Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) wprowadziła zmiany do ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej – w szczególności dotyczące podstawy prawnej przetwarzania danych osobowych klientów zakładów ubezpieczeń, profilowania oraz okresu retencji przetwarzanych danych osobowych.
Zgodnie z RODO, zasadą jest, że dane wrażliwe np. dotyczące zdrowia można przetwarzać na podstawie art. 6 ust. 1 lit. a RODO tj. na podstawie zgody osoby, której te dane dotyczą, chyba że istnieje inna podstawa prawna wskazana w art. 9 ust. 2 RODO, ponadto przepis art. 9 ust. 4 umożliwia krajom członkowskim uregulowanie we własnym zakresie zasad przetwarzania wrażliwych danych osobowych.
W związku z powyższym wskazana na wstępie ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw (…) znowelizowała art. 41 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którym aktualnie:
Zakład ubezpieczeń przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679,dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.
Z powyższego wynika, że ustawodawca precyzyjnie wskazał cel przetwarzania danych osobowych, którym jest ocena ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, ale tylko w niezbędnym zakresie z uwagi na cel i rodzaj ubezpieczenia oraz nie wprowadził w tym zakresie wymogu pobierania zgód od klientów zakładów ubezpieczeniowych wychodząc częściowo na naprzeciw postulatom składanym przez Polską Izbę Ubezpieczeń.
PIU postulowała wprowadzenie wyraźnej ustawowej podstawy przetwarzania przez zakłady ubezpieczeń danych „zwykłych” i „wrażliwych” ograniczonego do wskazanych operacji przetwarzania danych osobowych oraz wyłącznie do celów oceny ryzyka w związku z zawarciem umowy ubezpieczenia i jej wykonaniem.W ocenie PIU potrzeba zapewnienia bezpieczeństwa i stabilności systemu ubezpieczeń gospodarczych, w tym wypłaty świadczeń z tytułu umów ubezpieczeń na zdrowie lub życie, rosnąca rola ubezpieczeń zdrowotnych i ich komplementarny charakter w stosunku do publicznego systemu zdrowia, realizują ważny interes publiczny, wskazując, że podstawa przetwarzania danych osobowych klientów zakładów ubezpieczeń powinna wynikać z art. 9 ust. 1 lit. g, czego nie podzielił ustawodawca, bowiem nie wskazał w nowelizacji na ważny interes publiczny, na który powoływała się PIU.
W tym miejscu wskazać należy, że w związku z tym, ze unijny ustawodawca w RODO nie wskazuje na formę w jakiej powinna być udzielona zgoda na przetwarzanie danych osobowych, konieczne było także znowelizowanie art. 38 oraz 39 ustawy o działalności ubezpieczeniowej i reasekuracyjnej, które narzucały wymóg pisemnej zgody ubezpieczonego lub osoby, na której rachunek ma być zawarta umowa ubezpieczenia w przypadku pozyskiwanie informacji o stanie zdrowia przez zakłady ubezpieczeń od podmiotów wykonujących działalność leczniczą w celu precyzyjnie wskazanym w niżej cytowanym przepisie:
Zgodnie z art. 39 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej:
Zakład ubezpieczeń może, za zgodą osoby, której dane dotyczą, albo jej przedstawiciela ustawowego, na żądanie innego zakładu ubezpieczeń, udostępnić temu zakładowi ubezpieczeń przetwarzane przez siebie dane osobowe w zakresie potrzebnym do oceny ryzyka ubezpieczeniowego i weryfikacji danych podanych przez ubezpieczającego, ubezpieczonego lub osobę, na rachunek której ma zostać zawarta umowa ubezpieczenia, ustalenia prawa ubezpieczonego do świadczenia z zawartej umowy ubezpieczenia i wysokości tego świadczenia, a także do udzielenia posiadanych przez siebie informacji o przyczynie śmierci ubezpieczonego lub informacji niezbędnych do ustalenia prawa uprawnionego z umowy ubezpieczenia do świadczenia i jego wysokości.
Poza wyżej opisanymi zmianami, ustawodawca określił precyzyjnie okres retencji danych osobowych ubezpieczonych, ubezpieczających lub innych uprawnionych z umów ubezpieczenia po rozwiązaniu umowy ubezpieczenia. Dane osobowe będą mogły być przetwarzane po rozwiązaniu umowy ubezpieczenia przez okres do 12 lat jako dane statystyczne, gromadzone w celu ustalania na ich podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw techniczno-ubezpieczeniowych dla celów wypłacalności i rezerw techniczno-ubezpieczeniowych dla celów rachunkowości.
Dodano również przepis art. 35a umożliwiający zakładom ubezpieczeń przetwarzanie danych osobowych w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń, w celu i w zakresie niezbędnym do zapobiegania temu przestępstwu oraz wskazano w art. 41 ust. 1b katalog zamknięty kategorii danych osobowych, na podstawie których może dochodzić do przetwarzania danych osobowych przez zakłady ubezpieczeń w sposób zautomatyzowany, bez zgody klienta w celu dokonania oceny ryzyka ubezpieczeniowego w przypadku ubezpieczonych oraz w celu wykonania czynności ubezpieczeniowych (w postaci ustalenia przyczyn i okoliczności zdarzeń losowych, a także ustalenia wysokości szkód oraz rozmiaru odszkodowań i innych świadczeń należnych uprawnionym z umów ubezpieczenia lub umów gwarancji ubezpieczeniowych) w przypadku ubezpieczonych, ubezpieczających oraz uprawnionych z umów ubezpieczenia.
adw. Piotr Stankiewicz