Zakład ubezpieczeń, gromadząc dane dotyczące ubezpieczającego, czy też ubezpieczonego, będącego osobą fizyczną, przetwarza dane osobowe. Do takiego przetwarzania co do zasady stosuje się przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2015.2135 ze zm.).
Art. 23. 1. tej ustawy wskazuje, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zasadniczo, w przypadku zawierania i wykonywania umów ubezpieczenia, mamy do czynienia z przesłanką wynikającą, z pkt 2, 3 lub 5 ustawy (więcej na ten temat napiszemy przy innej okazji). Z tego też względu samo przetwarzanie danych, z wyłączeniem przetwarzania danych wrażliwych, o czym pisaliśmy w jednym z wcześniejszych wydań beinsured, nie wymaga pozyskiwania dodatkowej zgody od klienta. Właściwie jedyne, co należy w tym wypadku zrobić, to zrealizować obowiązek informacyjny względem klienta, wynikający z art. 24 ustawy. Treść takiej informacji mogłaby wyglądać następująco:
„Potwierdzam, że zostałem/zostałam poinformowany/poinformowana o tym, że administratorem moich danych osobowych jest ABC Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie (….- ….) przy ul. ………………………. nr …………. oraz o prawie dostępu do tych danych i ich poprawiania oraz o tym, że dane osobowe będą wykorzystywane przez administratora w celu obsługi i wykonywania umowy ubezpieczenia.”
Osobną kwestią jest możliwość przetwarzania danych przed inne podmioty w ramach grupy kapitałowej i późniejszy marketing produktów i usług, ale temu poświęcimy już kolejny nasz praktyczny komentarz dotyczący przetwarzania danych.
