ShareProgram dla agencji ubezpieczeniowej w chmurze – czy można z niego korzystać?
Wątpliwości związane z granicami legalnego przetwarzania danych osobowych uwidaczniają się szczególnie,
gdy agencja ubezpieczeniowa zamierza skorzystać z nowoczesnych technologii. Zdecydowana większość rozwiązań IT funkcjonuje w modelu SaaS (Software-as-a-Service), czyli potocznie działa w chmurze.
Wdrożenie chmury obliczeniowej na potrzeby usprawnienia procesów u wielu osób zajmujących się sprzedażą produktów ubezpieczeniowych wiąże się z dużymi obawami. Całkowicie niesłusznie.
Zanim jednak rzucisz się w wir automatyzacji, zarządzania relacjami z klientami czy optymalizowania procesów sprzedaży produktów ubezpieczeniowych zapoznaj się z najważniejszymi regulacjami dotyczących tej sprawy.
Warto dowiedzieć się, w jaki sposób uniknąć nieprzyjemności w przypadku przekroczenia granic ustanowionego prawa.
Program dla agencji ubezpieczeniowej działający w chmurze jest legalny. Pamiętaj jednak o kilku rzeczach!
Zgodnie z obowiązującymi przepisami prawnymi przetwarzanie danych osobowych w chmurach jest dopuszczalne.
To jednak nie wszystko. Korzystanie z rozwiązań cloud computingu wiąże się z koniecznością powierzenia opisaną
w art. 31 ustawy o ochronie danych osobowych. Zgodnie z nim, administrator danych może powierzyć innemu podmiotowi przetwarzanie danych w drodze umowy zawartej na piśmie.
O co tak naprawdę chodzi w powierzaniu? Wyobraź sobie, że powierzenie danych osobowych to jeżdżenie służbowym samochodem. Możesz prowadzić go tylko w określonym czasie i musisz respektować ustalone zasady. Nie użyjesz go do swoich prywatnych celów - to twoje narzędzie pracy, przekazane przez pracodawcę do realizacji konkretnych obowiązków. Kontynuując tę metaforę - w momencie, gdy jesteś administratorem danych to posiadasz samochód na własność.
Przykład sklepu internetowego dobrze obrazuje to zagadnienie. Jako właściciel e-sklepu pełnisz rolę administratora danych swoich klientów. Aby sfinalizować transakcję musisz przekazać towar i dane osobowe firmie kurierskiej,
by doręczyła je do zamawiającego. W tym momencie powierzasz przetwarzanie danych zewnętrznej firmie,
ale w dalszym ciągu pozostajesz ich administratorem.
Kto powinien zarejestrować zbiór danych umieszczonych w chmurze?
Ustawa o ochronie danych osobowych jasno definiuje role i związane z nimi funkcje w procesie przetwarzania danych osobowych. Wynika z nich, że obowiązek rejestracji zbiorów danych, umieszczonych w chmurze spoczywają na użytkownikach (klientach dostawców rozwiązań SaaS). Mówiąc w skrócie - administratorem danych w chmurze
jest osoba, która je tam umieszcza.
To nie jedyny wymóg stawiany przez obowiązujący akt prawny. Podstawowym obowiązkiem przedsiębiorcy wykorzystującym rozwiązanie chmurowe jest konieczność zawarcia pisemnej umowy o powierzeniu przetwarzania danych osobowych. W umowie z dostawcą rozwiązania SaaS musi zostać wyraźnie określone jakie podmioty i w jakim zakresie uzyskują dostęp do przetwarzanych za pomocą chmury danych osobowych. Ponadto, należy wskazać,
czy podmioty te spełniają wszystkie wymagane wymogi bezpieczeństwa danych określone w ustawie.
Umowa o powierzeniu przetwarzania danych powinna określać też fizyczną lokalizację serwerów. Dlaczego? Wynika to z art. 48 ustawy, z którego wynika, że przekazanie danych osobowych do państwa trzeciego (czyli państwa niebędącego członkiem Unii Europejskiej), które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić tylko po uzyskaniu zgody GIODO.
Umowa z dostawcą oprogramowania powinna również regulować kwestie związane z zabezpieczeniami technicznymi i fizycznymi zastosowanymi przez usługodawcę. Warto umieścić w niej także informacje na temat procedur związanych z usuwaniem danych w przypadku rozwiązania umowy.
Istotne regulacje dotyczą dostawcy oprogramowania w modelu SaaS. W związku z tym, że dane przekazywane są
przez użytkownika za pomocą Internetu musi spełniać on warunki zawarte w ustawie o świadczeniu usług drogą elektroniczną. Oznacza to, że jeżeli usługa jest świadczona na terytorium Polski to dostawca usług cloud computingu powinien posiadać regulamin określający rodzaj świadczonych usług, warunki świadczenia tych usług, zawierania
i rozwiązywania umowy, tryb reklamacji. Ustawa ta określa także warunki, kiedy dostawca nie będzie ponosił odpowiedzialności za treść przekazanych mu danych.
Czy program dla agencji ubezpieczeniowej Insly spełnia warunki Ustawy o ochronie danych osobowych?
Ochrona prywatności i dbanie o najwyższy poziom poufności to jeden z priorytetów oprogramowania dla ubezpieczeń Insly. Wiele uwagi przykładamy do kwestii zabezpieczeń i zgodnie z wymogami prawodawstwa przekazujemy naszym klientom pełną informację na ten temat.
Zawarcie umowy powierzania nie wymaga dodatkowej zgody od Głównego Inspektora Danych Osobowych,
gdyż hosting systemu Insly zapewniają firmy mające swoje siedziby w Unii Europejskiej.
Jak wygląda ochrona danych w Insly?
Wszystkie bazy klientów przechowywane są oddzielnie, a dostęp do danych jest bardzo ograniczony. Pomieszczenie, gdzie mieszczą się serwery zlokalizowane jest w wyspecjalizowany miejscu z odpowiednimi zabezpieczeniami
i ograniczonym dostępem.
Cyklicznie tworzymy też kopie zapasowe, przez co praktycznie do zera minimalizujemy możliwość utraty danych. Ponadto dostęp do systemu online jest oparty na bezpiecznym połączeniu HTTP zabezpieczonym certyfikatem SSL. Wymagana siła hasła jest konfigurowana przez administratora i ma 3 poziomy siły.
To tylko część praktyk, które stosujemy, by nasi klienci (i klienci naszych klientów) spali spokojnie. Więcej dowiesz się
z naszego regulaminu i polityki prywatności.
Nadchodzące zmiany w prawie, czyli jak chmura może pomóc firmom ubezpieczeniowym
Rozporządzenie o Ochronie Danych Osobowych (RODO) przyjęte przez Unię Europejską zmieni w maju 2018 r. obecny porządek prawny. Nowe przepisy dostosują istniejące przepisy do aktualnych warunków, na które duży wpływ ma zastosowanie nowoczesnych technologii.
W obliczu nadchodzących zmian firmy ubezpieczeniowe będą musiały podjąć kroki związane z rozwojem technologicznym i organizacyjnym. Unijne rozporządzenie nałoży obowiązek przygotowanie bezpiecznego ekosystemu IT służącego do przechowywania i ochrony danych osobowych na najwyższym poziomie.
Oprogramowanie dla ubezpieczeń dostępne w chmurze, takie jak Insly, może usprawnić proces dostosowania się
do nowej ustawy RODO. W jaki sposób? Rozwiązania typu SaaS już od dawna budowane są tak, by spełniać najbardziej restrykcyjne zalecenia dotyczące bezpieczeństwa danych i ochrony prywatności użytkowników.
Rozporządzenie przyjęte przez państwa członkowskie wprowadza m.in. jeden z najważniejszych wymogów, do których muszą dostosować się wszystkie przedsiębiorstwa, to tzw. prawo do bycia zapomnianym. Każda osoba fizyczna
od momentu wejście w życie nowych regulacji będzie miała prawo do wystąpienia o usunięcie jej danych osobowych
z systemów informatycznych. To jedna z większych przeszkód dla firm ubezpieczeniowych, gdyż wymagać będzie stałej kontroli nad posiadanymi informacjami o klientach. Kontrolę na każdym etapie przetwarzania danych osobowych ułatwiają wspomniane rozwiązania chmurowe.
Już teraz program dla agencji ubezpieczeniowych Insly jest zgodny z wymaganiami regulacyjnymi. Pozwala ono na sprawne zarządzanie danymi przy uwzględnieniu najlepszych praktyk i wymogów agencji rządowych i administracji publicznej.
Rozporządzenie Ogólne o Ochronie Danych Osobowych RODO (ang. GDPR General Data Protection Regulation)
ma wprowadzić regulacje jednolite dla wszystkich państw członkowskich. Zastąpi ono dotychczas obowiązujące
w krajach unijnych ustawy, w tym polską Ustawę o Ochronie Danych Osobowych z 1997 roku.