Identyfikacja naruszeń ochrony danych osobowych w sektorze ubezpieczeń

Organizacje oswoiły się już z koniecznością stosowania nowych przepisów w zakresie ochrony danych osobowych. Czas pokazał, z czym borykają się poszczególne sektory. W przypadku sektora ubezpieczeń jednym z powracających tematów jest kwestia identyfikacji i obowiązku zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO.

Podsumowanie 2018

Jak zarządzać incydentem ochrony danych?

Z uwagi na dużą skalę przetwarzania to właśnie w sektorze ubezpieczeń dochodzi do częstych incydentów w obszarze ochrony danych osobowych. Przyczyny bywają rozmaite: agent, który gubi niezabezpieczony komputer lub telefon, pracownik, który omyłkowo wysyła wiadomość e-mail z załącznikiem zawierającym dane innego klienta, niesprawny system kopertowania i wysyłki polis – to tylko niektóre z odnotowanych sytuacji.

Prawidłowa reakcja organizacji na potencjalny incydent zależy w dużym stopniu od postępowania osoby, która otrzymała o nim informację  , oraz od sprawnego działania inspektora ochrony danych – jako analityka potrafiącego ustalić jego przyczyny, zasięg, możliwe konsekwencje oraz ocenić, czy wymaga on zgłoszenia do Prezesa UODO i poinformowania osób, których dane dotyczą. W tym celu konieczne jest opracowanie procedury, według której będzie się identyfikowało incydenty i określało proces postępowania z nimi. Pracownicy powinni być z taką procedurą dobrze zaznajomieni, aby wiedzieć, jak zachować się w danej sytuacji. Jasno należy wskazać również kanał zgłaszania potencjalnych naruszeń.

Akredytowany kurs IOD

Dla zakładu ubezpieczeń ważną kwestią   są incydenty zaistniałe po stronie podmiotów, którym powierzono dane osobowe do przetwarzania (np. agenci). To właśnie zakład ubezpieczeń będzie musiał zgłosić ewentualny incydent, pomimo że do zdarzenia doszło w podmiocie zewnętrznym, któremu powierzył on przetwarzanie danych. Istotne jest więc, aby w umowie powierzenia wyznaczyć procesorowi czas na poinformowanie zakładu ubezpieczeń o incydencie oraz wskazać kanał komunikacji. Przy określaniu czasu reakcji ze strony procesora zakład ubezpieczeń musi pamiętać, że on sam ma 72 godziny na przesłanie stosownego zawiadomienia do Prezesa UODO.

Kiedy i jak zgłaszać incydent ochrony danych osobowych?

Po stwierdzeniu naruszenia administrator ma 72 godziny na jego zgłoszenie. Zgodnie z informacją znajdującą się na stronie Prezesa UODO administrator dokonuje zgłoszenia naruszenia drogą elektroniczną. W tym celu ma do dyspozycji platformę Biznes.gov.pl bądź elektroniczną skrzynkę podawczą ePUAP. Podkreślenia wymaga, że jest to forma preferowana przez UODO, lecz nieusankcjonowana przepisami prawa. Oznacza to, że jeżeli chcielibyśmy złożyć zawiadomienie o wystąpieniu naruszenia pisemnie, Prezes UODO nie powinien odmówić przyjęcia takiego zgłoszenia.

Dokonaj oceny czy naruszenie wymaga zgłoszenia - wzór
Stosując się do naszych wskazówek znacząco zwiększasz szansę przejęcia kontroli nad naruszeniem ochrony danych i minimalizacji jego stuków. Dla ułatwienia przedstawiamy listę „things to do”. Więcej  

Zadaniem inspektora ochrony danych jest ocena, czy mamy do czynienia z incydentem wymagającym zgłoszenia Prezesowi UODO. Inspektor musi więc oszacować, jakie jest prawdopodobieństwo,  że naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. W tej ocenie inspektorowi mogą pomóc m.in. wytyczne Grupy Roboczej art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych (WP250rev.01).

Jak prowadzić dokumentację w zakresie incydentów ochrony danych osobowych?

Zgodnie z przepisami RODO – bez względu na fakt, czy zaistniały incydent wymagał zgłoszenia do Prezesa UODO – organizacja powinna go należycie udokumentować, w tym opisać jego okoliczności, skutki oraz podjęte działania zaradcze. Prowadzenie wskazanej dokumentacji ma na celu m.in. pozwolić Prezesowi UODO zweryfikować, czy dana organizacja należycie zarządza naruszeniami ochrony danych osobowych oraz respektuje prawa osób, których dane dotyczą. Warto, aby taka dokumentacja zawierała informacje, jakie wskazywalibyśmy w zgłoszeniu do UODO (art. 33 ust. 3 RODO), oraz opis wszelkich okoliczności związanych z zaistniałym zdarzeniem.

e-learning

Incydenty w sektorze ubezpieczeń

Praktyka wskazuje, że naruszenia ochrony danych osobowych w dalszym ciągu następują głównie z powodu błędów pracowników zakładów ubezpieczeń lub współpracujących z nimi agentów. Stąd tak istotne staje się szerzenie wiedzy o konieczności stosowania wymogów RODO ze szczególnym naciskiem na odpowiednie zabezpieczenie przetwarzanych danych osobowych. Konieczna też jest weryfikacja podmiotu, któremu zamierzamy powierzyć dane (np. agentowi), w kontekście zapewnienia przez niego gwarancji wdrożenia wymogów RODO (art. 28 ust. 1 RODO).

Czytaj także:

-
4.47/5 (43) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".