Analizując w Centrum Ubezpieczeń Gospodarczych najważniejsze zagadnienia związane z funkcjonowaniem rynku ubezpieczeniowego, zadaliśmy sobie pytanie: Jak wygląda dziś stosowanie RODO w ubezpieczeniach? Po pierwszym szoku, jakim było wejście w życie przepisów RODO oraz konieczności aktualizacji dokumentacji, dziś wydaje się, że przestrzeganie zasad weszło nam w krew.
Oczywiście mylić się jest rzeczą ludzką i zdarzają się błędy, jednak dziś większość z nas rozumie, jak ważne jest przestrzeganie wymogów rozporządzenia.
Postanowiliśmy jednak przyjrzeć się temu, jak wygląda praktyczna praca z danymi, i 18 listopada rozpoczęliśmy projekt „Ochrona danych osobowych w ubezpieczeniach”, organizując webinarium pt. Jak przygotować się do kontroli Prezesa UODO? Wydaje się, że trafiliśmy idealnie, co potwierdza objęcie naszego projektu honorowym patronatem przez Prezesa UODO. Podczas realizacji tego programu będziemy zajmowali się praktycznym wykorzystaniem wiedzy na temat przetwarzania danych osobowych w sektorze ubezpieczeń.
Jesteśmy po pierwszym webinarium, podczas którego do podzielenia się swoimi doświadczeniami zaprosiliśmy praktyków, czyli inspektorów ochrony danych, którzy mieli już okazję przeżyć kontrolę Prezesa UODO. W tym tekście znajdą państwo ich uwagi, sugerujące użycie konkretnych, sprawdzonych w praktyce narzędzi, wytycznych i procedur, które umożliwiają organizacji profesjonalne i sprawne przygotowanie się do ewentualnej kontroli nie tylko w zakresie RODO.
Ile i jakich kontroli przeprowadzono?
Kontrola planowana (sektorowa), czyli przeprowadzana zgodnie z zatwierdzonym przez Prezesa UODO planem kontroli, który w styczniu jest publikowany na stronie urzędu. W przypadku tych kontroli podmiot objęty kontrolą otrzymuje z urzędu pismo z określeniem zakresu i terminu kontroli. Kontrole doraźne są wszczynane w odpowiedzi na skargę lub zawiadomienie od innych podmiotów. Kontrolew ramach monitorowania polegają na wyrywkowym badaniu zgodności stosowania przepisów RODO, niezależnie od konkretnej przyczyny.
Pewnie zadają sobie państwo pytanie: ile kontroli przeprowadzono? Otóż w 2023 r. 33 kontrole, w tym dziesięć sektorowych oraz trzy w związku ze zgłoszeniem przez administratora naruszenia ochrony danych przy nieco ponad 14 tys. zgłoszonych naruszeń. W 2024 r. 50 kontroli, w tym 33 sektorowe oraz dwie w związku ze zgłoszeniem naruszenia przy prawie 15 tys. naruszeń (Źródło: Sprawozdanie z działalności Prezesa UODO). Biorąc te dane pod uwagę, to nie jest to automat, którego ogromnie obawiają się administratorzy, że zgłoszenie naruszenia = kontrola.
Zasady kontroli
Gdzie znajdziemy zasady przeprowadzania kontroli? W ustawie o ochronie danych osobowych (art. 78–91). Zgodnie z nimi kontrolujący mają szerokie uprawnienia, w tym: wstęp do pomieszczeń, gdzie przetwarzane są dane osobowe, wgląd do dokumentów, przeprowadzanie oględzin jak również przesłuchania pracowników w charakterze świadka.
Właściwe przygotowanie organizacji to przede wszystkim aspekty organizacyjno-kadrowo-techniczne. Odpowiednie przygotowanie pracowników na kontrolę to: poinformowanie ich o niej, wyznaczenie opiekuna „technicznego” kontroli, który zapewni jej sprawną obsługę. Przygotowanie dokumentacji, w tym dokumentacji podstawowej, takiej jak polityka ochrony danych, upoważnienia czy rejestry.
Doświadczenie pokazuje, jak ważny jest również aktywny i otwarty udział kontrolowanego w tym procesie, albowiem zgodnie z art. 108 ustawy o ochronie danych osobowych utrudnianie lub uniemożliwianie przeprowadzenia kontroli jest zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch. Przepis ten nie jest martwy – UODO korzystał z tej podstawy prawnej, kierując do organów ścigania zawiadomienia o podejrzeniu popełnienia przestępstwa w sytuacjach odmowy wpuszczenia kontrolerów na teren podmiotu, nieudostępnienia żądanych dokumentów. Za brak współpracy z urzędem nałożono 15% wszystkich kar w okresie 25 maja 2018 – 19 lutego 2025 (Źródło: ODO24.pl lista kar).
Przygotowanie jak lista zakupów
Kluczowe aspekty techniczne to: zapewnienie oddzielnego pomieszczenia dla kontrolujących, wydanie kart dostępu i identyfikatorów, zapewnienie dostępu do internetu oraz adekwatnych dostępów do zasobów IT, jak również zapoznanie kontrolujących z podstawowymi zasadami funkcjonowania organizacji.
Na co powinniśmy zwrócić uwagę w dokumentacji z kontroli? Zadbajmy o kompletność zapisów w protokole. Pamiętajmy o potwierdzeniach zgodności z oryginałem przekazywanych kopii oraz wydruków. Nie zapominajmy, że to podmiot kontrolowany powinien dysponować zarówno wykazem dowodów zebranych podczas kontroli, jak i listą pracowników uczestniczących w tych czynnościach.
Reasumując, nasi eksperci rekomendują opracowanie i wdrożenie wewnętrznej procedury postępowania na wypadek kontroli. Jej wdrożenie można porównać do przygotowania listy zakupów. Dzięki niej organizacja zachowuje spokój, a kontrola przebiega sprawnie i minimalizuje ryzyko pojawienia się błędów.
Wskazówki dla menedżerów
Nasi eksperci rekomendują również przeprowadzenie wewnętrznych symulacji kontroli, a także budowanie i utrzymywanie trwałej gotowości organizacji do tego procesu. Pamiętajmy też, że dokumentacja musi być prowadzona w języku polskim, dlatego przygotowując się do kontroli, zadbajmy także o to.
Jako dobrą praktykę eksperci wskazują aktywną współpracę z kontrolerami oraz monitorowanie przebiegu kontroli, w tym dbanie o przestrzeganie zakresu uprawnień i celów procesu.
To cenne wskazówki dla każdego menedżera, bo kontrola zdarzyć się może każdemu i każdego dnia. Wkrótce zajmiemy się przygotowaniem organizacji do kontroli administratora. Zapraszamy do śledzenia kolejnych tekstów przygotowanych przez Centrum Ubezpieczeń Gospodarczych.
Dziękujemy Dawidowi Banasiakowi, Annie Przybyłko, Bartoszowi Sacewiczowi oraz Joannie Wojtczak-Mueller za włączenie się w nasz projekt i dzielenie się z nami waszymi doświadczeniami.
Ewa Kornacka
ekspertka w zakresie ochrony danych osobowych
właścicielka firmy EduEwa Ewa Kornacka
Marcin Janicki
Centrum Ubezpieczeń Gospodarczych
