1. Czy zbieranie zgód od klientów jest zawsze wymagane?

To zależy co chcemy robić z przekazanymi danymi, czyli od celu przetwarzania. Jeśli jest to przedstawienie oferty ubezpieczenia, a w konsekwencji wystawienie polisy, to nie potrzebujemy żadnej zgody, bo „przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy” (art. 6, ust. 1, lit. b) RODO).

2. Z czego wynika konieczność zbierania i aktualizacji zgód klientów?

Aby przekazane dane klienta móc wykorzystywać w określony sposób, w określonym celu i przy wykorzystaniu wybranych kanałów, klient musi się na to zgodzić (poza przypadkami, gdzie podstawa prawna przetwarzania, jest inna niż zgoda). Wynika to nie tylko z ustawy
o ochronie danych osobowych ale też z innych aktów prawnych np. Prawo telekomunikacyjne czy Ustawa o świadczeniu usług drogą elektroniczną.

3. W którym momencie powinienem zadbać o przekazanie klauzul RODO i zebranie zgód?

W przypadku nowego klienta zaraz po wprowadzeniu jego podstawowych danych do programu, natomiast jeśli jest to „nasz” klient to przed przystąpieniem do badania potrzeb. Rozwiązanie jest tak skonstruowane, że podpowiada, w którym momencie w trakcie procesu sprzedaży powinny te obowiązki być wykonane.

4. Najpierw RODO czy IDD?

Wymagania związane z przetwarzaniem danych osobowych i ustawą o dystrybucji ubezpieczeń przeplatają na ścieżce sprzedaży, stąd w praktyce są realizowane równolegle (np. w „mailu powitalnym” warto załączyć zarówno klauzule RODO, jak i informacje o dystrybutorze ubezpieczeń, pełnomocnictwach udzielonych przez TU oraz upoważnienie dla OFWCA). Co do zasady jednak w pierwszej kolejności powinniśmy udzielić klientowi informacji związanych z przetwarzaniem danych.
​
​

5. Dlaczego treści 2 zgód mówią o kontakcie telefonicznym?
​

Podstawę prawną stanowią 2 zupełnie różne ustawy, więc żeby komunikować się telefonicznie potrzebne są obie zgody.
​

6. Co w sytuacji, gdy nie przekazano klientowi informacji o administratorze danych osobowych i pozostałych wymaganych klauzul RODO?

Dane należy niezwłocznie skasować, gdyż nie mamy podstawy nawet ich przechowywać (chyba że zawarliśmy z klientem jakąś umowę np. ubezpieczenia i to stanowi podstawę przetwarzania jego danych).

7. Co jeśli zgody zebrałem wcześniej zanim zacząłem korzystać z rozwiązania Insly?

W programie jest możliwość ręcznej zmiany statusu zgody przy kliencie na „Zaakceptowana poza systemem”, jak również można załączyć skan wcześniejszej zgody
w karcie klienta. Niemniej warto zweryfikować, czy zgody zebrano prawidłowo i czy przekazano właściwe/aktualne informacje o administratorze danych osobowych,
a przy najbliższej okazji warto klientowi przekazać te dane i zebrać ponownie zgody już
z wykorzystaniem procesu Insly.

8. Czy klient może odmówić podpisania RODO? Co wtedy?

Ma oczywiście takie prawo, ale w tej sytuacji to na administratorze danych (najczęściej agencji) spoczywa obowiązek udowodnienia, że przekazał wymagane przepisami informacje, a bez podpisu fizycznego czy zdalnego potwierdzenia jest to praktycznie niemożliwe. Należy więc dążyć do wyjaśnienia klientowi, że bez takiego potwierdzenia niestety nie ma możliwości przedstawiania oferty i spełnienia jego oczekiwań.

9. Czy moduł RODO Insly jest w 100% zgodny z wytycznymi?

Zaprezentowane rozwiązanie powstało na bazie aktualnych przepisów, wytycznych regulatorów oraz wiedzy ekspertów, którzy nie tylko specjalizują się w tym zakresie, ale często biorą czynny udział w procesach kontroli przeprowadzanych w agencjach i zakładach ubezpieczeń przez uprawnione instytucje. Zminimalizowano więc do minimum ryzyko zarzutu o niezgodność z przepisami, aczkolwiek nigdy 100% pewności nie ma,
gdyż przepisy niestety dają sporą możliwość interpretacji. Cały czas jednak reagujemy
na ewentualne zmiany w prawie czy wytycznych tworzonych na jego podstawie.

10. Czy nie wystarczy spełnić wymogów RODO zawartych w portalach TU?
​

Multiagent pełni zwykle 2 role: procesor w stosunku do administratora, jakim jest każde jedno TU, które reprezentuje oraz administrator danych zgromadzonych w bazie, którą zarządza (za pomocą programu Insly). W tym drugim przypadku nie wystarczy spełnienie wytycznych TU żeby zapewnić sobie zgodność z przepisami. Poza tym zbierając odpowiednie zgody można dane wykorzystywać np. do dosprzedaży innych polis czy oferowania usług nie będących w ofercie TU.
​
​

11. Kto może skontrolować realizację obowiązków RODO?
​

W pierwszej kolejności może to sprawdzić przedstawiciel Urzędu Ochrony Danych Osobowych ale także KNF, choć nie jest to w teorii obszar regulacji tego urzędu. Należy też pamiętać, że pod te same przepisy podlegają zakłady ubezpieczeń i mają one obowiązek kontrolować działających w ich imieniu pośredników, także w obszarze danych osobowych.
​
​

12. Czy obowiązki RODO dotyczą także firm?

Tylko w sytuacji, że firma ma osobowość prawną (spółki kapitałowe (spółki akcyjne, proste spółki akcyjne i spółki z ograniczoną odpowiedzialnością), spółdzielnie, jednostki samorządu terytorialnego, uczelnie wyższe, kościoły i partie polityczne), przepisy RODO nie mają zastosowania. W przypadku osób fizycznych prowadzących działalność gospodarczą należy realizować te same obowiązki, co do osób „prywatnych” (nie prowadzących działalności).

13. Jakie kary można otrzymać za niespełnianie obowiązków RODO?

Administracyjne kary pieniężne mogą być nakładane przez organ nadzorczy (UODO) w wysokości do 20 mln euro, natomiast w przypadku przedsiębiorstwa – w wysokości 4% całkowitego rocznego światowego obrotu, przy czym zastosowanie będzie miała kwota wyższa.