W obliczu coraz surowszych regulacji dotyczących ochrony danych osobowych firmy stają przed wyzwaniem skutecznego zarządzania retencją danych. Wdrożenie przepisów może okazać się wyzwaniem.
Przez firmy z branży ubezpieczeniowej przewija się ogromna ilość danych wrażliwych. Jak zatem mają sobie one radzić z nadmiarowymi danymi i koniecznością wdrożenia zasad przetwarzania danych osobowych?
W codziennej praktyce działań audytowych zauważam, że wiele organizacji jest wręcz „przeregulowanych”, a nawet to nie zawsze przekłada się na rzeczywiste bezpieczeństwo i wolne od ryzyka prowadzenie działalności operacyjnej. Kolejne wytyczne organów nadzorczych, zasady wynikające z norm krajowych i międzynarodowych oraz wzorce kodeksów dobrych praktyk zachęcają do uregulowania niemalże każdej dziedziny życia biznesowego, proponując wdrożenie najlepszych standardów rynkowych.
W natłoku tych działań umknąć może konieczność wdrożenia obowiązujących przepisów. Szczególnie w organizacjach, w których działań operacyjnych nie wspiera tzw. druga linia obrony, może być to wyzwaniem.
Okres przetwarzania danych i ich usunięcia
Wydaje się, że najczęściej omawianym wymogiem prawnym, dotykającym oczywiście także branży ubezpieczeniowej, jest – odmieniana przez wszystkie przypadki – retencja danych osobowych. Retencja danych to zatrzymywanie informacji na okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane lub przez okres wynikający z uprawnień zawartych w przepisach prawa.
Próżno szukać tego terminu w zapisach Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO), niemniej jest on ściśle powiązany z podstawowymi zasadami przetwarzania danych osobowych: zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO) i zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).
W myśl przepisów przetwarzane przez organizacje dane muszą być dopasowane do planowanych działań wynikających z procesów biznesowych lub operacyjnych, ograniczone do konkretnych, wyraźnych i prawnie uzasadnionych celów oraz przechowywane w formie umożliwiającej identyfikację osób, których te dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne dla realizacji celów.
A zatem to cel podejmowanych działań i uprawnienie wynikające z przepisów prawa determinować będą okres przetwarzania danych lub konieczność ich usunięcia, gdyż osiągnięcie celu przetwarzania oraz wygaśnięcie okresu legalnego przetwarzania danych (wynikającego z przepisów prawa) powoduje konieczność praktycznego zastosowania wspomnianych zasad przetwarzania danych osobowych.
Metoda małych kroków albo…
Jak zatem z nadmiarowymi danymi i koniecznością wdrożenia wspomnianych powyżej zasad przetwarzania danych osobowych mają sobie radzić firmy z branży ubezpieczeniowej, bo przecież zgodnie z RODO to także administratorzy danych?
Można działać metodą małych kroków i zacząć od robienia tego, co konieczne, by potem spróbować wykonać to, co w procesie retencji danych możliwe, lub planując ścieżkę realizacji projektu retencji danych osobowych pokierować się radą Roberta Toru Kiyosakiego i znaleźć kogoś, kto już ten proces realizował wielokrotnie.
W swojej praktyce miałem okazję zbadać przypadek jednej ze znanych firm brokerskich. Broker, realizując wymagania prawne zawarte w art. 5 ust. 1 RODO, aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, wdrożył wiele szczegółowych procedur wewnętrznych mających, zgodnie z przyjętymi założeniami, zapewnić bezpieczeństwo przetwarzanych danych oraz ograniczenie okresu ich przechowywania do ścisłego minimum. Jako narzędzia pomocnicze w procedurach wskazano okresy usuwania nadmiarowych danych oraz terminarz cyklicznego przeglądu przetwarzanych danych.
Okazało się, że jednak to nie wszystko. Nie ustalono i nie określono bowiem jasno czynności kontrolnych ani też sposobów weryfikacji realizowanych w zaplanowanym manualnym procesie retencji danych osobowych działań.
Na wszelki wypadek
Prowadzone w ramach trzeciej linii obrony czynności audytowe wykazały, że część pracowników przetwarzała na zasobach brokera ubezpieczeniowego znaczne wartości nadmiarowych danych służbowych, dla realizacji bliżej nieokreślonych celów (najczęściej: „na wszelki wypadek”, „na zapas”, czyli ze względów ostrożnościowych, lub przez niefrasobliwość itp.).
Wykazano także dużą liczbę danych prywatnych (m.in. zdjęcia, dokumenty urzędowe, wyniki badań lekarskich itp.), do których posiadania broker ubezpieczeniowy jako administrator nie miał żadnego uprawnienia określonego celem lub jakąkolwiek przekonywującą podstawą prawną.
Jako że manualny proces retencji danych osobowych nie okazał się efektywny, broker postanowił wdrożyć zautomatyzowaną metodę prowadzenia retencji danych, wspieraną manualnymi działaniami kontrolnymi. Czynności przeprowadzono z użyciem nieinwazyjnego i niezakłócającego codziennych działań operacyjnych narzędzia informatycznego. Okazało się, że w bardzo krótkim czasie na wskazanych przez brokera nośnikach udało się zlokalizować, zidentyfikować i skwalifikować przetwarzane dane. Na tej podstawie możliwe było ustalenie dalszego postępowania z ujawnionymi nadmiarowymi danymi. Tym razem proces retencji danych zakończył się dla brokera pomyślnie.
Planując powodzenie realizowanego procesu retencji danych osobowych, administrator danych musi skupić się nie tylko na praktycznym wdrożeniu wymagań prawnych czy wewnętrznych procedur. Niezbędny jest także wybór adekwatnego narzędzia wspierającego realizowany proces, a także ustanowienie etapów podejmowanych czynności kontrolnych. W przeciwnym razie może dojść do zatrzymania ryzyka w organizacji i konieczności ustanowienia rezerwy na poczet przyszłej sankcji administracyjnej związanej z nieuzasadnioną retencją danych.
Niezależnie od wymagań prawnych istotne jest również zrozumienie znaczenia odpowiedniego zarządzania danymi osobowymi dla zachowania zaufania klientów i solidnej reputacji na rynku.
Grzegorz Leśniewski
ekspert w firmie M3M, odpowiadającej za zabezpieczenie danych w takich firmach, jak PGE, AXA, Rankomat, Idea Bank