Jde již o několikátý kodex v řadě, který rakouský dozorový úřad schválil. V tomto smyslu je bohužel český Úřad pro ochranu osobních údajů značně pozadu, jelikož ještě ani nebyl schopen vytvořit fungující systém pro vytváření takových kodexů.2 Z tohoto důvodu mimo jiné také nebylo možné pokročit v přípravě kodexu chování pro pojišťovací sektor v ČR. ČAP proto zatím disponuje samoregulačními standardy k uplatňování obecného nařízení o ochraně osobních údajů3, které jsou vnímané jako předstupeň kodexu chování stricto sensu. Dobrovolnou proklamaci k jejich dodržování vyjádřilo 93 % trhu. Je proto inspirativní sledovat vývoj v Rakousku a trendy v okolních zemích, kde se již kodexy používají.
Postavení pojišťovacího makléře
Pojišťovací makléři se podle kodexu v rámci své obchodní činnosti zpravidla nachází v postavení samostatných správců. Je tomu tak proto, že mají značnou rozhodovací pravomoc v oblasti určení účelů a prostředků zpracování osobních údajů a nejsou tak vázáni pokyny pojišťovny ani jiných subjektů. Zákon navíc zpravidla vyžaduje, aby pojišťovací makléři uchovávali údaje nezávisle na ostatních účastnících zprostředkovávaných smluvních vztahů. Pojišťovací makléři jsou primárně nezávislými poradci, kteří obstarávají pojistné krytí v zájmu svých klientů, a to takovým způsobem, aby co nejlépe plnilo jejich potřeby a požadavky. Ze všech těchto důvodů kodex dovozuje, že pojišťovací makléři nemohou být zpracovateli ve vztahu k pojišťovnám.
Nutno dodat, že kodex se věnuje specificky činnosti nezávislých pojišťovacích makléřů. V českém prostředí nicméně existují i další typy zprostředkovatelů, které tak širokou nezávislostí podle příslušných předpisů nedisponují (zejména vázaní zástupci). Závěry rakouského kodexu tak na ně nelze plně aplikovat.
Zpracovatelské činnosti
Hlavním úkolem pojišťovacího makléře je podle kodexu poskytovat klientovi nejlepší možné poradenství a sjednat pro něj nejvýhodnější pojistné krytí s ohledem na okolnosti konkrétního případu klienta.
Pokud jedná pojišťovací makléř na základě pověření klienta a v jeho rozsahu, zpracovává jeho osobní údaje za účelem poskytování poradenství primárně v souladu s čl. 6 odst. 1 písm. b) GDPR – tedy pro účely plnění smlouvy. Zpracování na tomto základě zahrnuje i provádění opatření před uzavřením smlouvy. Ostatním typům zpracovatelských činností, které jsou založené na jiných právních základech, se kodex blíže nevěnuje.
Zpracování zvláštní kategorie osobních údajů
Pokud pojišťovací makléř zpracovává zvláštní kategorie osobních údajů ve smyslu čl. 9 odst. 1 GDPR (např. údaje o zdravotním stavu), nelze tak činit pouze s odkazem na plnění smlouvy, protože u takových údajů se vyžaduje splnění některé z podmínek podle čl. 9 odst. 2 GDPR. V praxi půjde nejčastěji o udělení výslovného souhlasu ze strany subjektu údajů nebo zpracování založené na konkrétních ustanoveních právních předpisů.
Případné předávání zvláštních kategorií údajů mezi pojišťovnou a makléřem zplnomocněným klientem je přímo upraveno v rakouských předpisech, tudíž takové zpracování je podle kodexu založené na právním předpisu v souladu s čl. 9 odst. 2 písm. g).
Uchování a výmaz osobních údajů
V souladu s principem minimalizace musí být zpracování omezeno jak délkou uchování údajů, tak jejich rozsahem. V každém případě musí být stanoveny retenční lhůty pro jednotlivé kategorie údajů a tyto retenční lhůty musí být navázány na konkrétní události, které spustí jejich běh, s odkazem na právní povinnost nebo jiné legitimní důvody pro jejich uchování.
Informační povinnost
Kodex specifikuje též plnění informační povinnosti podle čl. 13, příp. čl. 14 GDPR, včetně poskytnutí informace při telefonickém jednání. V určitých případech mohou podle kodexu pojišťovací makléři uplatnit výjimku z plnění informační povinnosti. Jedná se o situace, kdy:
— klient již informaci má z jiného zdroje (např. od pojistitele nebo zaměstnavatele),
— poskytnutí informace není možné nebo by vyžadovalo nepřiměřené úsilí, např. když klient předá makléři informace o dalších osobách, které se účastnily dopravní nehody.
Další specifika zpracování – profilování, DPIA, DPO, zabezpečení
Kodex se rovněž věnuje profilování4 a automatizovanému individuálnímu rozhodování podle čl. 22 GDPR. Reflektuje přitom, že profilování ve formě hodnocení různých majetkových, ale i osobních aspektů klientů je pro pojišťovací sektor typické. Podle kodexu ale zpravidla takové profilování nebude mít charakter výhradně automatizovaného rozhodování, nakolik odpovědnost za poradenství a výběr vhodného pojistného krytí náleží pojišťovacímu makléři, který je povinen osobně dostupné nabídky zhodnotit. Případným ryze automatizovaným vyhodnocováním nabídek včetně přijetí a uzavření pojistné smlouvy bez „lidského“ zásahu makléře se kodex bohužel nezabývá.
Kodex dále stanoví, že pro zpracování údajů v kontextu standardního vztahu pojišťovacího makléře s klienty a souvisejících nezbytných záznamů se nevyžaduje posouzení vlivu na ochranu osobních údajů (DPIA). Kodex ale nevylučuje, že v některých případech by taková povinnost vzniknout mohla, zejména při extenzivním zpracování zvláštních kategorií osobních údajů.
Kodex rovněž v § 12 uvádí, že obecně není pojišťovací makléř povinen jmenovat pověřence pro ochranu osobních údajů (DPO), nicméně se to doporučuje společnostem s více než 20 zaměstnanci, pokud zároveň ve velké míře zpracovávají zvláštní kategorie osobních údajů. Je nicméně nutné podotknout, že ustanovení kodexu týkající se jmenování pověřence se soustředí pouze na jeden z důvodů jeho jmenování [čl. 37 odst. 1 písm. c)] a zcela například opomíjí důvod podle čl. 37 odst. 1 písm. b) GDPR, který ukládá jmenování DPO v případě, že hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů.5 V tomto smyslu je s podivem, že takovou podobu kodexu rakouský dozorový úřad vůbec schválil.
Ohledně zabezpečení údajů konečně kodex vyzývá pojišťovací makléře, aby zvážili zavedení vhodných technických a organizačních opatření k zajištění bezpečnosti zpracovávaných dat v souladu s čl. 32 GDPR, a jmenuje několik příkladů takových opatření. Další podrobnosti o jejich uplatnění však neobsahuje.
Dohled a stížnosti
Podstatnou součástí každého kodexu chování je i stanovení monitorovacího orgánu6.
Pojišťovací makléři, kteří přistoupí ke kodexu, jsou povinni:
— plnit příkazy monitorovacího orgánu, pokud jde o plnění kodexu;
— poskytovat součinnost a dokumentaci vyžádanou monitorovacím orgánem;
— účastnit se procesu řešení sporů a stížností zahájeného monitorovacím orgánem.
Monitorovací orgán může nahlásit porušení kodexu dozorovému úřadu.
Fungování kodexu v praxi
Přes některé výtky, které k předmětnému kodexu máme, lze určitě kladně hodnotit jeho přínos v ujasnění některých aspektů zpracování osobních údajů ze strany pojišťovacích makléřů. To se týká zejména vyjasnění pozice pojišťovacích makléřů jako samostatných správců osobních údajů a stanovení právních základů pro zpracování při jejich standardních činnostech. Kodex je nicméně poměrně stručný a mnoho oblastí řeší jen velmi obecně a nedává konkrétní návod, jak postupovat. V praxi bude tedy jeho použití podle našeho názoru značně omezené a přistoupení k němu nebude prokazovat komplexní soulad s požadavky GDPR.
Na závěr lze poznamenat, že samoregulační standardy ČAP jsou oproti zkoumanému rakouskému kodexu mnohem detailnější a konkrétnější a v případě, že by v budoucnu byly přijaty jako kodex chování podle čl. 40 GDPR, dávaly by daleko komplexnější záruky souladu s požadavky na ochranu osobních údajů.
1.Https://www.wko.at/branchen/information-consulting/versicherungsmakler-beraterversicherungsangelegenheiten/code-of-conduct-bringt-mehr-rechtssicherheit.html.
2.Podle české úpravy je totiž nejprve nutné vytvořit právní rámec pro akreditaci subjektů pro monitorování v podobě vyhlášky ÚOOÚ v souladu s čl. § 54 odst. 1 písm. d) zákona o zpracování osobních údajů. Tato vyhláška však stále nebyla zfinalizována a není tak možné ani předkládat kodexy ke schválení.
3.Standardy jsou dostupné zde: https://www.cap.cz/images/o-nas/CAP_GDPR_ standardy.PDF
4.Profilování ve smyslu čl. 4 odst. 4 GDPR znamená automatizované zpracování údajů za účelem zhodnocení určitých osobních aspektů člověka (pracovní výkony, ekonomická situace, zdraví, chování, preference nebo sledování polohy).
5.Pravidelným a systematickým monitorováním subjektů údajů se pak rozumí například též marketingové činnosti založené na datech, profilování a bodování pro účely posouzení rizik (např. pro účely úvěrového ohodnocení, stanovení pojistného, předcházení podvodům, zjištění praní špinavých peněz), sledování polohy, například prostřednictvím mobilních aplikací, věrnostní programy nebo behaviorální reklama.
6.Monitorovacím orgánem je pro tento kodex organizace Austrian Standards International.
