Jolanta Ojczyk: W ocenie ekspertów art. 41 ustawy o ubezpieczeniach nie stanowi podstawy przetwarzania danych o stanie zdrowia. Zawsze, czy za poprzedniej ustawy, czy RODO, potrzebna jest zgoda. O co toczą Państwo tak  naprawdę bój? Co zmienia projekt tzw. ustawy wdrażającej?

Hanna Karwat-Ratajczak, radca prawny, koordynator Zespołu Radców Prawnych Polskiej Izby Ubezpieczeń: 

Przede wszystkim art. 41 ustawy o działalności ubezpieczeniowej i reasekuracyjnej z 11 września 2015 r., zgodnie z którym zakład ubezpieczeń może zbierać dane ubezpieczonych lub uprawnionych z umów ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach ubezpieczających składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, stanowi podstawę prawną przetwarzania danych osobowych ubezpieczonych. Takie też było stanowisko GIODO zawarte w piśmie z 5 listopada 2013 skierowanym do PIU. GIODO stwierdził w nim, że przepisy tej ustawy „stanowią samoistną i wystarczającą przesłankę legalności pozyskiwania danych osobowych”. W ocenie GIODO ścisłe wskazanie celów, kategorii podmiotów i źródła pozyskiwania danych wrażliwych na potrzeby działalności ubezpieczeniowej ustanawia granice ingerencji w sferę informacji o stanie zdrowia. GIODO odnosił się do art. 24 ustawy z  22 maja 2003 o działalności ubezpieczeniowej, ale brzmienie  art. 41 obowiązującej ustawy jest identyczne, a zatem stanowisko jest nadal aktualne. Tymczasem projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 usuwa  w art. 41 ust. 1  zapis stanowiący podstawę przetwarzania przez zakłady ubezpieczeń danych osobowych, w tym dotyczących zdrowia.

Czytaj również: Ubezpieczyciele chcą przetwarzać dane o zdrowiu bez naszej zgody >>

 


 

Tyle, że sytuacja się zmieniła. Mamy RODO, a zgodnie z jego art. 9, co do zasady przetwarzanie danych wrażliwych jest zabronione, o ile dana osoba nie wyrazi zgody. Tak też przewiduje projekt, nad którym toczą się prace. Skąd więc Państwa protest?

Przyjęte w projekcie rozwiązanie wymaga od zakładów ubezpieczeń pozyskania zgody od podmiotów danych (klientów), w celach związanych z dokonaniem oceny ryzyka ubezpieczeniowego przed zawarciem umowy ubezpieczenia i wykonaniem tej umowy. By w pełni zrozumieć postulaty branży ubezpieczeniowej, trzeba na konstrukcję zgody spojrzeć z perspektywy RODO i towarzyszących RODO wytycznym Grupy Roboczej Artykułu 29 (obecnie Europejska Rada Ochrony Danych Osobowych - dopisek redakcji). Przepisy RODO wzmacniają istotnie wymogi w zakresie zgody jako podstawy (przesłanki) przetwarzania danych osobowych. Zgodnie z art. 4 pkt. 11 RODO, zgoda osoby, której dane osobowe dotyczą, powinna stanowić „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Jak podkreśla Grupa Robocza Artykułu 29 (GR29) zgoda powinna być rozważana jako możliwa do wykorzystania podstawa przetwarzania danych osobowych „wyłącznie wówczas, gdy osobie, której dane dotyczą, zapewnia się kontrolę oraz rzeczywistą możliwość wyboru w odniesieniu do przyjęcia zaoferowanych warunków lub odrzucenia ich bez niekorzystnych konsekwencji”.  Zdaniem GR 29 o rzeczywistej możliwości dokonania wyboru nie można mówić w sytuacji, gdy osoba, której dane dotyczą czuje się w jakikolwiek sposób zmuszona do wyrażenia zgody lub też, gdy może ona ponieść negatywne konsekwencje w przypadku jej niewyrażenia.

Przecież nikt nikogo nie zmusza do wyrażania zgody na przetwarzanie danych osobowych. Jest dobrowolna, podobnie jak zawarcie umowy. Skoro interesuję się ofertą, rozważam wykupienie polisy, wyrażam zgodę na przetwarzanie moich danych.

Sytuacja wymuszenia zgody lub poniesienia negatywnych skutków jej nie wyrażenia będzie miała miejsce w przypadku uchwalenia art. 41 ustawy o działalności ubezpieczeniowej i reasekuracyjnej w brzmieniu projektu. Wyrażenie zgody  będzie  bowiem warunkiem zawarcia umowy ubezpieczenia, a zatem nie będzie miało charakteru dobrowolnego. Oparcie przetwarzania danych dotyczących zdrowia na zgodzie może też mylnie sugerować, że osoba, której dane dotyczą ma rzeczywisty wybór co do przetwarzania (bądź nie) jej danych osobowych przez zakład ubezpieczeń.

Odmowa objęcia ochroną ubezpieczeniową osoby wnioskującej o taką ochronę, a jednocześnie odmawiającej wyrażenia zgody na przetwarzanie danych dotyczących jej zdrowia, stanowiłaby negatywną konsekwencję, o której mowa w  stanowisku  GR29. Dlatego w ocenie PIU nie sposób zapewnić spełnienia wymogu dobrowolności, w takim kształcie, jak wymagają tego przepisy RODO. W  rezultacie przyjęte w projekcie rozwiązanie, zakładające konieczność pozyskania zgody do celów oceny ryzyka i wykonania umowy ubezpieczenia, zdaniem PIU stoi w sprzeczności z wymogiem dobrowolności zgody.

Wydaje się jednak, że chodzi o coś innego.  Z wypowiedzi Andrzeja Gładysza dyrektora Biura Prawnego w PZU/PZU Życie podczas komisji wynika, że  problemem jest prawo do wycofania zgody. Dlaczego?

Z konstrukcją zgody i jej dobrowolnym charakterem skorelowany został również katalog uprawnień podmiotów danych, w tym w szczególności prawo do wycofania udzielonej zgody (art. 7 ust. 3 RODO) oraz prawo do usunięcia danych (tzw. „prawo do bycia zapomnianym” – art. 17 ust. 1 lit. b RODO). Zakład ubezpieczeń jako administrator danych ma obowiązek respektowania decyzji podmiotu danych o cofnięciu zgody, przy czym obowiązek ten – w projekcie – ma charakter bezwzględny. W związku z brakiem możliwości oceny ryzyka, wycofanie udzielonej zgody na etapie zawierania umowy ubezpieczenia skutkować powinno odmową zawarcia umowy ubezpieczenia. Natomiast na etapie obowiązywania umowy ubezpieczenia odwołanie zgody nie ma wpływu na funkcjonowanie umowy. Zakład ubezpieczeń nie może z tego powodu wypowiedzieć umowy ubezpieczenia. Zresztą w ubezpieczeniach życiowych zakład ubezpieczeń w ogóle nie może wypowiedzieć umowy ubezpieczenia. W przypadku zgłoszenia roszczenia w praktyce prowadzić będzie to do niemożliwości przeprowadzenia prawidłowego postępowania likwidacyjnego. Przede wszystkim nie będzie możliwe zweryfikowanie podanych przed zawarciem umowy okoliczności dotyczących stanu zdrowia. Nie można wykluczyć, że klient, mając świadomość prawa do odwołania zgody na przetwarzanie jego danych dotyczących zdrowia może mieć większą skłonność do podania danych nieprawdziwych chociażby po to, aby zapłacić niższą składkę, która jednakże będzie wtedy nieadekwatna do ponoszonego przez zakład ryzyka. Ubezpieczyciele mogą zostać zmuszeni do uwzględnienia wynikającego z tego ryzyka biznesowego, co prawdopodobnie nie pozostanie bez wpływu na wysokość składek.

 

 

Dlaczego nie można powiązać wycofania zgody z rozwiązaniem umowy?

Zgodnie z art. 830 par. 3 kodeksu cywilnego ubezpieczyciel może wypowiedzieć umowę ubezpieczenia na życie jedynie w przypadkach wskazanych w ustawie. Takie przypadki nie zostały w ustawie  przewidziane. A  problem dotyczy przede wszystkim ubezpieczeń na życie. Jeżeli ubezpieczony wycofa zgodę zakład nie będzie mógł ustalić stanu faktycznego, nie będzie mógł zweryfikować oświadczeń o stanie jego zdrowia złożonych przed zawarciem umowy. Ponadto zgodnie z RODO podmiot danych nie może ponosić negatywnych konsekwencji skorzystania z przysługującego mu prawa. W związku z tym z pewnością wzrośnie liczba sporów sądowych.

Oparcie w ubezpieczeniach przetwarzania danych osobowych, w tym  dotyczących zdrowia na  zgodzie, co jest związane z uprawnieniem do jej wycofania, nie odpowiada specyfice umowy ubezpieczenia. Pozostaje też  w sprzeczności z art. 815 § 1 Kc (projekt nie przewiduje zmian przepisów Kodeksu cywilnego w zakresie umowy ubezpieczenia). Art. 815 zobowiązuje ubezpieczającego do przekazania zakładowi ubezpieczeń wszelkich znanych sobie okoliczności, w tym również danych osobowych. W ubezpieczeniach na życie i innych osobowych będą to okoliczności dotyczące danych wrażliwych. Prawo do wycofania zgody niweczyłoby znaczenie tego obowiązku. Zakład ubezpieczeń zobligowany byłby wówczas do zaprzestania przetwarzania informacji zawierających dane dotyczące zdrowia istotne dla stosunku ubezpieczeniowego.

Ponadto wycofanie zgody na przetwarzanie danych dotyczących zdrowia może faktycznie uniemożliwiać realizację wynikającego z art. 816 Kc uprawnienia do żądania zmiany wysokości składki ubezpieczeniowej w ubezpieczeniach osobowych, innych niż ubezpieczenia na życie, a więc przede wszystkim w ubezpieczeniach zdrowotnych.

Projekt mówi, że dane można przetwarzać przez 12 lat po wycofaniu zgody. Nie rozwiązuje to problemu?

Nie. Dotyczy to tylko przetwarzania w celach statystycznych np. do ustalania rezerw techniczno- ubezpieczeniowych dla celów wypłacalności, rachunkowości, ustalania wysokości składek.

Podczas dyskusji w Sejmie mówiono tez o ubezpieczeniach turystycznych, głównie zdrowotnych. Jakie problemy mogą się tam pojawić?

Tu chodzi o praktyczne trudności związane z ubezpieczeniami na cudzy rachunek, t.j sytuacji, gdy dane osobowe wrażliwe (dotyczące zdrowia) nie są pozyskiwane bezpośrednio od osoby, której dotyczą, lecz od trzeciej. To ma miejsce, przykładowo, w ramach ubezpieczeń turystycznych, gdy jedna osoba zgłasza do ubezpieczenia członków swej rodziny lub innej grupy. Z uwagi na wymóg zbierania „wyraźnej” zgody w przypadku przetwarzania danych wrażliwych, skutkowałoby to koniecznością występowania przez zakłady ubezpieczeń o zgody bezpośrednio do osób, których dotyczą zbierane dane. To z kolei powodowałoby istotną komplikację w procesie zawierania umów ubezpieczenia i obejmowania ochroną. Uzasadnienie do projektu nie odnosi się w ogóle do kwestii ubezpieczeń na cudzy rachunek.

Jakie rozwiązanie proponuje branża ubezpieczeniowa?

PIU proponuje oparcie przetwarzania danych dotyczących zdrowia poprzez skorzystanie z możliwości, jaką daje  art. 9 ust. 2 lit. g RODO.  Przepis ten pozwala na wprowadzenie do prawa państwa członkowskiego przepisów umożliwiających przetwarzanie danych wrażliwych w sytuacji, gdy „przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym”, które to przepisy „są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą” (tzw. przesłanka interesu publicznego).

Możliwość powołania się na przesłankę interesu publicznego uzależniona jest od istnienia przepisu w prawie  państwa członkowskiego.

Tak, stąd  PIU postuluje wprowadzenie wyraźnej ustawowej podstawy przetwarzania przez zakłady ubezpieczeń danych „zwykłych” i „wrażliwych” ograniczonego do wskazanych operacji przetwarzania danych osobowych oraz wyłącznie do celów  oceny ryzyka w związku z zawarciem umowy ubezpieczenia i jej wykonaniem.  W ocenie PIU potrzeba zapewnienia bezpieczeństwa i stabilności systemu ubezpieczeń gospodarczych, w tym wypłaty świadczeń z tytułu umów ubezpieczeń na zdrowie lub życie, rosnąca rola ubezpieczeń zdrowotnych i ich komplementarny charakter w stosunku do publicznego systemu zdrowia, realizują „ważny interes publiczny”. PIU zwraca uwagę, że dokonywana na etapie zawierania umowy ubezpieczenia ocena ryzyka ubezpieczeniowego stanowi nie tylko umowny, ale również ustawowy obowiązek zakładów ubezpieczeń (tak m.in. art. 33 ust. 1 oraz art. 57 ust. 2 pkt 1 Ustawy o działalności ubezpieczeniowej). Stąd PIU w trakcie procesu legislacyjnego apelowała do  projektodawcy o uwzględnienie w przyjmowanych rozwiązaniach legislacyjnych tej okoliczności, jako przemawiającej na korzyść uznania, iż przesłanka, o której mowa w art. 9 ust. 2 lit. g) RODO jest spełniona.