Reklama

Bolączki sektora ubezpieczeń na gruncie RODO
czwartek, 17 stycznia 2019 09:54

Nowe przepisy w zakresie ochrony danych osobowych zmusiły organizacje do dostosowania realizowanych przez nie procesów biznesowych do nowej rzeczywistości prawnej. Ponieważ okres na wdrożenie wymogów RODO już minął, a karty zostały przez ustawodawcę (w większości) rozdane, Urząd Ochrony Danych Osobowych ma teraz prawo powiedzieć „sprawdzam!”.

Czas pokazał, że każda branża boryka się z licznymi problemami. Dla sektora ubezpieczeń jest to przede wszystkich spełnienie wymogów w kontekście przetwarzania danych ubezpieczających i uprawnionych z tytułu umów ubezpieczenia.Ważnym elementem na gruncie RODO staje się przekazywanie danych poza organizację, zwłaszcza agentom czy firmom wspierającym zakład ubezpieczeń w procesie likwidacji szkody. Istotnym aspektem jest również realizacja żądań osób fizycznych, jak też identyfikacja naruszeń ochrony danych osobowych, których w sektorze ubezpieczeń pojawia się sporo.

Powierzanie danych osobowych do przetwarzania

Zgodnie z literalnym brzemieniem przepisów RODO zakład ubezpieczeń przed powierzeniem danych na zewnątrz (np. agentowi) musi być pewny, że podmiot ten (zwany potocznie procesorem) daje gwarancje wdrożenia u siebie wymogów RODO. Oznacza to, że samo podpisanie umowy powierzenia nie spełnia wskazanego powyżej wymogu. Zakład ubezpieczeń powinien bowiem jeszcze przed podpisaniem przedmiotowej umowy zbadać, czy procesor daje rękojmię zgodności z RODO. Forma przeprowadzenia takiego badania jest dowolna. Zakład ubezpieczeń dysponuje więc sporym wachlarzem możliwości. Do czasu ukonstytuowania się mechanizmów certyfikacji bądź zatwierdzonych kodeksów postępowania, zakład ubezpieczeń może posiłkować się przykładowo ankietą bezpieczeństwa, składającą się z listy pytań w zakresie dostosowania podmiotu do wymogów RODO. Odpowiedzi udzielone przez potencjalnego procesora wskażą stopień dostosowania do RODO konkretnego podmiotu. Niekiedy koniecznym środkiem może okazać się zdalny audyt w formie np. telekonferencji. Doświadczenie wskazuje, że analiza podmiotów zewnętrznych pod kątem zgodności z RODO, jak również późniejsze zawieranie umów powierzenia są procesem żmudnym. Podmioty zewnętrzne często nie uznają się za podmiot przetwarzający, jak też nie rozumieją wytycznych zawartych w przepisach RODO. Zakład ubezpieczeń musi niemniej pamiętać, że przymykając oko na realizację powyższego wymogu, to przede wszystkim on będzie odpowiadał za niezgodne z prawem powierzenie danych podmiotowi, który nie dawał wystarczających gwarancji zgodności z RODO.

Żądania realizacji praw osób, których dane dotyczą

Sektor ubezpieczeń jest jednym z tych, do którego w większej mierze niż do innych organizacji zaczęły spływać żądania realizacji praw na gruncie RODO. Najczęściej pojawiają się żądania realizacji prawa do bycia zapomnianym, które w większości przypadków w sektorze ubezpieczeń będą rozpatrywane negatywnie z uwagi na obowiązujące terminy retencji danych. Istotne w przedmiotowym procesie jest to, aby w zakładzie funkcjonowała procedura postępowania w razie wpłynięcia tego typu żądań. Tak aby pracownicy i współpracownicy wiedzieli, do kogo przekierować zapytanie, aby odpowiedzi były udzielane w terminach wskazanych przepisami RODO, o ile nie trafiają bezpośrednio do inspektora ochrony danych. W kontekście powyższego,ważna staje się konieczność stworzenia procedur retencji danych. Obecnie ubezpieczyciel musi się posiłkować m.in. terminami wskazanymi w kodeksie cywilnym. Patrząc na zaproponowane zmiany do projektu ustawy o działalności ubezpieczeniowej i reasekuracyjnej, w przyszłości mogą one ulec zmianie, gdyż ustawodawca zamierza je określić w wyżej wymienionym akcie.  

Inspektor ochrony danych jako kluczowa osoba w systemie ochrony danych

Jak wynika z przepisów RODO i Wytycznych Grupy Roboczej art. 29 w sprawie inspektora ochrony danych (WP 243 rew. 01), zakłady ubezpieczeń, co do zasady, muszą wyznaczyć inspektora ochrony danych. Warto podkreślić, że przesłanki wyznaczenia inspektora odnoszą się również do procesorów, co oznacza, że w niektórych sytuacjach również podmioty, którym dane są powierzane, będą musiały powołać funkcję inspektora ochrony danych (np. agenci, multiagenci). Istotne, aby osoba piastująca tę funkcję znała przepisy branży ubezpieczeniowej i realia jej działalności. Funkcja ta ma znamienne znaczenie, gdyż inspektor winien stać na straży poprawnego funkcjonowania wdrożonego systemu ochrony danych osobowych.

Naruszenia ochrony danych osobowych

W sektorze ubezpieczeń częściej niż w innych organizacjach dochodzi do naruszeń ochrony danych osobowych. Ma na to wpływ między innymi fakt, że branża ta przetwarza duże ilości danych. W tym kontekście najczęstszym źródłem incydentów są pracownicyi agenci, dlatego warto zadbać o ich edukację. Z kolei proces identyfikacji incydentu pozwoli uregulować wewnętrzna procedura, która jedocześnie zniweluje powstanie ewentualnego chaosu wywołanego naruszeniem ochrony danych osobowych. Praktyka pokazała, że zwłaszcza w sektorze ubezpieczeń istotne są cykliczne szkolenia personelu, jak też stałe przypominanie zasad ochrony danych osobowych, zwłaszcza w kontekście przekazywania danych na zewnątrz.

adw. Anna Dmochowska
ODO 24


Autorka jest ekspertem ds. ochrony danych osobowych, przeprowadza audyty w zakresie ochrony danych osobowych, prowadzi szkolenia, tworzy wewnętrzne procedury i dokumentację oraz sporządza opinie prawne. Audytor wiodący ISO 9001 oraz ISO 22301. Zajmuje się bezpieczeństwem informacji w podmiotach prowadzących działalność ubezpieczeniową. Posiada doświadczenie w zakresie bieżącej obsługi korporacyjnej podmiotów gospodarczych oraz przygotowywaniu i negocjowaniu umów. Współautorka materiałów „Unijna reforma ochrony danych osobowych – analiza zmian” oraz „Ustawa o ochronie danych osobowych – Komentarz”.


ODO 24 Sp. z o.o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.

 

Rynek ubezpieczeń: Wiener TU zamiast Gothaer TU

Po prawie siedmiu latach z polskiego rynku ubezpieczeń znika marka Gothaer. Za kilka tygodni przejęte przez Vienna Insurance Group towarzystwo...


czytaj dalej

Aviva TUnŻ: Mariusz Grendowicz przewodniczącym rady nadzorczej

Mariusz Grendowicz został powołany na przewodniczącego rady nadzorczej Aviva TUnŻ. To pierwszy niezależny członek RN firmy w Polsce, który objął...


czytaj dalej

WTW: Padły nowe rekordy inwestycji w insurtech

Inwestujący w insurtech na całym świecie w I kwartale 2019 r. wykonali największą liczbę transakcji, największą liczbę transakcji w sektorze...


czytaj dalej

Generali: Kwartał wzrostów

Pierwsze trzy miesiące obecnego roku były udane dla Generali. Grupa zanotowała wysokie wzrosty zysków i przypisu składki.

Przypis składki brutto...


czytaj dalej

Rynek ubezpieczeń: Lokalne porządki

Ostatnie lata w branży ubezpieczeniowej stały pod znakiem globalnych zmian w przepisach dotyczących branży ubezpieczeniowej. Zmniejszona aktywność...


czytaj dalej

SN: Odmowa podjęcia uchwał w dwóch sprawach

16 maja Sąd Najwyższy (SN) odmówił podjęcia uchwały w dwóch sprawach dotyczących materii ubezpieczeniowej, skierowanych do niego przez sądy...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Zamów newsletter
Facebook