Przekazywanie danych sprawcy ubezpieczycielowi – powierzenie czy udostępnienie

Bez wątpienia zakład ubezpieczeniowy, który będzie przetwarzał dane osobowe pozyskane od organizacji. Oznacza to, że powinien mieć do tego ważną podstawę prawną. W przypadku konieczności przekazania podmiotowi zewnętrznemu danych osobowych administrator danych powinien - biorąc pod uwagę okoliczności faktyczne konkretnej sprawy - dokonać wyboru formy przekazania tych danych. Korzystanie bowiem z danych osobowych przez inne podmioty niż administrator danych może obywać się na zasadzie udostępnienia tych danych albo na zasadzie powierzenia przetwarzania danych.

Wspomnianą wyżej podstawę prawną może więc stanowić:

• zgoda podmiotu danych udzielana ubezpieczycielowi – wówczas administratorem danych osobowych będzie ubezpieczyciel.
• powierzenie ubezpieczycielowi przetwarzania danych osobowych podmiotu danych, w stosunku do których dana organizacja jest administratorem – wówczas ubezpieczyciel jest jedynie tzw. procesorem (co wyjaśnimy poniżej);
• udostępnienie danych osobowych.

Pierwszy z tych wariantów nie występuje w sytuacjach, o których mowa w artykule. Z kolei powierzenie przetwarzania danych osobowych to jeden z dwóch, obok udostępnienia, sposobów uprawnienia innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu danego administratora danych. Podmiot, któremu dane zostały powierzone do przetwarzania jest nazywany ogólnie procesorem (będzie nim wykonawca). Z kolei z udostępnieniem danych osobowych mamy do czynienia jednak wyłącznie w sytuacji, gdy odbiorcą danych jest inny administrator danych, który wykorzystuje te dane do swoich własnych celów.

Przy tym podstawy przetwarzania danych mogą być inne dla dotychczasowego i nowego administratora. Z kolei w przypadku powierzenia danych osobowych procesor może przetwarzać przekazane dane osobowe wyłącznie w zakresie i celu przewidzianym w umowie.  Powierzenie danych następuje bowiem w związku ze zleceniem procesorowi realizacji części zadań administratora. Powierzenie przetwarzania danych osobowych innemu podmiotowi nie oznacza, że ten podmiot staje się przez to ich administratorem. Status administratora danych posiada nadal powierzający dane.

Które z rozwiązań będzie właściwe? Wszystko zależy od tego, czy podmiot, do którego zwraca się ubezpieczyciel, jest jednym z wymienionych w art. 42 ust. 1 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej. Jeżeli tak, wówczas ubezpieczycielowi należy udostępnić dane osobowe sprawcy. Wtedy naturalnie nie zawiera się umowy powierzenia przetwarzania danych osobowych.

Zgodnie z art. 42 ust. 1 tej ustawy sąd, prokuratura, Policja oraz inne organy i instytucje, na wniosek zakładu ubezpieczeń, w zakresie zadań przez ten zakład ubezpieczeń wykonywanych i w celu ich wykonania, w związku z wypadkiem lub zdarzeniem losowym będącym podstawą ustalania odpowiedzialności, udzielają informacji o stanie sprawy oraz udostępniają zebrane materiały, jeżeli są one niezbędne do ustalenia okoliczności tych wypadków i zdarzeń losowych oraz wysokości odszkodowania lub świadczenia.

Jest to więc samodzielna podstawa prawna do żądania danych przez zakład ubezpieczeń od podmiotów wyliczonych w przepisie a zakład ubezpieczeń przetwarza te dane we własnych celach takich jak ustalenie okoliczności tych wypadków i zdarzeń losowych oraz wysokości odszkodowania lub świadczenia.

W pozostałych przypadkach konieczne będzie zawarcie umowy powierzenia przetwarzania danych.