Naszym ekspertem jest Patryk Koralewski – prawnik specjalizujący się w temacie ochrony danych osobowych. W kolejnym z cyklu artykułów wyjaśnia, w jakim zakresie wprowadzenie RODO zmienia zasady współpracy pomiędzy ubezpieczycielami a multiagencjami.
W poprzednim artykule wskazywaliśmy, iż multiagent może występować w roli procesora jak i administratora danych osobowych. W tym przedstawimy nowe wymogi umów zawieranych o powierzenie danych osobowych stawiane procesorom na gruncie RODO. Podstawą przetwarzania danych osobowych w ramach występowania multiagencji jako procesora (występuje on w imieniu i na rzecz ubezpieczyciela) jest zawarta z ubezpieczycielem umowa powierzenia przetwarzania danych osobowych. Na gruncie obowiązujących przepisów umowa taka, zawarta na piśmie, musi określać dwie podstawowe kwestie: cel oraz zakres powierzonych multiagencji danych przez ubezpieczyciela.
Warto podkreślić, iż w przypadku nowych klientów ubezpieczyciel poprzez określenie zakresu danych wskazuje, jakie dane multiagencja może zbierać w celu zawarcia umów ubezpieczenia. Już samo zbieranie traktuje się jako przetwarzanie danych osobowych. Na gruncie RODO forma jak i treść samej umowy ulega poważnej modyfikacji. Przede wszystkim nie będzie już wymagane powierzenie przetwarzania danych na piśmie – wystarczające będzie zastosowanie innego instrumentu prawnego o wiążącym dla stron charakterze. Jest to zmiana mająca ogromne znaczenie praktyczne. Nie będzie już wymagane podpisywanie (własnoręcznym podpisem) umów o powierzenie danych osobowych. Jak często bywa, prawo dogania w tym momencie i tak stosowaną od dłuższego czasu praktykę, choć, aby ją uzasadnić należało przeprowadzać karkołomne wywody prawne.
Kolejną zmianą są elementy, które obligatoryjnie muszą znaleźć się w umowie o powierzeniu danych osobowych. Wśród nich znajdują się m.in. kwestia przedmiotu i czasu trwania przetwarzania, kwestia usuwania danych po zakończeniu współpracy oraz kwestia uprawnień kontrolnych przysługujących administratorowi. Dodatkowo możliwość korzystania z dalszych podwykonawców będzie wymagało uzyskania zgody administratora. Ubezpieczyciel, o ile nie chce narażać się na negatywne konsekwencję, będzie mógł korzystać wyłącznie z takich procesorów (multiagencji), którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych dotyczących przetwarzania danych osobowych – w interesie administratora będzie zatem leżała weryfikacja spełniania wymagań RODO przez podwykonawcę.
Z tym ostatnim wymogiem wiązać się będzie zapewne przywiązywanie przez ubezpieczyciela większej wagi do oświadczeń składanych w umowie, a tym samym wykazanie przez multiagencję, iż wprowadziła i stosuje zasady dotyczące przetwarzania danych osobowych. Do tej pory w praktyce przyjmowało się, iż wystarczające jest spełnienie minimum wymogów, przez które rozumiano podpisanie umowy o powierzeniu danych osobowych, a weryfikacja wykonywania jej zapisów była, choć to nie reguła, pomijana przynajmniej tak długo jak nie dochodziło do rażących nadużyć w tym względzie. Ponieważ pod rządami RODO, administrator danych osobowych (ubezpieczyciel) będzie musiał wykazać, iż w pełni stosuje przepisy prawa ta praktyka może ulec radykalnej zmianie. W kolejnym artykule przybliżymy tematykę podstawy przetwarzania danych osobowych w działaniach marketingowych multiagencji.
Sprzedawaj więcej z Berg System
Sprawdź co Berg System jest w stanie osiągnąć dla Twojego biznesu.
