Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński.
Download
Report
Transcript Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński.
Rodzaje danych i podstawy prawne
ich przetwarzania w branży
ubezpieczeniowej
adw. dr Paweł Litwiński
Agenda
Dane osobowe w branży ubezpieczeniowej – podstawowe
pojęcia
Rodzaje danych osobowych przetwarzanych w działalności
ubezpieczeniowej
Podstawy prawne przetwarzania danych osobowych
przetwarzanych w działalności ubezpieczeniowej
Pojęcie danych osobowych (I)
Za dane osobowe uważa się:
wszelkie informacje
dotyczące osoby fizycznej
zidentyfikowanej lub możliwej do zidentyfikowania
Osobą możliwą do zidentyfikowania jest osoba, której
tożsamość można określić bezpośrednio lub pośrednio, w
szczególności przez powołanie się na numer identyfikacyjny
albo jeden lub kilka specyficznych czynników określających
jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
Informacji nie uważa się za umożliwiającą określenie
tożsamości osoby, jeżeli wymagałoby to nadmiernych
kosztów, czasu lub działań.
Pojęcie danych osobowych (II)
Dane zwykłe
Dane wrażliwe
brak wyliczenia
(wszelkie inne dane
osobowe oprócz
danych wrażliwych)
• dane ujawniające pochodzenie rasowe lub
etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową, jak
również dane o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym
oraz dane dotyczące skazań, orzeczeń o
ukaraniu i mandatów karnych, a także innych
orzeczeń wydanych w postępowaniu sądowym
lub administracyjnym (art. 27 ust. 1 u.o.d.o.)
Przesłanki przetwarzania tzw. danych zwykłych
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy
1.
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
2.
jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisów prawa,
3.
jest konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej
stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na
żądanie osoby, której dane dotyczą,
4.
jest niezbędne do wykonania określonych prawem zadań realizowanych dla
dobra publicznego,
5.
jest niezbędne do wypełnienia prawnie usprawiedliwionych celów
administratorów danych albo odbiorców danych, a przetwarzanie danych nie
narusza praw i wolności osoby, której dane dotyczą.
(...)
4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w
szczególności
1.
(...)
marketing bezpośredni własnych produktów lub usług administratora danych,
Przesłanki przetwarzania tzw. danych wrażliwych
Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub
etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań,
orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w
postępowaniu sądowym lub administracyjnym.
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi
o usunięcie dotyczących jej danych,
przepis szczególny innej ustawy zezwala na przetwarzanie takich danych
bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich
ochrony,
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw
przed sądem,
przetwarzanie jest niezbędne do wykonania zadań administratora danych
odnoszących się do zatrudnienia pracowników i innych osób, a zakres
przetwarzanych danych jest określony w ustawie,
(...)
Przesłanki przetwarzania danych osobowych
w działalnosći ubezpieczeniowej
przepis prawa – art. 24 ust. 1 ustawy z dnia 22 maja 2003 r. o
działalności ubezpieczeniowej
Zakład ubezpieczeń może zbierać, odpowiednio w celu oceny ryzyka
ubezpieczeniowego lub wykonania umowy ubezpieczenia, zawarte w
umowach ubezpieczenia lub oświadczeniach ubezpieczających
składanych przed zawarciem umowy ubezpieczenia, dane
ubezpieczonych lub uprawnionych z umowy ubezpieczenia.
obowiązek zachowania tajemnicy ubezpieczeniowej
Zakład ubezpieczeń i osoby w nim zatrudnione lub osoby i podmioty,
za pomocą których zakład ubezpieczeń wykonuje czynności
ubezpieczeniowe, są obowiązane do zachowania tajemnicy
dotyczącej poszczególnych umów ubezpieczenia.
zgoda na przetwarzanie danych osobowych
działanie w ramach prawnie usprawiedliwionego celu administratora
danych osobowych
Obowiązek informacyjny
Zbieranie danych bezpośrednio od osób, których dane dotyczą (art. 24)
Dobrowolne lub obowiązkowe podanie danych osobowych
Pełna nazwa i siedziba administratora danych
Cel przetwarzania danych
W przypadku zamiaru przekazywania danych innym podmiotom lub przekazywania za
granicę – informacje o potencjalnych odbiorcach lub kategoriach odbiorców danych
Prawo dostępu do treści danych oraz ich poprawiania
Zbieranie danych nie od osób, których dane dotyczą (art. 25) – dodatkowo informacje o
Źródle danych
Prawie sprzeciwu
Zwolnienie z obowiązku informacyjnego – art. 24 ust. 2 ustawy z dnia 22 maja 2003 r. o
działalności ubezpieczeniowej
Zbieranie danych, o których mowa w ust. 1, odpowiednio w celu oceny ryzyka
ubezpieczeniowego lub wykonania umowy ubezpieczenia przez zakład ubezpieczeń, nie
powoduje po stronie zakładu ubezpieczeń obowiązku powiadomienia, o którym mowa w
art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Przetwarzanie danych osobowych
w celach marketingowych (I)
podstawy
prawne
przetwarzania
danych
w
marketingowych
zgoda osoby, której dane dotyczą
prawnie usprawiedliwiony cel administratora danych
przetwarzanie danych osobowych w celu prowadzenia różnych
form działań marketingowych
przesyłanie informacji handlowej za pomocą środków komunikacji
elektronicznej
kierowanie do konsumentów propozycji zawierania umów
korzystanie z automatycznym systemów wywołujących w celach
marketingowych
sposób dokumentowania udzielenia zgody
zgodnie z wyrokiem NSA w spr. do sygn. OSK 507/04, nie można
też
wysyłać
jednocześnie
z
wykonaniem
obowiązku
informacyjnego ofert marketingowych, gdyż dalsze korzystanie z
takich danych zależy od zainteresowanych, którzy mogą zgłosić
sprzeciw lub skorzystać z innych form kontroli.
celach
Przetwarzanie danych osobowych
w celach marketingowych (II)
udostępnianie danych osobowych w celu włączenia do
zbioru danych stanowi formę przetwarzania danych i nie
jest regulowane w szczególny sposób przez ustawę o
ochronie danych osobowych
szczególny przypadek – udostępnianie danych osobowych
na cele marketingowe
zgodnie z decyzją GIODO z dnia 30 grudnia 2004 r. (GIDEC-DS-287/04), jedyną przesłanką umożliwiającą
udostępnianie danych osobowych w celu ich
przetwarzania na cele marketingowe jest wyraźna
zgoda osób, których dane dotyczą
decyzja została utrzymana w mocy przez Wojewódzki
Sąd Administracyjny wyrokiem Wojewódzkiego Sądu
Administracyjnego z dnia 26 lipca 2006 r. (II SA/Wa
563/05)
Pierwotne i wtórne cele przetwarzania
danych osobowych (I)
zasada legalności (art.23,27 u.o.d.o.)
cel pierwotny to cel dla którego podmiot danych przekazał
swoje dane osobowe
cel wtórny to inny cel przetwarzania danych niż cel dla
którego dane zostały przekazane
zasada celowości (art.26 ust.2 pkt 1 u.o.d.o.)
cel pierwotny to cel określony przez administratora przy
zbieraniu danych
cel wtórny to cel określony później niż przy zbieraniu danych
inne rozumienie pojęć „pierwotny” i „wtórny” cel przetwarzania
danych na gruncie zasady legalności i zasady celowości
Pierwotne i wtórne cele przetwarzania
danych osobowych (II)
zakaz przetwarzania danych osobowych w celach niezgodnych z
celami dla których dane zostały zebrane (art.26 ust.1 pkt 2 u.o.d.o.)
rodzaje wtórnych celów przetwarzania danych
cele tożsame z pierwotnie określonymi celami przetwarzania
cele różne, ale nie niezgodne z pierwotnymi celami przetwarzania
cele niezgodne (sprzeczne) z pierwotnie określonymi celami
przetwarzania
zakaz z art.26 ust.1 pkt 2 u.o.d.o. obejmuje jedynie cele sprzeczne
przykłady dopuszczalnego przetwarzania danych w celach różnych od
celów pierwotnie określonych
zasada celowości a treść art.23 ust.2 u.o.d.o. („zgoda może
obejmować również przetwarzanie danych w przyszłości, jeżeli nie
zmienia się cel przetwarzania”)
Pierwotne i wtórne cele przetwarzania
danych osobowych (III)
wykładnia wyjątku z art. 26 ust.2 u.o.d.o.: administrator
może nadal przetwarzać dane, jeżeli
nie narusza to praw i wolności osoby, której dane
dotyczą
dalsze przetwarzanie następuje w celach badań
naukowych,
dydaktycznych,
historycznych
lub
statystycznych
zachowane pozostają przepisy art.23 i 25 u.o.d.o.
zmiana celu na podstawie zgody podmiotu danych
Pierwotne i wtórne cele przetwarzania
danych osobowych (IV)
odpowiedzialność administracyjna za naruszenie zasady
celowości
rodzaje decyzji Generalnego Inspektora (art.18 ust.1
u.o.d.o.)
weryfikacja przez Generalnego Inspektora w ramach
postępowania rejestracyjnego (art.44 ust.1 lub art.44
ust.1-2 u.o.d.o.)
odpowiedzialność karna za naruszenie zasady celowości
(art. 50 u.o.d.o.)
odwołanie się do pojęcia „przechowywania danych w
zbiorze niezgodnie z celem utworzenia zbioru”
krąg osób odpowiedzialnych
Dziękuję za uwagę
[email protected]