RODO to hasło, które spędza sen z powiek wielu ekspertom w dziedzinie ochrony danych osobowych i nie tylko. Co jakiś czas bombardowani jesteśmy doniesieniami o kolejnych sankcjach finansowych zastosowanych głównie wobec przedsiębiorców. Z jednej strony mamy wyraźną obawę przed wysokimi karami za brak wdrożenia bezpiecznych procedur, z drugiej – wiele podmiotów błądzi we mgle spowijającej nie do końca jasne regulacje.
Sytuacji nie ułatwia także podejście Europejskiej Rady Ochrony Danych (EROD), która cyklicznie wydaje nowe zlecenia dotyczące istotnych kwestii stosowania RODO. Te z bardziej doniosłych opisane zostały w Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego, gdzie zaakcentowane zostało, że kluczowe znaczenie ma w tym miejscu dokładne określenie celu (w jakim celu, po co przetwarzam dane) oraz sposobu ich przetwarzania (jakie środki należy zastosować, aby osiągnąć cel przetwarzania).
Te dwa czynniki zasadniczo determinują status danego podmiotu jako administratora danych. Bez znaczenia przy tym pozostaje treść zawartych umów powierzenia, nawet jeśli umowa przewiduje, że jedna strona jest podmiotem przetwarzającym, podczas gdy w rzeczywistości ta strona decyduje o celach i sposobach przetwarzania – pomimo zapisów umownych będzie ona administratorem.
Ale czy aby na pewno udzielenie odpowiedzi na rzeczone pytania da nam satysfakcjonującą receptę na poprawność wdrożonych i stosowanych mechanizmów zmierzających do odpowiedniego zabezpieczenia przetwarzanych danych osobowych?
Broker i pozyskane dane osobowe
Sprawa nie wygląda już tak różowo (czy raczej czarno-biało), gdy mowa o branży brokerów ubezpieczeniowych. Jaką rolę bowiem odgrywa broker ubezpieczeniowy w stosunku do danych osobowych, które pozyskuje i przetwarza w toku wykonywanych czynności dystrybucyjnych? Jest administratorem, procesorem, a może występuje w podwójnej roli – w zależności od tego, jakie i czyje dane przetwarza?
Problem ten pozostawał bez rozstrzygnięcia zasadniczo od wejścia w życie RODO. Stąd też praktyka była różnoraka. Część brokerów ubezpieczeniowych uznawała siebie za odrębnych administratorów wobec wszystkich kategorii osób, których dane dotyczą. Dominowało jednak i wciąż dominuje zapatrywanie, że broker ubezpieczeniowy – w zależności od rodzaju świadczonych czynności z materii dystrybucji ubezpieczeń – jest zarówno administratorem, jak i podmiotem przetwarzającym. Ciężko bowiem doszukiwać się samodzielnych celów przetwarzania danych osobowych chociażby pracowników klienta brokera czy osób trzecich – poszkodowanych występujących do klienta brokera z roszczeniami, skoro broker, zgodnie z ustawą, działa na wyraźnie zlecenie swojego klienta, wyłącznie w ramach udzielonego umocowania.
Idąc tą drogą, broker nie posiada innego celu przetwarzania danych osobowych poza celem wyraźnie wskazanym przez pierwotnego administratora danych, swojego klienta.
Status brokera według PUODO
Na kanwie wyżej zaakcentowanych wytycznych EROD, Polski Urząd Ochrony Danych Osobowych publikuje własne wskazówki interpretacyjne odnoszące się do statusu poszczególnych podmiotów w odniesieniu do dyscypliny danych osobowych.
Obecnie zaobserwować można swoisty trend. Po pierwsze – odchodzi się od zgody jako przesłanki legalizującej przetwarzanie danych osobowych. Tym samym zauważa się wyraźną tendencję do poszukiwania podstawy do przetwarzania danych w obowiązujących przepisach. Po drugie – nadaje się przymiot administratora danych osobowych zasadniczo każdemu podmiotowi, którego działalność podlega własnym, sektorowym regulacjom. Nie inaczej stało się z branżą brokerską.
Nie tak dawno na stronie UODO opublikowane zostały dyrektywy w przedmiocie określenia pozycji brokera ubezpieczeniowego w procesie składającym się na przetwarzanie danych osobowych. Organ nadzoru uznał – biorąc za model sytuację prawną i zawód biegłego rewidenta – że broker ubezpieczeniowy w związku ze świadczeniem swoich usług ma status administratora danych. Zaakcentowane zostało przy tym, że chodzi o wszelkie dane osobowe, jakie broker pozyskuje i przetwarza, w tym dane pracowników swojego klienta, osób ubezpieczonych, świadków zdarzeń, które pozostają pod ochroną ubezpieczeniową, czy niezależnych osób trzecich, które występują do kontrahentów brokera z różnego rodzaju roszczeniami.
Niezwykle doniosłe konsekwencje decyzji urzędu
Jeżeli uznamy, że broker ubezpieczeniowy rzeczywiście realizuje własne cele wobec pozyskiwanych od swojego klienta i przetwarzanych danych osobowych, choć na wyraźne zlecenie i polecenie swojego mocodawcy, to nie lada wyzwaniem staje się wskazanie podstaw przetwarzania tychże danych.
Przede wszystkim problem dotyczy danych osobowych pracowników kontrahenta brokera lub osób trzecich (poszkodowanych) kierujących żądania wobec klientów serwisu brokerskiego. Sprawa jeszcze nie nastręcza wielu trudności, jeśli idzie o tzw. dane zwykłe, albowiem zasadniczo broker, realizując świadczenia uregulowane w ustawie o dystrybucji ubezpieczeń, wykonuje ciążący na nim obowiązek prawny.
Komplikacje zaczynają się przy danych wrażliwych. Na jakiej podstawie zatem broker może przykładowo zlikwidować szkodę pracownika swojego klienta, skoro likwidacja ta wymaga przetworzenia danych o stanie zdrowia? Przepisy ustawy dystrybucyjnej z całą pewnością nie dają (wprost) takiego umocowania, a zatem odpada nam realizacja obowiązku prawnego.
Czy przesłanką przetwarzania ma być wówczas zgoda, która z kolei spełniać musi określone warunki, by można było uznać ją za wyrażoną dobrowolnie? A przecież zgoda ta niezbędna jest do wykonania czynności przez brokera. To z kolei powoduje, że owa zgoda pozbawiona może zostać podstawowego przymiotu – bycia nieprzymuszoną. Czy też właściwe jest w tym przypadku poszukiwanie innych podstaw legalności przetwarzania opisanych w art. 9 ust. 1 RODO?
Ale czy na pewno działalność brokerską możemy upatrywać w kategoriach ważnego interesu publicznego (art. 9 ust. 1 lit. g)? Odpowiedź twierdząca nie jest oczywista, nawet gdyby uznać, że regulacje sektorowe w sferze pośrednictwa ubezpieczeń zapewniają minimum gwarancji bezpieczeństwa przetwarzania danych osobowych, zważywszy chociażby na kontekst obowiązku zachowania tajemnicy zawodowej przez brokera.
Uzasadnione wątpliwości
Jeszcze bardziej złożona pozostaje problematyka przetwarzania przez brokera danych osób trzecich, roszczących wobec klientów serwisu brokerskiego.
Podążając za wskazówkami UODO – podczas likwidacji szkód z ubezpieczenia odpowiedzialności cywilnej ubezpieczonego (klienta brokera) mamy do czynienia z trzema niezależnymi administratorami danych: ubezpieczycielem, ubezpieczonym (adresatem roszczenia) oraz brokerem ubezpieczeniowym (pośrednikiem ubezpieczonego). Każdy z nich musi spełnić wobec podmiotu danych obowiązek informacyjny.
Abstrahując już od arcytrudnego wskazania podstawy przetwarzania przez brokera danych takiej osoby, uzasadnione wątpliwości budzi również kwestia dystrybucji obowiązku informacyjnego. W sytuacji, gdy w strukturach organizacyjnych brokera ubezpieczonego funkcjonują wyspecjalizowane departamenty zajmujące się likwidacją szkód, spełnienie obowiązku informacyjnego wobec każdego z podmiotów danych osobowych wydaje się być zadaniem bardzo uciążliwym. Naturalnie, jak wynika z klarownego w tej materii orzecznictwa, jakiekolwiek względy finansowe, organizacyjne czy administracyjne nie mogą zwalniać ze spełnienia obowiązku informacyjnego, to jednak chyba nie w taki sposób winny być położone akcenty w zakresie stosowania RODO.
Praca brokera polega na niesieniu merytorycznej pomocy swoim klientom w zakresie zwłaszcza likwidacji szkód, nie zaś poświęcaniu czasu na weryfikację, czy aby na pewno klauzula informacyjna (pełna lub warstwowa) dotarła do konkretnej osoby fizycznej, podmiotu danych, np. świadka zdarzenia. Dochodzimy wówczas do absurdu, gdzie czynności stricte techniczne pochłaniać będą czas niezbędny do starannego wykonania zawodowej działalności. Czy zatem taki był cel i zamiar zunifikowanej i zharmonizowanej regulacji z zakresu ochrony danych osobowych?
W obliczu narastających wątpliwości środowisku brokerskiemu nie pozostaje nic innego jak tylko wystąpienie do organu nadzoru z wnioskiem o pomoc w doprecyzowaniu wielu niejasnych kwestii. Jako że urząd zdecydował się zająć stanowisko wobec zawodu brokera ubezpieczeniowego, być może zajmie się także postulatem poszerzenia i rozwinięcia wytycznych interpretacyjnych. Co za tym idzie – udzieli brokerom odpowiedniego merytorycznego wsparcia celem ujednolicenia funkcjonującej praktyki.
Do tego czasu jednak wdrożenie przez brokerów odpowiednich procedur adekwatnych do sugestii UODO przypomina błądzenie w ślepym zaułku.
Emilia Sobierajska
radca prawny, broker ubezpieczeniowy, specjalista z dziedziny ochrony danych osobowych