Reklama

Bolączki sektora ubezpieczeń na gruncie RODO
czwartek, 17 stycznia 2019 09:54

Nowe przepisy w zakresie ochrony danych osobowych zmusiły organizacje do dostosowania realizowanych przez nie procesów biznesowych do nowej rzeczywistości prawnej. Ponieważ okres na wdrożenie wymogów RODO już minął, a karty zostały przez ustawodawcę (w większości) rozdane, Urząd Ochrony Danych Osobowych ma teraz prawo powiedzieć „sprawdzam!”.

Czas pokazał, że każda branża boryka się z licznymi problemami. Dla sektora ubezpieczeń jest to przede wszystkich spełnienie wymogów w kontekście przetwarzania danych ubezpieczających i uprawnionych z tytułu umów ubezpieczenia.Ważnym elementem na gruncie RODO staje się przekazywanie danych poza organizację, zwłaszcza agentom czy firmom wspierającym zakład ubezpieczeń w procesie likwidacji szkody. Istotnym aspektem jest również realizacja żądań osób fizycznych, jak też identyfikacja naruszeń ochrony danych osobowych, których w sektorze ubezpieczeń pojawia się sporo.

Powierzanie danych osobowych do przetwarzania

Zgodnie z literalnym brzemieniem przepisów RODO zakład ubezpieczeń przed powierzeniem danych na zewnątrz (np. agentowi) musi być pewny, że podmiot ten (zwany potocznie procesorem) daje gwarancje wdrożenia u siebie wymogów RODO. Oznacza to, że samo podpisanie umowy powierzenia nie spełnia wskazanego powyżej wymogu. Zakład ubezpieczeń powinien bowiem jeszcze przed podpisaniem przedmiotowej umowy zbadać, czy procesor daje rękojmię zgodności z RODO. Forma przeprowadzenia takiego badania jest dowolna. Zakład ubezpieczeń dysponuje więc sporym wachlarzem możliwości. Do czasu ukonstytuowania się mechanizmów certyfikacji bądź zatwierdzonych kodeksów postępowania, zakład ubezpieczeń może posiłkować się przykładowo ankietą bezpieczeństwa, składającą się z listy pytań w zakresie dostosowania podmiotu do wymogów RODO. Odpowiedzi udzielone przez potencjalnego procesora wskażą stopień dostosowania do RODO konkretnego podmiotu. Niekiedy koniecznym środkiem może okazać się zdalny audyt w formie np. telekonferencji. Doświadczenie wskazuje, że analiza podmiotów zewnętrznych pod kątem zgodności z RODO, jak również późniejsze zawieranie umów powierzenia są procesem żmudnym. Podmioty zewnętrzne często nie uznają się za podmiot przetwarzający, jak też nie rozumieją wytycznych zawartych w przepisach RODO. Zakład ubezpieczeń musi niemniej pamiętać, że przymykając oko na realizację powyższego wymogu, to przede wszystkim on będzie odpowiadał za niezgodne z prawem powierzenie danych podmiotowi, który nie dawał wystarczających gwarancji zgodności z RODO.

Żądania realizacji praw osób, których dane dotyczą

Sektor ubezpieczeń jest jednym z tych, do którego w większej mierze niż do innych organizacji zaczęły spływać żądania realizacji praw na gruncie RODO. Najczęściej pojawiają się żądania realizacji prawa do bycia zapomnianym, które w większości przypadków w sektorze ubezpieczeń będą rozpatrywane negatywnie z uwagi na obowiązujące terminy retencji danych. Istotne w przedmiotowym procesie jest to, aby w zakładzie funkcjonowała procedura postępowania w razie wpłynięcia tego typu żądań. Tak aby pracownicy i współpracownicy wiedzieli, do kogo przekierować zapytanie, aby odpowiedzi były udzielane w terminach wskazanych przepisami RODO, o ile nie trafiają bezpośrednio do inspektora ochrony danych. W kontekście powyższego,ważna staje się konieczność stworzenia procedur retencji danych. Obecnie ubezpieczyciel musi się posiłkować m.in. terminami wskazanymi w kodeksie cywilnym. Patrząc na zaproponowane zmiany do projektu ustawy o działalności ubezpieczeniowej i reasekuracyjnej, w przyszłości mogą one ulec zmianie, gdyż ustawodawca zamierza je określić w wyżej wymienionym akcie.  

Inspektor ochrony danych jako kluczowa osoba w systemie ochrony danych

Jak wynika z przepisów RODO i Wytycznych Grupy Roboczej art. 29 w sprawie inspektora ochrony danych (WP 243 rew. 01), zakłady ubezpieczeń, co do zasady, muszą wyznaczyć inspektora ochrony danych. Warto podkreślić, że przesłanki wyznaczenia inspektora odnoszą się również do procesorów, co oznacza, że w niektórych sytuacjach również podmioty, którym dane są powierzane, będą musiały powołać funkcję inspektora ochrony danych (np. agenci, multiagenci). Istotne, aby osoba piastująca tę funkcję znała przepisy branży ubezpieczeniowej i realia jej działalności. Funkcja ta ma znamienne znaczenie, gdyż inspektor winien stać na straży poprawnego funkcjonowania wdrożonego systemu ochrony danych osobowych.

Naruszenia ochrony danych osobowych

W sektorze ubezpieczeń częściej niż w innych organizacjach dochodzi do naruszeń ochrony danych osobowych. Ma na to wpływ między innymi fakt, że branża ta przetwarza duże ilości danych. W tym kontekście najczęstszym źródłem incydentów są pracownicyi agenci, dlatego warto zadbać o ich edukację. Z kolei proces identyfikacji incydentu pozwoli uregulować wewnętrzna procedura, która jedocześnie zniweluje powstanie ewentualnego chaosu wywołanego naruszeniem ochrony danych osobowych. Praktyka pokazała, że zwłaszcza w sektorze ubezpieczeń istotne są cykliczne szkolenia personelu, jak też stałe przypominanie zasad ochrony danych osobowych, zwłaszcza w kontekście przekazywania danych na zewnątrz.

adw. Anna Dmochowska
ODO 24


Autorka jest ekspertem ds. ochrony danych osobowych, przeprowadza audyty w zakresie ochrony danych osobowych, prowadzi szkolenia, tworzy wewnętrzne procedury i dokumentację oraz sporządza opinie prawne. Audytor wiodący ISO 9001 oraz ISO 22301. Zajmuje się bezpieczeństwem informacji w podmiotach prowadzących działalność ubezpieczeniową. Posiada doświadczenie w zakresie bieżącej obsługi korporacyjnej podmiotów gospodarczych oraz przygotowywaniu i negocjowaniu umów. Współautorka materiałów „Unijna reforma ochrony danych osobowych – analiza zmian” oraz „Ustawa o ochronie danych osobowych – Komentarz”.


ODO 24 Sp. z o.o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.

 

TU Zdrowie: KNF zatwierdziła nominację Aleksandra Rody

12 lutego Komisja Nadzoru Finansowego (KNF) jednogłośnie wyraziła zgodę na powołanie Aleksandra Rody na stanowisko prezesa zarządu TU Zdrowie.

...


czytaj dalej

KUKE: Marcin Jedliński nowym rzecznikiem prasowym

Od lutego Marcin Jedliński pracuje jako rzecznik prasowy i dyrektor Biura Komunikacji Korporacji Ubezpieczeń Kredytów Eksportowych (KUKE) – podał...


czytaj dalej

Allianz: Akwizycje zamiast odkupu?

Allianz może spowolnić realizację swojego programu odkupu akcji, aby móc dokonać niewielkich akwizycji – zapowiedział dyrektor finansowy grupy po...


czytaj dalej

Parlament Europejski: Zmiany w dyrektywie komunikacyjnej przyjęte

13 lutego deputowani z Parlamentu Europejskiego przyjęli zmiany w przepisach dotyczących ubezpieczeń komunikacyjnych (dyrektywie komunikacyjnej).

...


czytaj dalej

Rozmowy bez Asekuracji: Windykacyjni pośrednicy

19 lutego ukazał się 54. odcinek podcastu „Rozmowy bez Asekuracji”. Gościem programu zatytułowanego „Windykacyjni pośrednicy” był Piotr...


czytaj dalej

PZU SA: Usługa Auto Non Stop dla posiadaczy PZU Auto AC

Oferta komunikacyjna PZU SA została wzbogacona o opcję Auto Non Stop. Dzięki nowej usłudze w przypadku obsługi zgłoszenia z PZU Auto AC...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Kursy on-line
Zamów newsletter
Facebook