Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Prawie rok od kulminacyjnego etapu gorączki związanej z RODO nasz ustawodawca zafundował zakładom ubezpieczeń kolejną porcję rozrywki w postaci nowelizacji ustawy o działalności ubezpieczeniowej i reasekuracyjnej [1] w związku z zapewnieniem stosowania rozporządzenia ogólnego o ochronie danych osobowych [2].
Od 4 maja 2019 r. obowiązują już nowe przepisy, których analiza może przyprawić niejednego IOD-a o zawrót głowy.
[1] Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz.U.2019.381 t.j. z dnia 2019.02.27) [2] Nowelizacja UDUiR została wprowadzona art. 138 ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.2019.730 z dnia 2019.04.19).
W finalnym kształcie nowelizacji ustawodawca zdecydował się uchylić obowiązujący dotychczas art. 41 ust. 2 UDUR, który przewidywał zwolnienie ubezpieczycieli z obowiązku informacyjnego. Obecnie zakłady ubezpieczeń zobowiązane są do informowania podmiotów danych na zasadach ogólnych. Uchylenie powyższego przepisu oznacza zobowiązanie zakładów ubezpieczeń do poinformowania nie tylko ubezpieczających (jak to miało miejsce dotychczas), ale także ubezpieczonych i uprawnionych z umów ubezpieczenia. Choć wydaje się, że z punktu widzenia podmiotów danych zmiana ta jest słuszna, to ustawodawca wywołał nią wiele wątpliwości.
W finalnym uzasadnieniu do projektu ustawy brakuje wyjaśnienia uchylenia tego konkretnego przepisu (znajduje się ono we wcześniejszych wersjach uzasadnienia, jednak w dość lakonicznej postaci).
Warto też zwrócić uwagę na praktyczne problemy związane z informowaniem osób, których dane zostały pozyskane przed 4 maja 2019. Zgodnie z zasadą nieretroaktywności prawa nowy obowiązek nie powinien przecież dotyczyć sytuacji z okresu, kiedy wspomniane zwolnienie z obowiązku informacyjnego obowiązywało.
Przetwarzanie danych osobowych – już poprzez samo ich przechowywanie – jest jednak czynnością o charakterze ciągłym. Jeśli zatem dane osobowe są przetwarzane również po 4 maja, można się zastanawiać, czy nie należy takiego obowiązku informacyjnego spełnić.
Jeśli zakład ubezpieczeniowy nie będzie mógł się powołać na jedno z wyłączeń z art. 14 ust. 5 RODO, zobowiązany będzie do realizacji obowiązku informacyjnego, co w przypadku tradycyjnej wysyłki pocztowej może oznaczać spore koszty. Wprawdzie potencjalnie możliwe będzie powołanie się na tajemnicę ubezpieczeniową w stosunku do osób uprawnionych z umów ubezpieczenia, ale brak wskazówek dotyczących momentu, w którym obowiązek miałby zostać zrealizowany, nieco komplikuje sprawę.
Zmiana art. 41 ust. 1 UDUR daje zakładom ubezpieczeń podstawę do przetwarzania danych dotyczących zdrowia ubezpieczonych i uprawnionych z umów ubezpieczenia w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia oraz w zakresie niezbędnym z uwagi na cel i rodzaj danego ubezpieczenia. Ubezpieczyciele dość długo czekali na to rozwiązanie. Dotychczas powszechną na rynku praktyką było zbieranie wyraźnych zgód na przetwarzanie danych sensytywnych w celu zawarcia i wykonywania umowy, co stanowiło swego rodzaju wypaczenie w kontekście dobrowolności i możliwości wycofania zgody.
Obecnie zgoda na to przetwarzanie nie będzie już konieczna, mimo że niefortunnie sformułowane uzasadnienie do projektu tzw. ustawy sektorowej mogłoby sugerować co innego: „W katalogu tym wymienione zostały również dane wrażliwe o stanie zdrowia ubezpieczonego, których przetwarzanie jest niezbędne m.in. przy ocenie ryzyka ubezpieczeniowego oraz wypłaty świadczenia w ubezpieczeniach na życie. Należy przy tym podkreślić, że jednym z warunków przetwarzania szczególnych kategorii danych osobowych, w tym danych o stanie zdrowia jest wyrażenia wyraźnej zgody na ich przewarzania przez osobę, którą te dane dotyczą (art. 9 ust. 2 lit. a RODO)”[3].
Choć w treści znowelizowanego przepisu nie ma mowy o przetwarzaniu danych zwykłych, to oczywiście będą one przetwarzane (najczęściej) w oparciu o przesłankę niezbędności do zawarcia lub wykonywania umowy – w tej kwestii nic się nie zmienia. Generalnie zmianę w tym zakresie można więc ocenić pozytywnie.
[3] Zob. pkt 142 uzasadnienia do ustawy sektorowej, str. 237. Druk 3050 wraz z uzasadnieniem są dostępne na stronie Sejmu: http://www.sejm.gov.pl/sejm8.nsf/druk.xsp?nr=3050.
Dodanie ust. 1a i 1b w art. 41 UDUR stworzyło ubezpieczycielom podstawę do podejmowania decyzji w indywidualnych przypadkach w oparciu o przetwarzanie określonych kategorii danych osobowych wyłącznie w sposób zautomatyzowany (w tym profilowanie). Dotychczas wydawanie tzw. zautomatyzowanych decyzji mogło być problematyczne w świetle art. 22 RODO. W zależności od celu przetwarzane mogą być dane różnych kategorii podmiotów danych:
Cel przetwarzania – Kategorie podmiotów danych
Z niewyjaśnionych przyczyn katalog kategorii danych osobowych, które mogą stanowić podstawę wydawania zautomatyzowanych decyzji, jest katalogiem zamkniętym. Może się zatem okazać, że działanie algorytmów wykorzystywanych dotychczas przez zakład ubezpieczeń będzie musiało zostać zmodyfikowane. Zablokowano również ścieżkę potencjalnego rozwoju wspomnianych algorytmów, które – wykorzystując więcej kategorii danych osobowych – mogłyby dokładniej oszacować ryzyko zakładu ubezpieczeń. Argument ten rzadko pada w debacie publicznej, ale warto pamiętać, że lepiej oszacowane ryzyko oznacza bardziej dopasowaną ofertę ubezpieczenia, a więc potencjalnie niższą składkę dla ubezpieczonego. W kontekście rozwoju sztucznej inteligencji wprowadzenie zamkniętego katalogu również nie wygląda najlepiej, ponieważ ogranicza zakres danych, na których mogłaby bazować nowa technologia.
Takie podejście racjonalnego (choć zdecydowanie nieidealnego) ustawodawcy jest tym bardziej niezrozumiałe, że w analogicznym przepisie dotyczącym oceny zdolności kredytowej i analizy ryzyka kredytowego dokonywanych przez banki katalog kategorii danych osobowych pozostawiono otwarty[4].
[4] Zob. art. 105a ust. 1a-1c ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U.2018.2187 t.j. z dnia 2018.11.23).
Należy ocenić pozytywnie wprowadzoną w art. 35a UDUR możliwość przetwarzania danych osobowych objętych tajemnicą ubezpieczeniową w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń (choć nasuwają się pytania, czy w przypadku braku stosownego przepisu takie przetwarzanie nie byłoby realizowane – i kiedy możemy mówić o uzasadnionym podejrzeniu popełnienia przestępstwa).
Ciekawym rozwiązaniem jest również zwolnienie zakładu ubezpieczeń z obowiązku respektowania żądań dostępu do danych składanych przez podmioty danych w oparciu o art. 15 RODO w zakresie, w jakim przetwarzanie danych pozostaje niezbędne do prawidłowej realizacji zadań AML-owych (art. 35b UDUR). Brak analogicznego zwolnienia ze spoczywającego na administratorze obowiązku informacyjnego, choć na pierwszy rzut oka może budzić wątpliwości, nie powinien powodować znacznych trudności. W tym przypadku najczęściej możliwe będzie powołanie się na stosowne wyłączenie z art. 14 ust. 5 RODO, co szczególnie istotne ze względu na uchylenie ustawą sektorową art. 34 ust. 6 ustawy o przeciwdziałaniu praniu pieniędzy oraz finasowaniu terroryzmu.
To, co może natomiast budzić kontrowersje, to brak wyraźnego odniesienia do danych szczególnych kategorii i danych dotyczących wyroków skazujących (art. 9 i 10 RODO) w powyższych przepisach znowelizowanej UDUR. Oczywiście można argumentować, że dane te zawierają się w kategorii danych osobowych objętych tajemnicą ubezpieczeniową. Mimo to razi pewna niekonsekwencja ustawodawcy, który w nowym przepisie art. 42 ust. 2a komentowanej ustawy, regulującym przetwarzanie w celu ustalenia okoliczności wypadków i zdarzeń losowych oraz wysokości ewentualnego odszkodowania przez właściwe organy, zawarł odwołanie do danych, o których mowa w art. 10 RODO.
Ustawodawca wprowadził również ustawowy okres retencji danych przetwarzanych w celach statystycznych – 12 lat od dnia rozwiązania umowy ubezpieczenia. Stanowi to pewną analogię do okresów znanych już z prawa bankowego. Choć wskazanie wyraźnego okresu retencji jest zasadniczo dobrym kierunkiem zmian – rozwiewa bowiem wszelkie wątpliwości i standaryzuje praktykę rynkową – to problemem, którego ustawodawca zdaje się nie dostrzegać, pozostaje przetwarzanie danych z umów ubezpieczenia w innych celach niż te wskazane w art. 33 ust. 3 UDUR. Z kolei do celów statystycznych niejednokrotnie wystarczające byłyby dane zagregowane lub zanonimizowane w sposób uniemożliwiający identyfikację podmiotu danych, a więc znajdujące się poza reżimem RODO.
Podsumowując, zmiany w ustawie o działalności ubezpieczeniowej i reasekuracyjnej pozostawiają wiele do życzenia. Uderzające jest całkowite pominięcie zakładów reasekuracji w nowelizowanych przepisach – zupełnie jakby ustawodawca zapomniał, że są to odrębne od zakładów ubezpieczeń podmioty i odrębni administratorzy danych osobowych. W odniesieniu do reszty wprowadzonych zmian stwierdzić można, że pomimo (zapewne) jak najlepszych intencji wykonanie mogłoby być odrobinę bardziej przemyślane. Poza tym, że zakłady ubezpieczeń zmuszone zostały do wdrożenia mechanizmów skutecznej realizacji obowiązku informacyjnego w dosyć krótkim czasie, wyraźnie odczuwalny jest brak jakichkolwiek wskazówek dotyczących postępowania w nowej rzeczywistości prawnej. Uzasadnienie do wprowadzanych zmian pozostawia bowiem wiele pytań bez odpowiedzi.