Przetwarzanie danych osobowych przez bank w procesie sprzedaży ubezpieczeń
Zgodnie z art. 6a ust. 1 pkt. 1 Prawa bankowego, Bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu (…) wykonywanie w imieniu i na rzecz banku pośrednictwa w zakresie czynności bankowych, przy czym powierzenie takie musi nastąpić na podstawie umowy agencyjnej. Znaczy to, że podmiot zewnętrzny świadczący na rzecz banku powierzone mu usługi jest w tym zakresie agentem banku. Bywa jednak, że to bank – na podstawie przepisów spoza Prawa bankowego - działa jako agent innego podmiotu. Przykładem takim jest sytuacja, w której bank staje się pośrednikiem ubezpieczeniowym na podstawie umowy podpisanej z wybranym zakładem ubezpieczeń (dalej „ZU”). Umowa taka zawsze ma charakter umowy agencyjnej, zgodnie bowiem z ustawą z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń „agentem ubezpieczeniowym” jest przedsiębiorca (inny niż agent oferujący ubezpieczenia uzupełniające) wykonujący działalność agencyjną na podstawie umowy agencyjnej zawartej z zakładem ubezpieczeń i wpisanym do rejestru agentów. Po zawarciu umowy agencyjnej bank staje się „pośrednikiem ubezpieczeniowym”, wykonującym czynności w imieniu lub na rzecz ZU, polegające na: pozyskiwaniu klientów, wykonywaniu czynności przygotowawczych zmierzających do zawierania umów ubezpieczenia, zawieraniu umów ubezpieczenia oraz uczestniczeniu w administrowaniu i wykonywaniu umów ubezpieczenia, także w sprawach o odszkodowanie, jak również na organizowaniu i nadzorowaniu czynności agencyjnych. Zakres współpracy pomiędzy bankiem a ZU szczegółowo określa oczywiście umowa agencyjna, jednak dla banku tak samo ważną rolę w tym zakresie ma przyjęcie stosownej „Polityki Bancassurance”. Jest tak dlatego, że dla banku nie jest istotne – samo w sobie - funkcjonowanie w roli agenta ubezpieczeniowego, ale powiązanie oferty ZU bezpośrednio lub pośrednio z produktem bankowym, w tym także z ubezpieczeniowymi produktami o charakterze inwestycyjnym lub oszczędnościowym. Przez „bancassurance” należy w tym kontekście także rozumieć zawieranie przez bank umów ubezpieczenia powiązanych z produktem bankowym, w przypadku których klient banku na podstawie odrębnej umowy zobowiązany jest pokryć koszty ochrony ubezpieczeniowej banku przed poszczególnymi rodzajami ryzyka objętymi tą umową ubezpieczenia. W ramach „Polityki Bancassurance” bank powinien określić m. in. takie aspekty, jak:
- Modele współpracy pomiędzy bankiem a ZU (np. zawieranie przez Bank umów agencyjnych, umów ubezpieczenia na cudzy rachunek tj. na rachunek klienta, umów ubezpieczenia na własny rachunek Banku.
- Role, w jakich bank może wystąpić w ramach współpracy z ZU (np. agenta ubezpieczeniowego, ubezpieczającego przy zawieraniu umów ubezpieczenia na cudzy rachunek, ubezpieczającego przy zawieraniu umów ubezpieczenia na własny rachunek).
- Czy jest możliwe występowanie banku jednocześnie jako agent ubezpieczeniowy i ubezpieczający.
- Czy jest możliwa współpraca banku z wieloma ZU.
Funkcja banku w procesie sprzedaży ubezpieczeń
Bank, jako agent ubezpieczeniowy oraz ubezpieczający, w celu prawidłowego wykonania umowy agencyjnej z konkretnym ZU, zawiera z nim Umowę Powierzenia, w ramach której bank występuje w roli Procesora, czyli podmiotu przetwarzającego dane osobowe w ramach celu i sposobu określonego przez zakłady ubezpieczeń, natomiast konkretny ZU pełni funkcję Administratorzy Danych. Jednak w zależności od przyjętego przez bank modelu współpracy z różnymi ZU, bank w zakresie przetwarzania danych osobowych w procesie sprzedaży ubezpieczeń może (a nawet musi) pełni także rolę Administratora danych osobowych. Sytuacja, w której bank współpracuje tylko z jednym ZU jest raczej wyjątkowa. Biorąc pod uwagę zakresy współpracy proponowanych bankowi przez poszczególne ZU, atrakcyjność ich oferty w odniesieniu do Klientów banku oraz samego banku (prowizje od sprzedaży ubezpieczeń), a także preferencje Klientów banku dotyczące poszczególnych ZU, może być tak, że bank ma „swego faworyta”, z którym realizuje większość transakcji ubezpieczeniowych. Jednak preferowane przez banki modele współpracy wymuszają niejako możliwość proponowania swoim klientom różnych ubezpieczeń, świadczonych przez różne ZU. I właśnie w takiej sytuacji pojawia się okoliczność, w której bank w ramach procesu sprzedaży ubezpieczeń będzie występował (na pewnym etapie sprzedaży) w roli Administratora.
Cytowana powyżej ustawa w art. 8 ust. 1 stwierdza, iż przed zawarciem umowy ubezpieczenia lub umowy gwarancji ubezpieczeniowej dystrybutor ubezpieczeń (czytaj: bank) określa, na podstawie uzyskanych od klienta informacji, jego wymagania i potrzeby oraz podaje w zrozumiałej formie obiektywne informacje o produkcie ubezpieczeniowym, w celu umożliwienia klientowi podjęcia świadomej decyzji. Ten etap sprzedaży nazywamy „analizą potrzeb Klienta” (dalej „APK”). Informacje o proponowanym produkcie ubezpieczeniowym są zwykle przekazywane przez bank w postaci ustandaryzowanego dokumentu, sporządzanego przez ZU lub bank, a zakres samego dokumentu określa dość szczegółowo ustawa o dystrybucji ubezpieczeń. W przypadku, gdy bank współpracuje z jednym ZU, w procesie sprzedaży, na każdym jego etapie, bank występuje w roli Procesora, także realizując wymaganą przez prawo „APK”. Sytuacja zmienia się jednak wtedy, gdy bank współpracuje z wieloma ZU, a elementem „APK” będzie także - oprócz zrealizowania wszystkich wymagań wskazanych w ustawie o dystrybucji ubezpieczeń - zaproponowanie Klientowi banku kilku alternatywnych rozwiązań w ramach ofert z różnych ZU, które w optymalnym zakresie odpowiadają potrzebom Klienta. W takich okolicznościach bank, w zależności od etapu procesu sprzedaży ubezpieczeń, będzie występował jako Administratora danych lub jako Procesor.
Dlaczego tak jest?
Sytuacja, w której bank, będąc agentem konkretnego ZU, od początku procesu sprzedaży ubezpieczeń realizuje czynności w celu i w sposób wskazany przez ten konkretny ZU, jest oczywista. Bank jest tutaj Procesorem, także na etapie realizacji „APK”. Ustalając potrzeby Klienta, z góry wiemy, że polisę ubezpieczeniową dla Klienta banku wystawi ZU, z którym bank podpisał umowę agencyjną. Inaczej będzie, gdy bank – w ramach oceny potrzeb Klienta – optymalizuję ofertę dla swojego Klienta, przedstawia Klientowi kilka ofert pochodzących z różnych ZU. W takiej sytuacji osoba poszukująca najlepszej oferty ubezpieczeniowej na etapie „APK” cały czas jest Klient banku, a zadaniem i rolą banku na tym etapie jest zaproponowanie swojemu Klientowi kilku alternatywnych rozwiązań, przedstawionych na podstawie i w zakresie umów podpisanych z różnymi ZU. Osoba, której dane bank przetwarza na etapie „APK” jest Klientem banku, a bank przetwarza jej dane osobowe nie w celu i w zakresie wskazanym przez innego Administratora, ale we własnym imieniu oraz w ramach celu określonego przez siebie, tj. optymalnego doboru dla swojego Klient usługi. Konkludując, w sytuacji, gdy bank współpracuje z wieloma ZU, w zależności od etapu sprzedaży, bank może wystąpić zarówno w roli Administratora danych swoich Klientów, jak również w roli Procesora, przetwarzającego dane osobowe w imieniu i w zakresie wskazanym przez ZU. Etapy te to:
- Okres do momentu podjęcia przez Klienta banku w ramach „APK” decyzji o wyborze konkretnej oferty ubezpieczeniowej konkretnego ZU (etap pierwszy) – na tym etapie Bank występuje w roli samodzielnego Administratora danych osobowych;
- Okres od momentu podjęcia przez Klienta banku w ramach „APK” decyzji o wyborze konkretnej oferty ubezpieczeniowej konkretnego ZU (etap drugi) – na tym etapie Bank pełni funkcję Procesora i występuje w imieniu wybranego przez Klienta ZU.
W zależności od pełnionej przez bank funkcji, będzie on zobowiązany do realizacji zupełnie różnych obowiązków w zakresie przetwarzania danych osobowych. W sytuacji, gdy Bank w procesie sprzedaży ubezpieczeń współpracuje z wieloma ZU, najczęściej korzysta on jednocześnie z różnego rodzaju portali ułatwiających prezentowanie i dobieranie w ramach "APK" ofert, które w optymalny sposób zaspakajają potrzeby jego Klientów. Najczęściej dostawcami taki rozwiązań są podmioty trzecie, które będą w ramach świadczonej przez siebie usługi przetwarzać dane osobowe Klientów banku oraz (najczęściej) Klientów konkretnego ZU. Naturalnie, na mocy odrębnych umów o współpracy, a w ślad za tym podpisanych umów powierzenia, zarówno bank, jak i ZU określi sposób, zakres i cel przetwarzania przez dostawcę portalu danych osobowych osób poszukujących oferty ubezpieczeniowej. Także dostawca portalu będzie miał odpowiednie zadania i pełnił będzie odpowiednią funkcję w procesie sprzedaży ubezpieczeń, w zależności od jego etapu. Spróbujmy zatem rozpisać ten ostatni model współpracy banku z ZU oraz dostawcą portalu na czynniki pierwsze, koncentrując się głównie na wyzwaniach w zakresie ochrony danych osobowych.
Etap pierwszy
|
Bank |
ZU |
Dostawca portalu |
Klient |
Funkcja w procesie sprzedaży w obszarze RODO
|
ADO
|
ADO |
PROCESOR |
Osoba, której dane dotyczą |
Główne cele przetwarzania
|
Określenia wymagań i potrzeb klienta w zakresie ochrony ubezpieczeniowej.
|
Możliwość przygotowania wstępnej oferty |
Przetwarzanie danych w platformie internetowej udostępnionej Bankowi.
|
Pozyskanie oferty ubezpieczenia. |
Podstawa prawna przetwarzania danych Klienta |
Zgoda osoby, której dane dotyczą, tj. art. 6 ust. 1 lit a) RODO, w tym na udostępnienie danych do ZU., z którymi współpracuje Bank.
|
Udostępnienie danych osobowych. |
Powierzenie: Umowa Powierzenia podpisana z Bankiem. oraz (ewentualnie) z współpracującymi z Bankiem ZU |
Zgoda Klienta art. 6 ust. 1 lit a) RODO. |
Kluczowe obowiązki w obszarze RODO
|
Wydanie Klauzuli Informacyjnej Banku klientowi + uzyskanie zgody na przetwarzanie w celu przygotowania oferty.
|
Ochrona danych osobowych w procesie przygotowania oferty. |
Ochrona danych osobowych zgodnie z Umową Powierzenia.. |
Wyrażenie zgody na przygotowanie oferty. |
Kluczowe obowiązki w obszarze sprzedaży
|
Określenie wymagań klienta i jego potrzeb w zakresie ochrony ubezpieczeniowej (APK) |
Przygotowanie wstępnej oferty. |
Udostępnienie platformy internetowej |
Wskazanie swoich potrzeb w zakresie ochrony ubezpieczeniowej.
|
Etap drugi
|
Bank |
ZU |
Dostawca portalu |
Klient |
Funkcja w procesie sprzedaży w obszarze RODO
|
PROCESOR (AGENT) |
ADO |
PODPROCESOR |
Osoba, której dane dotyczą |
Główne cele przetwarzania |
Zawarcie umowy ubezpieczenia z wybranym przez Klienta ZU. |
Przygotowanie umowy ubezpieczenia. |
Przetwarzanie danych w platformie internetowej udostępnionej bankom oraz ZU.
|
Zawarcie umowy ubezpieczenia |
Podstawa prawna udostępnienia danych osobowych |
Powierzenie: Umowa Powierzenia podpisanej z wybranym przez Klienta ZU.. |
Przetwarzanie: Art. 6 ust. 1 lit b) RODO (podjęcie na wniosek klienta działań w celu zawarcia umowy). |
Podpowierzenie: Umowa Podpowierzenia podpisana z Bankiem. |
Przetwarzanie: Art. 6 ust. 1 lit b) RODO (podjęcie przez Bank działający w imieniu ZU na wniosek Klienta działań w celu zawarcia umowy z wybranym ZU.
|
Kluczowe obowiązki w obszarze RODO
|
Wydanie Klientowi Klauzuli Informacyjnej wybranego przez Klienta ZU.
|
Ochrona danych osobowych w procesie przygotowania umowy. |
Ochrona danych osobowych przez Podprocesora |
Podpisanie umowy ubezpieczeniowej. |
Kluczowe obowiązki w obszarze sprzedaży
|
Przekazanie klientowi warunków umowy ubezpieczeniowej + podpisanie umowy. |
Weryfikacja umowy podpisanej przez Bank z klientem pod kątem umowy agencyjnej podpisanej z Bankiem.
|
Udostępnienie platformy internetowej |
Podpisanie umowy ubezpieczeniowej. |
Opracował
Arkadiusz Kraus