W piątek 18 stycznia ponownie zbierze się podkomisja nadzwyczajna do rozpatrzenia projektu ustawy wdrażającej RODO (ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679). Przede wszystkim ma zająć się przepisami dotyczącymi ubezpieczycieli. Zostaną na nim przedstawione wnioski z wtorkowego spotkania Polskiej Izby Ubezpieczeń z przedstawicielami ministerstw: cyfryzacji finansów, sprawiedliwości, spraw zagranicznych, Komisją Nadzoru Finansowego oraz Urzędem Ochrony Danych Osobowych. PIU walczy o prawo przetwarzania danych o zdrowiu bez naszej zgody. Twierdzi, że jej wycofanie uniemożliwi im przeprowadzenie postępowania w przypadku zgłoszenia roszczenia z tytułu polisy o życie czy zdrowotnej.

Czytaj również: Wycofanie zgody na przetwarzanie danych o stanie zdrowia nie pozwala na rozwiązanie polisy na życie >>

Tomasz Klemt, prawnik w kancelarii Czublun Trębicki, mówi wprost, że mamy do czynienia z humbugiem. - Konsekwencje wycofania zgody, a także skorzystania z prawa do bycia zapomnianym, czyli usunięcia danych, nie niweczą wszystkich danych dotychczas zebranych. Gdy mamy do czynienia z koniecznością ustalenia, dochodzenia lub obrony roszczeń  dane można  przetwarzać. Tutaj zarówno art. 9 RODO dotyczący danych wrażliwych jak i jego art. 17 regulujący prawo do bycia zapomniany, (usuwania danych) są spójne - podkreśla Tomasz Klemt.

 


 

Wycofanie zgody nie oznacza usunięcia danych

Polska Izba Ubezpieczonych obawia się, że klienci zaczną wprowadzać ją w błąd. Dlaczego? - Klient, mając świadomość prawa do odwołania zgody może mieć większą skłonność do podania danych nieprawdziwych chociażby po to, aby zapłacić niższą składkę, która będzie wtedy nieadekwatna do ponoszonego przez zakład ryzyka. Ubezpieczyciele mogą zostać zmuszeni do uwzględnienia wynikającego z tego ryzyka biznesowego, co prawdopodobnie nie pozostanie bez wpływu na wysokość składek – tłumaczy Hanna Karwat-Ratajczak, radca prawny, koordynator zespołu radców prawnych Polskiej Izby Ubezpieczeń. Tyle, że obecnie zgodnie z art. 834 kodeksu cywilnego jeżeli do wypadku doszło po upływie lat trzech od zawarcia umowy ubezpieczenia na życie, ubezpieczyciel i tak nie może podnieść zarzutu podania nieprawdziwych informacji. Takie prawo ma tylko przez trzy lata od zawarcia umowy. Zatem przykładowo na etapie oceny ryzyka klient zadeklarował, że nie pali papierosów. Po pięciu latach okazało się, że zmarł na raka płuc, bo od 30 lat palił paczkę papierosów dziennie. W takiej sytuacji towarzystwo nie ma prawa odmówić wypłaty świadczenia uposażonym powołując się na art. 834 Kc. Gdy jednak ubezpieczony wycofa zgodę po roku od zawarcia umowy, a umrze po dwóch latach – wbrew temu co twierdzi PIU – ubezpieczyciel może przetwarzać jego dane o zdrowiu i podnieść zarzut przekazania nieprawdziwych informacji. - Cofnięcie zgody powinno być nieskuteczne  do upływu tych trzech lat - mówi Piotr Czublun, radca prawny, partner w kancelarii Czublun Trębicki. - Art. 9 f RODO mówi, że dane wrażliwe można przetwarzać bez zgody jeśli jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. Ubezpieczyciel zatem przez trzy lata od zawarcia umowy ma  prawo przetwarzać dane wrażliwe, bo przez ten okres można podważyć ich prawdziwość na podstawie art. 834 Kc – tłumaczy Piotr Czublun. Gdy więc klient mówi: cofam zgodę, towarzystwo odpowiada, przyjmuję do wiadomości, ale usuwa dane dopiero z chwilą, gdy utraci prawo podniesienia zarzutu podania nieprawdziwych danych.

 

Co jednak w przypadku wykonywania umowy ubezpieczenia na życie z różnymi opcjami, np. na wypadek niezdolności do pracy, poważnego zachorowania. - To jest ochrona, która trwa przez cały czas. I towarzystwo musi być dysponentem danych przez cały czas trwania umowy. Jeśli ubezpieczony cofa zgodę, brakuje podstawy do wypłacenia świadczenia, np. z tytułu choroby  - Tutaj jest ważne, by przepisy właściwie skorelować z RODO – dodaje Czublun.

Brak zgody, brak umowy

Zgodnie z godnie z art. 4 pkt. 11 RODO, zgoda osoby, której dane osobowe dotyczą, powinna być m.in.: dobrowolna. PIU obawia się, że gdy jej wyrażenie będzie warunkiem zawarcia umowy ubezpieczenia, nie będzie ono miało charakteru dobrowolnego. PIU podkreśla, że zdaniem Grupy Roboczej Artykułu 29 o rzeczywistej możliwości dokonania wyboru nie można mówić, gdy osoba, której dane dotyczą, czuje się w jakikolwiek sposób zmuszona do wyrażenia zgody lub też, gdy może ona ponieść negatywne konsekwencje w przypadku jej niewyrażenia. Tu konsekwencją braku zgody, będzie brak umowy. Adwokat Paweł Litwiński, partner w kancelarii Barta Litwiński nie zgadza się z takim stanowiskiem. – Jeżeli odmówię zgody, nie dojdzie do zawarcia umowy. To nie jest nic nowego na gruncie prawa danych osobowych, tak dzisiaj np. działa obowiązkowa zgoda na dostęp do dokumentacji medycznej przy polisach: nie udzielam zgody, nie mogę zawrzeć umowy – tłumaczy Paweł Litwiński.

I dodaje, że  na etapie prac nad RODO był lobbing ze strony sektora ubezpieczeń, żeby wprowadzić inną podstawę, dedykowaną dla tego sektora. - Tej podstawy nie wprowadzono. - Była taka propozycja Parlamentu Europejskiego, ale w trilogu przepadła. Teraz więc lobbing przeniósł się na poziom poszczególnych krajów – uważa mec. Litwiński.

O co walczą ubezpieczyciele

PIU chce, by ubezpieczyciele mogli przetwarzać dane osobowe, w tym w szczególności dotyczące zdrowia, na potrzeby oceny ryzyka ubezpieczeniowego oraz w celu wykonania umowy ubezpieczenia bez konieczności pozyskiwania zgód od klienta.  Umożliwiłoby to  wprowadzenie wyraźnej ustawowej podstawy przetwarzania danych „zwykłych” i „wrażliwych” w celu  oceny ryzyka w związku z zawarciem umowy ubezpieczenia i jej wykonaniem. -  W ocenie PIU potrzeba zapewnienia bezpieczeństwa i stabilności systemu ubezpieczeń gospodarczych, w tym wypłaty świadczeń z tytułu umów ubezpieczeń na zdrowie lub życie, rosnąca rola ubezpieczeń zdrowotnych i ich komplementarny charakter w stosunku do publicznego systemu zdrowia, realizują „ważny interes publiczny - mówi Hanna Karwat-Ratajczak, radca prawny, koordynator zespołu radców prawnych PIU.
Zgodnie zaś  art. 9 ust. lit. zgoda nie jest wymagana, jeśli przetwarzanie danych wrażliwych jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu. Według Katarzyny Kloc, radcy prawnego, partnera w kancelarii Gawroński  & Piecuch,  proponowane przez ubezpieczycieli rozwiązanie, czyli przesłanka interesu publicznego, w tej sytuacji nie może mieć zastosowania.

Sprawdź w LEX SIP jak wygląda kontrola UODO: