RODO & IDD – who is who

Szanowni Państwo,

Zachęcamy do zapoznania się z podsumowaniem przygotowanym przez nasz Zespół Prawny i Compliance, dotyczącym ról, jakie może pełnić broker w procesie dystrybucji ubezpieczeń wraz ze wskazaniem ich najważniejszych obowiązków.

Zarówno RODO, jak i IDD przypisały podmiotom rynku ubezpieczeniowego „nowe” role. Każda z tych ról determinuje określone obowiązki. Dlatego tak ważne jest, aby upewnić się, kiedy to podmiot rynku ubezpieczeniowego jest dystrybutorem, a kiedy twórcą produktu ubezpieczeniowego, a także kiedy staje się administratorem danych osobowych, a kiedy tylko przetwarza je w imieniu administratora (jako tzw. procesor).
 

Broker jako twórca produktu ubezpieczeniowego

Wbrew pozorom nie tylko zakład ubezpieczeń może być twórcą produktu ubezpieczeniowego, może być nim również sam broker ubezpieczeniowy. Rozwiązanie takie wynika wprost z art. 11 IDD oraz art. 3 ust. 1 oraz motywu 3 Rozporządzenia 2017/2358. Przepisy te określają twórcę jako podmiot, który samodzielnie decyduje o najważniejszych cechach i głównych elementach produktu. W praktyce może mieć to miejsce w przypadku indywidualnych programów brokerskich, gdzie broker samodzielnie opracowuje warunki danego ubezpieczenia, a następnie poszukuje zakładu ubezpieczeń, który zdecyduje się na ich podstawie zawrzeć umowę ubezpieczenia. Do najważniejszych obowiązków twórcy produktu należy:

• Przygotowanie procesu zarządzania produktem (art. 4 Rozporządzenia 2017/2358).
• Przygotowanie informacji o rynku docelowym dla dystrybutorów (art. 5 Rozporządzenia 2017/2358).
• Testowanie produktu (art. 6 Rozporządzenia 2017/2358).
• Monitorowanie produktu (art. 7 Rozporządzenia 2017/2358).
• Przygotowanie kart produktów (IPID) (motyw 1 Rozporządzenia 2017/1469).

Broker jako dystrybutor ubezpieczeń

W zdecydowanej większości sytuacji broker będzie występował jednak jako dystrybutor ubezpieczeń. Do obowiązków brokera jako dystrybutora, na gruncie IDD, nie należy jedynie podejmowanie czynności związanych z zawieraniem umów, ale również:

• Posiadanie formalnej dokumentacji związanej ze współpracą z twórcami produktów (art. 10 Rozporządzenia 2017/2358).
• Określenie zasad związanych z badaniem wymagań i potrzeb klienta (art. 8 ust. 1 IDD).
• Przekazywanie klientom wymaganych prawem dokumentów: OWU, kart produktów (IPID) (art. 8 ust. 4 IDD).

Niezależnie od przypisania brokerowi jednej z ww. ról, należy także ocenić, czy broker występuje w roli administratora danych osobowych, czy też ich procesora.

Broker jako administrator danych osobowych

W procesie ofertowania występują co najmniej 3 podmioty. Ubezpieczający, ubezpieczony oraz zakład ubezpieczeń. Każdy z nich de facto jest administratorem danych osobowych. Podstawą prawną do przetwarzania danych, zarówno dla zakładu ubezpieczeń, jak i dla brokera jest art. 6 ust. 1 lit b) RODO tj. przetwarzanie jest niezbędne do podjęcia działań przed zawarciem lub do wykonania, odpowiednio umowy ubezpieczenia oraz umowy o świadczenie usług brokerskich. Broker występować będzie również jako administrator w sytuacjach, gdy pełni rolę ubezpieczającego. Co istotne, wymiana danych w wyżej opisanych sytuacjach pomiędzy brokerem, a zakładem ubezpieczeń nie wymaga zawierania umów powierzenia przetwarzania danych, a odbywa się na podstawie ich udostępnienia. Do najważniejszych obowiązków administratora należy:

• Zapewnienie przestrzegania zasad przetwarzania danych, w tym ich legalności (art. 5 RODO).
• Spełnienie obowiązku informacyjnego na etapie zbierania danych (art. 13 lub 14 RODO) oraz możliwości kontroli ich przetwarzania (art. 15 RODO) – obowiązek ten jest szczególnie istotny w kontekście pierwszej kary o wartości blisko 1 miliona zł nałożonej przez PUODO (sygn. ZSPR.421.3.2018).
• Prowadzenie rejestru czynności przetwarzania danych osobowych (art. 30 RODO).
• Zapewnienie bezpieczeństwa przetwarzania danych osobowych (art. 32 RODO).

Broker jako procesor

Przypisanie roli procesora brokerowi zależeć będzie od treści umów łączących go z podmiotami, z którymi współpracuje. Broker może być m.in. uznany za podmiot przetwarzający dane osobowe na rzecz ubezpieczającego, który powierza mu administrowanie umową ubezpieczenia grupowego. Zakres obowiązków procesora wynika przede wszystkim z art. 28 RODO tj.:

• Przetwarzanie danych wyłącznie na polecenie administratora.
• Stosowanie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych.
• Wspieranie administratora w wywiązywaniu się z jego obowiązków.

Co więcej, zakres obowiązków brokera będącego procesorem może zostać rozszerzony przez postanowienia umowne (np. o obowiązek spełniania w imieniu administratora obowiązku informacyjnego).

CYBER GUARD w Colonnade

Naruszenie ww. przepisów może wiązać się z karami do 4% światowego obrotu administratora w przypadku RODO i nawet do 5% rocznych przychodów netto dystrybutora w przypadku IDD. Dlatego tak istotne jest odpowiednie zarządzanie ryzykiem braku zgodności. Zarządzanie to może odbywać się na poziomie operacyjnym poprzez implementację odpowiednich procedur i polityk, ale również poprzez ubezpieczenie tych ryzyk – w przypadku RODO rozwiązaniem może być ubezpieczenie CYBER GUARD w Colonnade.

 Z poważaniem,

Wojciech Płonkowski

Compliance, Risk & Data Protection Officer
Colonnade Insurance S.A. Oddział w Polsce