W poprzednich artykułach nasz ekspert – radca prawny Patryk Koralewski – wskazywał, że multiagencja może występować jako procesor (sytuacja typowa) i jako administrator danych osobowych. Jakie są podstawy prawne i konsekwencje bycia administratorem? O ile w tym pierwszym przypadku wszelkie zgody i oświadczenia zbierane są w imieniu ubezpieczyciela, który określa ich treść w formularzach ubezpieczeniowych, a multiagencja przetwarza dane na podstawie powierzenia (w formie umowy). W przypadku występowania multiagencji jako administratora sytuacja wygląda diametralnie inaczej.
Administrator danych osobowych musi sam zadbać o zebranie odpowiednich zgód tj. np. RODO w ubezpieczeniach i oświadczeń – po to, by później je móc wykorzystywać w działalności marketingowej. W jej zakresie mieści się, jak – już o tym pisaliśmy – działalność polegająca na przedstawianiu ofert ubezpieczeniowych (oczywiście klientowi, który już podpisał umowę z ubezpieczycielem). W praktyce możemy mieć do czynienia z dwoma podstawowymi rodzajami przetwarzania danych osobowych przez multiagencję i choć łączą się one nierozerwalnie, to w świetle prawa są to dwie różne kwestie.
Pierwsza, to etap, w którym multiagent chce przedstawić konkretną ofertę klientom, którzy znajdują się w jego bazie danych, jednak w tym celu musi wyselekcjonować dane na podstawie założonych wcześniej kryteriów. Robi tak, aby skierować ofertę produktu ubezpieczeniowego do konkretnych, a nie przypadkowych klientów. Taki wybór jest w świetle prawa przetworzeniem danych osobowych, który oczywiście musi legitymizować się określoną podstawą prawną (w naszym przypadku zgodą). Drugi to etap przedstawiania dobranej oferty klientom, czyli prościej mówiąc, kontakt z klientem.
I tu sprawa na gruncie przepisów prawnych się komplikuje. W przypadku pierwszego etapu multiagent powinien spełnić, generalnie mówiąc, co najmniej dwa wymogi prawne: zebrać odpowiednią zgodę oraz dopełnić obowiązku informacyjnego. W drugim przypadku wszystko zależy od tego, w jaki sposób będzie komunikował się z przyszłym klientem. Choć kontakt z klientem służy zawsze temu samemu celowi (przedstawienie oferty), to paradoksalnie, forma, w jakiej chcemy się komunikować będzie wymagała zebrania zupełnie innych zgód. Co więcej, w jednym przypadku zgoda w ogóle nie będzie wymagana. Aby nieco uporządkować tą kwestię podzielmy rozważmy trzy sytuacje.
W przypadku przetwarzania danych w etapie pierwszym, który polega na wyborze zbioru klientów, z którymi będziemy się komunikować, zgoda będzie zbierana na podstawie art. 23 ust. 1 pkt. 1 ustawy o ochronie danych osobowych. Natomiast w przypadku etapu drugiego, tj. kontaktu z klientem, należy wyróżnić trzy sposoby kontaktowania się. Możemy go podzielić na: tradycyjny (wysyłając indywidualną ofertę pocztą), poprzez kontakt drogą e-mail, oraz telefoniczny (głosowy lub w formie sms). Jak już wspomnieliśmy, droga, którą komunikujemy, tę samą ofertę, ma kolosalne znaczenie dla legalności naszego przedsięwzięcia. W przypadku kierowania oferty drogą tradycyjną, co do zasady, zgoda nie jest wymagana, ponieważ umożliwia to art. 23 ust. 1 pkt. 5 ustawy o ochronie danych osobowych. Znów jednak diabeł tkwi w szczegółach i w przypadku multiagencji wykorzystanie go zdaje się niepoprawne. Wynika to z faktu, iż działając jako agent, multiagencja nie jest administratorem danych osobowych, a jedynie procesorem, w związku z tym nie może danych wykorzystać w późniejszym czasie. Aby stać się administratorem, musi on zebrać odpowiednią zgodę. Wynika to z całości obowiązujących przepisów, choć dywagację w tym temacie zasługują na odrębny artykuł. Jednak tę zgodę możemy zmieścić w ramach zgody już zebranej na podstawie art. 23 ust. 1 pkt. 1, o której pisaliśmy powyżej.
Zupełnie inaczej wygląda sytuacja w przypadku kontaktu e-mailowego i telefonicznego. W tej sytuacji wchodzą w grę przepisy sektorowe, a konkretnie ustawy o świadczeniu usług elektronicznych oraz prawo telekomunikacyjne. Pierwsza z ustaw w art. 10 wymaga bowiem zgody na przesyłanie e-maili z ofertą handlową (co ma zapobiegać przesyłaniu spamu), druga natomiast wymaga zgody na kontakt telefoniczny (głosowy jak i sms) w art. 172. Te ustawy sektorowe mają zastosowanie do multiagencji. W praktyce wiec będziemy musieli zebrać nie jedną, a trzy zgody na działania marketingowe.
W przypadku komunikacji marketingowej, poza przypadkiem wysyłania korespondencji w formie tradycyjnej, konieczne jest zebranie dwóch kolejnych zgód, zgody na wysyłanie wiadomości elektronicznych oraz zgody na kontakt telefoniczny (głosowy czy sms), które to wynikają z odrębnych ustaw (prawo o świadczeniu usług drogą elektroniczną oraz prawo telekomunikacyjne). Podobnie sytuacja ma się w przypadku przedstawiania nowej oferty klientom.
Pytania i odpowiedzi:
Czy multiagencja może być administratorem danych osobowych klientów?
Tak, ale tylko jeśli samodzielnie decyduje o celach i sposobach przetwarzania danych – np. w celach marketingowych. Wtedy musi zebrać odpowiednie zgody i spełnić obowiązki informacyjne.
Czym różni się rola administratora od roli procesora (podmiotu przetwarzającego)?
Procesor działa na zlecenie administratora (np. ubezpieczyciela) i przetwarza dane według jego instrukcji. Administrator działa samodzielnie i ponosi pełną odpowiedzialność za zgodność z przepisami.
Jakie zgody są potrzebne, jeśli multiagencja chce przedstawić ofertę klientowi?
W zależności od kanału kontaktu: zgoda na przetwarzanie danych (RODO), zgoda na kontakt e-mail (ustawa o świadczeniu usług elektronicznych) oraz zgoda na kontakt telefoniczny (prawo telekomunikacyjne).
Czy wysyłka oferty pocztą tradycyjną wymaga zgody?
Co do zasady – nie, ale tylko jeśli multiagencja rzeczywiście jest administratorem danych. W innym przypadku – jako procesor – nie może wykorzystać danych bez dodatkowych podstaw prawnych.
Co grozi za brak wymaganych zgód i obowiązków informacyjnych?
Brak odpowiednich zgód lub niespełnienie obowiązków może skutkować sankcjami administracyjnymi (np. kary od UODO), a także utratą zaufania klientów.
