Do SBUwP wpływają zapytania dotyczące stosowania przez brokerów ubezpieczeniowych przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znane również pod nazwą „RODO” oraz ustawy z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń, w kontekście relacji pomiędzy brokerem a towarzystwami ubezpieczeń. Główną wątpliwość jaką wyrażają zgłaszający się do stowarzyszenia brokerzy ubezpieczeniowi jest obowiązek zawierania z towarzystwami ubezpieczeniowymi umowy powierzenia danych osobowych o której mowa w art. 28 ust. 3 RODO.

Wobec powyższych wątpliwości Stowarzyszenie w dniu 20 września 2018 r. skierowało do Komisji Nadzoru Finansowego zapytanie: czy w świetle przepisów obowiązujących na gruncie wyżej wskazanych ustaw, broker powinien zawierać z towarzystwami ubezpieczeń umowy powierzenia? Do dnia dzisiejszego do Stowarzyszenia nie wpłynęła odpowiedź ze strony KNF, a zatem Stowarzyszenie przyjmuje, że prymat mają przepisy ustawy o dystrybucji, które za niedopuszczalne uznają pozostawanie brokera i towarzystwa ubezpieczeń w stałych stosunkach umownych (art. 30 ust. 1 pkt 2 ustawy o dystrybucji). Celem dogłębnego rozważenia zaistniałego problemu, Stowarzyszenie postanowiło zlecić sporządzenie opinii prawnej dwóm niezależnym ekspertom, formułując takie samo zapytanie, jakie uprzednio zostało skierowane do KNF, a więc czy broker powinien zawierać z towarzystwami ubezpieczeniowymi umowy powierzenia? Poniżej Stowarzyszenie przytacza najistotniejsze aspekty, zawierające się w sporządzonych opiniach.

Przepis art. 28 RODO wskazuje, że w przypadku przetwarzania dokonywanego w imieniu administratora przez podmiot przetwarzający, przetwarzanie odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub państwa członkowskiego i wiążą podmiot przetwarzający i administratora. Wskazać przy tym należy, że zawarcie umowy powierzenia jest wymogiem prawnym zarówno w przypadku powierzenia przetwarzania przez administratora na rzecz przetwarzającego, czy też przez przetwarzającego dalszemu przetwarzającemu.

W tym miejscu należy wskazać, że nie każda relacja, w której dochodzi do przekazania danych osobowych wiąże się z obowiązkiem zawarcia umowy powierzenia. Przede wszystkim z obowiązkiem takim nie mamy do czynienia w momencie, gdy odbiorca danych jest ich samodzielnym administratorem. Zgodnie z definicją zawartą w art. 4 pkt 7 RODO, administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeśli zatem administrator samodzielnie oznacza cele i sposoby przetwarzania danych osobowych, nie jest możliwym, by mógł on skutecznie zawrzeć umowę powierzenia, w której to inny podmiot (a więc udostępniający) określa sposób i zakres przetwarzania. Taka umowa byłaby bowiem sprzeczna z intencją ustawodawcy, jaka ma swój wyraz z RODO.

Przenosząc powyższe rozważania na relacje pomiędzy brokerami a towarzystwami ubezpieczeń, stosownie do treści sporządzonych na zlecenie SBUwP opinii, wskazać należy, że RODO nie nakłada na brokerów ubezpieczeniowych obowiązku zawarcia umowy powierzenia z towarzystwami ubezpieczeniowymi. Broker nie może podjąć jednostronnej decyzji o tym, w jaki sposób i dla jakich celów dane będą przetwarzane przez towarzystwa ubezpieczeń, a co za tym idzie – celu tego określić w umowie powierzenia. Wobec powyższego należy przyjąć, że każdy z powyższych pomiotów jest niezależnym administratorem, co sprawia, że nie zachodzi obowiązek zawarcia umowy powierzenia.

Jednocześnie należy wskazać, że opisane wyżej udostępnianie danych osobowych jest usankcjonowanie, zaś jego podstawę prawną stanowi art. 6 ust. 1 lit. b) RODO, a więc udostępnienie następuje w celu wykonania umowy, której stroną jest osoba, której dane dotyczą.

W tym miejscu warto również zaznaczyć, że zawarcie umowy powierzenia pomiędzy brokerem a towarzystwem ubezpieczeniowym jest zakazane na gruncie art. 30 ust. 1 pkt 2 ustawy o dystrybucji, zgodnie z którym broker nie może pozostawać w stałym stosunku umownym z zakładem ubezpieczeń, zakładem reasekuracji, agentem ubezpieczeniowym lub agentem oferującym ubezpieczenia uzupełniające. Ograniczenie to nie dotyczy umowy ubezpieczenia, na podstawie której broker ubezpieczeniowy jest ubezpieczonym lub ubezpieczającym, jak również umowy zawartej przez brokera ubezpieczeniowego z zakładem ubezpieczeń, dotyczącej sposobu wzajemnego rozliczania się z tytułu wykonywania czynności brokerskich w zakresie ubezpieczeń (art. 30 ust. 2 ustawy o dystrybucji). Ustawa w sposób restrykcyjny i kategoryczny wskazuje, że pomiędzy brokerem oraz towarzystwem ubezpieczeń nie może występować stały stosunek umowny, poza włączeniami wskazanymi wprost w ustawie.

Reasumując, zawarcie umowy powierzenia pomiędzy brokerem a towarzystwem ubezpieczeń nie tylko nie jest konieczne z punktu widzenia RODO, ale również zakazane z uwagi na brzmienie ustawy o dystrybucji.