Dobra ochrona to ta, która skutecznie zadziała nawet w nieprzewidzianej sytuacji incydentu, i właśnie ubezpieczyciele powinni wiedzieć to najlepiej. W praktyce jednak firmy ubezpieczeniowe i brokerskie zapominają o skrupulatnej weryfikacji umów tam, gdzie występują w roli zleceniodawcy, zbyt łatwo polegając na podmiotach przetwarzających dane ich klientów.
Na temat rangi umów powierzenia przetwarzania danych osobowych powiedziano już wiele. Niestety, w ostatnim czasie pojawiają się głosy, że zamiast stanowić realne narzędzie zapewniające ochronę praw i wolności osób fizycznych (podmiotów danych), coraz częściej umowy te sporządzane są z szablonu, „na każdą okazję”.
Przetwarzanie danych osobowych nie jest obowiązkowe. Jeśli jednak konkretny podmiot zamierza to robić, powinien mieć świadomość, że wraz z przetwarzaniem danych osobowych otrzymuje w pakiecie wymagania określone w przepisach prawa. I to bez względu na to, czy odgrywa rolę administratora tych danych, tzn. podmiotu określającego cele i sposoby przetwarzania danych osobowych, czy też podmiotu działającego i przetwarzającego dane w imieniu ich administratora. Spostrzeżenia te i wymogi prawne dotyczą także branży ubezpieczeniowej.
Umowy, które stanowią skuteczną ochronę
Mogłoby się wydawać, że sytuacja jest jasna. Administrator, podejmując decyzję o powierzeniu przetwarzania danych osobowych podmiotowi zewnętrznemu, powinien sprawdzić, czy podmiot ten zapewnia wystarczające bezpieczeństwo.
Przez owe gwarancje bezpieczeństwa rozumie się w szczególności posiadanie fachowej wiedzy, wiarygodność podmiotu i jego zasoby – czyli środki techniczne, kadrowe, organizacyjne wystarczające do spełnienia wymogów prawnych w zakresie ochrony danych osobowych. Wybierając taki podmiot, należy upewnić się przede wszystkim, czy wdrożył on środki, które w należyty sposób chronią prawa osób, których dane dotyczą.
Dodatkowo, powierzenie przetwarzania danych musi być regulowane umową (lub innym instrumentem prawnym), określającą co najmniej:
- przedmiot i czas trwania przetwarzania,
- charakter i cele przetwarzania,
- rodzaj danych osobowych i kategorie osób, których dane dotyczą.
Umowa powinna też wskazywać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Ponadto, zapisy umowy winny regulować wzajemne obowiązki stron, a także zagadnienia odnoszące się do sposobu postępowania z powierzonymi danymi osobowymi po zakończeniu przetwarzania w imieniu administratora.
I choć jak widać, procedura nie wydaje się skomplikowana, to jednak po stronie administratorów rodzi wiele pytań – np. jaką formę mają przyjąć działania weryfikujące podmiot przetwarzający? Jakie wybrać narzędzia do tej weryfikacji i kiedy je zastosować? Na jakim etapie postępowania zakupowego i w jaki sposób oceniać środki techniczne i organizacyjne? Jak wykorzystując dynamikę działań biznesowych, zapewnić realizację wymagań prawnych w obszarze powierzenia przetwarzania danych osobowych?
Skutki nierozważnego zawierania umów
Bez względu na przyjęte wewnętrzne procedury ważność prowadzonych działań biznesowych przez administratora w żaden sposób nie może dominować nad obowiązkami prawnymi odnoszącymi się do należytej ochrony praw i wolności osób, których danymi ten podmiot administruje.
Zapisy art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) są jednoznaczne. Zaniedbanie weryfikacji podmiotu przetwarzającego oraz deklarowanych przez niego gwarancji dla przetwarzania powierzonych danych może rodzić poważne skutki, nie tylko dla osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu, ale także dla administratora powierzającego dane oraz podmiotu przetwarzającego, który zbyt optymistycznie (o ile w ogóle) ocenił wdrożone przez siebie środki.
Jak pokazuje moja wieloletnia praktyka, także w branży ubezpieczeniowej, ugruntowany w wielu relacjach biznesowych proces powierzenia przetwarzania danych osobowych należałoby poddać ponownej (a w niektórych przypadkach wręcz pierwszej) ocenie oraz aktualizacji. Dopiero po zbadaniu kompetencji, wiarygodności i adekwatności podmiotu przetwarzającego administrator powinien przystąpić do zawarcia umowy i do faktycznego powierzenia danych osobowych. Nigdy wcześniej.
Adekwatny stopień bezpieczeństwa
A jaka jest praktyka? Prawo nakazuje, by podejmowane przez administratora działania były zgodne z aktualnie obowiązującymi przepisami, a czynności przetwarzania zapewniały odpowiednie bezpieczeństwo danych osobowych, w tym ich ochronę za pomocą odpowiednich środków technicznych lub organizacyjnych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz utratą, zniszczeniem lub uszkodzeniem.
Jednak biznesowa praktyka nierzadko rodzi pokusę, by czasem, np. w związku z długoletnią współpracą z podmiotem przetwarzającym, na zasadzie zaufania, zrezygnować z rzetelnej weryfikacji. Wówczas wiele podmiotów postanawia „pójść na skróty” i ponosi ryzyko. Niestety takiej drogi na skróty nie ma, o czym przekonało się wielu bohaterów rubryki „kary organu nadzorczego” Urzędu Ochrony Danych Osobowych.
Tylko działania zorganizowane, zaplanowane, opisane i poddane weryfikacji pozwolą na wdrożenie takich rozwiązań, które zapewnią właściwy (adekwatny) stopień bezpieczeństwa danych osobowych i realnie będą chroniły prawa osób, których dane dotyczą, co w przypadku regulowanego rynku ubezpieczeniowego ma znaczenie zasadnicze.
Nawet w przypadku ugruntowanej już współpracy umowy z podmiotami przetwarzającymi należy skrupulatnie sprawdzać i w razie potrzeby poddać aktualizacji i dostosowaniu do wymogów prawa. W tym przypadku chodzi bowiem o bezpieczeństwo prawne, finansowe i biznesowe, a przede wszystkim o bezpieczeństwo danych klientów.
Grzegorz Leśniewski
ekspert w firmie M3M
