parasole

Przetwarzanie danych osobowych przez bank w procesie sprzedaży ubezpieczeń

Zgodnie z art. 6a ust. 1 pkt. 1 Prawa bankowego, Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu (…) wykonywanie w imieniu i na rzecz banku pośrednictwa w zakresie czynności bankowych, przy czym powierzenie takie musi nastąpić na podstawie umowy agencyjnej. Znaczy to, że podmiot zewnętrzny świadczący na rzecz banku powierzone mu usługi jest w tym zakresie agentem banku. Bywa jednak, że to bank – na podstawie przepisów spoza Prawa bankowego - działa jako agent innego podmiotu. Przykładem takim jest sytuacja, w której bank staje się pośrednikiem ubezpieczeniowym na podstawie umowy podpisanej z wybranym zakładem ubezpieczeń (dalej „ZU”). Umowa taka zawsze ma charakter umowy agencyjnej, zgodnie bowiem z ustawą z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń „agentem ubezpieczeniowym” jest przedsiębiorca (inny niż agent oferujący ubezpieczenia uzupełniające) wykonujący działalność agencyjną na podstawie umowy agencyjnej zawartej z zakładem ubezpieczeń i wpisanym do rejestru agentów. Po zawarciu umowy agencyjnej bank staje się „pośrednikiem ubezpieczeniowym”, wykonującym czynności w imieniu lub na rzecz ZU, polegające na: pozyskiwaniu klientów, wykonywaniu czynności przygotowawczych zmierzających do zawierania umów ubezpieczenia, zawieraniu umów ubezpieczenia oraz uczestniczeniu w administrowaniu i wykonywaniu umów ubezpieczenia, także w sprawach o odszkodowanie, jak również na organizowaniu i nadzorowaniu czynności agencyjnych. Zakres współpracy pomiędzy bankiem a ZU szczegółowo określa oczywiście umowa agencyjna, jednak dla banku tak samo ważną rolę w tym zakresie ma przyjęcie stosownej „Polityki Bancassurance”. Jest tak dlatego, że dla banku nie jest istotne – samo w sobie - funkcjonowanie w roli agenta ubezpieczeniowego, ale powiązanie oferty ZU bezpośrednio lub pośrednio z produktem bankowym, w tym także z ubezpieczeniowymi produktami o charakterze inwestycyjnym lub oszczędnościowym. Przez „bancassurance” należy w tym kontekście także rozumieć zawieranie przez bank umów ubezpieczenia powiązanych z produktem bankowym, w przypadku których klient banku na podstawie odrębnej umowy zobowiązany jest pokryć koszty ochrony ubezpieczeniowej banku przed poszczególnymi rodzajami ryzyka objętymi tą umową ubezpieczenia. W ramach „Polityki Bancassurance” bank powinien określić m. in. takie aspekty, jak:

 

  1. Modele współpracy pomiędzy bankiem a ZU (np. zawieranie przez Bank umów agencyjnych, umów ubezpieczenia na cudzy rachunek tj. na rachunek klienta, umów ubezpieczenia na własny rachunek Banku.
  2. Role, w jakich bank może wystąpić w ramach współpracy z ZU (np. agenta ubezpieczeniowego, ubezpieczającego przy zawieraniu umów ubezpieczenia na cudzy rachunek, ubezpieczającego przy zawieraniu umów ubezpieczenia na własny rachunek).
  3. Czy jest możliwe występowanie banku jednocześnie jako agent ubezpieczeniowy i ubezpieczający.
  4. Czy jest możliwa współpraca banku z wieloma ZU.

 

Funkcja banku w procesie sprzedaży ubezpieczeń

Bank, jako agent ubezpieczeniowy oraz ubezpieczający, w celu prawidłowego wykonania umowy agencyjnej z konkretnym ZU, zawiera z nim Umowę Powierzenia, w ramach której bank występuje w roli Procesora, czyli podmiotu przetwarzającego dane osobowe w ramach celu i sposobu określonego przez zakłady ubezpieczeń, natomiast konkretny ZU pełni funkcję Administratorzy Danych. Jednak w zależności od przyjętego przez bank modelu współpracy z różnymi ZU, bank w zakresie przetwarzania danych osobowych w procesie sprzedaży ubezpieczeń może (a nawet musi) pełni także rolę Administratora danych osobowych. Sytuacja, w której bank współpracuje tylko z jednym ZU jest raczej wyjątkowa. Biorąc pod uwagę zakresy współpracy proponowanych bankowi przez poszczególne ZU, atrakcyjność ich oferty w odniesieniu do Klientów banku oraz samego banku (prowizje od sprzedaży ubezpieczeń), a także preferencje Klientów banku dotyczące poszczególnych ZU, może być tak, że bank ma „swego faworyta”, z którym realizuje większość transakcji ubezpieczeniowych. Jednak preferowane przez banki modele współpracy wymuszają niejako możliwość proponowania swoim klientom różnych ubezpieczeń, świadczonych przez różne ZU. I właśnie w takiej sytuacji pojawia się okoliczność, w której bank w ramach procesu sprzedaży ubezpieczeń będzie występował (na pewnym etapie sprzedaży) w roli Administratora.

 

Cytowana powyżej ustawa w art. 8 ust. 1 stwierdza, iż przed zawarciem umowy ubezpieczenia lub umowy gwarancji ubezpieczeniowej dystrybutor ubezpieczeń (czytaj: bank) określa, na podstawie uzyskanych od klienta informacji, jego wymagania i potrzeby oraz podaje w zrozumiałej formie obiektywne informacje o produkcie ubezpieczeniowym, w celu umożliwienia klientowi podjęcia świadomej decyzji. Ten etap sprzedaży nazywamy „analizą potrzeb Klienta” (dalej „APK”). Informacje o proponowanym produkcie ubezpieczeniowym są zwykle przekazywane przez bank w postaci ustandaryzowanego dokumentu, sporządzanego przez ZU lub bank, a zakres samego dokumentu określa dość szczegółowo ustawa o dystrybucji ubezpieczeń. W przypadku, gdy bank współpracuje z jednym ZU, w procesie sprzedaży, na każdym jego etapie, bank występuje w roli Procesora, także realizując wymaganą przez prawo „APK”. Sytuacja zmienia się jednak wtedy, gdy bank współpracuje z wieloma ZU, a elementem „APK” będzie także - oprócz zrealizowania wszystkich wymagań wskazanych w ustawie o dystrybucji ubezpieczeń - zaproponowanie Klientowi banku kilku alternatywnych rozwiązań w ramach ofert z różnych ZU, które w optymalnym zakresie odpowiadają potrzebom Klienta. W takich okolicznościach bank, w zależności od etapu procesu sprzedaży ubezpieczeń, będzie występował jako Administratora danych lub jako Procesor.

 

Dlaczego tak jest?

Sytuacja, w której bank, będąc agentem konkretnego ZU, od początku procesu sprzedaży ubezpieczeń realizuje czynności w celu i w sposób wskazany przez ten konkretny ZU, jest oczywista. Bank jest tutaj Procesorem, także na etapie realizacji „APK”. Ustalając potrzeby Klienta, z góry wiemy, że polisę ubezpieczeniową dla Klienta banku wystawi ZU, z którym bank podpisał umowę agencyjną. Inaczej będzie, gdy bank – w ramach oceny potrzeb Klienta – optymalizuję ofertę dla swojego Klienta, przedstawia Klientowi kilka ofert pochodzących z różnych ZU. W takiej sytuacji osoba poszukująca najlepszej oferty ubezpieczeniowej na etapie „APK” cały czas jest Klient banku, a zadaniem i rolą banku na tym etapie jest zaproponowanie swojemu Klientowi kilku alternatywnych rozwiązań, przedstawionych na podstawie i w zakresie umów podpisanych z różnymi ZU. Osoba, której dane bank przetwarza na etapie „APK” jest Klientem banku, a bank przetwarza jej dane osobowe nie w celu i w zakresie wskazanym przez innego Administratora, ale we własnym imieniu oraz w ramach celu określonego przez siebie, tj. optymalnego doboru dla swojego Klient usługi. Konkludując, w sytuacji, gdy bank współpracuje z wieloma ZU, w zależności od etapu sprzedaży, bank może wystąpić zarówno w roli Administratora danych swoich Klientów, jak również w roli Procesora, przetwarzającego dane osobowe w imieniu i w zakresie wskazanym przez ZU. Etapy te to:

  1. Okres do momentu podjęcia przez Klienta banku w ramach „APK” decyzji o wyborze konkretnej oferty ubezpieczeniowej konkretnego ZU (etap pierwszy) – na tym etapie Bank występuje w roli samodzielnego Administratora danych osobowych;
  2. Okres od momentu podjęcia przez Klienta banku w ramach „APK” decyzji o wyborze konkretnej oferty ubezpieczeniowej konkretnego ZU (etap drugi) – na tym etapie Bank pełni funkcję Procesora i występuje w imieniu wybranego przez Klienta ZU.

 

W zależności od pełnionej przez bank funkcji, będzie on zobowiązany do realizacji zupełnie różnych obowiązków w zakresie przetwarzania danych osobowych. W sytuacji, gdy Bank w procesie sprzedaży ubezpieczeń współpracuje z wieloma ZU, najczęściej korzysta on jednocześnie z różnego rodzaju portali ułatwiających prezentowanie i dobieranie w ramach "APK" ofert, które w optymalny sposób zaspakajają potrzeby jego Klientów. Najczęściej dostawcami taki rozwiązań są podmioty trzecie, które będą w ramach świadczonej przez siebie usługi przetwarzać dane osobowe Klientów banku oraz (najczęściej) Klientów konkretnego ZU. Naturalnie, na mocy odrębnych umów o współpracy, a w ślad za tym podpisanych umów powierzenia, zarówno bank, jak i ZU określi sposób, zakres i cel przetwarzania przez dostawcę portalu danych osobowych osób poszukujących oferty ubezpieczeniowej. Także dostawca portalu będzie miał odpowiednie zadania i pełnił będzie odpowiednią funkcję w procesie sprzedaży ubezpieczeń, w zależności od jego etapu. Spróbujmy zatem rozpisać ten ostatni model współpracy banku z ZU oraz dostawcą portalu na czynniki pierwsze, koncentrując się głównie na wyzwaniach w zakresie ochrony danych osobowych.

 

Etap pierwszy

 

 

Bank

ZU

Dostawca portalu

Klient

 

Funkcja w procesie sprzedaży w obszarze RODO

 

 

ADO

 

ADO

PROCESOR

 

Osoba, której dane dotyczą

 

 

Główne cele przetwarzania

 

 

Określenia wymagań i potrzeb klienta w zakresie ochrony ubezpieczeniowej.

 

Możliwość przygotowania wstępnej oferty

 

Przetwarzanie danych w platformie internetowej udostępnionej Bankowi.

 

Pozyskanie oferty ubezpieczenia.

Podstawa prawna przetwarzania danych Klienta

 

Zgoda osoby, której dane dotyczą, tj. art. 6 ust. 1 lit a) RODO, w tym na udostępnienie danych do ZU., z którymi współpracuje Bank.

 

Udostępnienie danych osobowych.

Powierzenie:

Umowa Powierzenia podpisana z Bankiem. oraz (ewentualnie)

z współpracującymi

z Bankiem ZU

Zgoda Klienta

art. 6 ust. 1 lit a) RODO.

 

 

Kluczowe obowiązki w obszarze RODO

 

 

Wydanie Klauzuli Informacyjnej Banku klientowi + uzyskanie zgody na przetwarzanie w celu przygotowania oferty.

 

Ochrona danych osobowych w procesie przygotowania oferty.

Ochrona danych osobowych zgodnie z Umową Powierzenia..

Wyrażenie zgody na przygotowanie oferty.

 

 

Kluczowe obowiązki w obszarze sprzedaży

 

 

Określenie wymagań klienta i jego potrzeb w zakresie ochrony ubezpieczeniowej (APK)

Przygotowanie wstępnej oferty.

Udostępnienie platformy internetowej

 

Wskazanie swoich potrzeb w zakresie ochrony ubezpieczeniowej.

 

 

 

 

Etap drugi

 

 

Bank

ZU

Dostawca portalu

Klient

 

Funkcja w procesie sprzedaży w obszarze RODO

 

 

PROCESOR

(AGENT)

ADO

PODPROCESOR

Osoba, której dane dotyczą

Główne cele przetwarzania

Zawarcie umowy ubezpieczenia z wybranym przez Klienta ZU.

Przygotowanie umowy ubezpieczenia.

 

Przetwarzanie danych w platformie internetowej udostępnionej bankom oraz ZU.

 

Zawarcie umowy ubezpieczenia

Podstawa prawna udostępnienia danych osobowych

Powierzenie:

Umowa Powierzenia podpisanej z wybranym przez Klienta ZU..

Przetwarzanie:

Art. 6 ust. 1 lit b) RODO (podjęcie na wniosek klienta działań w celu zawarcia umowy).

Podpowierzenie:

Umowa Podpowierzenia podpisana z Bankiem.

 

Przetwarzanie:

Art. 6 ust. 1 lit b) RODO (podjęcie przez Bank działający w imieniu ZU na wniosek Klienta działań w celu zawarcia umowy z wybranym ZU.

 

 

 

Kluczowe obowiązki w obszarze RODO

 

 

Wydanie Klientowi Klauzuli Informacyjnej wybranego przez Klienta ZU.

 

Ochrona danych osobowych w procesie przygotowania umowy.

Ochrona danych osobowych przez Podprocesora

Podpisanie umowy ubezpieczeniowej.

 

 

Kluczowe obowiązki w obszarze sprzedaży

 

Przekazanie klientowi warunków umowy ubezpieczeniowej + podpisanie umowy.

 

Weryfikacja umowy podpisanej przez Bank z klientem pod kątem umowy agencyjnej podpisanej z Bankiem.

 

Udostępnienie platformy internetowej

Podpisanie umowy ubezpieczeniowej.

 

 

Opracował

Arkadiusz Kraus