Art. 41.
Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej
1. Zakład ubezpieczeń przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679, dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.
* 11. Zakład ubezpieczeń przetwarza dane, o których mowa w art. 10 rozporządzenia 2016/679, dotyczące wykroczeń lub przestępstw stanowiących naruszenia przepisów ruchu drogowego oraz przypisanych im punktów, wyłącznie w celu dokonania oceny ryzyka ubezpieczeniowego i taryfikacji, zmierzających do zawarcia umowy ubezpieczenia, o której mowa w dziale II w grupach 3 lub 10 załącznika do ustawy, z wyłączeniem odpowiedzialności przewoźnika.
1a. Zakład ubezpieczeń może podejmować decyzje w indywidualnych przypadkach, opierając się wyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu:
1) dokonania oceny ryzyka ubezpieczeniowego – w przypadku danych osobowych dotyczących ubezpieczonych,
2) wykonania czynności ubezpieczeniowych, o których mowa w art. 4 ust. 9 pkt 1 i 2 – w przypadku danych osobowych dotyczących ubezpieczonych, ubezpieczających i uprawnionych z umowy ubezpieczenia
– pod warunkiem zapewnienia osobie, której dotyczy zautomatyzowana decyzja, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o następujące kategorie danych dotyczących osoby fizycznej:
1) imię (imiona) i nazwisko;
2) nazwisko rodowe;
3) imiona rodziców;
4) datę i miejsce urodzenia;
5) wiek;
6) płeć;
7) obywatelstwo;
8) numer PESEL, o ile został nadany;
9) numer identyfikacji podatkowej, o ile został nadany;
10) numer i serię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;
11) charakter wykonywanej pracy (branża);
12) miejsce zamieszkania;
13) okres ubezpieczenia;
14) przebieg ubezpieczenia;
15) sumę ubezpieczenia;
16) stan cywilny;
17) stan zdrowia ubezpieczonego;
18) sytuację finansową;
19) datę i numer rejestracji szkody, datę wystąpienia szkody oraz datę zgłoszenia szkody lub roszczenia;
20) identyfikujące umowę ubezpieczenia, której szkoda dotyczy;
21) identyfikujące przedmiot ubezpieczenia;
* 22) liczbę, rodzaj i daty wykroczeń lub przestępstw stanowiących naruszenia przepisów ruchu drogowego, w tym o kierowaniu pojazdem w stanie nietrzeźwości, w stanie po użyciu alkoholu lub środka działającego podobnie do alkoholu;
* 23) liczbę punktów przypisanych naruszeniom przepisów ruchu drogowego, o których mowa w pkt 22, oraz wysokości grzywien nałożonych w drodze mandatu karnego i fakcie ich uiszczenia.
1c. Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa w ust. 1b, dotyczące ubezpieczonych, ubezpieczających lub innych uprawnionych z umowy ubezpieczenia, bez zgody osoby, której te dane dotyczą, w celach, o których mowa w art. 33 ust. 3, nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia.
* 1c. Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa w ust. 1b pkt 1–21, dotyczące ubezpieczonych, ubezpieczających lub innych uprawnionych z umowy ubezpieczenia, bez zgody osoby, której te dane dotyczą, w celach, o których mowa w art. 33 ust. 3, nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia.
* 1d. Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa w ust. 1b pkt 22 i 23, dotyczące ubezpieczonych, bez zgody osoby, której te dane dotyczą, w celu, o którym mowa w ust. 11. Zakład ubezpieczeń usuwa dane, o których mowa w ust. 1b pkt 22 i 23, niezwłocznie po dokonaniu czynności, o której mowa w ust. 11.
2. (uchylony)