Agent ubezpieczeniowy działa w imieniu i na rzecz zakładu ubezpieczeń, dlatego nie jest administratorem zbioru danych osobowych osób, wobec których występuje jako przedstawiciel zakładu. Dlatego nie musi się legitymować samodzielną, odrębną od posiadanej przez zakład ubezpieczeń przesłanką legalności przetwarzania danych. Agent, któremu zakład ubezpieczeń w drodze zawartej umowy powierzył przetwarzanie danych, musi dbać o to, aby robić to wyłącznie w zakresie i celu przewidzianym w umowie. Do jego obowiązków należy też odpowiednie zabezpieczenie danych.
Sytuacja przedstawia się odmiennie w przypadku przetwarzania przez agenta ubezpieczeniowego danych osobowych potencjalnych klientów. Wówczas to na agencie ubezpieczeniowym jako administratorze danych spoczywają wszystkie wynikające z ustawy obowiązki, w tym obowiązek legitymowania się przesłanką legalności przetwarzania danych.
Podstawą legalności przetwarzania danych osobowych przez brokerów są odpowiednio: zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1), jeśli chodzi o potencjalnych klientów, i konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy przetwarzanie danych jest niezbędne do podjęcia działań przed zawarciem umowy (art. 23 ust. 1 pkt 3).
Michał Serzycki, generalny inspektor ochrony danych osobowych
