Art. 138. - Zmiana niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Dziennik Ustaw

Dz.U.2019.730

Akt obowiązujący
Wersja od: 19 kwietnia 2019 r.
Art.  138. 

W ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2019 r. poz. 381) wprowadza się następujące zmiany:

1)
w art. 3 w ust. 1 po pkt 33 dodaje się pkt 33a w brzmieniu:

"33a) profilowanie - profilowanie osób fizycznych w rozumieniu art. 4 pkt 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679";";

2)
w art. 35 ust. 7 otrzymuje brzmienie:

"7. Obowiązek, o którym mowa w ust. 1, ma zastosowanie do Polskiej Izby Ubezpieczeń, Ubezpieczeniowego Funduszu Gwarancyjnego i Polskiego Biura Ubezpieczycieli Komunikacyjnych oraz osób w nich zatrudnionych w zakresie wykonywania ustawowych zadań.";

3)
po art. 35 dodaje się art. 35a i art. 35b w brzmieniu:

"Art. 35a. Zakład ubezpieczeń może przetwarzać dane osobowe, w tym dane osobowe objęte obowiązkiem zachowania tajemnicy, o którym mowa w art. 35 ust. 1, w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń w celu i zakresie niezbędnym do zapobiegania temu przestępstwu.

Art. 35b. Do przetwarzania danych osobowych przez zakład ubezpieczeń przepisu art. 15 rozporządzenia 2016/679 w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom, nie stosuje się.";

4)
w art. 38:
a)
w ust. 2:
w pkt 1 skreśla się wyrazy "i rokowaniach",
pkt 2 otrzymuje brzmienie:

"2) przyczynach leczenia ambulatoryjnego, wykonanych w jego trakcie badaniach diagnostycznych i ich wynikach, innych udzielonych świadczeniach zdrowotnych oraz wynikach leczenia;",

b)
w ust. 6 skreśla się wyraz "pisemnej",
c)
w ust. 8 w zdaniu drugim skreśla się wyraz "pisemnej";
5)
w art. 39 w ust. 1 skreśla się użyty dwukrotnie w różnym rodzaju i przypadku wyraz "pisemny";
6)
w art. 41:
a)
ust. 1 otrzymuje brzmienie:

"1. Zakład ubezpieczeń przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679, dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.",

b)
po ust. 1 dodaje się ust. 1a-1c w brzmieniu:

"1a. Zakład ubezpieczeń może podejmować decyzje w indywidualnych przypadkach, opierając się wyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu:

1) dokonania oceny ryzyka ubezpieczeniowego - w przypadku danych osobowych dotyczących ubezpieczonych,

2) wykonania czynności ubezpieczeniowych, o których mowa w art. 4 ust. 9 pkt 1 i 2 - w przypadku danych osobowych dotyczących ubezpieczonych, ubezpieczających i uprawnionych z umowy ubezpieczenia

– pod warunkiem zapewnienia osobie, której dotyczy zautomatyzowana decyzja, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.

1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o następujące kategorie danych dotyczących osoby fizycznej:

1) imię (imiona) i nazwisko;

2) nazwisko rodowe;

3) imiona rodziców;

4) datę i miejsce urodzenia;

5) wiek;

6) płeć;

7) obywatelstwo;

8) numer PESEL, o ile został nadany;

9) numer identyfikacji podatkowej, o ile został nadany;

10) numer i serię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

11) charakter wykonywanej pracy (branża);

12) miejsce zamieszkania;

13) okres ubezpieczenia;

14) przebieg ubezpieczenia;

15) sumę ubezpieczenia;

16) stan cywilny;

17) stan zdrowia ubezpieczonego;

18) sytuację finansową;

19) datę i numer rejestracji szkody, datę wystąpienia szkody oraz datę zgłoszenia szkody lub roszczenia;

20) identyfikujące umowę ubezpieczenia, której szkoda dotyczy;

21) identyfikujące przedmiot ubezpieczenia.

1c. Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa w ust. 1b, dotyczące ubezpieczonych, ubezpieczających lub innych uprawnionych z umowy ubezpieczenia, bez zgody osoby, której te dane dotyczą, w celach, o których mowa w art. 33 ust. 3, nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia.",

c)
uchyla się ust. 2;
7)
w art. 42 po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. W przypadkach, o których mowa w ust. 1 i 2, zakład ubezpieczeń, Ubezpieczeniowy Fundusz Gwarancyjny, Polskie Biuro Ubezpieczycieli Komunikacyjnych i Rzecznik Finansowy przetwarzają dane osobowe osób odpowiedzialnych za zajście zdarzenia losowego, o których mowa w art. 10 rozporządzenia 2016/679.".

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .