Rakouská hospodářská komora („WKO“) nedávno informovala o schválení kodexu chování (dále jen „kodex“) pro pojišťovací makléře a poradce v pojišťovacích záležitostech (dále jen „pojišťovací makléři“) podle čl. 40 nařízení o ochraně osobních údajů („GDPR“) ze strany rakouského úřadu pro ochranu osobních údajů. Kodex má reflektovat specifika pojišťovnictví a související potřeby menších a středních podniků při aplikaci GDPR.
Jde již o několikátý kodex v řadě, který rakouský dozorový úřad schválil. V tomto smyslu je bohužel český Úřad pro ochranu osobních údajů značně pozadu, jelikož ještě ani nebyl schopen vytvořit fungující systém pro vytváření takových kodexů. Z tohoto důvodu mimo jiné také nebylo možné pokročit v přípravě kodexu chování pro pojišťovací sektor v ČR. ČAP proto zatím disponuje samoregulačními standardy k uplatňování obecného nařízení o ochraně osobních údajů, které jsou vnímané jako předstupeň kodexu chování stricto sensu. Dobrovolnou proklamaci k jejich dodržování vyjádřilo 93 % trhu. Je proto inspirativní sledovat vývoj v Rakousku a trendy v okolních zemích, kde se již kodexy používají.
Postavení pojišťovacího makléře
Pojišťovací makléři se podle kodexu v rámci své obchodní činnosti zpravidla nachází v postavení samostatných správců. Je tomu tak proto, že mají značnou rozhodovací pravomoc v oblasti určení účelů a prostředků zpracování osobních údajů a nejsou tak vázáni pokyny pojišťovny ani jiných subjektů. Zákon navíc zpravidla vyžaduje, aby pojišťovací makléři uchovávali údaje nezávisle na ostatních účastnících zprostředkovávaných smluvních vztahů. Pojišťovací makléři jsou primárně nezávislými poradci, kteří obstarávají pojistné krytí v zájmu svých klientů, a to takovým způsobem, aby co nejlépe plnilo jejich potřeby a požadavky. Ze všech těchto důvodů kodex dovozuje, že pojišťovací makléři nemohou být zpracovateli ve vztahu k pojišťovnám.
Nutno dodat, že kodex se věnuje specificky činnosti nezávislých pojišťovacích makléřů. V českém prostředí nicméně existují i další typy zprostředkovatelů, které tak širokou nezávislostí podle příslušných předpisů nedisponují (zejména vázaní zástupci). Závěry rakouského kodexu tak na ně nelze plně aplikovat.
Zpracovatelské činnosti
Hlavním úkolem pojišťovacího makléře je podle kodexu poskytovat klientovi nejlepší možné poradenství a sjednat pro něj nejvýhodnější pojistné krytí s ohledem na okolnosti konkrétního případu klienta.
Pokud jedná pojišťovací makléř na základě pověření klienta a v jeho rozsahu, zpracovává jeho osobní údaje za účelem poskytování poradenství primárně v souladu s čl. 6 odst. 1 písm. b) GDPR – tedy pro účely plnění smlouvy. Zpracování na tomto základě zahrnuje i provádění opatření před uzavřením smlouvy. Ostatním typům zpracovatelských činností, které jsou založené na jiných právních základech, se kodex blíže nevěnuje.
Zpracování zvláštní kategorie osobních údajů
Pokud pojišťovací makléř zpracovává zvláštní kategorie osobních údajů ve smyslu čl. 9 odst. 1 GDPR (např. údaje o zdravotním stavu), nelze tak činit pouze s odkazem na plnění smlouvy, protože u takových údajů se vyžaduje splnění některé z podmínek podle čl. 9 odst. 2 GDPR. V praxi půjde nejčastěji o udělení výslovného souhlasu ze strany subjektu údajů nebo zpracování založené na konkrétních ustanoveních právních předpisů.
Případné předávání zvláštních kategorií údajů mezi pojišťovnou a makléřem zplnomocněným klientem je přímo upraveno v rakouských předpisech, tudíž takové zpracování je podle kodexu založené na právním předpisu v souladu s čl. 9 odst. 2 písm. g).
Uchování a výmaz osobních údajů
V souladu s principem minimalizace musí být zpracování omezeno jak délkou uchování údajů, tak jejich rozsahem. V každém případě musí být stanoveny retenční lhůty pro jednotlivé kategorie údajů a tyto retenční lhůty musí být 38 Pojistný obzor 1/2022 Ze světa navázány na konkrétní události, které spustí jejich běh, s odkazem na právní povinnost nebo jiné legitimní důvody pro jejich uchování.
Informační povinnost
Kodex specifikuje též plnění informační povinnosti podle čl. 13, příp. čl. 14 GDPR, včetně poskytnutí informace při telefonickém jednání. V určitých případech mohou podle kodexu pojišťovací makléři uplatnit výjimku z plnění informační povinnosti. Jedná se o situace, kdy:
- klient již informaci má z jiného zdroje (např. od pojistitele nebo zaměstnavatele),
- poskytnutí informace není možné nebo by vyžadovalo nepřiměřené úsilí, např. když klient předá makléři informace o dalších osobách, které se účastnily dopravní nehody.
Další specifika zpracování – profilování, DPIA, DPO, zabezpečení
Kodex se rovněž věnuje profilování a automatizovanému individuálnímu rozhodování podle čl. 22 GDPR. Reflektuje přitom, že profilování ve formě hodnocení různých majetkových, ale i osobních aspektů klientů je pro pojišťovací sektor typické. Podle kodexu ale zpravidla takové profilování nebude mít charakter výhradně automatizovaného rozhodování, nakolik odpovědnost za poradenství a výběr vhodného pojistného krytí náleží pojišťovacímu makléři, který je povinen osobně dostupné nabídky zhodnotit. Případným ryze automatizovaným vyhodnocováním nabídek včetně přijetí a uzavření pojistné smlouvy bez „lidského“ zásahu makléře se kodex bohužel nezabývá.
Kodex dále stanoví, že pro zpracování údajů v kontextu standardního vztahu pojišťovacího makléře s klienty a souvisejících nezbytných záznamů se nevyžaduje posouzení vlivu na ochranu osobních údajů (DPIA). Kodex ale nevylučuje, že v některých případech by taková povinnost vzniknout mohla, zejména při extenzivním zpracování zvláštních kategorií osobních údajů.
Kodex rovněž v § 12 uvádí, že obecně není pojišťovací makléř povinen jmenovat pověřence pro ochranu osobních údajů (DPO), nicméně se to doporučuje společnostem s více než 20 zaměstnanci, pokud zároveň ve velké míře zpracovávají zvláštní kategorie osobních údajů. Je nicméně nutné podotknout, že ustanovení kodexu týkající se jmenování pověřence se soustředí pouze na jeden z důvodů jeho jmenování [čl. 37 odst. 1 písm. c)] a zcela například opomíjí důvod podle čl. 37 odst. 1 písm. b) GDPR, který ukládá jmenování DPO v případě, že hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů. V tomto smyslu je s podivem, že takovou podobu kodexu rakouský dozorový úřad vůbec schválil.
Ohledně zabezpečení údajů konečně kodex vyzývá pojišťovací makléře, aby zvážili zavedení vhodných technických a organizačních opatření k zajištění bezpečnosti zpracovávaných dat v souladu s čl. 32 GDPR, a jmenuje několik příkladů takových opatření. Další podrobnosti o jejich uplatnění však neobsahuje.
Dohled a stížnosti
Podstatnou součástí každého kodexu chování je i stanovení monitorovacího orgánu. Pojišťovací makléři, kteří přistoupí ke kodexu, jsou povinni:
- plnit příkazy monitorovacího orgánu, pokud jde o plnění kodexu;
- poskytovat součinnost a dokumentaci vyžádanou monitorovacím orgánem;
- účastnit se procesu řešení sporů a stížností zahájeného monitorovacím orgánem.
Monitorovací orgán může nahlásit porušení kodexu dozorovému úřadu.
Fungování kodexu v praxi
Přes některé výtky, které k předmětnému kodexu máme, lze určitě kladně hodnotit jeho přínos v ujasnění některých aspektů zpracování osobních údajů ze strany pojišťovacích makléřů. To se týká zejména vyjasnění pozice pojišťovacích makléřů jako samostatných správců osobních údajů a stanovení právních základů pro zpracování při jejich standardních činnostech. Kodex je nicméně poměrně stručný a mnoho oblastí řeší jen velmi obecně a nedává konkrétní návod, jak postupovat. V praxi bude tedy jeho použití podle našeho názoru značně omezené a přistoupení k němu nebude prokazovat komplexní soulad s požadavky GDPR.
Na závěr lze poznamenat, že samoregulační standardy ČAP jsou oproti zkoumanému rakouskému kodexu mnohem detailnější a konkrétnější a v případě, že by v budoucnu byly přijaty jako kodex chování podle čl. 40 GDPR, dávaly by daleko komplexnější záruky souladu s požadavky na ochranu osobních údajů.
autoři: Mgr. Kateřina Grézlová a Ing. Mgr. Jakub Hruška
27. 4. 2022
Článek vyšel také v Pojistném obzoru.
Mohlo by vás také zajímat:
Výsledky kontrol Úřadu pro ochranu osobních údajů za první pololetí roku 2021
Telemarketing v kontextu novely zákona o elektronických komunikacích
„Novinky v evidenci skutečných majitelů“ – článek JUDr. Moniky Herešové Mrákové v Pojistném obzoru