Profilowanie
Zgodnie z przepisami RODO, aby organizacja mogła podejmować decyzje opierające się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), musi zaistnieć jedna z trzech podstaw, mianowicie:
- takie przetwarzanie jest niezbędne do zawarcia lub wykonania umowy,
- takie przetwarzanie jest dozwolone prawem,
- takie przetwarzanie opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Po pierwsze, w art. 41 ust. 1b ustawy o działalności ubezpieczeniowej i reasekuracyjnej ustawodawca wskazał katalog zamknięty kategorii danych osobowych, na podstawie których może dochodzić do przetwarzania w sposób zautomatyzowany. Po drugie, w art. 41 ust. 1a ustawy o działalności ubezpieczeniowej i reasekuracyjnej ustawodawca wskazał cele takiego przetwarzania wraz z podziałem na katalogi obejmujące następujące osoby:
- ubezpieczeni – przetwarzanie w celu dokonania oceny ryzyka ubezpieczeniowego,
- ubezpieczeni, ubezpieczający i uprawnieni z umów ubezpieczenia – przetwarzanie w celu wykonania czynności ubezpieczeniowych (w postaci ustalenia przyczyn i okoliczności zdarzeń losowych, a także ustalenia wysokości szkód oraz rozmiaru odszkodowań i innych świadczeń należnych uprawnionym z umów ubezpieczenia lub umów gwarancji ubezpieczeniowych).
Przetwarzanie danych dotyczących zdrowia
W myśl przepisów RODO co do zasady dane wrażliwe można przetwarzać na podstawie zgody uzyskanej od osoby, której dane dotyczą, bądź jeżeli zaistnieje inna podstawa wskazana w art. 9 ust. 2 RODO. Niemniej przepis art. 9 ust. 4 RODO dał ustawodawcom europejskim prawo do wprowadzenia na poziomie krajowym przepisów określających warunki przetwarzania danych dotyczących m.in. zdrowia. Z tego prawa skorzystał nasz krajowy ustawodawca, wprowadzając art. 41 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej – podstawę dla zakładów ubezpieczeń do przetwarzania danych dotyczących zdrowia. Ustawodawca precyzyjnie wskazuje, w jakich okolicznościach te dane mogą być przetwarzane.
Chodzi tu o dane dotyczące zdrowia ubezpieczonych lub uprawnionych z umów ubezpieczenia, zawarte w umowie ubezpieczenia lub oświadczeniach składanych przed jej zawarciem. Przy czym dane te mogą być przetwarzane na podstawie komentowanego przepisu w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na jej cel i rodzaj ubezpieczenia.
Koniec z pisemną formą zgody
Na gruncie uprzednio obowiązującego stanu prawnego zgoda w zakresie przetwarzania m.in. danych dotyczących zdrowia dla swojej ważności musiała zostać wyrażona w formie pisemnej. Ponieważ unijny ustawodawca zrezygnował z takiego wymogu, zgoda na przetwarzanie danych osobowych może być udzielona w dowolnej formie (np. e-mail, formularz na stronie internetowej, telefonicznie itd.). Powyższe musiało znaleźć odzwierciedlenie w przepisie art. 38 i 39 ustawy o działalności ubezpieczeniowej i reasekuracyjnej.
Nie jest więc już konieczna pisemna zgoda ubezpieczonego bądź osoby, na której rachunek ma zostać zawarta umowa ubezpieczenia, na pozyskiwanie informacji o stanie zdrowia przez zakłady ubezpieczeń od podmiotów wykonujących działalność leczniczą. To samo dotyczy uzyskiwania informacji od NFZ przez świadczeniodawców, którzy udzielili świadczeń opieki zdrowotnej, jak również zgody na przekazanie innemu zakładowi ubezpieczeń informacji na temat danych osobowych.
Określenie retencji danych
Ustawodawca zadecydował o możliwości wykorzystania danych osobowych ubezpieczonych, ubezpieczających lub innych uprawnionych z umów ubezpieczenia po rozwiązaniu umowy ubezpieczenia. Takie dane osobowe będą mogły być przetwarzane po rozwiązaniu umowy ubezpieczenia przez okres do 12 lat jako dane statystyczne, gromadzone w celu ustalania na ich podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw techniczno-ubezpieczeniowych dla celów wypłacalności i rezerw techniczno-ubezpieczeniowych dla celów rachunkowości.
Przetwarzanie danych w kontekście przeciwdziałania przestępstwom ubezpieczeniowym
Ustawodawca dodał do ustawy o działalności ubezpieczeniowej i reasekuracyjnej przepis stanowiący o prawie zakładów ubezpieczeń do przetwarzania danych osobowych w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń, w celu i w zakresie niezbędnym do zapobiegania temu przestępstwu (art. 35a). Zmiana była konieczna, gdyż zakłady ubezpieczeń muszą przetwarzać dane osobowe, aby radzić sobie z przestępstwami ubezpieczeniowymi.
Niestety nie wszystkie postulaty sektora ubezpieczeń składane na etapie opiniowania ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO zostały ostatecznie spełnione. Stąd tak istotne dla branży ubezpieczeniowej wydaje się sprawne stworzenie i przyjęcie kodeksu postępowania, który odnosiłby się do kwestii przemilczanych bądź pominiętych przez ustawodawcę.