W poprzednich artykułach nasz ekspert – radca prawny Patryk Koralewski – wskazywał, że multiagencja może występować jako procesor (sytuacja typowa) i jako administrator danych osobowych. Jakie są podstawy prawne i konsekwencje bycia administratorem? O ile w tym pierwszym przypadku wszelkie zgody i oświadczenia zbierane są w imieniu ubezpieczyciela, który określa ich treść w formularzach ubezpieczeniowych, a multiagencja przetwarza dane na podstawie powierzenia (w formie umowy). W przypadku występowania multiagencji jako administratora sytuacja wygląda diametralnie inaczej.
Administrator danych osobowych musi sam zadbać o zebranie odpowiednich zgód tj. np. RODO w ubezpieczeniach i oświadczeń – po to, by później je móc wykorzystywać w działalności marketingowej. W jej zakresie mieści się, jak – już o tym pisaliśmy – działalność polegająca na przedstawianiu ofert ubezpieczeniowych (oczywiście klientowi, który już podpisał umowę z ubezpieczycielem). W praktyce możemy mieć do czynienia z dwoma podstawowymi rodzajami przetwarzania danych osobowych przez multiagencję i choć łączą się one nierozerwalnie, to w świetle prawa są to dwie różne kwestie.
Pierwsza, to etap, w którym multiagent chce przedstawić konkretną ofertę klientom, którzy znajdują się w jego bazie danych, jednak w tym celu musi wyselekcjonować dane na podstawie założonych wcześniej kryteriów. Robi tak, aby skierować ofertę produktu ubezpieczeniowego do konkretnych, a nie przypadkowych klientów. Taki wybór jest w świetle prawa przetworzeniem danych osobowych, który oczywiście musi legitymizować się określoną podstawą prawną (w naszym przypadku zgodą). Drugi to etap przedstawiania dobranej oferty klientom, czyli prościej mówiąc, kontakt z klientem.
I tu sprawa na gruncie przepisów prawnych się komplikuje. W przypadku pierwszego etapu multiagent powinien spełnić, generalnie mówiąc, co najmniej dwa wymogi prawne: zebrać odpowiednią zgodę oraz dopełnić obowiązku informacyjnego. W drugim przypadku wszystko zależy od tego, w jaki sposób będzie komunikował się z przyszłym klientem. Choć kontakt z klientem służy zawsze temu samemu celowi (przedstawienie oferty), to paradoksalnie, forma, w jakiej chcemy się komunikować będzie wymagała zebrania zupełnie innych zgód. Co więcej, w jednym przypadku zgoda w ogóle nie będzie wymagana. Aby nieco uporządkować tą kwestię podzielmy rozważmy trzy sytuacje.
W przypadku przetwarzania danych w etapie pierwszym, który polega na wyborze zbioru klientów, z którymi będziemy się komunikować, zgoda będzie zbierana na podstawie art. 23 ust. 1 pkt. 1 ustawy o ochronie danych osobowych. Natomiast w przypadku etapu drugiego, tj. kontaktu z klientem, należy wyróżnić trzy sposoby kontaktowania się. Możemy go podzielić na: tradycyjny (wysyłając indywidualną ofertę pocztą), poprzez kontakt drogą e-mail, oraz telefoniczny (głosowy lub w formie sms). Jak już wspomnieliśmy, droga, którą komunikujemy, tę samą ofertę, ma kolosalne znaczenie dla legalności naszego przedsięwzięcia. W przypadku kierowania oferty drogą tradycyjną, co do zasady, zgoda nie jest wymagana, ponieważ umożliwia to art. 23 ust. 1 pkt. 5 ustawy o ochronie danych osobowych. Znów jednak diabeł tkwi w szczegółach i w przypadku multiagencji wykorzystanie go zdaje się niepoprawne. Wynika to z faktu, iż działając jako agent, multiagencja nie jest administratorem danych osobowych, a jedynie procesorem, w związku z tym nie może danych wykorzystać w późniejszym czasie. Aby stać się administratorem, musi on zebrać odpowiednią zgodę. Wynika to z całości obowiązujących przepisów, choć dywagację w tym temacie zasługują na odrębny artykuł. Jednak tę zgodę możemy zmieścić w ramach zgody już zebranej na podstawie art. 23 ust. 1 pkt. 1, o której pisaliśmy powyżej.
Zupełnie inaczej wygląda sytuacja w przypadku kontaktu e-mailowego i telefonicznego. W tej sytuacji wchodzą w grę przepisy sektorowe, a konkretnie ustawy o świadczeniu usług elektronicznych oraz prawo telekomunikacyjne. Pierwsza z ustaw w art. 10 wymaga bowiem zgody na przesyłanie e-maili z ofertą handlową (co ma zapobiegać przesyłaniu spamu), druga natomiast wymaga zgody na kontakt telefoniczny (głosowy jak i sms) w art. 172. Te ustawy sektorowe mają zastosowanie do multiagencji. W praktyce wiec będziemy musieli zebrać nie jedną, a trzy zgody na działania marketingowe.
W przypadku komunikacji marketingowej, poza przypadkiem wysyłania korespondencji w formie tradycyjnej, konieczne jest zebranie dwóch kolejnych zgód, zgody na wysyłanie wiadomości elektronicznych oraz zgody na kontakt telefoniczny (głosowy czy sms), które to wynikają z odrębnych ustaw (prawo o świadczeniu usług drogą elektroniczną oraz prawo telekomunikacyjne). Podobnie sytuacja ma się w przypadku przedstawiania nowej oferty klientom.
