RODO w branży ubezpieczeniowej

RODO w branży ubezpieczeniowej

Przepisy unijnego rozporządzenia o ochronie danych osobowych (dalej: RODO) przedefiniowują znany do tej pory system ochrony danych. U podstaw stosowania nowych przepisów legła bowiem zasada rozliczalności. Administrator po przeprowadzeniu szacowania ryzyka związanego z przetwarzaniem danych podejmie decyzję co do rodzaju środków i zabezpieczeń jakie zastosuje. Będzie więc on odpowiedzialny za respektowanie przepisów RODO jak i wykazanie ich przestrzegania. Poniżej przedstawiono zagadnienia, które szczególnie dotkną branży ubezpieczeniowej.

Przetwarzanie danych wrażliwych

Ustawodawca zrezygnował z obowiązku wyrażania pisemnej zgody na przetwarzanie tzw. danych wrażliwych. W obecnym stanie prawnym, przetwarzanie danych wrażliwych przez zakłady ubezpieczeń wymaga zdobycia pisemnej zgody od osoby (art. 38 i 39 ustawy o działalności ubezpieczeniowej i reasekuracyjnej), której dane medyczne mają być przetwarzane. Zgoda ta również wynika z brzemienia art. 27 ust 2 pkt 1 ustawy o ochronie danych osobowych. RODO wymaga natomiast złożenia wyraźniej zgody w przypadku przetwarzania danych wrażliwych, co oznacza, że forma pisemna na przetwarzanie takich danych nie powinna być już wymagana. Nasz krajowy ustawodawca powinien więc usunąć znajdujące się w innych ustawach wymogi uzyskiwania zgody na przetwarzanie danych osobowych w formie pisemnej.

Profilowanie

RODO wprowadziło do porządku prawnego pojęcie i zasady profilowania. Samo profilowanie nierzadko jest częścią procesu oceny ryzyka w zakładzie ubezpieczeń. Ocena ta może być wykonywana przez człowieka jak również w sposób zautomatyzowany. Zakłady ubezpieczeń w sytuacji zautomatyzowanego podejmowania decyzji (w tym profilowania) będą musiały informować o przedmiotowym fakcie osobę, której dane dotyczą a ta będzie mogła wyrazić sprzeciw wobec profilowania. Ponieważ taki sprzeciw może uniemożliwić prawidłową ocenę ryzyka ubezpieczeniowego oraz zwiększyć koszty wykonania takiej oceny podnoszą się głosy, iż nasz krajowy ustawodawca winien wprowadzić przepisy szczególne regulujące prawo zakładów ubezpieczeń do dokonywania profilowania.

Zapraszamy do Strefy RODO

Rejestrowanie czynności przetwarzania

Nowe przepisy rezygnują z obowiązku rejestrowania zbiorów danych osobowych na rzecz prowadzenia rejestru czynności przetwarzania przez administratora danych osobowych. Taki rejestr będą musiały prowadzić organizacje, które zatrudniają co najmniej 250 pracowników, gdy przetwarzanie, którego dokonują może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, lub w sytuacji, w której przetwarzanie danych przez nie dokonywane nie ma charakteru sporadycznego, bądź dokonują przetwarzania tzw. danych wrażliwych lub dotyczących wyroków skazujących i naruszeń prawa. Tak określone przez ustawodawcę przesłanki powodują, iż większość zakładów ubezpieczeń taki rejestr będzie musiała de facto prowadzić gdyż co najmniej jedna z wyżej wymienionych przesłanek będzie ich dotyczyła.

Czytaj także: Znika obowiązek rejestracji zbiorów w GIODO

Wyznaczenie inspektora ochrony danych

Przepisy RODO wprowadzają nowe pojęcie jakim jest dokonywanie przez administratora danych osobowych oceny skutków przetwarzania dla ochrony danych. Także w tym przypadku ustawodawca wprowadził trzy sytuacje gdy dokonanie takiej oceny będzie dla organizacji obligatoryjne. Mianowicie w sytuacji gdy organizacja dokonuje systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej (co będzie odnosiło się do większości zakładów ubezpieczeń). Kolejną sytuacją, w jakiej dokonanie przedmiotowej oceny będzie obowiązkowe to fakt przetwarzania na dużą skalę tzw. danych wrażliwych lub danych dotyczących wyroków skazujących i naruszeń prawa. Ostatnią sytuacją będzie monitorowanie na dużą skalę miejsc dostępnych publicznie. Również w tym przypadku większość zakładów ubezpieczeń będzie spełniało przynajmniej jedną z wyżej wymienionych przesłanek.

Czytaj także: Inspektor ochrony danych nowa nazwa, nowe obowiązki

Współadministrowanie

Obecne przepisy ustawy o ochronie danych osobowych nie traktują grup przedsiębiorstw jako jednego administratora danych osobowych. Każda organizacja przetwarzająca dane osobowe niezależnie od jej struktury jest traktowana jako osobny administrator danych osobowych. Stąd przesyłanie danych osobowych pomiędzy podmiotami w grupie lub zatrudnianie tych samych pracowników w ramach jednej grupy było często problematyczne. Ustawodawca unijny zdecydował o wprowadzeniu do RODO pojęcia współadministrowania danymi. Oznacza to, że co najmniej dwóch administratorów ustalających wspólnie cele i sposoby przetwarzania będzie mogło współadministrować danymi, w tym wyznaczać jednego wspólnego dla nich inspektora ochrony danych, ustalać zakresy swojej odpowiedzialności, czy też wyznaczać jeden punkt kontaktowy dla osób, których dane są przetwarzane. Jest to duże ułatwienie dla podmiotów ubezpieczeniowych działających w grupach.

Opisane powyżej pojęcia stanowią jedynie wierzchołek zmian, które dotkną administratorów danych osobowych, w tym branżę ubezpieczeniową. Trzeba bowiem pamiętać także o pozostałych zmianach, które znajdą zastosowanie do wszystkich administratorów danych osobowych jak np.: rozszerzenie klauzul informacyjnych, rozszerzenie praw osób, których dane dotyczą, wprowadzenie wysokich kar za nieprzestrzeganie przepisów ochrony danych osobowych, czy też zupełnie inny wymiar obowiązków w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu ochronę przetwarzanych danych.

Przed administratorami danych osobowych stoi wielkie wyzwanie. RODO zacznie obowiązywać od dnia 25 maja 2018 r. jednak już część organizacji zdaje sobie sprawę, iż okres, który do tej daty pozostał jest niewystarczający na wdrożenie wytycznych zawartych w unijnym rozporządzeniu.

-
4.56/5 (45) 1
-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. Anna Dmochowska
11 lipca 2017

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się