Branża ubezpieczeniowa naprawdę potrzebuje RODO? Jest przecież ustawa o ochronie danych osobowych.

Muszę powiedzieć, że tak. Problem ochrony danych osobowych nie był jak dotąd jednolicie uregulowany w skali europejskiej. Wiele firm ubezpieczeniowych to podmioty międzynarodowe, działające na różnych rynkach. Im takie ujednolicenie przepisów pomoże, mimo że na pierwszym etapie wdrożenie nowych regulacji pewnie nie będzie proste. Największą zmianą, jaką wprowadza RODO, jest ocena ryzyka. Do tej pory takie pojęcie w ogóle nie istniało. Nie będzie już tak, że wszyscy muszą stosować takie same zabezpieczenia, chociażby w postaci szafy pancernej. Każdy oceni swoje ryzyko indywidualnie i zastosuje adekwatne do tego narzędzia.

Firmy są już przygotowane do nowych przepisów?


Ogólnie rzecz ujmując, nie. Najlepiej jednak wydają się przygotowane duże firmy, koncerny, zwłaszcza międzynarodowe. Mają zasoby, możliwości, doświadczenie we wprowadzaniu różnych globalnych procedur. Nie jest to też dla nich znaczący koszt. Inaczej jest oczywiście w mniejszych firmach.

Dostrzega pan jakieś szczególne kwestie istotne dla branży ubezpieczeniowej?

Po pierwsze, problemem jest przetwarzanie danych ubezpieczonych na różnych etapach działania ubezpieczenia. Posłużmy się przykładem likwidacji szkody. Pojawiają się tutaj dane różnych osób, w tym m.in. uczestników zdarzenia, niekoniecznie osób ubezpieczonych, dane sprawcy, współpasażerów, świadków, pieszych, dane chociażby laweciarza, który wcale nie musi być przecież podwykonawcą ubezpieczyciela. Nie bardzo wiadomo, w jaki sposób w takiej sytuacji trzeba będzie realizować obowiązek informacyjny o przetwarzaniu danych osobowych. Do tej pory nikt przecież tego nie robił.

RODO to zmieni?

Tak, RODO wprowadza cały system sankcji za nieprawidłowe przetwarzanie danych osobowych. Po pierwsze są to kary finansowe. Po drugie – o tym niewiele się mówi – specjalny tryb dochodzenia roszczeń przed sądem. To rozwiązanie może być ryzykowne dla firm.



Gdzie leży problem?

Nowy rodzaj postępowania, z nowym określeniem zasad ustalania szkody – bo motywy RODO wskazują na konieczność szerokiego rozumienia pojęcia szkody – oraz prawdopodobnie z koniecznością szybkiego rozpatrzenia sprawy przez sąd, gdyż ponownie z motywów RODO wynika prawo do szybkiej i realnej ochrony praw. Przedsiębiorcy mają często problem z obsługą dużej liczby postępowań z konsumentami, istnieje ryzyko, że pojawi się fala pozwów i wyspecjalizowanych pełnomocników. To spore zagrożenie, momentami porównywalne do tego, co stało się po pojawieniu się kancelarii odszkodowawczych.

To koniec zagrożeń?

Nie, moim zdaniem pewnym problemem mogą być też podwykonawcy. Do tej pory w Polsce konstrukcja „podpowierzenia” danych nie istniała. Dane oczywiście były przekazywane, powierzane, ale nie było sformalizowane. RODO wprowadza tutaj całkowicie nowe zasady. Konieczne będzie wyrażanie zgody na każdego podwykonawcę. Będą to robić firmy jako administratorzy danych.

Tylu, ilu mamy podwykonawców, tyle trzeba wyrazić zgód?

Firmy ubezpieczeniowe przy likwidacji szkód korzystają oczywiście z firm usługowych w tym zakresie. One korzystają natomiast z podwykonawców. Tak zazwyczaj się zdarza. Zgoda na przetwarzanie danych będzie albo indywidualna, na każdego podwykonawcę, albo ogólna. W tym drugim przypadku firma ubezpieczeniowa musiała być informowana o takim podwykonawcy, musi wyrazić zgodę na przekazanie danych albo wyrazić sprzeciw.

Brzmi nieciekawie.

No właśnie, bo wyobraźmy sobie chociażby firmę, która ma w swojej ofercie ubezpieczenia komunikacyjne, czy chociażby medyczne. Turysta jedzie na safari, ma tam wypadek i trzeba szybko zorganizować pomoc medyczną i np. przewieźć klienta. O tym, kto będzie świadczył daną usługę, dowiadujemy się w ostatniej chwili. Jak w takim przypadku czekać na zgodę na przekazanie danych? To samo, gdy będziemy czekać na pomoc z zepsutym samochodem w nocy w środku lasu. Nie wyobrażam sobie udzielania zgody z góry albo dzwonienie do ubezpieczenia o północy. Trochę to absurdalne.

Absurdalne, ale chyba realne, skoro takie będą przepisy.

Trochę tak, ale myślę, że mimo wszystko, pójdziemy trochę w kierunku akceptowania pewnych ryzyk. Zwłaszcza, jeśli sprawa będzie dotyczyła zdrowia czy życia ludzkiego.

Jakieś reguły nadrzędne?

Tak, dane osobowe są bez wątpienia ważne i muszą być chronione. Ich ochrona nie może być jednak priorytetem.

W branży ubezpieczeniowej duże znaczenie ma także ochrona danych wrażliwych.

Zdecydowanie. Ubezpieczyciele wiedzą o nas wszystko i są to informacje dotyczące nie tylko zakresu ubezpieczenia. RODO kładzie jednak duży nacisk na proporcjonalność. Do tej pory można było zbierać wszystkie dane, jakie się chciało. Tak na wszelki wypadek, i nikt się nie zastanawiał, czy akurat takie dane będą firmie do czegoś kiedykolwiek potrzebne. Nowe przepisy nakładają obowiązek posiadania tylko takich informacji, które są absolutnie niezbędne.

Nie da się ukryć, że to znacząca zmiana.

Tak, skutkiem tej zmiany będzie też dodatkowy obowiązek dokonania przeglądów dostępów poszczególnych pracowników do różnych dokumentów w firmach. To będzie duże wyzwanie, zwłaszcza dla działów IT. To nie jest jednak akurat złe rozwiązanie. Po co na przykład dział marketingu ma mieć dostęp do polis klientów?

A co w sytuacji, gdy ubezpieczyciel stwierdzi, że jednak potrzebuje tych wszystkich informacji na nasz temat i niczego nie może usunąć?

Uważam, że po wejściu w życie nowych przepisów takie podejście nie będzie możliwe.

Rozmawiał Krzysztof Koślicki

Ochrona danych osobowych na podstawie RODO, Andrzej KrasuskiOchrona danych osobowych na podstawie RODO >>
Publikacja zawiera omówienie praktycznych zagadnień prawnych związanych z ochroną danych osobowych po wejściu w życie z dniem 25.05.2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. >>