RODO w sektorze ubezpieczeniowym — ochrona danych osobowych w działalności ubezpieczeniowej

Sektor ubezpieczeniowy jest jednym z najbardziej data-intensive sektorów gospodarki — działalność ubezpieczeniowa opiera się na zbieraniu, analizie i przetwarzaniu danych osobowych na masową skalę. Ocena ryzyka (underwriting), kalkulacja składki, likwidacja szkód, wykrywanie oszustw, dystrybucja ubezpieczeń przez agentów i brokerów — każdy z tych procesów wymaga dostępu do danych osobowych klientów, w tym często do danych szczególnych kategorii (dane o zdrowiu, dane genetyczne).

Jednocześnie ubezpieczyciele działają w gęstej sieci regulacji — obok RODO muszą stosować ustawę o działalności ubezpieczeniowej i reasekuracyjnej, ustawę o dystrybucji ubezpieczeń (implementującą dyrektywę IDD), przepisy KNF, wytyczne EIOPA, a od 2025 r. również rozporządzenie DORA dotyczące cyfrowej odporności operacyjnej sektora finansowego.

W tym artykule omawiam najważniejsze zagadnienia RODO specyficzne dla sektora ubezpieczeniowego — od podstaw prawnych przetwarzania, przez profilowanie i scoring, dane o zdrowiu w ubezpieczeniach na życie, po relacje z agentami i brokerami.

Specyfika przetwarzania danych w ubezpieczeniach

Ubezpieczyciele przetwarzają dane osobowe na każdym etapie cyklu życia polisy:

Etap przedumowny (ofertowanie) — zbieranie danych w celu oceny ryzyka i kalkulacji składki. Zakres danych zależy od rodzaju ubezpieczenia: w ubezpieczeniach komunikacyjnych — dane pojazdu, historia szkodowa, wiek kierowcy; w ubezpieczeniach na życie — dane o stanie zdrowia, przebyte choroby, wiek, zawód, styl życia; w ubezpieczeniach majątkowych — dane o nieruchomości, zabezpieczeniach, wartości mienia.

Zawarcie umowy — dane identyfikacyjne (imię, nazwisko, PESEL, adres), dane kontaktowe, dane do płatności, dane uposażonych i ubezpieczonych.

Obsługa polisy — zmiany danych, wznowienia, cesje, wypowiedzenia, korespondencja.

Likwidacja szkód — dane poszkodowanych, świadków, sprawców, dokumentacja medyczna (w ubezpieczeniach osobowych), protokoły policyjne, opinie biegłych, zdjęcia, nagrania.

Wykrywanie oszustw — analiza wzorców, porównywanie danych z bazami zewnętrznymi (UFG, BIK), profilowanie.

Marketing i cross-selling — oferowanie dodatkowych produktów ubezpieczeniowych, segmentacja klientów, analityka.

Reasekuracja — przekazywanie danych do reasekuratorów w celu podziału ryzyka.

Podstawy prawne przetwarzania danych przez ubezpieczycieli

Zakłady ubezpieczeń korzystają z kilku podstaw prawnych jednocześnie:

Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — przetwarzanie danych niezbędnych do zawarcia i wykonania umowy ubezpieczenia (kalkulacja składki, obsługa polisy, likwidacja szkód). To podstawowa podstawa prawna dla większości operacji ubezpieczeniowych.

Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — wypełnianie obowiązków wynikających z ustawy o działalności ubezpieczeniowej i reasekuracyjnej (np. obowiązek identyfikacji klienta — AML/KYC, obowiązki sprawozdawcze wobec KNF, obowiązki archiwizacyjne).

Uzasadniony interes (art. 6 ust. 1 lit. f RODO) — wykrywanie i przeciwdziałanie oszustwom ubezpieczeniowym, marketing bezpośredni własnych produktów, dochodzenie i obrona roszczeń, analityka aktuarialna na zanonimizowanych danych.

Zgoda (art. 6 ust. 1 lit. a RODO) — marketing produktów podmiotów trzecich, profilowanie wykraczające poza niezbędność umowną, przetwarzanie danych o zdrowiu w określonych sytuacjach.

Dane o zdrowiu — art. 9 RODO w ubezpieczeniach

Ubezpieczenia na życie i ubezpieczenia zdrowotne wymagają przetwarzania danych o stanie zdrowia — szczególnej kategorii danych z art. 9 RODO. Podstawy prawne:

Art. 9 ust. 2 lit. f RODO — przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Stosowany przy likwidacji szkód z ubezpieczeń osobowych, gdy konieczna jest analiza dokumentacji medycznej.

Art. 9 ust. 2 lit. a RODO — wyraźna zgoda ubezpieczonego. Stosowana przy zbieraniu danych o zdrowiu na etapie underwritingu (ocena ryzyka ubezpieczeniowego).

Art. 38 ust. 2 ustawy o działalności ubezpieczeniowej — zakład ubezpieczeń przetwarza dane dotyczące zdrowia ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub dokumentach dołączanych przy zawieraniu umowy ubezpieczenia, w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.

To kluczowy przepis — stanowi samoistną podstawę do przetwarzania danych o zdrowiu przez ubezpieczycieli, niezależnie od zgody osoby. UODO potwierdził, że art. 38 ustawy o działalności ubezpieczeniowej realizuje warunek z art. 9 ust. 2 RODO (przetwarzanie na podstawie prawa krajowego).

Profilowanie i scoring ubezpieczeniowy

Profilowanie jest integralną częścią działalności ubezpieczeniowej — ocena ryzyka (underwriting) polega na analizie danych osobowych w celu zakwalifikowania klienta do określonej grupy ryzyka i ustalenia składki. To jest profilowanie w rozumieniu art. 4 pkt 4 RODO.

Rodzaje profilowania w ubezpieczeniach:

Underwriting (taryfikacja) — analiza danych klienta w celu oceny ryzyka i kalkulacji składki. Czynniki: wiek, płeć (z ograniczeniami wynikającymi z dyrektywy Gender Directive — wyrok TSUE Test-Achats, C-236/09), stan zdrowia, zawód, historia szkodowa, lokalizacja.

Scoring ubezpieczeniowy — automatyczna ocena punktowa ryzyka klienta na podstawie algorytmów.

Wykrywanie oszustw — profilowanie w celu identyfikacji podejrzanych roszczeń (fraud detection).

Segmentacja marketingowa — profilowanie klientów w celu oferowania dopasowanych produktów.

Telematyka — monitoring stylu jazdy za pomocą urządzeń telematycznych w pojazdach (ubezpieczenia UBI — Usage-Based Insurance). Dane: prędkość, przyspieszenia, hamowania, pora jazdy, trasa.

Obowiązki RODO przy profilowaniu ubezpieczeniowym:

Przejrzystość — klient musi być poinformowany o profilowaniu, jego logice i konsekwencjach (art. 13 ust. 2 lit. f RODO). W praktyce oznacza to konieczność wyjaśnienia w klauzuli informacyjnej, jakie czynniki wpływają na kalkulację składki i jakie są konsekwencje profilowania.

Art. 22 RODO — jeśli decyzja o zawarciu umowy ubezpieczenia lub wysokości składki jest podejmowana wyłącznie automatycznie (bez udziału człowieka) i wywołuje skutki prawne (odmowa ubezpieczenia, znacząco wyższa składka), podlega art. 22 RODO. Klient ma prawo do interwencji ludzkiej, wyrażenia stanowiska i zaskarżenia decyzji.

DPIA — profilowanie ubezpieczeniowe na dużą skalę wymaga DPIA (art. 35 RODO).

Zakaz dyskryminacji — profilowanie nie może prowadzić do dyskryminacji ze względu na rasę, pochodzenie etniczne, religię itp. Wykorzystanie danych genetycznych do celów ubezpieczeniowych jest przedmiotem debaty regulacyjnej — niektóre kraje UE zakazują tego wprost.

Tajemnica ubezpieczeniowa a RODO

Art. 35 ustawy o działalności ubezpieczeniowej i reasekuracyjnej nakłada na zakłady ubezpieczeń obowiązek zachowania tajemnicy ubezpieczeniowej. Tajemnicą objęte są informacje dotyczące poszczególnych umów ubezpieczenia i reasekuracji.

Tajemnica ubezpieczeniowa i RODO działają równolegle — stanowią dwie odrębne podstawy ochrony danych. Tajemnica ubezpieczeniowa realizuje wymóg poufności z art. 5 ust. 1 lit. f RODO. Zwolnienie z tajemnicy ubezpieczeniowej (np. na żądanie sądu, prokuratury, KNF) nie zwalnia z obowiązków RODO — dane udostępnione na podstawie zwolnienia z tajemnicy nadal podlegają RODO.

Dystrybucja ubezpieczeń — agenci i brokerzy a RODO

Dystrybucja ubezpieczeń przez agentów i brokerów rodzi złożone pytania o role RODO:

Agent ubezpieczeniowy — działa w imieniu i na rzecz zakładu ubezpieczeń. W kontekście RODO agent jest zazwyczaj procesorem (podmiotem przetwarzającym) zakładu ubezpieczeń — przetwarza dane klientów na zlecenie ubezpieczyciela. Konieczna jest umowa powierzenia przetwarzania danych (art. 28 RODO) między zakładem a agentem.

Alternatywnie, agent może być współadministratorem z zakładem ubezpieczeń — jeśli wspólnie ustalają cele i sposoby przetwarzania. Model zależy od zakresu samodzielności agenta.

Multiagent — agent działający na rzecz kilku zakładów ubezpieczeń. Sytuacja RODO jest bardziej złożona — multiagent przetwarza dane na rzecz wielu administratorów i musi mieć umowy powierzenia z każdym z nich.

Broker ubezpieczeniowy — działa w imieniu i na rzecz klienta, nie ubezpieczyciela. Broker jest zazwyczaj odrębnym administratorem danych — sam ustala cele przetwarzania (poszukiwanie najkorzystniejszej oferty dla klienta). Między brokerem a zakładem ubezpieczeń dochodzi do udostępnienia danych (administrator → administrator), nie powierzenia.

Obowiązek informacyjny w dystrybucji: Klient musi otrzymać klauzulę informacyjną od każdego podmiotu przetwarzającego jego dane — zarówno od agenta/brokera (jeśli jest administratorem), jak i od zakładu ubezpieczeń. Ustawa o dystrybucji ubezpieczeń (IDD) nakłada dodatkowe obowiązki informacyjne, które uzupełniają wymagania RODO.

Likwidacja szkód a RODO

Proces likwidacji szkód wiąże się z intensywnym przetwarzaniem danych osobowych — poszkodowanych, sprawców, świadków, biegłych. Specyficzne zagadnienia:

Dokumentacja medyczna — przy szkodach osobowych ubezpieczyciel potrzebuje dostępu do dokumentacji medycznej poszkodowanego. Podstawa prawna: art. 38 ust. 2 ustawy o działalności ubezpieczeniowej (dane o zdrowiu niezbędne do wykonania umowy ubezpieczenia) + art. 9 ust. 2 lit. f RODO (ustalenie, dochodzenie lub obrona roszczeń).

Minimalizacja danych — ubezpieczyciel powinien żądać tylko tych dokumentów medycznych, które są niezbędne do oceny roszczenia. Żądanie „całej dokumentacji medycznej za ostatnie 10 lat” bez uzasadnienia narusza zasadę minimalizacji.

Ubezpieczeniowy Fundusz Gwarancyjny (UFG) — zakłady ubezpieczeń wymieniają dane z UFG w celu weryfikacji historii szkodowej i ubezpieczeniowej. UFG jest odrębnym administratorem danych.

Biegli i rzeczoznawcy — jeśli ubezpieczyciel zleca opinię biegłemu, konieczna jest analiza, czy biegły jest procesorem (działa na zlecenie ubezpieczyciela) czy odrębnym administratorem. W większości przypadków biegły jest procesorem — konieczna umowa powierzenia.

Firmy odszkodowawcze — kancelarie odszkodowawcze reprezentujące poszkodowanych są odrębnymi administratorami danych. Przekazanie danych między ubezpieczycielem a firmą odszkodowawczą to udostępnienie danych na podstawie pełnomocnictwa poszkodowanego.

Wykrywanie oszustw ubezpieczeniowych a RODO

Wykrywanie i przeciwdziałanie oszustwom ubezpieczeniowym jest uzasadnionym interesem ubezpieczyciela (art. 6 ust. 1 lit. f RODO) — motyw 47 RODO wprost wymienia zapobieganie oszustwom jako przykład uzasadnionego interesu.

Specyficzne zagadnienia:

Profilowanie w celu wykrywania oszustw — ubezpieczyciele stosują algorytmy analizujące wzorce roszczeń w celu identyfikacji potencjalnych oszustw. To profilowanie podlega art. 22 RODO, jeśli prowadzi do automatycznych decyzji o odmowie wypłaty odszkodowania.

Wymiana danych między ubezpieczycielami — systemy wymiany informacji o podejrzanych roszczeniach (np. bazy PIU). Wymaga starannej analizy podstawy prawnej — zazwyczaj uzasadniony interes z przeprowadzonym LIA.

Współpraca z organami ścigania — przekazywanie danych policji i prokuraturze w przypadku podejrzenia popełnienia przestępstwa. Podstawa: obowiązek prawny lub uzasadniony interes.

Prawa osoby podejrzanej o oszustwo — nawet osoba podejrzana o oszustwo ma prawa RODO (dostęp, informacja). Ograniczenia wynikają z art. 23 RODO (ograniczenia praw osób w celu zapobiegania przestępczości).

DORA a ochrona danych w ubezpieczeniach

Rozporządzenie DORA (Digital Operational Resilience Act, Rozporządzenie (UE) 2022/2554), które w pełni obowiązuje od 17 stycznia 2025 r., nakłada na zakłady ubezpieczeń (jako podmioty finansowe) obowiązki w zakresie cyfrowej odporności operacyjnej. DORA i RODO przenikają się w obszarze:

Zarządzanie ryzykiem ICT — DORA wymaga kompleksowego zarządzania ryzykiem ICT, w tym bezpieczeństwa danych. Środki bezpieczeństwa wymagane przez DORA pokrywają się z art. 32 RODO.

Zarządzanie incydentami ICT — DORA wymaga raportowania istotnych incydentów ICT do KNF. Jeśli incydent ICT obejmuje naruszenie danych osobowych — konieczne jest podwójne zgłoszenie (do KNF na podstawie DORA i do UODO na podstawie RODO).

Zarządzanie ryzykiem stron trzecich — DORA wymaga zarządzania ryzykiem w relacjach z dostawcami usług ICT. To uzupełnia art. 28 RODO (umowy powierzenia z procesorami).

Testy odporności — DORA wymaga regularnych testów bezpieczeństwa systemów ICT, w tym testów penetracyjnych. To wspiera wymóg regularnego testowania środków bezpieczeństwa z art. 32 ust. 1 lit. d RODO.

Wytyczne KNF i EIOPA

Sektor ubezpieczeniowy podlega dodatkowym wytycznym regulacyjnym:

Rekomendacje KNF — Komisja Nadzoru Finansowego wydaje rekomendacje dotyczące zarządzania ryzykiem, dystrybucji ubezpieczeń, likwidacji szkód. Choć nie dotyczą wprost RODO, wpływają na procesy przetwarzania danych.

Wytyczne EIOPA (Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych) — EIOPA wydaje wytyczne dotyczące m.in. zarządzania danymi, outsourcingu do chmury, wykorzystania AI w ubezpieczeniach. Wytyczne EIOPA dotyczące outsourcingu do chmury (EIOPA-BoS-20/002) wprost odnoszą się do RODO i wymagają zapewnienia zgodności z przepisami o ochronie danych przy korzystaniu z usług chmurowych.

IDD (Insurance Distribution Directive) — dyrektywa o dystrybucji ubezpieczeń nakłada obowiązki informacyjne wobec klientów, które uzupełniają wymagania RODO. Informacje o produkcie ubezpieczeniowym (IPID), analiza wymagań i potrzeb klienta, ujawnianie konfliktów interesów — wszystko to wiąże się z przetwarzaniem danych osobowych.

Retencja danych w ubezpieczeniach

Okresy przechowywania danych w sektorze ubezpieczeniowym są zazwyczaj długie:

Dokumentacja umów ubezpieczenia — przez okres obowiązywania umowy + okres przedawnienia roszczeń. W Polsce roszczenia z umowy ubezpieczenia przedawniają się z upływem 3 lat (art. 819 Kodeksu cywilnego). Ale roszczenia odszkodowawcze mogą przedawniać się w dłuższych terminach (6 lat — ogólny termin, 20 lat — dla szkód na osobie wynikających z przestępstwa).

Dokumentacja likwidacji szkód — przez okres umowy + okres przedawnienia roszczeń + okres archiwizacyjny wynikający z ustawy o działalności ubezpieczeniowej.

Dane AML/KYC — 5 lat od zakończenia relacji z klientem (ustawa o przeciwdziałaniu praniu pieniędzy).

Dokumentacja aktuarialna — długie okresy przechowywania wynikające z wymogów Solvency II i regulacji KNF.

Dane marketingowe — do wycofania zgody lub wniesienia skutecznego sprzeciwu.

IOD w zakładzie ubezpieczeń

Zakłady ubezpieczeń mają obowiązek powołania IOD — przetwarzają dane na dużą skalę, w tym dane szczególnych kategorii (dane o zdrowiu). IOD w zakładzie ubezpieczeń powinien posiadać szczególną wiedzę na styku prawa ochrony danych, prawa ubezpieczeniowego i regulacji finansowych.

Wyzwania IOD w ubezpieczeniach: złożone łańcuchy przetwarzania (zakład → agent → broker → reasekurator → biegły), duże wolumeny danych, wielość podstaw prawnych, profilowanie i automatyczne decyzje, wymiana danych z UFG i innymi ubezpieczycielami, regulacje sektorowe (KNF, EIOPA, DORA).

Prawa klientów ubezpieczeniowych jako osób, których dane dotyczą

Klienci ubezpieczeniowi mają pełne prawa wynikające z RODO:

Prawo dostępu (art. 15 RODO) — klient może żądać kopii swoich danych przetwarzanych przez ubezpieczyciela, w tym danych z procesu underwritingu, likwidacji szkód i profilowania. Ubezpieczyciel musi ujawnić logikę profilowania (jakie czynniki wpłynęły na składkę).

Prawo do sprostowania (art. 16 RODO) — klient może żądać poprawienia nieprawidłowych danych. Szczególnie istotne przy błędach w historii szkodowej wpływających na kalkulację składki.

Prawo do usunięcia (art. 17 RODO) — ograniczone przez obowiązki archiwizacyjne i okres przedawnienia roszczeń. Ubezpieczyciel może odmówić usunięcia danych w okresie, gdy jest zobowiązany do ich przechowywania.

Prawo do przenoszenia danych (art. 20 RODO) — klient może żądać przeniesienia swoich danych do innego ubezpieczyciela. W praktyce realizacja jest utrudniona ze względu na różne systemy IT ubezpieczycieli.

Prawo do sprzeciwu wobec profilowania (art. 21 RODO) — klient może sprzeciwić się profilowaniu marketingowemu (sprzeciw bezwzględny). Sprzeciw wobec profilowania w ramach underwritingu jest bardziej złożony — ubezpieczyciel może wykazać nadrzędne uzasadnione podstawy.

Najczęstsze błędy RODO w sektorze ubezpieczeniowym

Zbyt szeroki zakres danych w formularzach — żądanie danych wykraczających poza niezbędność (np. szczegółowe dane o zdrowiu przy ubezpieczeniu majątkowym).

Brak przejrzystości profilowania — klient nie jest informowany o tym, jakie czynniki wpływają na kalkulację składki i jakie algorytmy są stosowane.

Niejasne role RODO w dystrybucji — brak formalnego określenia, czy agent jest procesorem, współadministratorem czy odrębnym administratorem.

Brak umów powierzenia z agentami — szczególnie z mniejszymi agentami i multiagentami.

Nadmiarowe żądanie dokumentacji medycznej — żądanie całej dokumentacji medycznej zamiast dokumentów dotyczących konkretnego roszczenia.

Brak DPIA przy scoringu — automatyczny scoring ubezpieczeniowy na dużą skalę bez przeprowadzenia oceny skutków.

Niedostateczna retencja — brak jasno określonych okresów przechowywania danych dla poszczególnych kategorii.

Brak informacji o prawach osoby — klauzule informacyjne niekompletne lub niedostosowane do specyfiki ubezpieczeń.

Checklist RODO dla sektora ubezpieczeniowego

1. Określ role RODO w łańcuchu dystrybucji — administrator, procesor, współadministrator — dla każdego podmiotu (zakład, agent, broker, reasekurator).
2. Zawrzyj umowy powierzenia z agentami i innymi procesorami.
3. Określ podstawy prawne dla każdego procesu — underwriting, likwidacja, marketing, wykrywanie oszustw.
4. Zidentyfikuj przetwarzanie danych o zdrowiu — sprawdź podstawę z art. 9 RODO i art. 38 ustawy o działalności ubezpieczeniowej.
5. Przygotuj klauzule informacyjne uwzględniające specyfikę ubezpieczeń — profilowanie, scoring, odbiorcy (UFG, reasekuratorzy, biegli).
6. Przeprowadź DPIA dla scoringu i automatycznego underwritingu.
7. Zapewnij przejrzystość profilowania — informuj klientów o logice i konsekwencjach.
8. Wdróż procedurę realizacji praw klientów — dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw.
9. Określ okresy retencji — dla każdej kategorii danych, uwzględniając okresy przedawnienia.
10. Zapewnij zgodność z DORA — zintegruj wymagania cyfrowej odporności operacyjnej z RODO.
11. Przeszkol agentów i pracowników — z zakresu RODO w kontekście ubezpieczeniowym.
12. Powołaj IOD z wiedzą o prawie ubezpieczeniowym — lub zapewnij mu dostęp do takiej wiedzy.
13. Monitoruj wytyczne EIOPA i rekomendacje KNF — pod kątem wpływu na przetwarzanie danych.
14. Zarządzaj ryzykiem w łańcuchu dostaw ICT — zgodnie z DORA i art. 28 RODO.
15. Regularnie audytuj procesy — ubezpieczenia to sektor o wysokim ryzyku kontroli UODO.

Potrzebujesz wsparcia z RODO w sektorze ubezpieczeniowym?

Sektor ubezpieczeniowy to jedno z najbardziej wymagających środowisk regulacyjnych — RODO, ustawa o działalności ubezpieczeniowej, IDD, DORA, wytyczne KNF i EIOPA tworzą złożony system wymagań, które muszą być stosowane jednocześnie. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont doradzamy zakładom ubezpieczeń, agentom i brokerom w zakresie zgodności z RODO w kontekście ubezpieczeniowym — od audytów i dokumentacji, przez profilowanie i scoring, po wdrożenie procedur realizacji praw klientów.