnie chronią dane osobowe.

       Z kolei Anna Ankiewicz z Biura Ochrony Informacji Niejawnych Komendy Głównej Policji podzieliła się z uczestnikami konferencji obserwacjami i uwagami na temat ochrony danych osobowych w ubezpieczeniach z perspektywy policji, która często wykorzystywana jest w stosunkach ubezpieczeniowych, gdyż jej dane niejednokrotnie stanowią ważny materiał dowodowy.

Przetwarzaniem informacji ubezpieczeniowych w KG Policji zajmują się specjalne komórki. Na przykład, Biuro Ruchu Drogowego, które zajmuje się przekazywaniem danych związanych ze zdarzeniami komunikacyjnymi, a Biuro Kryminalne - szeroko rozumianą przestępczością gospodarczą, w tym ubezpieczeniową.

       W pierwszej części wystąpienia prelegentka zwróciła uwagę na udostępnianie danych przez policję i okoliczności, w jakich jest ona zobowiązania do przekazywania danych. Otóż policja ma obowiązek przekazywania informacji o zdarzeniach drogowych do Polskiego Biura Ubezpieczycieli Komunikacyjnych i zakładów ubezpieczeń oraz tworzenia zestawień statystycznych zdarzeń drogowych dla celów bezpieczeństwa ruchu drogowego. Przekazywanie danych osobowych przez policję odbywa się na podstawie obowiązujących aktów prawnych: ustawy o policji, ustaw ubezpieczeniowych, jak również zarządzenia Komendanta Głównego Policji nr 635 z dnia 30 czerwca 2006 r. w sprawie form i metod prowadzenia przez policję statystyki zdarzeń drogowych.

       W drugiej części wystąpienia A. Ankiewicz skupiła się na pozyskiwaniu danych przez policję. Jak zauważyła, zjawiskiem, które godzi w bezpieczeństwo całego rynku ubezpieczeniowego, jest przestępczość ubezpieczeniowa, której skutki odczuwane są przez wszystkich uczestników tego rynku. Jednym z zadań policji jest zwalczanie przestępczości, które powinno być ukierunkowane na zwiększenie skuteczności w wykryciu organów ścigania. Warunkiem tego jest bliska współpraca środowisk ubezpieczeniowych z policją, w tym szeroki dostęp do informacji administrowanych przez zakłady ubezpieczeń.

       Prelegentka zwróciła również uwagę na dochowanie tajemnicy ubezpieczeniowej, która jest obowiązkiem zakładów ubezpieczeń w stosunku do klientów oraz wskazała na podstawy prawne uzyskania przez policję informacji stanowiących tajemnicę ubezpieczeniową, gdyż instytucja tajemnicy ubezpieczeniowej nie ma charakteru bezwzględnie nienaruszalnego. Ustawodawca wprowadził tu wyjątki. Niektóre informacje mogą być udzielane na żądanie, przede wszystkim sądu, prokuratury oraz policji, jeżeli jest to konieczne do skutecznego zapobieżenia przestępstwu, jego wykryciu albo do ustalenia sprawców zdarzenia. Podstawą prawną do tego są zapisy zawarte w ustawie o policji. Ponadto, podstawą do uzyskania przez policję informacji stanowiących tajemnicę ubezpieczeniową jest postanowienie właściwego sądu okręgowego. Jeśli chodzi o bazę szkodową, policja współpracuje z zakładami ubezpieczeń, PIU, UFG i Ośrodkiem Informacji UFG, co wiąże się z dużymi możliwościami, ale i ograniczeniami odnośnie ustalenia sprawców zdarzeń i przestępczości.

       A. Ankiewicz zasygnalizowała również zebranym projektowane zmiany prawne w ustawach regulujących ochronę danych osobowych.

       Problemy w stosowaniu przepisów o ochronie danych osobowych z perspektywy zakładów ubezpieczeń omówił Ambroży Wójcik, reprezentujący Polską Izbę Ubezpieczeń. Szczególną uwagę zwrócił na dane wrażliwe, zwłaszcza przy zawieraniu przez agentów umów ubezpieczenia na życie. Zgoda na przetwarzanie takich danych osobowych musi być wydawana przez klienta na piśmie. Mówca poruszył też kwestię ochrony danych dotyczących umów zawieranych w systemie bancassurance. Obowiązki te przejmują na ogół banki, uważając, że przede wszystkim są to ich klienci. Zdaniem mówcy, ważna sprawa, którą należy uregulować z punktu widzenia ochrony danych osobowych dotyczy klientów funduszy emerytalnych i inwestycyjnych. Jeśli chodzi o przeciwdziałanie przestępczości ubezpieczeniowej zwrócił uwagę, że obecnie zakłady ubezpieczeń nie mają odpowiednich baz informatycznych. Przed nimi stoi więc ogromne wyzwanie, aby takie bazy tworzyć.

       Maciej Byczkowski, prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji, w swoim wystąpieniu skupił się na praktycznych aspektach ochrony danych osobowych w ubezpieczeniach. Poinformował, że Stowarzyszenie na co dzień zajmuje się ochroną danych osobowych, ponieważ nadzoruje przestrzeganie procesu przetwarzania danych różnych organizacji. Są to również podmioty z branży ubezpieczeniowej, które codziennie przesyłają pytania z problemami dotyczącymi przetwarzania danych osobowych, zarówno w zakresie ubezpieczeń majątkowych, komunikacyjnych, życiowych, zdrowotnych. Wszystkie problemy na gruncie prawa ubezpieczeniowego, czy prawa pracy zmierzają do jednego wniosku: jakie ustawy znowelizować w związku z obowiązywaniem ustawy o ochronie danych osobowych. Wiele przykładów wskazuje na fakt, że trzeba by nieco pozmieniać zapisy ustaw, na podstawie których zbiera się dane osobowe po to, żeby można było realizować ustawę o ochronie danych osobowych.

       Zagadnienia z zakresu ochrony danych osobowych można podzielić na dwie sfery. Pierwsza to organizacyjna, związana z zabezpieczeniem i wykonywaniem wszystkich obowiązków i kwestii prawnych pojawiających się w związku z prowadzoną działalnością ubezpieczeniową. Chodzi o to, by zbierany zakres danych był właściwy dla danego przedmiotu i umowy ubezpieczenia. Ponieważ są różne kanały zbierania danych: przez agentów, telefon, internet, instytucję call center, gromadzącą informacje także na temat zdrowia, stąd też różne są procesy przetwarzania danych osobowych. Kolejna sprawa dotyczy danych potencjalnych klientów i tak zwanej bazy marketingowej, organizowanej w różny sposób. Wydaje się jednak, iż najwięcej problemów dotyczy wniosków, do których nie zostały wystawione polisy ubezpieczeniowe, albo np. klient zrezygnował z ubezpieczenia po wpłaceniu pierwszej składki.

       Mówca zwrócił uwagę na to, że jest wiele klauzul, które wiążą ze sobą zgodę na przetwarzanie danych w celach realizacji umowy ze zgodą na cele marketingowe, co jest niedopuszczalne. Na realizację umowy zgody nie trzeba, ale musi być ona wyrażona w celu udostępnienia danych innym podmiotom. Inna sprawa - czas przetwarzania danych. Musimy go określić szczególnie w kontekście wniosków „niespolisowanych" oraz umów, które już się zakończyły.

       Jak zatem rozwiązać problem, aby ubezpieczyciele mogli skutecznie zarządzać przetwarzaniem danych osobowych? Przede wszystkim musi być podział zadań i przygotowanie ludzi do wykonywania obowiązków, wyznaczenie administratora bezpieczeństwa danych oraz odpowiedzialność osób dopuszczonych do danych i dokładne ustalenie, kto za co odpowiada.

       M. Byczkowski poinformował także zebranych, że jest przygotowany projekt ustawy sejmowej w zakresie roli administratora bezpieczeństwa informacji, aprobowany przez GIODO, Ministra Finansów oraz Ministra Spraw Wewnętrznych i Administracji. Jego zakres jest istotny dla funkcjonowania firm, ponieważ wzmacnia status administratora bezpieczeństwa informacji i daje korzyści w kwestiach rejestracji zbiorów danych osobowych i zasad przeprowadzania kontroli. Dyrektywa dopuszcza możliwość określenia takiej roli administratora bezpieczeństwa informacji. Zmiany przepisów idą w takim kierunku, żeby lepiej zorganizować zarządzanie przetwarzaniem danych osobowych.

       Na temat ochrony danych osobowych w produktach ubezpieczeniowych, oferowanych za pośrednictwem banków, wypowiedziała się mec. Emilia Stępień, specjalista z zakresu ochrony danych osobowych Bird & Bird. Jak nadmieniła, bancassurance nie zostało zdefiniowane w przepisach prawa. A jak w doktrynie bywa, poglądów jest wiele. Bezpiecznie można przyjąć, że bancassurance to oferowanie produktów ubezpieczeniowych czy bankowo-ubezpieczeniowych przez banki. Ten rynek rozwija się w ubezpieczeniach komunikacyjnych, zdrowotnych, w grupie produktów o charakterze inwestycyjnym. Dla ubezpieczyciela współpraca z bankiem jest wygodna, gdyż ma on dostęp do klientów banku. Z kolei banki, odnoszą korzyść z tego mariażu chociażby dlatego, że mogą zaoferować klientom pakiet usług i wzbogacić swoją ofertę. Dla klienta banku taka oferta wydaje się być atrakcyjna, gdyż może on załatwić kilka spraw w jednym okienku. W banku klient nie zawiera umowy bezpośrednio z zakładem ubezpieczeń. Ma to znaczenie z perspektywy podstawy prawnej przetwarzania danych przez ubezpieczyciela. Także w agencyjnym modelu sprzedaży polis spotykamy się często ze sprzedażą produktów bankowo-ubezpieczeniowych. I tutaj należy mieć na uwadze ochronę danych osobowych na poszczególnych etapach zawierania i funkcjonowania umowy.

       Ważne jest ustalenie celu i zakresu przetwarzania danych oraz odpowiedzialności podmiotów i zaznaczenie, który z nich jest administratorem i przetwarzającym dane. Powinno być adekwatne w stosunku do klientów, do których bank kieruje swoją ofertę. Bank musi posiadać zgodę klienta na udostępnienie danych osobowych ubezpieczycielowi bądź zgodę, na podstawie której może dokonywać marketingu produktu ubezpieczyciela. Na ile możliwe jest oferowanie przez bank produktów ubezpieczeniowych bez posiadania takiej zgody? W ocenie prelegentki np. ubezpieczenie grupowe jest produktem własnym banku. Mec. E. Stępień przedstawiła różne symulacje sprzedaży produktów bankowo-ubezpieczeniowych i odpowiedzialności za przetwarzanie danych osobowych klientów, np. w sytuacji, gdy sprzedaje je agent.

       Z punktu widzenia ochrony danych osobowych istnieją przepisy, na podstawie których możliwe jest przetwarzanie danych osobowych klientów banku po to, żeby oferować produkty bancassurance. Możliwe jest też, aby przetwarzać dane ubezpieczyciela przy założeniu jednak, że należy wypełniać wszystkie obowiązki ciążące na inspektorze danych osobowych, a między innymi obowiązek informacyjny i zabezpieczenia danych. Chodzi o to, aby działo się to z jak najszerszym poszanowaniem interesów konsumenta.

       Wiele poruszonych w wystąpieniach prelegentów problemów stało się przyczynkiem do dyskusji. Między innymi uczestnicy zwracali uwagę na to, jak bardzo skomplikowaną materią jest ochrona i przetwarzanie danych osobowych. A będzie ona jeszcze bardziej się komplikować ze względu na rozwój technologiczny i informatyczny w sektorze finansowym. Trudno sobie wyobrazić, że prawo będzie systematycznie nadążało za techniką. Raczej przybędzie nowych problemów. Chodzi jednako o to, aby w komplikującym się świecie znaleźć elementy racjonalności, tak ze strony konsumenckiej, jak i zakładów ubezpieczeń.

       Konferencję podsumował mec. Aleksander Daszewski, prezes Fundacji Edukacji Ubezpieczeniowej, podkreślając, że była ona dobrą okazją do wyjaśnienia wielu wątpliwości i problemów, z jakimi spotykają się w praktyce pracownicy instytucji finansowych, odpowiedzialni za bezpieczeństwo i przetwarzanie danych osobowych swoich klientów.

Janina Barańska

Galeria zdjęć


Załączniki

Informacje prasowe z rynku

29.08.2014 - Ubezpieczenia majątkowe

SO: rodzicom należy się zadośćuczynienie za śmierć syna w wypadku komunikacyjnym

czytaj więcej



29.08.2014 - Ubezpieczenia na życie

Grupa Ubezpieczeniowa Europa: wzmocnienie obecności w segmencie klientów indywidualnych

czytaj więcej



29.08.2014 - Zabezpieczenie emerytalne

PPE: powstaje mniej programów niż upada

czytaj więcej