Zgodnie z obowiązująca ( jeszcze ) ustawą o pośrednictwie ubezpieczeniowym z dnia 22 maja 2003 r., pośrednictwo ubezpieczeniowe polega na wykonywaniu przez pośrednika za wynagrodzeniem czynności faktycznych lub czynności prawnych związanych z zawieraniem lub wykonywaniem umów ubezpieczenia.
Ustawa wskazuje, iż agent ubezpieczeniowy dokonuje czynności w imieniu lub na rzecz zakładu ubezpieczeń, zwanych dalej „czynnościami agencyjnymi”, polegającymi na: pozyskiwaniu klientów, wykonywaniu czynności przygotowawczych zmierzających do zawierania umów ubezpieczenia, zawieraniu umów ubezpieczenia oraz uczestniczeniu w administrowaniu i wykonywaniu umów ubezpieczenia, także w sprawach o odszkodowanie, jak również na organizowaniu i nadzorowaniu czynności agencyjnych (działalność agencyjna).
Powyższe ma złożone implikacje na gruncie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/56/WE (dalej jako: ”RODO”).
Jeżeli przyjąć, że istnieje idealny świat i agent ma w ofercie ubezpieczenia tylko jednego zakładu ubezpieczeń to sytuacja jest klarowna. Agent będzie procesorem danych osobowych względem zakładu ubezpieczeń.
Co jednak w sytuacji agenta, który ma w ofercie ubezpieczenia kilku zakładów ubezpieczeń. Zazwyczaj taki agent w pierwszej kolejności prowadzi wywiad z potencjalnym Klientem, podczas którego uzyskuje jego dane osobowe jak imię i nazwisko, wiek. Może pozyskać też dane osobowe podmiotów trzecich np. potencjalnego uposażonego. Dopiero następczo, agent, na podstawie uzyskanych informacji, przedstawia ofertę konkretnych zakładów ubezpieczeń. Można zaryzykować tezę, że w małym stopniu zachowuje się jak broker.
Fundamentalne pytanie brzmi, czy multiagent będzie administratorem danych osobowych potencjalnych klientów na etapie przed przedstawieniem ofert ubezpieczenia.
W ocenie autora – tak. To multiagent ustala cele i sposoby przetwarzania danych osobowych. Może przecież przekazać dane osobowe potencjalnego klienta do wybranych przez siebie zakładów ubezpieczeń, pomijając inne, może samemu określić zakres zbieranych danych.
W związku z powyższym autor uważa, że multiagent uzyska status administratora, chociażby okres przetwarzania danych osobowych trwał tylko chwili zawarcia umowy ubezpieczenia z zakładem ubezpieczeń.
Przyjęcie powyższego wniosku rodzi szereg istotnych obowiązków po stronie takiego agenta.