Zmiany dotyczące firm ubezpieczeniowych po 4 maja 2019 r.

Zmiany wprowadzono również w ustawie o działalności ubezpieczeniowej i reasekuracyjnej.

Uregulowano, iż zakład ubezpieczeń może przetwarzać dane osobowe, w tym dane osobowe objęte obowiązkiem zachowania tajemnicy w zakresie poszczególnych umów ubezpieczenia, w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń w celu i zakresie niezbędnym do zapobiegania temu przestępstwu.

 Ograniczono również prawo do dostępu do danych, wskazując, iż do przetwarzania danych osobowych przez zakład ubezpieczeń w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom, nie stosuje się art. 15 RODO.

Zakład ubezpieczeń może przetwarzać dane szczególnych kategorii (wskazane w art. 9 RODO) dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.

Uregulowano również możliwość podejmowania przez zakłady ubezpieczeń decyzji w indywidualnych przypadkach, opierając się wyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu:

  1. dokonania oceny ryzyka ubezpieczeniowego – w przypadku danych osobowych dotyczących ubezpieczonych,
  2. wykonania czynności ubezpieczeniowych, o których mowa w art. 4 ust. 9 pkt 1 i 2 ustawy o działalności ubezpieczeniowej i reasekuracyjnej – w przypadku danych osobowych dotyczących ubezpieczonych, ubezpieczających i uprawnionych z umowy ubezpieczenia – pod warunkiem zapewnienia osobie, której dotyczy zauto­matyzowana decyzja, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.

Powyższe decyzje mogą być podejmowane wyłącznie na podstawie następujących kategorii danych dotyczących osoby fizycznej:

  1. imię (imiona) i nazwisko,
  2. nazwisko rodowe,
  3. imiona rodziców,
  4. datę i miejsce urodzenia,
  5. wiek,
  6. płeć,
  7. obywatelstwo,
  8. numer PESEL, o ile został nadany,
  9. numer identyfikacji podatkowej, o ile został nadany,
  10. numer i seria dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
  11. charakter wykonywanej pracy (branża),
  12. miejsce zamieszkania,
  13. okres ubezpieczenia,
  14. przebieg ubezpieczenia,
  15. suma ubezpieczenia,
  16. stan cywilny,
  17. stan zdrowia ubezpieczonego,
  18. sytuacja finansowa,
  19. data i numer rejestracji szkody, data wystąpienia szkody oraz data zgłoszenia szkody lub roszczenia,
  20. dane identyfikujące umowę ubezpieczenia, której szkoda dotyczy,
  21. dane identyfikujące przedmiot ubezpieczenia.

Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa powyżej, dotyczące ubezpieczonych, ubezpieczających lub innych uprawnionych z umowy ubezpieczenia, bez zgody osoby, której te dane dotyczą, w celach, o których mowa w art. 33 ust. 3 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (tj. ustalania na ich podstawie wysokości składek ubezpieczeniowych, składek reasekuracyjnych oraz rezerw techniczno-ubezpieczeniowych dla celów wypłacalności i rezerw techniczno--ubezpieczeniowych dla celów rachunkowości) nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia.

Zakład ubezpieczeń może również przetwarzać dane osobowe osób odpowiedzialnych za zajście zdarzenia losowego, o których mowa w art. 10 RODO, w zakresie zadań przez ten zakład ubezpieczeń wykonywanych i w celu ich wykonania, w związku z wypadkiem lub zdarzeniem losowym będącym podstawą ustalania odpowiedzialności.