Identyfikacja naruszeń ochrony danych osobowych w sektorze ubezpieczeń

Podsumowanie 2018


Organizacje oswoiły się już z koniecznością stosowania nowych przepisów w zakresie ochrony danych osobowych. Czas pokazał, z czym borykają się poszczególne sektory.

W przypadku sektora ubezpieczeń jednym z powracających tematów jest kwestia identyfikacji i obowiązku zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO.

Jak zarządzać incydentem ochrony danych?

Z uwagi na dużą skalę przetwarzania to właśnie w sektorze ubezpieczeń dochodzi do częstych incydentów w obszarze ochrony danych osobowych. Przyczyny bywają rozmaite: agent, który gubi niezabezpieczony komputer lub telefon, pracownik, który omyłkowo wysyła wiadomość e-mail z załącznikiem zawierającym dane innego klienta, niesprawny system kopertowania i wysyłki polis – to tylko niektóre z odnotowanych sytuacji.

Prawidłowa reakcja organizacji na potencjalny incydent zależy w dużym stopniu od postępowania osoby, która otrzymała o nim informację  , oraz od sprawnego działania inspektora ochrony danych – jako analityka potrafiącego ustalić jego przyczyny, zasięg, możliwe konsekwencje oraz ocenić, czy wymaga on zgłoszenia do Prezesa UODO i poinformowania osób, których dane dotyczą. W tym celu konieczne jest opracowanie procedury, według której będzie się identyfikowało incydenty i określało proces postępowania z nimi. Pracownicy powinni być z taką procedurą dobrze zaznajomieni, aby wiedzieć, jak zachować się w danej sytuacji. Jasno należy wskazać również kanał zgłaszania potencjalnych naruszeń.

Akredytowany kurs IOD

Dla zakładu ubezpieczeń ważną kwestią   są incydenty zaistniałe po stronie podmiotów, którym powierzono dane osobowe do przetwarzania (np. agenci). To właśnie zakład ubezpieczeń będzie musiał zgłosić ewentualny incydent, pomimo że do zdarzenia doszło w podmiocie zewnętrznym, któremu powierzył on przetwarzanie danych. Istotne jest więc, aby w umowie powierzenia wyznaczyć procesorowi czas na poinformowanie zakładu ubezpieczeń o incydencie oraz wskazać kanał komunikacji. Przy określaniu czasu reakcji ze strony procesora zakład ubezpieczeń musi pamiętać, że on sam ma 72 godziny na przesłanie stosownego zawiadomienia do Prezesa UODO.

Kiedy i jak zgłaszać incydent ochrony danych osobowych?

Po stwierdzeniu naruszenia administrator ma 72 godziny na jego zgłoszenie. Zgodnie z informacją znajdującą się na stronie Prezesa UODO administrator dokonuje zgłoszenia naruszenia drogą elektroniczną. W tym celu ma do dyspozycji platformę Biznes.gov.pl bądź elektroniczną skrzynkę podawczą ePUAP. Podkreślenia wymaga, że jest to forma preferowana przez UODO, lecz nieusankcjonowana przepisami prawa. Oznacza to, że jeżeli chcielibyśmy złożyć zawiadomienie o wystąpieniu naruszenia pisemnie, Prezes UODO nie powinien odmówić przyjęcia takiego zgłoszenia.

Dokonaj oceny czy naruszenie wymaga zgłoszenia - wzór
Stosując się do naszych wskazówek znacząco zwiększasz szansę przejęcia kontroli nad naruszeniem ochrony danych i minimalizacji jego stuków. Dla ułatwienia przedstawiamy listę „things to do”. Więcej  

Zadaniem inspektora ochrony danych jest ocena, czy mamy do czynienia z incydentem wymagającym zgłoszenia Prezesowi UODO. Inspektor musi więc oszacować, jakie jest prawdopodobieństwo,  że naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. W tej ocenie inspektorowi mogą pomóc m.in. wytyczne Grupy Roboczej art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych (WP250rev.01).

Jak prowadzić dokumentację w zakresie incydentów ochrony danych osobowych?

Zgodnie z przepisami RODO – bez względu na fakt, czy zaistniały incydent wymagał zgłoszenia do Prezesa UODO – organizacja powinna go należycie udokumentować, w tym opisać jego okoliczności, skutki oraz podjęte działania zaradcze. Prowadzenie wskazanej dokumentacji ma na celu m.in. pozwolić Prezesowi UODO zweryfikować, czy dana organizacja należycie zarządza naruszeniami ochrony danych osobowych oraz respektuje prawa osób, których dane dotyczą. Warto, aby taka dokumentacja zawierała informacje, jakie wskazywalibyśmy w zgłoszeniu do UODO (art. 33 ust. 3 RODO), oraz opis wszelkich okoliczności związanych z zaistniałym zdarzeniem.

e-learning

Incydenty w sektorze ubezpieczeń

Praktyka wskazuje, że naruszenia ochrony danych osobowych w dalszym ciągu następują głównie z powodu błędów pracowników zakładów ubezpieczeń lub współpracujących z nimi agentów. Stąd tak istotne staje się szerzenie wiedzy o konieczności stosowania wymogów RODO ze szczególnym naciskiem na odpowiednie zabezpieczenie przetwarzanych danych osobowych. Konieczna też jest weryfikacja podmiotu, któremu zamierzamy powierzyć dane (np. agentowi), w kontekście zapewnienia przez niego gwarancji wdrożenia wymogów RODO (art. 28 ust. 1 RODO).

-
4.47/5 (43) 1
-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. Anna Dmochowska
13 marca 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się