Ochrana osobních údajů v pojišťovnictví aneb první měsíce s GDPR

Jan Svoboda a Veronika Šípošová z mezinárodní advokátní kanceláře PwC Legal představují vybrané dopady GDPR na české pojišťovnictví. S čím se tedy pojišťovny pod vlivem této klíčové regulace potýkají?

V květnu tohoto roku nabylo na účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, obecné nařízení o ochraně osobních údajů (dále jen „GDPR“ nebo „nařízení“). Nařízení byla věnována velká pozornost ze strany podnikatelů zpracovávajících osobní údaje, dalších správců dat, ale i odborné a laické veřejnosti. Značnou pozornost si GDPR získalo zejména pro svou přímou aplikovatelnost, své dopady nejen v Evropské unii (respektive Evropském hospodářském prostoru), ale i pro pokuty, které za porušení pravidel stanovených tímto nařízení hrozí.[1]

V souvislosti se sankcemi je třeba upozornit na to, že horní hranice pro jejich ukládání byla stanovena zejména s ohledem na gigantické společnosti provozující sociální sítě a další online služby. Sankce by měly být dozorovým úřadem, jímž je pro Českou republiku Úřad pro ochranu osobních údajů, ukládány tak, aby byly „účinné, přiměřené a odrazující, nikoliv však likvidační.“[2] Nemalé množství osobních údajů, včetně osobních údajů zvláštních kategorií – typicky údajů o zdravotním stavu – však zpracovávají i pojišťovny, a proto by i ty měly patřičné ochraně osobních údajů věnovat adekvátní pozornost.

Vybrané aspekty toho, jak GDPR ovlivnilo a ovlivňuje sektor pojišťovnictví, čemu by měla být při ochraně osobních údajů věnována zvýšená pozornost, a to, zda pro zmíněné odvětví přináší GDPR nějaká pozitiva, popisuje tento článek v následujících odstavcích.

Zpracovatel vs. správce osobních údajů

Definice správce a zpracovatele osobních údajů dle GDPR, kdy správcem je ten, kdo určuje účely a prostředky zpracování, a zpracovatelem pak ten, kdo zpracovává osobní údaje pro správce, je již notorietou. To však neznamená, že je určení těchto rolí snadnou záležitostí i v praxi. Problémy se mohou vyskytnout např. při definování role pojišťovacího zprostředkovatele vůči pojišťovně. Zatímco na tom, že pojišťovna bude ve většině svých aktivit spojených s hlavním předmětem jejího podnikání správcem, bude nejspíše shoda, právě určení role pojišťovacího zprostředkovatele vyžaduje delší zamyšlení.

Byť můžeme říci, že pojišťovací zprostředkovatel zpracovává osobní údaje pro pojišťovnu, je třeba poukázat i na to, že zároveň určuje i ony účely a prostředky zpracování osobních údajů. Účely zpracování osobních údajů se totiž mohou mezi oběma zmíněnými entitami lišit. Každá z nich bude totiž zejména sledovat svůj vlastní profit a bude osobní údaje zpracovávat z důvodu dostání svým vlastním zákonným povinnostem. Tento názor je zároveň v souladu s rozsudkem Nejvyššího správního soudu, sp. zn.: 9 As 34/2008-68 a aktualizovaným stanoviskem (leden 2011) Úřadu pro ochranu osobních údajů č. 1/2005.[3]^, [4]

Každý jednotlivý vztah je však třeba vyhodnotit zvlášť a se všemi jeho specifiky, a to nejen při určování role pojišťovny a pojišťovacího zprostředkovatele (vč. zprostředkovatele vázaného a podřízeného), pojišťovacího (výhradního) agenta, makléře a kontraktorů a subkontraktorů obecně. Vyloučeno není ani to, aby jedna entita zastávala různou roli dle GDPR pro různou část vztahu s entitou jinou, stejně jako není vyloučen ani institut společného správcovství.

Je důležité, aby pro všechny výše zmíněné role existovaly i jim odpovídající smluvní vztahy. GDPR stanovuje minimální požadavky, které musí být ve smlouvě mezi společnými správci, stejně jako mezi zpracovatelem a správcem, upraveny (článek 26 a 28 GDPR). Nařízení nepožaduje, aby smlouva mezi společnými správci byla v písemné podobě. Důležité však je transparentní určení podílů na odpovědnosti jednotlivých společných správců. Právě z tohoto důvodu lze písemnou smlouvu bezesporu doporučit.

Smlouva o zpracování osobních údajů mezi správcem a zpracovatelem naopak písemná být musí a seznam jejích povinných náležitostí je podstatně rozsáhlejší. Pojišťovny budou vystupovat v zásadě v roli správců osobních údajů, tedy těch, kteří za zpracování zpravidla nesou největší odpovědnost. Je proto důležité aby pojišťovny adekvátní smluvní dokumentaci věnovaly dostatečnou pozornost.  Právě smlouvy o zpracování osobních údajů totiž v praxi často chybí.

Další vybrané výzvy pro oblast pojišťovnictví

GDPR stanovuje rozsáhle podmínky, které musí být při zpracováních osobních údajů splněny. Některé z těchto podmínek mohou být pro pojišťovny zvláště problematické. V této části si krátce představíme některé body, na které by se pojišťovny měly zaměřit.

V první řadě se jedná o institut zvláštních kategorii osobních údajů, jejichž zpracování je, až na několik výjimek, zakázáno.[5] Problematické je především zpracovávání zvláštních kategorií  osobních údajů v případě komerčnějších pojištění, která potřebují pracovat například s informacemi o zdravotním stavu klientů. V případě tohoto typu dat je ve většinou jedinou možností pro jejich zpracování získání souhlasu klienta. Pojišťovnictví si tak svébytnou výjimku v textu čl. 9 GDPR nevydobylo. Získání řádného souhlasu pro zpracování zvláštních kategorií osobních údajů, případně osobních údajů obecně, je tedy základní podmínkou pro existenci některých typů pojištění.

Zde se dostáváme ke druhému problematickému bodu, kterým je souhlas jako jeden ze zákonných důvodů pro zpracování osobních údajů. Souhlas dle GDPR není možné považovat za primární důvod zpracování údajů a k jeho využití by mělo být přistoupeno, není-li možné využít jiného důvodu.  Souhlas musí být svobodný a informovaný;  zároveň je vždy odvolatelný. To znamená, že pokud není dán jiný právní důvod pro zpracování osobních údajů, po odvolání souhlasu musí správce přestat dotyčná data dále zpracovávat.  

Subjekt údajů má řadu práv, která může uplatnit vůči entitě, jež jeho data zpracovává. Pro pojišťovny bude mít významný dopad právo subjektu údajů na přenositelnost osobních údajů.[6] V zásadě se jedná o možnost předat údaje subjektu údajů nebo přímo jinému správci, který zpracovávání dat následně zahájí (například při změně pojišťovny). Subjekt údajů může tohoto práva využít, jestliže je zpracování prováděno na základě souhlasu nebo je nezbytné pro splnění smlouvy a provádí se automatizovaně. Toto může v konečném důsledku znamenat předání informací konkurenci. Pojišťovny se však nemusí bát, že by součástí přenesených informací musely být i důvěrné obchodní záležitosti. GDPR stanovuje, že se toto právo nesmí nepříznivě dotknout práva a svobody jiných osob. K tomuto právu napsala Pracovní skupina 29 obsáhlý komentář, který odpovídá na další dotazy, které se můžu vyskytnout v souvislosti s tímto právem.[7]

Jedním z preventivních nástrojů pro ochranu práv a svobod subjektů údajů je tzv. DPIA – data protection impact assessment, neboli česky posouzení vlivu na ochranu osobních údajů. Dle organizace Insurance Europe bude posouzení vlivu potřebné především pro pojišťovny, které zpracovávají zdravotní data ve velkém měřítku.[8]  Pojišťovny budou muset posoudit rizika a přijmout opatření k jejich prevenci ještě před tím, než započnou s jejich zpracováním.

GDPR jako šance

GDPR mohou pojišťovny, stejně jako ostatní správci, brát jako příležitost k utřídění osobních údajů a dalších dat, která zpracovávají, k jejich lepšímu zabezpečení a zejména pak k optimalizaci procesů zajišťujících zpracovávání jen nezbytných informací tak, aby docházelo k co nejefektivnějšímu využívání zdrojů pojišťovny. Právě to může v konečném důsledku přispět k vyššímu profitu pojišťoven a přinést jim vedle dodržení zásady minimalizace osobních údajů dle GDPR i další benefity v podobě zefektivnění vnitřního nastavení a způsobu poskytování služeb. GDPR je rovněž důvodem pro úpravu smluvních vztahů mezi pojišťovnami a jejich partnery. To může být využito pro narovnání některých práv a povinností, otevření nového způsobu spolupráce ale např. i pro prevenci proprietárního uzamčení.

GDPR, ochrana osobních údajů a kybernetická bezpečnost pak umožňují růst i novým odvětvím pojišťovnictví, kdy je nabízeno pojištění proti ztrátě osobních údajů, kybernetickým útokům anebo pojištění pro osoby poskytující služby pověřence pro ochranu osobních údajů a další osoby vystupující v těchto oblastech v pozici odborníka.

Pojišťovnictví je dynamický trh s mnoha aktéry, který je na práci s osobními údaji postaven. GDPR však nemusí být bráno jen jako další byrokratická zátěž, ale pro pojišťovny, které nezaspí pokrok s GDPR spojený, může toto nařízení přinést i nové možnosti pro jejich rozvoj.

Jan Svoboda, Veronika Šípošová
Mezinárodní advokátní kancelář PricewaterhouseCoopers Legal

[1] Dle čl. 83 GDPR hrozí za správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.
[2] Porušení povinností při zpracování osobních údajů. Úřad pro ochranu osobních údajů. Cit. 26. 8. 2018. Online. Dostupné z: https://www.uoou.cz/poruseni-povinnosti-pri-zpracovani-osobnich-udaju/ds-1487/p1=1487
[3] Stanovisko č. 1/2005. Úřad pro ochranu osobních údajů. Cit. 26. 6. 2018. Online. Dostupné z: https://www.uoou.cz/files/stanovisko_2005_1.pdf
[4] Kde je v textu využíváno zdrojů odkazujících na jinou právní úpravu než GDPR, typicky zákon č. 101/2000 Sb., o ochraně osobních údajů, vyhodnotili autoři článku zdroj jako vhodný i pro výklad tohoto nařízení.                
[5] Tyto výjimky jsou stanoveny v čl. 9 GDPR.
[6] Právo na přenositelnost osobních údajů je upraveno v čl. 20 GDPR.
[7] Guideline pracovní skupiny W29 k přenositelnosti osobních údajů. Cit. 26. 6. 2018. Online. Dostupné z http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233
[8] Přehled povinností pojišťoven při ochraně osobních údajů. Cit. 26. 8. 2018. Online. Dostupné z: https://www.insuranceeurope.eu/sites/default/files/attachments/GDPR%20is%20around%20the%20corner.pdf