Przestań bać się smoka! – 7 mitów o RODO, które czas włożyć między bajki

Dawno, dawno temu nasz świat podobno roił się od smoków, krasnoludów i jednorożców. Legendarne stworzenia okazały się jednak tylko wymysłem podróżników i efektem ich barwnych historii, które ulegały przekształceniu podczas przekazywania ich ustnie w najdalsze zakątki globu.
Dzisiaj nikt już nie wierzy w fantastyczne zjawiska i mityczne stworzenia. Prawda? Śledząc internetowe dyskusje na temat RODO - jak widać nie do końca...

[button style="green" float="center" margin="10" size="small" link="https://insly.pl/pl/sprawdz-jak-dziala-insly/" target=""]Załóż darmowe konto w Insly i przechowuj bezpiecznie dane klientów

Trudno się dziwić popularnością niesprawdzonych informacji, skoro na 40 dni przed "godziną zero" wiele osób w dalszym ciągu nie ma pojęcia o podstawowych założeniach regulacji. Według raportu Publicis Media 70% polskich Internautów nie słyszało nigdy o RODO!

Czas rozprawić się z najpopularniejszymi mitami na temat RODO i przekonać agentów ubezpieczeniowych, że nie taki diabeł straszny :)

Mit 1: RODO czyni ochronę danych trudniejszą

Wizje przetwarzania przez agentów ubezpieczeniowych danych klientów snute przez wiele osób przypominają scenariusze żywcem wzięte ze scen Apokalipsy. Konieczność podpisywania oświadczeń przy wymianie wizytówkami, zakaz robienia zdjęć telefonami komórkowymi to tylko pojedyncze dowody na kreatywność osób, które nie zapoznały się z regulacjami.
Rzeczywistość nie jest jednak tak skomplikowana. Nowa ustawa o ochronie danych osobowych jest okazją do uporządkowania istniejących procesów i w wielu kwestia ułatwia działania związane z ich przetwarzaniem.
Warto zauważyć, że nowością jest zasada rozliczalności. To nic innego jak konieczność udowodnienia działań, które przedsiębiorca wykonuje na danych osobowych. Każde udostępnienie osobom trzecim, aktualizacja czy usunięcie powinno być odnotowane, a w przypadku kontroli - możliwe do udowodnienia.

(...) powstaje takie fałszywe przekonanie, że po 25 maja przechowywanie i przetwarzanie danych będzie zabronione czy ograniczone. To jest mit. Dużo obowiązków jest takich samych lub nieznacznie zmodyfikowanych względem wymogów obowiązujących przed wejściem w życie RODO.
dr Maciej Kawecki, Dyrektor Departamentu Zarządzania Danymi, Koordynator reformy ochrony danych osobowych w Ministerstwo Cyfryzacji

Mit 2: Certyfikowane szafki na klucz i zmiana hasła co 30 dni

Zaletą RODO jest uniwersalność. Rozporządzenie o Ochronie danych osobowych niczym latarnia morska wskazuje odpowiedni kierunek, ale to rolą administratora jest podjęcie decyzji o rodzaju zastosowanych środków bezpieczeństwa. Ważne jest, by były one adekwatne do występującego ryzyka. Dzięki temu nowe regulacje prawne nie zdezaktualizują się zbyt szybko, tak jak to miało miejsce w przypadku ustawy z 1997 roku.
RODO nie zawiera żadnego przepisu, który nakazywałby gromadzenie danych w zamkniętych sejfach czy specjalnie do tego celu przystosowanych szafach. Podobnie rzecz się ma z bezpieczeństwem danych gromadzonych w systemach informatycznych.
Unijny ustawodawca zrezygnował ze sztywnych reguł, przerzucając decyzję (i odpowiedzialność) na administratora danych. Od 25 maja administrator będzie musiał na żądanie wykazać i uzasadnić dlaczego wybrał takie a nie inne zabezpieczenia, dostawcę i na jakiej podstawie określił konieczność zastosowania środków zaradczych.

Mit 3: Za każde przewinienie grożą wielomilionowe kary

Pierwsze skojarzenie na myśl o RODO? 20 milionów euro kary w przypadku niedostosowania się do regulacji! Ta gigantyczna kwota sprawia, że blady strach padł na wszystkich agentów ubezpieczeniowych.
W tym micie jest ziarno prawdy. RODO faktycznie ustala kary finansowe do 20 milionów euro lub do 4% obrotu światowego przedsiębiorstwa. Jest to jednak kara maksymalna.
Każdy przypadek naruszeń będzie oceniany indywidualnie. Zgodnie z art. 83 RODO organ administracyjny przy nakładaniu kary będzie musiał wziąć pod uwagę m.in. charakter naruszenia, wagę i czas trwania naruszenia, zakres lub celu danego przetwarzania, liczbę poszkodowanych osób czy rozmiar poniesionej przez nie szkody.
Przepisy bardzo wyraźnie definiują za co urzędnik może nałożyć karę oraz za co karę może obniżyć. Posiadanie certyfikatu bezpieczeństwa, współpraca z organem administracyjnym i stosowanie się do zasad ochrony danych osobowych przyczynią się do tego, że w przypadku wystąpienia poważnego incydentu kary będą nakładane proporcjonalnie do zagrożenia.

(...) pierwszą czynnością (w przypadku incydentu - red.) powinno być włączenie stopera. Następnie konieczne jest przeprowadzanie postępowania, które umożliwi ustalenie charakteru, przybliżonej skali naruszenia oraz jego konsekwencji. Powinno się również wdrożyć, odpowiednie środki minimalizujące negatywne skutki naruszenia. Raport z tych działań powinien być przekazany w formie zgłoszenia do organu nadzoru. Zakres czynności jest więc bardzo szeroki, a czas ograniczony. Skuteczna realizacja tych czynności wymaga posiadania i wdrożenia odpowiednich procedur postępowania.
mec. Tomasz Klemt, kancelaria CZUBLUN TRĘBICKI

Przeczytaj naszą rozmowę z Tomaszem Klemtem: Jak agenci ubezpieczeniowi powinni przygotować się do RODO?

Mit 4: Przecież ja nie przetwarzam danych osobowych!

Przetwarzanie danych osobowych kojarzy nam się z wykorzystywaniem ich w procesie sprzedażowym, modyfikowaniem czy innymi skomplikowanymi działaniami. W myśl RODO przetwarzanie jest szerszym pojęciem i w praktyce każdy agent ubezpieczeniowy wykonuje tego typu działania.
Pośrednicy ubezpieczeniowi przetwarzają szerokie spektrum danych osobowych. Każdy z nich prowadzi przecież bazy swoich klientów. Umieszczone są w niej najczęściej takie dane jak np.: imię, nazwisko, wiek, dane teleadresowe czy w szczególnych przypadkach dane szczególnie wrażliwe.
Należy pamiętać, że gdy agent korzystający z systemu informatycznego w procesie sprzedaży ubezpieczeń może przetwarzać także inne dane, takie jak adres IP lub identyfikator plików cookie. Wszystkie te informacje należy odpowiednio zabezpieczyć i przetwarzać.

Celem ułatwienia interpretacji prawodawca unijny dodał przykładowy katalog czynności, które mogą stanowić przetwarzanie – są to: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.
mec. Tomasz Klemt, kancelaria CZUBLUN TRĘBICKI

 Mit 5: Muszę zgłosić zbiór danych osobowych

Tutaj sprawa jest prosta, choć wiele osób na fali gorączki związanej z RODO myli nowe obowiązki z regulacjami przewidzianymi w ustawie z 1997 roku.
W RODO zrezygnowano z obowiązku rejestracji zbiorów danych osobowych. Na to miejsce pojawiły się nowe wymagania w stosunku do administratora danych osobowych. Od 25 maja będzie miał on obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych.
Więcej na temat rejestru czynności przetwarzania danych osobowych na stronie GIODO

Mit 6: Muszę powołać Inspektora ochrony danych osobowych

Inspektor ochrony danych osobowych już za kilka tygodni będzie pełnił ważne funkcje. Do jego zadań należeć będzie m.in. informowanie wszystkich zainteresowanych o spoczywających na nich obowiązkach wynikających z RODO, monitorowanie przestrzegania przepisów i wdrożonych polityk oraz zapewnienie odpowiedniej wiedzy i poziomu świadomości dotyczącej ochrony danych osobowych wśród pracowników firmy.
Nie oznacza to jednak, że każdy będzie miał obowiązek powołania inspektora. Okoliczności przemawiające za powołaniem tego typu roli w organizacji określa art. 37 RODO. Wyznaczyć inspektora ochrony danych osobowych muszą ci agenci ubezpieczeniowi, którzy spełniają choć jeden z punktów:

• przetwarzania dokonują organ lub podmiot publiczny,
• główna działalność polega na operacjach przetwarzania danych osobowych na dużą skalę,
• główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Chcesz dowiedzieć się kiedy agent musi powołać inspektora ochrony danych osobowych? Przeczytaj nasz artykuł na ten temat

Mit 7: Nie mogę korzystać z oprogramowania w chmurze

Wycieki danych kojarzą nam się głównie z problemami dużych serwisów internetowych. O tym słyszymy najczęściej, ale głośne naruszenia bezpieczeństwa nie wpłynęły na to, że będziemy musieli się cofnąć o jedną epokę i korzystać z maszyn do pisania oraz segregatorów zamykanych na kluczyk.
Korzystanie z oprogramowania w chmurze nie jest ani zakazane, ani niebezpieczne. Obecnie jest przede wszystkim konieczne do optymalizacji procesów biznesowych i dbania o konkurencyjną pozycję na rynku.
GIODO (którego miejsce wkrótce zajmie Urząd Ochrony Danych Osobowych) w wytycznych wyraźnie dopuszcza możliwość korzystania z chmury obliczeniowej. Wszystkie działania na danych osobowych muszą być jednak wykonywane zgodnie z zasadami gwarantującymi bezpieczeństwo danych i ochronę prywatności.
Przeczytaj więcej w naszym artykule: Program dla agencji ubezpieczeniowej w chmurze – czy można z niego korzystać?

RODO to nie powód do paniki!

Mitów i nieprawdziwych informacji na temat RODO krąży jeszcze wiele. Wybraliśmy te najpopularniejsze. Zalecamy przy okazji weryfikowanie informacji, na które natrafimy w internetowych dyskusjach i traktowanie większości z nich z przymrużeniem oka.
Staramy się odpowiadać na wszystkie pytania dotyczące RODO. Jeżeli masz jakieś wątpliwości to zachęcamy do wysyłania swoich pytań na adres maciej.biegajewski@insly.com.

Z chęcią poruszymy je przy okazji kolejnych artykułów na blogu!

[button style="green" float="center" margin="10" size="small" link="https://insly.pl/pl/sprawdz-jak-dziala-insly/" target=""]Załóż darmowe konto w Insly i przechowuj bezpiecznie dane klientów