Uwaga:
14.04 | Certyfikaty zgodności PDP Group sp. z o.o.
16.03 | Przesuwamy termin szkolenia
20.02 | 18. posiedzenie plenarne Europejskiej Rady Ochrony Danych
linkedin
  1. Jesteś tutaj
  2. Blog

RODO wskazówki - Udostępnianie danych osobowych na wniosek zakładów ubezpieczeń

02.03.2020

W rozumieniu art. 4 pkt. 2 RODO przetwarzanie to operacja wykonywana na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak, np. udostępnianie. Oznacza to, że udostępnianie danych jest jedną z wielu czynności podejmowanych przez administratora na potrzeby przetwarzania danych osobowych i jako takie, podlega pod zasady dotyczące przetwarzania danych osobowych określone, m.in. w art. 5 RODO.

Administratorzy udostępniający na podstawie przepisów obowiązującego prawa dane osobowe, w ramach prowadzonej bieżącej działalności służbowej (np. w procesach kadrowych), rzadko poddają pogłębionej analizie fakt udostępniania danych, skupiając się najczęściej na terminowości wykonania tej operacji. I to nie dziwi.

Sytuacja komplikuje się w przypadku otrzymania niestandardowego wniosku o udostępnienie danych osobowych, np. z zakładu ubezpieczeń. Dlatego też, niezwykle ważne są przyjęte u administratora procedury odnoszące się do zarządzania procesem ochrony danych osobowych, w tym procedury udostępniania danych osobowych na wniosek podmiotów zewnętrznych.

 

Analiza wniosku o udostępnienie danych osobowych

Administrator (spółdzielnia/ wspólnota mieszkaniowa) po otrzymaniu od zakładu ubezpieczeń wniosku o udostepnienie danych osobowych zobowiązany jest do przeprowadzenia szczegółowej analizy jego treści, zwracając szczególną uwagę na wskazaną przez wnioskodawcę podstawę prawną, zakres oczekiwanych danych osobowych oraz uzasadnienie faktyczne, na którym wnioskodawca opiera żądanie udostępnienia danych osobowych.

Doświadczenie wskazuje, że najczęściej jako podstawę prawną determinującą konieczność, w ocenie zakładów ubezpieczeń, udostępnienia danych osobowych zakłady ubezpieczeń wskazują przepisy z Ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej: art. 29 ust. 1 dotyczący prowadzenia postępowania likwidacyjnego lub art. 42 ust. 1 opisujący proces uzyskania przez zakład ubezpieczeń informacji i dokumentów od organów państwowych. Natomiast zakres oczekiwanych danych, skupia się głównie na udostępnieniu imienia i nazwiska osoby zamieszkującej pod wskazanym przez zakład ubezpieczeń adresie, względnie udostępnieniu imienia, nazwiska i adresu sprawcy (sic!) zaistniałej szkody. Odnośnie wskazywania sprawcy, bądź potencjalnego sprawcy szkody, należy zwrócić uwagę na fakt, że prowadzenie postepowania likwidacyjnego, w tym ustalenie podmiotów odpowiedzialnych za powstałą szkodę, itp. z mocy obowiązującego prawa stanowi istotę działalności ubezpieczeniowej i jest zarezerwowane dla zakładów ubezpieczeń. Tego obowiązku zakład ubezpieczeń nie może przerzucić na inne podmioty, np. spółdzielnie/wspólnoty mieszkaniowe (patrz: wyrok Sądu Najwyższego z dnia 10 stycznia 2000 r., sygn. akt III CKN 1105/98).

 

Współpraca z inspektorem ochrony danych

Na podstawie art. 38 ust. 1 RODO oraz przyjętych u administratora procedur, w sytuacjach pojawienia się wątpliwości odnoszących się m.in. do realizacji wniosku nadesłanego przez zakład ubezpieczeń o udostepnienie danych osobowych koniecznym jest skonsultowanie sprawy z inspektorem ochrony danych, stanowiącym najważniejsze ogniowo merytorycznego wsparcia procesu zapewnienia zgodności przetwarzania danych osobowych z przepisami obowiązującego prawa w zakresie ochrony danych osobowych. Opinia inspektora ochrony danych oraz poprzedzająca ją szczegółowa analiza zgłoszonego przypadku może uchronić administratora od nieuprawnionego udostępnienia danych osobowych, czy też udostępnienia danych osobowych w szerszym zakresie niż zawarty we wniosku, a w konsekwencji od ewentualnych sankcji, np. kar finansowych nakładanych decyzją Prezesa Urzędu Ochrony Danych Osobowych na podstawie art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

 

Udostepnienie danych osobowych

Niezależnie od przywołanych powyżej podstaw prawnych opisanych w ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, zakłady ubezpieczeń we wnioskach o udostępnienie danych osobowych przywołują art. 828. § 1 Ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny odnoszący się do regresu ubezpieczeniowego oraz art. 6 ust. 1 lit f RODO wskazujący uprawnienie do przetwarzania danych osobowych jako działanie niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów realizowanych przez zakłady ubezpieczeń.

Zgodnie z wykładnią Urzędu Ochrony Danych Osobowych, w toczącym się postępowaniu regresowym zakład ubezpieczeń jest uprawniony do żądania i uzyskania danych osobowych sprawcy szkody w zakresie niezbędnym do dochodzenia od niego roszczeń. W tym przypadku administrator (spółdzielnia/wspólnota mieszkaniowa) jest zobowiązany i uprawniony do udostępnienia niezbędnych do dochodzenia roszczeń danych osobowych, zachowując zasady: minimalizacji danych, o której mowa w art. 5 ust. 1 lit. c RODO oraz integralności i poufności (art. 5 ust. 1 lit. f RODO), zapewniając odpowiednie bezpieczeństwo transferu udostępnianych danych osobowych.

I choć brak jest wymagań zobowiązujących administratora do prowadzenia rejestru wniosków o udostępnienie danych osobowych, warto taki rejestr prowadzić, by być w stanie wykazać przestrzeganie przepisów o ochronie danych osobowych, np. wywiązanie się z obowiązku informacyjnego, o którym mowa w art. 13 ust. 1 lit. r RODO, wypełniając tym samym dyspozycję zasady rozliczalności opisanej w art. 5 ust. 2 RODO.

W tym miejscu należy zwrócić uwagę na potrzebę holistycznego podejścia do zarządzania procesem przetwarzania danych osobowych w spółdzielni/wspólnocie mieszkaniowej, wdrożenie wszelkich wymagań określonych w przepisach prawa normujących ochronę danych osobowych, w sposób adekwatny do wyników analizy ryzyka i uzgodnionych zaleceń po przeprowadzonych audytach zgodności.

 

Grzegorz Leśniewski

PDP Group sp. z o.o.

Skontaktuj się z ekspertem

Zamów nasze usługi i sprawdź sam
ile możemy dla Ciebie zrobić.

22 297 22 99 biuro@pdpgroup.pl ul. Grochowska 75/77
04-186 Warszawa
PDP Group Sp. z o.o., Grochowska 75/18, 04-186 Warszawa, (administrator danych), przetwarzał będzie Państwa dane osobowe, na podstawie art. 6 ust.1 lit F Rozporządzenia Parlamentu Europejskiego i Rady(UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1) Podanie Państwa danych osobowych jest niezbędne do prowadzenia korespondencji, które będziemy przetwarzać przez okres niezbędny do jej realizacji. Przysługuje Państwu prawo żądania dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania oraz przenoszenia Państwa danych, jak również prawo do złożenia skargi do organu nadzorczego. Dane nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, ani profilowaniu. Kontakt do Inspektora Ochrony Danych: dpo@pdpgroup.pl.
www.pdpcertificates.pl PDP Certificates
© 2017 PDP Group Personal Data Protection
Wszelkie prawa zastrzeżone
Skontaktuj się z ekspertem

Chcesz o coś zapytać? Zadaj nam pytanie, chętnie pomożemy!

Skontaktuj się z nami