Inspektor ochrony danych
w środowisku ubezpieczeniowym

Podsumowanie 2018

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”) obowiązuje już prawie rok.


Coraz więcej administratorów danych zapewnia, że dostosowało swój system ochrony danych do wymogów RODO, a spora część przedsiębiorców deklaruje również, że powołała inspektora ochrony danych (IOD), który stoi na straży przestrzegania zasad ochrony danych w organizacji.

Rynek ubezpieczeniowy tworzą podmioty, które – z uwagi na specyfikę swojej działalności – w szczególności muszą powołać IOD. Pełni on bardzo ważną funkcję w systemie ochrony danych podmiotów rynku ubezpieczeń, w związku z czym musi cechować się odpowiednią wiedzą nie tylko teoretyczną, lecz także praktyczną – powinien wyróżniać się znajomością zagadnień dotyczących operacji przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratorów.

Żeby dowiedzieć się, kiedy przedsiębiorcy są zobligowani powołać IOD, należy sięgnąć do art. 37 ust. 1 RODO. Wskazuje on, że wyznaczenie IOD jest obligatoryjne w trzech przypadkach, jednak dla sektora ubezpieczeń kluczowe są dwa z nich, mianowicie:

- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Przykłady:
podmioty z branży ubezpieczeniowej, takie jak firmy ubezpieczeniowe, agenci, osoby wykonujące czynności agencyjne (OWCA), w szczególności świadczące usługi w zakresie ubezpieczeń na życie lub zdrowotnych, a także szpitale, prywatne centra medyczne i większe przychodnie lekarskie, przedsiębiorstwa z branży farmaceutycznej.

- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Przykłady działań monitorujących osoby, których dane dotyczą:
profilowanie i ocenianie dla celów analizy ryzyka (np. dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy), śledzenie lokalizacji, np. przez aplikacje mobilne, programy lojalnościowe, reklama behawioralna, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych.

Jak zaznacza Urząd Ochrony Danych Osobowych (UODO), sposób sformułowania przepisu określającego obowiązek wyznaczenia IOD jest mało precyzyjny, ale to zabieg celowy – użyty właśnie po to, aby administrator danych samodzielnie dokonał analizy sytuacji i ocenił, czy taki obowiązek w jego przypadku występuje.

Ponadto zgodnie z wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektorów ochrony danych (WP 243) zalecane jest udokumentowanie przeprowadzonej oceny w zakresie istnienia obowiązku wyznaczenia IOD, a nawet powtarzanie takiej oceny co jakiś czas – w razie potrzeby.

Więcej
o inspektorze ochrony danych, w tym również o ciążących na nim obowiązkach przeczytasz w naszym artykule: "Inspektor ochrony danych wciąż poszukiwany". 

Przejdźmy do sektora ubezpieczeń…

Przy rozpatrywaniu konieczności powołania IOD w podmiotach działających w środowisku ubezpieczeniowym, tj. w zakładach ubezpieczeń, u agentów, multiagentów, brokerów czy też OWCA, nie można pominąć dwóch wskazanych wyżej warunków – główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Specyfika działalności przywołanych podmiotów, która w dużej mierze jest związana z przetwarzaniem szerokiego zakresu danych osobowych, sprawia, że przywołane przesłanki będą występować u większości podmiotów z branży ubezpieczeniowej.

Katalog danych szczególnych kategorii wskazano w art. 9 RODO. W przedmiotowym katalogu znajdują się oczywiście dane dotyczące zdrowia, co jest kluczowe dla podmiotów z branży ubezpieczeniowej. Niemal każdy z podmiotów z tej branży – w szczególności oferujący lub obsługujący ubezpieczenia na życie – przetwarza szereg danych opisujących stan zdrowia klientów, w tym dane dotyczące ich aktualnej kondycji i dane dotyczące przebytych chorób czy kontuzji.

Z branżą ubezpieczeniową nierozerwalnie związane jest również regularne i systematyczne monitorowanie osób. To pojęcie niezdefiniowane w RODO, lecz próbę jego interpretacji podjęła Grupa Robocza art. 29 w swoich wytycznych. Oprócz ustalenia znaczenia słowa „regularne” oraz „systematyczne” podała przykłady działań, które wpisują się w ramy takiego monitorowania. Najważniejsze dla sektora ubezpieczeń jest objęcie zakresem tego pojęcia profilowania i oceniania dla celów oceny ryzyka (np. dla ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy). To kolejny argument za tym, że ubezpieczyciele muszą powołać IOD.

Ważne jest to, że opisane powyżej przetwarzanie danych szczególnych kategorii lub monitorowanie muszą odbywać się na tzw. dużą skalę. W RODO nie sprecyzowano pojęcia dużej skali, jednak Grupa Robocza art. 29 wskazała na czynniki, jakie należy wziąć pod uwagę, rozpatrując przetwarzanie danych osobowych na dużą skalę. Są to: liczba osób, których dane dotyczą, zakres przetwarzanych danych osobowych, okres, przez jaki dane są przetwarzane, oraz zakres geograficzny. Ponadto Grupa Robocza art. 29 podała kilka przykładów, kiedy odbywa się przetwarzanie na dużą skalę. Wśród nich znajdujemy przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności. Nie ma więc wątpliwości, że zakłady ubezpieczeń należą do grona podmiotów zobligowanych do posiadania IOD w swoich szeregach. Oczywiście z wysokim prawdopodobieństwem można uznać, że inne podmioty z branży również wpisują się w ramy wyznaczone omawianym pojęciem. Przywołać tutaj można chociażby multiagentów, współpracujących z szeregiem różnych ubezpieczycieli, a co za tym idzie – często mających rozległe bazy danych klientów.

Obowiązek nie tylko administratora danych osobowych

Praktyka pokazuje, że o ile zakłady ubezpieczeń zazwyczaj mają świadomość ciążącego na nich obowiązku powołania IOD, o tyle nadal zdarza się, że firmy świadczące usługi agencyjne czy też będące multiagentami ignorują to zadanie. Nie analizują przy tym nawet przesłanek, które wyraźnie wskazują: jeżeli jesteś przedsiębiorcą przetwarzającym dane o stanie zdrowia na dużą skalę lub dokonujesz oceny ryzyka ubezpieczeniowego celem ustalenia wysokości składek ubezpieczeniowych, musisz powołać IOD. Podmioty te uznają bowiem, że mogą przerzucić obowiązek powołania IOD na zakłady ubezpieczeń (pozostające administratorami danych w relacji z agentami), a same zasłonić się statutem podmiotu przetwarzającego dane w ich imieniu. Nic bardziej mylnego – art. 37 RODO ma zastosowanie zarówno do administratorów, jak i do podmiotów przetwarzających dane. Zależnie od tego, kto spełnia przesłanki obowiązkowego wyznaczenia IOD, obowiązek jego powołania może spoczywać tylko na administratorze albo tylko na podmiocie przetwarzającym bądź na nich obu jednocześnie. W ostatnim przypadku IOD z obu podmiotów powinni ze sobą współpracować.

Oczywiście wśród agentów często spotykamy osoby fizyczne działające w formie jednoosobowych działalności gospodarczych i świadczące usługi zazwyczaj na rzecz jednego ubezpieczyciela. Co do zasady takie podmioty nie będą spełniały kryterium przetwarzania danych na dużą skalę, co zwalnia je z obowiązku powoływania IOD. Kryterium dużej skali jest bowiem nierozerwalnie związane z dwiema przesłankami (przetwarzanie danych szczególnych kategorii oraz regularne i systematyczne monitorowanie osób) obligującymi do wyznaczenia IOD. Niemniej to sam administrator i podmiot przetwarzający muszą każdorazowo dokonać oceny konieczności powołania IOD.

Akredytowany kurs IOD

Jaki IOD najlepszy?

Kiedy ubezpieczyciel bądź agent działający w jego imieniu podejmą już decyzję o wyznaczeniu IOD, stają często przed dylematem, kto najlepiej sprawdzi się na tym stanowisku. Dla sektora ubezpieczeń jest to niezwykle ważna decyzja, gdyż praktyka pokazuje, że podmiot pełniący funkcję IOD w tym sektorze nie ma czasu na nudę, co jest podyktowane specyfiką branży i dużą ilością przetwarzanych danych, w tym danych wrażliwych.

Najczęstszym problemem wydaje się wybór pomiędzy wewnętrznym pracownikiem organizacji a zleceniem funkcji IOD zewnętrznemu podmiotowi, specjalizującemu się w zagadnieniach związanych z ochroną danych osobowych (outsourcing). Oczywiście znajdziemy plusy i minusy zarówno pierwszego, jak i drugiego rozwiązania.

1. Wewnętrzny pracownik

Jeżeli do pełnienia funkcji IOD wybierzemy własnego pracownika, zapewnimy jego stałą obecność w organizacji, co pozwoli mu na podejmowanie własnych inicjatyw i pełniejszy nadzór nad sprawami dotyczącymi ochrony danych osobowych. Pracownik, który jest na miejscu, dużo łatwiej może zorientować się, czego administrator potrzebuje, aby prawidłowo wypełniać swoje zadania. Znajomość specyfiki przetwarzania pozwoli mu również łatwiej odnaleźć dane osobowe i zidentyfikować przyczyny incydentów. Ponadto wewnętrzny pracownik nie jest obarczony ryzykiem uczestnictwa w konflikcie interesów między administratorem a zewnętrznymi podmiotami.

Z drugiej strony wyznaczenie na stanowisko IDO wewnętrznego pracownika, który nie ma doświadczenia w ochronie danych, oznacza dla administratora konieczność jego kosztownego doszkalania. Rzadko zdarza się, że jedna osoba specjalizuje się zarówno w zagadnieniach formalnoprawnych, jak i w tematyce z obszaru IT. Problemem często może być też niewystarczająco silna pozycja w organizacji – brak posłuchu u innych pracowników, z którymi trzeba przeprowadzić audyt lub na których trzeba wymóc stosowanie odpowiednich klauzul. Niestety braki w umiejętnościach mogą okazać się najbardziej dotkliwe w sytuacjach kryzysowych – jednej osobie trudniej jest znaleźć właściwe rozwiązanie, jeśli dotyczy wielu aspektów (np. prawnego i IT).

2. Zewnętrzna firma

Zewnętrzna firma zapewnia specjalizację w ochronie danych, wypracowaną metodykę i sprawdzone schematy działania, a także większą niezależność i dostępność zespołu. Zatrudnienie zewnętrznych ekspertów zwiększa zwykle rangę projektu, w odróżnieniu od częstych problemów wewnętrznego IOD z mobilizacją pozostałych pracowników. Administratorzy, którzy zlecają pełnienie funkcji IOD profesjonalnemu, zewnętrznemu podmiotowi, mogą liczyć w szczególności na:

  • wsparcie doświadczonych konsultantów, posiadających specjalistyczną i aktualną wiedzę m.in. w obszarach prawa, bezpieczeństwa sieci i systemów IT, zarządzania ryzykiem i bezpieczeństwa fizycznego,
  • realizację lub wsparcie w realizacji wielu obowiązków spoczywających bezpośrednio na organizacji,
  • udzielanie konsultacji w projektach wymagających uwzględnienia ochrony danych osobowych w fazie projektowania i przy tworzeniu mechanizmów domyślnej ochrony danych,
  • pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych,
  • przygotowywanie odpowiedzi na zapytania osób, których dane dotyczą (w sektorze ubezpieczeń spływa ich bardzo dużo),
  • doradztwo w zakresie tak istotnej kwestii, jaką jest dokonanie oceny skutków dla ochrony danych.

Podmioty wyspecjalizowane w swojej dziedzinie zapewniają często również dostęp do narzędzi informatycznych pozwalających wykazać zgodność z RODO, w tym do platformy e-learningowej.

Oczywiście powołanie zewnętrznej firmy może wiązać się z koniecznością przeprowadzania częstszych audytów, aby poznać luki i słabości organizacji, a także wymagać większego zaangażowania pracowników administratora. Brak stałej obecności IOD w organizacji może stwarzać ryzyko, że zapozna się on wyłącznie ze sprawami, które zostaną mu przekazane. To oznacza, że IOD będzie bardziej zależny od informacji uzyskanych od pracowników organizacji. Czas potrzebny na poczynienie ustaleń, zwłaszcza w drobniejszych sprawach, może być dłuższy, niż gdyby zajmował się nimi wewnętrzny IOD. W przypadku zaś organizacji obsługujących wiele podmiotów może wystąpić jednoczesna obsługa dwóch stron umowy.

3. Wsparcie

Warto także wspomnieć o rozwiązaniu, które stanowi niejako kompromis pomiędzy dwoma powyższymi rozwiązaniami, a mianowicie wsparcie wewnętrznego IOD powołanego w organizacji przez zewnętrzny, wyspecjalizowany podmiot. Takie rozwiązanie zyskuje na popularności, ponieważ pozwala na zachowanie równowagi pomiędzy zachowawczym podejściem do tematu ochrony danych osobowych i pewnym zabezpieczeniem przed konsekwencjami niezgodnego z prawem przetwarzania takich danych a zbilansowanym budżetem i możliwością ograniczenia wydatków do minimum, przy jednoczesnym zachowaniu poczucia bezpieczeństwa organizacji. Administratorzy nie są postawieni przed wyborem: wszystko albo nic – mogą liczyć w każdej chwili na pomoc zewnętrznego podmiotu, a ponoszą jedynie niewielki koszt comiesięcznego pakietu godzin.

Usługa DPIA

Niezależnie od powyższego należy podkreślić, że kluczową cechą IOD funkcjonującego w sektorze ubezpieczeń powinna być umiejętność zmobilizowania pracowników do przestrzegania wydawanych przez niego zaleceń. Jej posiadanie jest konieczne ze względu na częste incydenty ochrony danych osobowych w branży ubezpieczeniowej. W tym obszarze niesamowicie istotna jest sprawna obsługa incydentu, ocena konieczności zgłoszenia go do UODO, podjęcie niezbędnych środków zaradczych oraz wydanie odpowiednich rekomendacji dla pracowników administratora, aby jak najszybciej zminimalizować skutki incydentu.

Więcej:
o kompleksowym omówieniemu wad i zalet outsourcingu funkcji inspektora ochrony danych przeczytasz w artykułe: "IOD „własny” czy z outsourcingu plusy i minusy".

Co jest złotym środkiem dla branży?

Mając na uwadze potrzeby rynku i aktualną praktykę, można stwierdzić, że w sektorze ubezpieczeniowym outsourcing funkcji IOD sprawdza się bardzo dobrze. Pełnienie funkcji IOD w tej branży wymaga nie tylko wiedzy, lecz także doświadczenia i wypracowania gotowych rozwiązań. Niezwykle istotne jest, aby IOD wyróżniał się wieloaspektowym, obiektywnym spojrzeniem na całą organizację w zakresie procesów przetwarzania danych osobowych – zarówno na kwestie formalnoprawne, jak i na zagadnienia dotyczące zabezpieczeń informatycznych.

Przejęcie IOD

Wieloletnie doświadczenie IOD w tematyce ochrony danych osobowych będzie cenne na wypadek ewentualnej kontroli UODO. Inspektor może przyczynić się do jej prawidłowego przebiegu nie tylko dzięki swojej dogłębnej znajomości procedur czy polityk obowiązujących w firmie, lecz także dzięki temu, że ma praktykę związaną z udziałem w postępowaniach prowadzonych przez UODO. Pracownicy wyspecjalizowanych firm zewnętrznych, którzy są obecni przy kontrolach swoich klientów, zdobywają również szybko niezbędne doświadczenie i kontrola nie przysparza im tyle wyzwań i stresu.

Więcej
praktycznych porad odnośnie wdrożenia RODO znajdziesz w artykule: "Skuteczne wdrożenie RODO z kim je zrealizować?".


-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Barbara Matasek
16 maja 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu