GDPR a poistenie: Aké údaje o vás poisťovňa spracúva a prečo

Význam GDPR pre sektor poistenia

Poisťovne pri poskytovaní poistných produktov ako povinné zmluvné poistenie (PZP), havarijné poistenie, cestovné alebo zdravotné poistenie pracujú s rozsiahlym množstvom osobných údajov. GDPR, teda Všeobecné nariadenie o ochrane osobných údajov (Nariadenie (EÚ) 2016/679), stanovuje prísne pravidlá o tom, aké osobné údaje môžu poisťovne spracúvať, na aké účely, ako dlho môžu byť uchovávané, komu a za akých podmienok môžu byť poskytnuté a aké máte vy ako klient možnosti a práva ako dotknutá osoba. Tento článok detailne vysvetľuje hlavné pravidlá GDPR v oblasti poistenia, špecifiká spracúvania podľa jednotlivých produktov a poskytuje praktické tipy, aby ste lepšie porozumeli tomu, čo poisťovňa o vás eviduje a prečo.

Právne dôvody spracúvania údajov poisťovňami

Spracovanie osobných údajov v poistení je založené na niekoľkých zákonných základoch, ktoré poisťovni umožňujú spracúvať informácie v rámci plnenia svojich povinností:

• Plnenie zmluvy: zahŕňa uzatváranie poistnej zmluvy, posúdenie rizika (underwriting), správu zmluvy, likvidáciu poistných udalostí a vyplatenie poistného plnenia.
• Plnenie zákonom uložených povinností: poisťovňa musí dodržiavať sektorové zákony vrátane pravidiel o povinnom poistení vozidiel, daňových a účtovných predpisoch, ako aj opatrenia proti praniu špinavých peňazí (AML) a poznaniu klienta (KYC).
• Oprávnený záujem: využíva sa napríklad na prevenciu poistných podvodov, interné štatistické analýzy, modelovanie rizík, ochranu IT systémov a majetku alebo na obhajobu právnych nárokov poisťovne.
• Súhlas dotknutej osoby: vyžaduje sa pri spracovaní nevyhnutných údajov mimo základných zmluvných či zákonných aktivít, napríklad pri marketingu alebo pri implementácii telematiky so širším zberom údajov.
• Životne dôležité záujmy: v mimoriadnych prípadoch, ako sú naliehavé zdravotné asistencie alebo riziká v zahraničí, ak nie je možné získať súhlas dotknutej osoby.

Osobitné kategórie údajov v poistení: spracovanie zdravotných informácií

Zdravotné údaje predstavujú osobitnú kategóriu osobných údajov, ktoré sú v poistení veľmi citlivé a podliehajú prísnejšej ochrane. Pri cestovnom poistení a komerčných zdravotných či úrazových poisteniach poisťovňa spracúva informácie o vašom zdravotnom stave len v nevyhnutnom rozsahu, ktorý je potrebný na plnenie zmluvy a uplatnenie právnych nárokov.

Takéto spracovanie musí často prebiehať za dodržania primeraných záruk, ako je obmedzený prístup k údajom, zvláštny režim ukladania dokumentácie, lekárske posudky a mlčanlivosť zdravotníckych pracovníkov. Pri nadštandardnom rozsahu, napríklad spracovaní pre-existing diagnóz, je nevyhnutný výslovný súhlas alebo iný zákonný titul upravujúci spracovanie týchto citlivých údajov.

Používané kategórie údajov podľa účelu spracúvania

• Identifikačné a kontaktné údaje: meno, priezvisko, rodné číslo alebo dátum narodenia, trvalý a doručovací adresár, telefónne čísla, emailová adresa, číslo dokladu totožnosti.
• Údaje o poistnej zmluve: číslo poistky, názov produktu, parametre rizika, poistná suma, spoluúčasti, druhy pripoistení, história zmien a aktualizácií zmluvy.
• Údaje o motorových vozidlách (pre PZP a havarijné poistenie): evidenčné číslo vozidla (EČV), identifikačné číslo vozidla (VIN), technické parametre, história poistných udalostí, bonus-malus, údaje z telematiky (iba s vaším súhlasom), fotodokumentácia či kalibrácie pokročilých asistenčných systémov (ADAS).
• Údaje pre cestovné poistenie: detaily o ceste (cieľ, trvanie), charakter plánovaných aktivít, protokoly asistenčných služieb, zdravotné správy v minimálnom nevyhnutom rozsahu a doklady o nákladoch súvisiacich s poistnou udalosťou.
• Údaje pre zdravotné a úrazové poistenie: lekárske diagnózy, údaje o liečbe, lekárske správy, potvrdenia o práceneschopnosti (PN), rehabilitačné plány, posudky znalcov a posudkových lekárov.
• Finančné údaje: výška poistného, platby a úhrady, bankové spojenia na účely vyplatenia plnení, faktúry, účtovné doklady.
• Komunikačné a dôkazné materiály: záznamy hovorov (ak sú nahrávané), emailová a listová korešpondencia, fotky a videá škôd, výpovede svedkov.

Profilovanie a automatizované rozhodovanie v poistení

Profilovanie predstavuje bežnú praktiku v poisťovníctve, napríklad vyhodnocovanie rizikového skóre klienta, ktoré sa používa na určenie výšky poistného alebo pravdepodobnosti poistného podvodu. Pokiaľ poisťovňa používa automatizované rozhodnutia s právnymi účinkami, ako je napríklad zamietnutie žiadosti o zmluvu alebo určenie sadzby bez ľudského zásahu, máte podľa GDPR právo na:

• ľudský zásah do procesu rozhodovania,
• vyjadrenie svojho stanoviska,
• napadnutie rozhodnutia.

Poisťovňa má rovnakú povinnosť poskytnúť vám primerané vysvetlenie, ako a na základe akých princípov automatizované rozhodnutia fungujú.

Zdroj údajov a zdieľanie informácií s tretími stranami

• Priamo od vás: prostredníctvom dotazníkov, formulárov pri uzatváraní alebo správe zmluvy, klientskych portálov, emailov, telefonických hovorov alebo mobilných aplikácií.
• Tretie strany: spolupracovní sprostredkovatelia (poisťovací makléri), asistenčné spoločnosti, servisné siete na opravy vozidiel, zdravotnícke zariadenia, partnerské banky poskytujúce bancassurance, likvidátori škôd a znalci.
• Registre a databázy: škodové registre, bonus-malus systémy, verejné registre vlastníctva motorových vozidiel, komerčné databázy na overovanie poistných podvodov a protokolovanie transakcií pre AML/PEP kontroly.

Údaje môžu byť takisto poskytované zaisťovniam (reinsurance), externým spracovateľom (napr. IT služby, call centrá, cloudové služby, tlač dokumentov), orgánom verejnej moci podľa zákona a partnerom siete (servisné dielne, poskytovatelia zdravotnej starostlivosti) len v nevyhnutnom rozsahu, s uzatvorenými rámcovými zmluvami o spracovaní a stanovenými bezpečnostnými opatreniami.

Medzinárodné prenosy osobných údajov

Pri prenose osobných údajov do krajín mimo Európskeho hospodárskeho priestoru (EHP) sú poisťovne povinné zabezpečiť primeranú úroveň ochrany údajov. Toto sa dosahuje prostredníctvom rozhodnutí Európskej komisie o primeranosti ochrany, štandardných zmluvných doložiek, alebo doplňujúcich technických a organizačných opatrení. V praxi sa to týka najmä využívania globálnych cloudových služieb alebo prenosu údajov zaisťovniam so sídlom mimo Únie.

Doby uchovávania údajov v poisťovníctve

• Poistné zmluvy a súvisiaca dokumentácia: uchovávajú sa počas doby platnosti zmluvy a následne podľa premlčacích lehôt a ďalších sektorových predpisov, obvykle v rozmedzí 5 až 10 rokov.
• Likvidácia poistných udalostí: údaje sa uchovávajú minimálne do skončenia prípadných sporov alebo preukázania nárokov a často po dobu 10 rokov od ukončenia prípadu.
• Účtovné a daňové doklady: podľa špecifických predpisov (zvyčajne 10 rokov).
• Záznamy telefonických hovorov: uchovávajú sa podľa interných pravidiel poisťovne, od niekoľkých mesiacov až po niekoľko rokov, so zreteľom na obhajobu právnych nárokov a kvalitu služieb.
• Marketingové súhlasy: platia do odvolania súhlasu alebo do uplynutia stanovenej doby neaktivity klienta.

Práva osôb, ktorých údaje sú spracúvané, a ich uplatnenie

• Právo na prístup: získate informácie o tom, či a aké údaje poisťovňa spracúva, za akým účelom, komu ich poskytuje, ako dlho ich uchováva, aké sú zdroje údajov a či sa vykonáva profilovanie.
• Právo na opravu: požadujte opravu nepresných alebo neúplných údajov, napríklad aktualizáciu kontaktných informácií alebo údajov o vozidle.
• Právo na vymazanie (tzv. právo „byť zabudnutý“): uplatníte, ak údaje už nie sú nevyhnutné, odvolali ste súhlas alebo skončil právny titul spracúvania, avšak nezahŕňa prípady, keď zákon vyžaduje ich uchovávanie.
• Právo na obmedzenie spracovania: môžete požiadať počas prešetrovania námietky alebo sporu týkajúceho sa údajov.
• Právo na prenositeľnosť údajov: právo získať svoje údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a požiadať o ich prenos k inému prevádzkovateľovi.
• Právo namietať proti spracovaniu: najmä ak sa údaje spracúvajú na základe oprávneného záujmu poisťovne alebo na účely priameho marketingu.
• Právo kedykoľvek odvolať súhlas: ak je spracovanie založené na vašom súhlase, môžete ho bez vplyvu na zákonnosť spracovania pred odvolaním odvolať.
• Právo podať sťažnosť: máte možnosť obrátiť sa na Úrad na ochranu osobných údajov Slovenskej republiky, ak sa domnievate, že vaše práva podľa GDPR sú porušované.

Dodržiavanie pravidiel GDPR zo strany poisťovní je základom pre dôveru klientov a bezpečné poskytovanie poistných služieb. Vďaka transparentnosti a jasne definovaným právam môžete lepšie kontrolovať svoje osobné údaje a zabezpečiť ich správne využitie.

Ak máte pochybnosti o spracovaní svojich údajov alebo chcete uplatniť niektoré z uvedených práv, neváhajte kontaktovať svoju poisťovňu alebo odborníka na ochranu osobných údajov, ktorý vám pomôže s riešením vašej situácie.