Przetwarzanie danych na podstawie zgody, której nie ma?

Ostatnio zgłaszałem szkodę z ubezpieczenia i - jak to bywa - musiałem wypełnić formularz zgłoszenia szkody. Na samym końcu formularza znalazły się moje oświadczenia

  • że nie otrzymałem odszkodowania od innego ubezpieczyciela i że nawet nie próbuję,
  • gdybym wyłudził odszkodowane, to oddam je w ciągu 14 dni
  • że kierujący pojazdem robił to za moją zgodą
  • że byłem trzeźwy, przytomnie myślący
  • że AC było tylko u jednego ubezpieczyciela

Następnie data, mój podpis i numer dowodu osobistego i kolejne informacje przekazane przez zakład ubezpieczeń

Zgodnie z art. 24 ust. 1 ustawy z dnia 29.08.1997r. o ochronie danych osobowych (t. jedn. Dz. U. Nr 101 z 2002 r., poz. 929 z późn. zmianami), Sopockie Towarzystwo Ubezpieczeń Ergo Hestia SA z siedzibą w Sopocie, przy ul. Hestii 1, informuje, że jest administratorem Pana/i danych osobowych, udostępnionych przez Pana/ią dobrowolnie na podstawie niniejszej zgody, które będą przez nas przetwarzane do celów marketingu bezpośredniego naszych własnych produktów (usług).

Jednocześnie informujemy, iż służy Panu/i prawo wglądu do swoich danych osobowych oraz ich poprawiania, a przetwarzanie tych danych w celach ninnych, niż wymienione powyżej inne cele prawnie usprawiedliwione lub statutowe naszego towarzystwa albo osób trzecich, którym są przekazywane te dane - wymaga uzyskania Pana/i uprzedniej zgody.

Obejrzałem formularz kilkukrotnie, gdyż mowa o "niniejszej zgodzie" - ale w formularzu takiej zgody nigdzie nie ma. Poszukałem formularza w wersji PDF - też żadnej zgody nie ma. Wychodzi na to, że dane prztewarza się do celu marketingu na podstawie zgody, której nie ma.

Oczywiście doświadczony specjalista zauważy, że zgłoszenie szkody jest częścią realizacji umowy ubezpieczenia, a zawarcie umowy pozwala na marketing bezpośredni własnych towarów i usług (no chyba, że osoba zgłosi sprzeciw na takie działanie) i wcale do tego żadnej zgodny nie potrzeba. Podkreśla to GIODO w jednej ze swoich porad pisząc

(...) firmy mogą przesyłać swoim klientom oferty marketingowe. Mogą to robić:
bez ich zgody - jeśli w ten sposób promują własne produkty lub usługi. Podstawą wykorzystywania ich danych osobowych będzie bowiem prawnie usprawiedliwiony interes administratora danych (czyli firmy), o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zgodnie bowiem z przepisami, prawnie usprawiedliwionym celem administratora danych jest marketing bezpośredni własnych produktów i usług.

Jak znam życie, to formularz był tyle razy zmieniany, i pewnie nie zawsze odpowiednio konsultowany z ABI badź prawnikami, że wyszło, jak wyszło.

Obrazek: