Ochrana osobných údajov v poistných produktoch a GDPR pravidlá

Význam GDPR pre sektor poistenia

Poistné produkty, ako sú povinné zmluvné poistenie (PZP), havarijné, cestovné či zdravotné poistenie, sú založené na rozsiahlej výmene a spracovaní osobných údajov klientov. Všeobecné nariadenie o ochrane osobných údajov (GDPR) – Nariadenie (EÚ) 2016/679 – presne definuje, aké údaje môže poisťovňa spracúvať, v akom rozsahu a na aké účely, ako dlho ich môže uchovávať, komu ich môže zdieľať a aké máte ako dotknutá osoba práva na ochranu týchto údajov.

V tomto článku podrobne rozoberáme právne aspekty spracúvania údajov v poistení, špecifiká jednotlivých poistných produktov a zároveň ponúkame odporúčania, ako efektívne chrániť svoje osobné údaje a zároveň rozumieť procesom v poisťovniach.

Právne základy spracúvania osobných údajov v poisťovníctve

• Plnenie zmluvy: Poisťovňa spracúva údaje nevyhnutné na uzatvorenie a plnenie poistnej zmluvy, vrátane posúdenia rizika (underwriting), správy zmluvy a likvidácie poistných udalostí až po vyplatenie poistného plnenia.
• Plnenie právnej povinnosti: Spracovanie údajov podľa zákonných požiadaviek, napríklad povinné poistenie vozidiel, daňové, účtovné alebo predpisy proti praniu špinavých peňazí (AML/KYC).
• Oprávnený záujem: Používaný pre účely prevencie poistných podvodov, interných analýz, ochrany IT infraštruktúry a majetku a obhajoby právnych nárokov.
• Súhlas klienta: Vyžaduje sa pre spracovanie, ktoré nie je nevyhnutné pre plnenie zmluvy či zákona, napríklad marketingové aktivity alebo spracovanie rozšírených zdravotných údajov.
• Životne dôležité záujmy: Výnimočné spracovanie v urgentných situáciách, napríklad pri asistencii v zahraničí alebo zdravotných rizikách, ak nie je možné získať súhlas.

Spracovanie osobitných kategórií údajov: zdravotné údaje v poistení

Pri cestovnom, komerčnom zdravotnom či úrazovom poistení poisťovne často spracúvajú osobitnú kategóriu údajov – údaje o zdraví. Takéto údaje je možné spracúvať len vtedy, ak je to nevyhnutné na plnenie poistnej zmluvy a na uplatnenie právnych nárokov, pričom sú aplikované prísne ochranné opatrenia. Sem patria obmedzený prístup k údajom, špeciálny režim uchovávania spisov, lekárske posudky a mlčanlivosť zdravotníckych pracovníkov.

V prípade rozšíreného spracovania zdravotných údajov, napríklad pri preexistujúcich diagnózach nad rámec základného posúdenia, sa vyžaduje výslovný súhlas dotknutej osoby alebo iný zákonný dôvod spracovania.

Typy osobných údajov spracúvaných poisťovňami podľa účelu

• Identifikačné a kontaktné údaje: meno, priezvisko, rodné číslo alebo dátum narodenia, adresa trvalého pobytu, kontaktné informácie, údaje o dokladoch totožnosti.
• Údaje o poistnej zmluve: číslo poistky, typ produktu, rizikové parametre (napr. vek vodiča, stav vozidla), poistná suma, výška spoluúčasti, prijaté pripoistenia a história zmien v zmluve.
• Údaje súvisiace s PZP a havarijným poistením: evidenčné číslo vozidla (EČV), VIN kód, technické parametre vozidla, história poistných udalostí, bonus-malus systém, telematické údaje (ak bol udelený súhlas), záznamy z asistenčných zásahov, fotodokumentácia a údaje o kalibrácii pokročilých asistenčných systémov (ADAS).
• Údaje pre cestovné poistenie: cieľ a trvanie cesty, charakter plánovaných aktivít, asistenčné protokoly, zdravotné správy v nevyhnutnom rozsahu, doklady potvrdzujúce vznik poistnej udalosti a súvisiace náklady.
• Zdravotné a úrazové údaje: diagnózy, liečebné protokoly, lekárske správy, práceneschopnosť, rehabilitačné plány a znalecké posudky.
• Finančné údaje: výška poistného, platobné údaje, bankové spojenia na vyplatenie poistného plnenia, faktúry a ďalšie účtovné doklady.
• Komunikačné a dôkazné materiály: záznamy z hovorov (ak sa nahrávajú), písomná komunikácia, fotografie a videá škôd, výpovede svedkov.

Profilovanie a automatizované rozhodovanie v poisťovníctve

Profilovanie, napríklad tvorba rizikového skóre na základe údajov klienta, je v poisťovníctve bežné. Ak poisťovňa používa automatizované rozhodnutia s právnymi alebo významnými účinkami (napr. zamietnutie zmluvy či určenie výšky poistného), máte právo na ľudský zásah, možnosť vyjadriť sa k rozhodnutiu a ho napadnúť. Poisťovňa je povinná poskytnúť dostatočné vysvetlenie logiky a dôsledkov takéhoto spracúvania.

Zdroj osobných údajov a ich zdieľanie v poisťovníctve

• Priame získavanie údajov od klienta: prostredníctvom dotazníkov, formulárov, klientskych portálov, elektronickej pošty, telefonických hovorov alebo mobilných aplikácií.
• Informácie od tretích strán: sprostredkovatelia poisťovacích služieb (makléri), asistenčné služby, servisné siete, zdravotnícke zariadenia, partnerské banky pri bancassurance, likvidátori a znalci.
• Registre a databázy: škodové registre, bonus-malus systémy, verejné registre vozidiel, komerčné databázy na prevenciu podvodov, zoznamy AML, PEP a sankčné zoznamy.

Dáta môžu byť poskytované ďalej napríklad zaisťovniam (reinsurance), externým spracovateľom (IT služby, call centrá, tlač dokumentov, cloudové služby), orgánom verejnej moci na základe zákona a partnerom v rámci siete poisťovne (servisy, lekári) vždy len v nevyhnutnom rozsahu a za prísnych bezpečnostných podmienok podľa rámcových dohôd o spracovaní.

Medzinárodný prenos osobných údajov mimo EHP

Pri prenose údajov do krajín mimo Európskeho hospodárskeho priestoru (EHP) musí poisťovňa zabezpečiť primeranú úroveň ochrany osobných údajov. To môže byť realizované prostredníctvom schváleného rozhodnutia o primeranosti, štandardných zmluvných doložiek alebo doplňujúcich technických a organizačných opatrení. Často ide o prenosy do globálnych cloudových platforiem alebo pre zaisťovne so sídlom mimo EÚ.

Doby uchovávania osobných údajov v poisťovníctve

• Doba uchovávania zmlúv a súvisiacej dokumentácie: počas trvania poistnej zmluvy a ďalej podľa premlčacích lehôt a odvetvových predpisov, zvyčajne 5 až 10 rokov po ukončení zmluvy.
• Škodové spisy a súvisiace dokumenty: minimálne počas doby trvania sporu alebo uplatňovania nárokov, často 10 rokov od ukončenia poistnej udalosti.
• Účtovné a daňové doklady: spravidla uchovávané 10 rokov v súlade s legislatívou.
• Záznamy telefonických hovorov: birkaç mesiacov až rokov podľa interných pravidiel, s ohľadom na ochranu práv a kvalitu služieb.
• Marketingové súhlasy: sú uchovávané do odvolania súhlasu alebo stanovenia lehoty neaktivity.

Uplatňovanie práv dotknutej osoby podľa GDPR

• Právo na prístup k údajom: požadovať informácie o spracúvaných údajoch, účeloch, kategóriách údajov, príjemcoch, dobách uchovávania a existencii profilovania.
• Právo na opravu: žiadať opravu nepresných alebo neúplných údajov (napríklad kontaktných údajov alebo údajov o vozidle).
• Právo na vymazanie: vyžadovať zmazanie údajov, ak nie sú viac potrebné, bol odvolaný súhlas alebo skončil právny titul; nevzťahuje sa na údaje, ktoré musí poisťovňa uchovávať podľa zákona.
• Právo na obmedzenie spracúvania: použiť počas prešetrovania námietok alebo sporov.
• Právo na prenosnosť údajov: získať osobné údaje v strojovo čitateľnom formáte, keď základom spracúvania je súhlas alebo zmluva.
• Právo namietať spracúvanie: napríklad pri spracúvaní na základe oprávneného záujmu, najmä v marketingu či profilovaní; poisťovňa musí preukázať vážne dôvody na spracúvanie alebo ho zastaviť.
• Právo na ľudský zásah: pri automatizovaných rozhodnutiach s právnymi účinkami.
• Právo podať sťažnosť: u dozorného orgánu na ochranu osobných údajov a domáhať sa nápravy súdnou cestou.

Bezpečnostné opatrenia pri spracúvaní údajov

• Riadenie prístupov: jasné rozdelenie rolí a oprávnení, princíp minimálnych právomocí a používanie dvojfaktorovej autentifikácie.
• Šifrovanie: ochrana údajov v pokoji i počas prenosu, použitie bezpečných komunikačných protokolov a sieťová segmentácia.
• Monitoring a audit: pravidelné kontroly prístupov, záznamy o spracovaní údajov a interné audity zabezpečujúce súlad s GDPR a vnútornými predpismi.
• Vzdelávanie zamestnancov: pravidelné školenia o ochrane osobných údajov, interných postupoch a reakcii na incidenty.
• Reakcia na bezpečnostné incidenty: zavedené postupy pre včasné odhalenie, vyšetrenie a nahlásenie prípadných únikov alebo zneužitia údajov podľa GDPR požiadaviek.

Dodržiavanie týchto zásad a pravidiel je kľúčové pre vznik dôvery medzi poisťovňou a klientom. Zodpovedný prístup k ochrane osobných údajov zároveň minimalizuje riziko právnych postihov a finančných sankcií. Preto by mal každý klient aj zamestnanec poisťovne poznať svoje práva a povinnosti vyplývajúce z GDPR a aktívne ich uplatňovať v každodennej praxi.