Ubezpieczenie OC a RODO
Rozporządzenie o ochronie danych osobowych ma na celu zapewnienie bezpieczeństwa danych pozyskanych od osób fizycznych. Ubezpieczyciele gromadzą i przetwarzają takie dane przy zawieraniu umów ubezpieczenia OC, ocenie ryzyka ubezpieczeniowego i likwidacji szkody. Co mówią przepisy RODO i ustawy o działalności ubezpieczeniowej o ochronie danych osobowych w kontekście ubezpieczenia OC? Jakie zasady wiążą się z przetwarzaniem danych osobowych? Czy ubezpieczyciel potrzebuje zgody na przetwarzanie danych w procesie likwidacji szkody z OC? Zaglądamy do przepisów prawa i podpowiadamy!
Spis treści:
- Co to jest RODO?
- Czy RODO dotyczy również sektora ubezpieczeń?
- Jakie dane są zbierane i przetwarzane w przypadku szkody z OC?
- Czy ubezpieczyciel potrzebuje zgody na przetwarzania danych podanych do polisy OC?
- Jakie są zasady RODO dotyczące przetwarzania danych osobowych?
- Czym jest prawo do bycia zapomnianym?
- RODO to rozporządzenie o ochronie danych osobowych, które obowiązuje od 25 maja 2018 roku.
- Przepisom RODO podlegają również zakłady ubezpieczeń.
- Dane osobowe potrzebne są do zawarcia umowy ubezpieczenia, oceny ryzyka ubezpieczeniowego i likwidacji szkody.
- W procesie likwidacji szkody zgoda na przetwarzanie danych ubezpieczonego nie jest potrzebna. Nie działa wtedy również tajemnica ubezpieczeniowa.
- RODO wskazuje zasady przetwarzania danych.
Co to jest RODO?
Ochrona danych osobowych to podstawowe prawo każdego człowiek. W Unii Europejskiej przetwarzanie takich informacji jest uregulowane prawnie poprzez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – to właśnie jest RODO.
Rozporządzenie o ochronie danych osobowych obowiązuje od 25 maja 2018 roku i reguluje zasady przetwarzania danych osobowych w państwach Unii Europejskiej. W rozporządzeniu zawarto obowiązki administratorów danych oraz prawa osób fizycznych, których owe dane są przetwarzane i wykorzystywane.
Przepisy RODO muszą być przestrzegane przez wszystkie firmy, które zbierają, przechowują i przetwarzają dane osobowe. Za ich złamanie grożą wysokie kary. W Polsce nakłada je Prezes Urzędu Ochrony Danych Osobowych – mogą one wynieść nawet 20 mln euro lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Najważniejszym aktem prawnym w Polsce w zakresie RODO jest ustawa o ochronie danych osobowych.
Czy RODO dotyczy również sektora ubezpieczeń?
Przepisy RODO dotyczą wszystkich firm zbierających dane osobowego. Bez wątpienia znajduje się w tym zbiorze również sektor ubezpieczeniowy. Towarzystwa ubezpieczeniowe zbierają i przetwarzają wiele danych dotyczących ubezpieczonych.
Wykupienie obowiązkowego ubezpieczenia OC posiadaczy pojazdów mechanicznych wymaga podania danych osobowych. Są one niezbędne do zawarcia umowy ubezpieczenia, a więc wpisania do polisy. Niektóre dane osobowe mogą być również potrzebne przy kalkulacji składki ubezpieczenia. Czym są owe dane w myśl przepisów RODO?
Rozporządzenie o ochronie danych osobowych definiuje dany osobowe, jako te, które:
oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby
fizycznej;
Źródło: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Takie dane zbierane są przez ubezpieczycieli przy zawieraniu umowy ubezpieczenia OC, a także przetwarzane w procesie oceny ryzyka ubezpieczeniowego oraz likwidacji szkody. Przy zawarciu umowy ubezpieczenia OC kierowca wyraża zgodę na przetwarzanie danych osobowych.
Jakie dane są zbierane i przetwarzane w przypadku szkody z OC?
Do zawarcia umowy ubezpieczenia OC potrzebne są określone dane. Są to między innymi:
- imię i nazwisko,
- PESEL,
- data urodzenia,
- adres,
- dane kontaktowe,
- dane pojazdu (VIN, numer rejestracyjny, model, marka, wersja),
- dane dotyczące historii ubezpieczania zebrane w Ubezpieczeniowych Funduszu Gwarancyjnym (UFG),
- dane o szkodach, punktach karnych, wykroczeniach i przestępstwach drogowych (CEPiK).
W przypadku zajścia szkody ubezpieczyciel przetwarza również dokumentację zdjęciową szkody, oświadczenia o sprawcy kolizji lub notatki policyjne, a także wrażliwe dane medyczne, gdy dojdzie do szkody osobowej.
Czy ubezpieczyciel potrzebuje zgody na przetwarzania danych podanych do polisy OC?
Ustawa o działalności ubezpieczeniowej nakłada na zakłady ubezpieczeń i osoby w nich zatrudnione obowiązek zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia (art. 35.1.). Obowiązek ten nie dotyczy wielu sytuacji, w tym udzielania informacji na wniosek Policji czy sądu, a także:
- ubezpieczającego, ubezpieczonego i uprawnione z umowy ubezpieczenia – w przypadku zgłoszenia wystąpienia zdarzenia losowego;
- innego zakładu ubezpieczeń – np. w zakresie umów ubezpieczenia danego ryzyka, przeciwdziałania przestępstwom ubezpieczeniowym czy stosowania taryf za bezszkodową jazdę.
Co jednak w sytuacji, gdy dojdzie do szkody z ubezpieczenia OC? Sprawca zdarzenia drogowego ma obowiązek podania swoich danych, a jego ubezpieczyciel będzie je przetwarzał po zgłoszeniu roszczenia. Ustawa o działalności ubezpieczeniowej wskazuje, że:
Obowiązek zachowania tajemnicy, o którym mowa w ust. 1, nie dotyczy danych w zakresie umów ubezpieczenia odpowiedzialności cywilnej posiadaczy pojazdów mechanicznych za szkody powstałe w związku z ruchem tych pojazdów oraz danych w zakresie szkód istotnych w rozumieniu ustawy z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym, przekazywanych do centralnej ewidencji pojazdów w rozumieniu tej ustawy
Źródło: Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej.
Pamiętajmy, że przepisy różnych ustaw są dostosowane do RODO. Ubezpieczyciele mają obowiązek zabezpieczenia danych osobowych swoich klientów. Przetwarzanie danych jest zgodne z prawem w określonym zakresie, nie tylko wtedy, gdy osoba, której są to dane, wyraziła na to zgodę, ale także, gdy:
- przetwarzania jest niezbędne do wykonania umowy, której stroną jest ta osoba – w naszym przypadku umowy ubezpieczenia OC;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – ubezpieczyciel ma obowiązek zgodnie z umową zlikwidować szkodę w ramach ubezpieczenia OC.
Tak więc ubezpieczyciel nie w każdym przypadku potrzebuje zgodny ubezpieczonego, by przetwarzać jego dane.
Zgoda na przetwarzanie danych w celach marketingowych jest czymś innym niż przetwarzanie danych w związku z realizacją umowy ubezpieczania OC i likwidacji szkody!
Jakie są zasady RODO dotyczące przetwarzania danych osobowych?
RODO wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być przestrzegana przez firmy i instytucje, w tym firmy ubezpieczeniowe. Są to:
- zgodność z prawem, rzetelność i przejrzystość – przetwarzanie musi być zgodne z prawem realizowane rzetelnie i przejrzyście do osoby, której są to dane;
- ograniczenie celu – dane powinny być zbierane w konkretnych celach, ale nie przetwarzane dalej, niż jest to konieczne;
- minimalizacja danych – zbieranie adekwatnej i ograniczonej liczby danych, które są niezbędne do celów przetwarzania;
- prawidłowość – dane powinny być wiarygodne i aktualne, nieaktualne i nieprawidłowe dane powinny być sprostowane lub usunięte;
- ograniczenie przechowywania – dane umożliwiające identyfikację osoby powinny być przechowywane przez okres nie dłuższy, niż jest to konieczne do realizacji celów;
- integralność i poufność – dane osobowe powinny być zabezpieczone przed niezgodnym i bezprawnym przetwarzaniem, zniszczeniem, utratą lub uszkodzeniem.
Dodatkowo administrator, w naszym przypadku zakład ubezpieczeń, podlega zasadzie rozliczalności. Oznacza to, że odpowiada on za przestrzeganie przepisów, a niedopełnienie obowiązku jest karane.
Czym jest prawo do bycia zapomnianym?
Prawo do bycia zapomnianym to prawo do usunięcia danych. Każda osoba fizyczna może domagać się usunięcia swoich danych osobowych od administratora, czyli zakładu ubezpieczeń. Prawo to dotyczy między innymi sytuacji, gdy:
- dane osobowe przestały być niezbędne do celów, w których zostały zebrane lub przetwarzane;
- osoba cofnęła zgodę na przetwarzanie danych, ale nie może występować nadrzędne prawo (w przypadku ubezpieczenia OC może to dotyczyć zgody na przetwarzanie do celów marketingowych);
- dane osobowe przetwarzano niezgodnie z prawem.
Czy w takim razie po wygaśnięciu umowy ubezpieczenia dane osobowe zostają od razu usunięte? Nie, zakład ubezpieczeń może przetwarzać dane osobowe ubezpieczonych, ubezpieczających lub uprawnionych z tytułu umowy ubezpieczenia bez ich zgody nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia. Takie dane gromadzi się w celu ustalenia wysokości składek ubezpieczeniowych, reasekuracyjnych oraz rezerwy techniczno-ubezpieczeniowej.
Dane dotyczące wykroczeń i przestępstw drogowych oraz punktów karnych usuwane są po upływie terminu przedawnienia roszczeń z umowy ubezpieczenia!
FAQ – najczęściej zadawane pytania o ubezpieczenie OC a RODO
Osoba ma prawo do informacji, prawo do dostępu do danych i kopii, prawo do sprostowania i ograniczenia przetwarzania czy prawo do sprzeciwu, na przykład wobec działań marketingowych. W określonych przypadkach można skorzystać również z prawa do bycia zapomnianym.
W przypadku likwidacji szkody nie jest konieczna zgoda ubezpieczonego. Wynika to z faktu, że takie przetwarzanie danych wiąże się z realizacją umowy ubezpieczenia OC, a więc likwidacji szkody spowodowanej przez ubezpieczonego.
Tak, Prezes Urzędu Ochrony Danych Osobowych nakłada kary na firmy, jak i instytucje publiczne. Na przykład 24.03.2025 roku kara została nałożona na Komendanta Głównego Policji z siedzibą w Warszawie, 18.10.2024 roku Powiatowy Inspektora Nadzoru Budowlanego w Częstochowie, a 20.12.2023 roku Minister Zdrowia.
- https://uodo.gov.pl/pl/404/224
- https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20150001844/U/D20151844Lj.pdf
- https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001000/U/D20181000Lj.pdf
Dołącz do dyskusji