W poprzednich artykułach nasz ekspert – radca prawny Patryk Koralewski – wskazywał, że multiagencja może występować jako procesor (sytuacja typowa) i jako administrator danych osobowych. Jakie są podstawy prawne i konsekwencje bycia administratorem? O ile w tym pierwszym przypadku wszelkie zgody i oświadczenia zbierane są w imieniu ubezpieczyciela, który określa ich treść w formularzach ubezpieczeniowych, a multiagencja przetwarza dane na podstawie powierzenia (w formie umowy). W przypadku występowania multiagencji jako administratora sytuacja wygląda diametralnie inaczej.
Administrator danych osobowych musi sam zadbać o zebranie odpowiednich zgód tj. np. RODO w ubezpieczeniach i oświadczeń – po to, by później je móc wykorzystywać w działalności marketingowej. W jej zakresie mieści się, jak – już o tym pisaliśmy – działalność polegająca na przedstawianiu ofert ubezpieczeniowych (oczywiście klientowi, który już podpisał umowę z ubezpieczycielem). W praktyce możemy mieć do czynienia z dwoma podstawowymi rodzajami przetwarzania danych osobowych przez multiagencję i choć łączą się one nierozerwalnie, to w świetle prawa są to dwie różne kwestie.
Pierwsza, to etap, w którym multiagent chce przedstawić konkretną ofertę klientom, którzy znajdują się w jego bazie danych, jednak w tym celu musi wyselekcjonować dane na podstawie założonych wcześniej kryteriów. Robi tak, aby skierować ofertę produktu ubezpieczeniowego do konkretnych, a nie przypadkowych klientów. Taki wybór jest w świetle prawa przetworzeniem danych osobowych, który oczywiście musi legitymizować się określoną podstawą prawną (w naszym przypadku zgodą). Drugi to etap przedstawiania dobranej oferty klientom, czyli prościej mówiąc, kontakt z klientem.
I tu sprawa na gruncie przepisów prawnych się komplikuje. W przypadku pierwszego etapu multiagent powinien spełnić, generalnie mówiąc, co najmniej dwa wymogi prawne: zebrać odpowiednią zgodę oraz dopełnić obowiązku informacyjnego. W drugim przypadku wszystko zależy od tego, w jaki sposób będzie komunikował się z przyszłym klientem. Choć kontakt z klientem służy zawsze temu samemu celowi (przedstawienie oferty), to paradoksalnie, forma, w jakiej chcemy się komunikować będzie wymagała zebrania zupełnie innych zgód. Co więcej, w jednym przypadku zgoda w ogóle nie będzie wymagana. Aby nieco uporządkować tą kwestię podzielmy rozważmy trzy sytuacje.
W przypadku przetwarzania danych w etapie pierwszym, który polega na wyborze zbioru klientów, z którymi będziemy się komunikować, zgoda będzie zbierana na podstawie art. 23 ust. 1 pkt. 1 ustawy o ochronie danych osobowych. Natomiast w przypadku etapu drugiego, tj. kontaktu z klientem, należy wyróżnić trzy sposoby kontaktowania się. Możemy go podzielić na: tradycyjny (wysyłając indywidualną ofertę pocztą), poprzez kontakt drogą e-mail, oraz telefoniczny (głosowy lub w formie sms). Jak już wspomnieliśmy, droga, którą komunikujemy, tę samą ofertę, ma kolosalne znaczenie dla legalności naszego przedsięwzięcia. W przypadku kierowania oferty drogą tradycyjną, co do zasady, zgoda nie jest wymagana, ponieważ umożliwia to art. 23 ust. 1 pkt. 5 ustawy o ochronie danych osobowych. Znów jednak diabeł tkwi w szczegółach i w przypadku multiagencji wykorzystanie go zdaje się niepoprawne. Wynika to z faktu, iż działając jako agent, multiagencja nie jest administratorem danych osobowych, a jedynie procesorem, w związku z tym nie może danych wykorzystać w późniejszym czasie. Aby stać się administratorem, musi on zebrać odpowiednią zgodę. Wynika to z całości obowiązujących przepisów, choć dywagację w tym temacie zasługują na odrębny artykuł. Jednak tę zgodę możemy zmieścić w ramach zgody już zebranej na podstawie art. 23 ust. 1 pkt. 1, o której pisaliśmy powyżej.
Zupełnie inaczej wygląda sytuacja w przypadku kontaktu e-mailowego i telefonicznego. W tej sytuacji wchodzą w grę przepisy sektorowe, a konkretnie ustawy o świadczeniu usług elektronicznych oraz prawo telekomunikacyjne. Pierwsza z ustaw w art. 10 wymaga bowiem zgody na przesyłanie e-maili z ofertą handlową (co ma zapobiegać przesyłaniu spamu), druga natomiast wymaga zgody na kontakt telefoniczny (głosowy jak i sms) w art. 172. Te ustawy sektorowe mają zastosowanie do multiagencji. W praktyce wiec będziemy musieli zebrać nie jedną, a trzy zgody na działania marketingowe.
W przypadku komunikacji marketingowej, poza przypadkiem wysyłania korespondencji w formie tradycyjnej, konieczne jest zebranie dwóch kolejnych zgód, zgody na wysyłanie wiadomości elektronicznych oraz zgody na kontakt telefoniczny (głosowy czy sms), które to wynikają z odrębnych ustaw (prawo o świadczeniu usług drogą elektroniczną oraz prawo telekomunikacyjne). Podobnie sytuacja ma się w przypadku przedstawiania nowej oferty klientom.
Pytania i odpowiedzi:
Jakie obowiązki ma multiagent jako administrator danych osobowych?
Multiagent jako administrator danych osobowych musi samodzielnie ustalać cele i sposoby przetwarzania danych klientów oraz zbierać zgody na przetwarzanie danych zgodnie z przepisami RODO. Obejmuje to konieczność zawarcia odpowiednich umów powierzenia przetwarzania danych z zakładami ubezpieczeń oraz przygotowanie klauzuli informacyjnej dla swoich potencjalnych klientów. Multiagencja jest zobowiązana do przestrzegania zasad ochrony danych osobowych w celu zapewnienia bezpieczeństwa danych.
Jakie zgody musi pozyskiwać multiagent w celu prowadzenia działań marketingowych?
Multiagent musi zbierać zgody na przetwarzanie danych osobowych potencjalnych klientów oraz zgody na kontakt w celach marketingowych za pośrednictwem e-maila i telefonu. Wymagane zgody wynikają z przepisów prawa telekomunikacyjnego oraz ustawy o świadczeniu usług drogą elektroniczną. Konieczne jest też poinformowanie osób fizycznych o przysługującym im prawie do sprostowania danych i wycofania zgody w dowolnym momencie.
Jakie zgody są potrzebne, jeśli multiagencja chce przedstawić ofertę klientowi?
W zależności od kanału kontaktu: zgoda na przetwarzanie danych (RODO), zgoda na kontakt e-mail (ustawa o świadczeniu usług elektronicznych) oraz zgoda na kontakt telefoniczny (prawo telekomunikacyjne).
Czy wysyłka oferty pocztą tradycyjną wymaga zgody?
Co do zasady – nie, ale tylko jeśli multiagencja rzeczywiście jest administratorem danych. W innym przypadku – jako procesor – nie może wykorzystać danych bez dodatkowych podstaw prawnych.
Jakie są podstawy prawne przetwarzania danych przez multiagencje?
Podstawy prawne przetwarzania danych osobowych przez multiagentów wynikają z ustawy o ochronie danych osobowych oraz RODO. Multiagencja może przetwarzać dane na podstawie zgody osoby fizycznej, zawarcia umowy ubezpieczenia lub konieczności wykonania umowy. Każda czynność przetwarzania danych musi być legitymizowana jedną z tych podstaw prawnych, co zapewnia legalność działań multiagenta.
Jak multiagent ubezpieczeniowy może rozpatrywać reklamacje swoich klientów?
Agent ubezpieczeniowy, działający jako podmiot w zakresie dystrybucji ubezpieczeń, powinien posiadać procedury umożliwiające sprawne rozpatrywanie reklamacji swoich klientów. Proces rozpatrywania reklamacji powinien obejmować zbieranie danych dotyczących reklamacji, analizę jej zasadności oraz udzielenie odpowiedzi w przewidzianym terminie. Ważne jest, aby agent działał zgodnie z przepisami dotyczącymi ochrony danych osobowych i w sprawie swobodnego przepływu takich danych.
Jak multiagent może wykorzystać narzędzia online do zarządzania danymi klientów?
Multiagent może wykorzystać narzędzia online do efektywnego zarządzania danymi klientów, w tym systemy CRM dedykowane dla branży ubezpieczeniowej. Takie systemy pozwalają na bezpieczne przechowywanie własnej bazy danych osobowych, szybką kalkulację składki za ubezpieczenie online oraz sprawną obsługę reklamacji. Ważne jest, aby multiagent zapewnił zgodność tych narzędzi z przepisami dotyczącymi ochrony danych osobowych i w sprawie swobodnego przepływu danych.
Jakie dane wrażliwe może przetwarzać agent ubezpieczeniowy w związku z zawarciem umowy ubezpieczenia?
Agent ubezpieczeniowy może przetwarzać dane wrażliwe swoich klientów, takie jak dane dotyczące stanu zdrowia, wyłącznie w związku z przetwarzaniem danych osobowych niezbędnych do zawarcia umowy ubezpieczenia na rzecz jednego zakładu ubezpieczeń. Zgodnie z przepisami RODO i w sprawie ochrony osób fizycznych w związku z przetwarzaniem takich danych, agent musi uzyskać odpowiednie zgody od klientów oraz stosować środki zabezpieczające ich poufność.
