5 rzeczy, które agent ubezpieczeniowy musi wiedzieć o RODO

RODO - te cztery litery spędzają sen z powiek wielu agentów ubezpieczeniowych. Chodzi o Rozporządzenie o Ochronie Danych Osobowych, które wejdzie w życie już za 7 miesięcy. Zegar wciąż tyka i pozostaje coraz mniej czasu na dostosowanie się do nowych przepisów.
Kwestia ochrony danych osobowych budzi wśród agentów ubezpieczeniowych wiele wątpliwości. Na rynku nie ma wypracowanego jednego standardu zarządzania bezpieczeństwem danych osobowych. Warto zatem dokładnie zapoznać się z tematem zmian wprowadzanych przez RODO.
W tym artykule przedstawiamy w pigułce najważniejsze zmiany wprowadzane przez Rozporządzenie o Ochronie Danych Osobowych i odpowiadamy na najczęściej zadawane nam pytania w tym zakresie.

Co agent ubezpieczeniowy musi wiedzieć o RODO?

Niewiele ponad pół roku pozostało do wejścia w życie nowych, unijnych przepisów związanych z ochroną danych osobowych. Jeżeli jako agent lub broker ubezpieczeniowy nie zainteresowałeś się jeszcze tym tematem to najwyższa pora, by to zrobić. Czasu zostało naprawdę niewiele.
Specjalnie dla Ciebie przygotowaliśmy 5 najważniejszych zmian Rozporządzenia o Ochronie Danych Osobowych, o których powinieneś wiedzieć.

1. RODO nie wskazuje konkretnych technicznych i organizacyjnych rozwiązań

Nowe rozporządzenie nie ustala precyzyjnych rozwiązań pozwalających na kontrolę dostępu do danych, które administratorzy oraz przetwarzający powinni zastosować. Nadchodzące regulacje prawne wskazują tylko kierunek działań i cel, jaki powinien zostać osiągnięty.
Wykonując te działania, administratorzy i przetwarzający powinni wykorzystywać ogólną wiedzę z zakresu klasyfikacji i kontroli dostępu do danych zawartą w normach, dobrych praktykach, a także w instrukcjach wdrażania i użytkowania poszczególnych systemów informatycznych.
Co powinno umożliwiać wdrażane rozwiązanie techniczne, aby minimalizować ryzyko i osiągnąć odpowiedni poziom bezpieczeństwa danych osobowych?

  • pseudonimizację i szyfrowanie danych osobowych
  • środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Istotna rola umowy powierzenia

W przypadku korzystania z rozwiązania w chmurze szczególnie istotna stanie się tzw. umowa powierzenia zawierana pomiędzy administratorem danych, a dostawcą oprogramowania. Jej założeniem jest niedopuszczenie do sytuacji, gdy administrator danych osobowych traci nad nimi kontrolę i są one wykorzystywane w innym celu, niż zostało to określone przez samego administratora.
Dlaczego kwestia zawarcia tego typu umowy jest tak istotna w kontekście nadchodzącej reformy prawa ochrony danych osobowych? Zgodnie z przyjętymi zapisami ten akt prawny nie zawiera szczegółowych wskazówek, jakie środki organizacyjne i techniczne wdrożyć, aby zapewnić bezpieczeństwo danych. Dodatkowo prawo nie będzie też określało minimalnych standardów w tym zakresie.
Od 25.05.2018 r. umowę powierzenia przetwarzania danych osobowych będzie można zawrzeć online. Możliwe stanie się zawarcie takiej umowy przez zaakceptowanie regulaminu, w którym znajdują się stosowne postanowienia dotyczące powierzenia przetwarzania danych osobowych.

3. Koniec obowiązku zgłaszania zbiorów danych osobowych

Z dniem 25 maja 2018 roku zniesiony zostanie obowiązek zgłaszania zbiorów danych osobowych do rejestracji GIODO. W to miejsce zostanie wprowadzone nowe rozwiązanie. Będzie nim ocena skutków przetwarzania dla ochrony danych osobowych dokonywaną przez administratora (art. 35 RODO) oraz uprzednie konsultacje z organem nadzorczym (art. 36 RODO). Jest to element nowej procedury opartej na ocenie ryzyka planowanych operacji przetwarzania danych osobowych.
Konstrukcja przepisów RODO, która znosi ogólny obowiązek zawiadamiania organu o przetwarzaniu danych osobowych, koncentruje się na operacjach przetwarzania danych klasyfikowanych jako mogące powodować wysokie ryzyko naruszenia praw i wolności osób, których dotyczą. Mogą być one oceniane w ten sposób ze względu na swój charakter, zakres, kontekst i cele. Wzrośnie tym samym rola administratora danych, na którym spocznie ciężar obowiązków zdefiniowania zagrożeń i podjęcia działań w celu ich wyeliminowania.

4. Ocena skutków przetwarzania danych osobowych dla prywatności osób

Zasadniczą różnicą nową procedurę zgłaszania zbiorów do rejestracji od poprzedniczki jest obowiązek dołączenia do wniosku o konsultacje oceny skutków przetwarzania dla prywatności osób, których dane dotyczą.
Ocenę przeprowadzać będzie administrator danych i będzie musiała zawierać co najmniej: opis planowanych operacji i określenia ich celu, ocenę, czy wspomniane operacje są niezbędne i adekwatne do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą i charakterystykę planowanych środków, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia ogólnego.

5. Wysokie kary finansowe

RODO wprowadza surowe sankcje za nieprzestrzeganie ustalonych przepisów prawa. Powinny one zmotywować agentów i brokerów ubezpieczeniowych do wdrożenia w życie niezbędnych zapisów.
Poważne naruszenia mogą prowadzić do grzywny w wysokości do 4% całkowitych dochodów firmy lub 20 mln euro. Firmy niespełniające określonych w RODO obowiązków ryzykują karą w wysokości 2% ich światowego obrotu lub 10 mln euro.

RODO to nie powód do zmartwień

W mediach wiele uwagi poświęca się niepewności związanej z wprowadzeniem nowego prawa. Wiele portali podkreśla negatywne strony regulacji związanych z koniecznością wprowadzania zmian i dostosowania się przedsiębiorstw do aktualnych wymogów.
Dla agentów ubezpieczeniowych RODO nie powinno być powodem do strachu, a jedynie impulsem do zachowania większej czujności dotyczącej przetwarzania i ochrony danych osobowych klientów. Warto spojrzeć na Rozporządzenie o Ochronie Danych Osobowych przez pryzmat pozytywnych stron.
RODO dla agentów ubezpieczeniowych będzie fundamentem pozwalającym budować trwałe i zdrowe relacje z klientami. Zmodyfikowane przepisy prawa wpłyną pozytywnie na transparentność procesu i będą kartą przetargową w rozmowie z klientem odnośnie zalet dzielenia się danymi osobowymi. Gotowość do bezpiecznego przetwarzania poufnych informacji i ochrony prywatności już wkrótce będzie ważną przewagą konkurencyjną na rynku ubezpieczeń.

***
Na temat przetwarzania danych osobowych i bezpieczeństwa informacji w agencji ubezpieczeniowej pisaliśmy także tutaj:
Jak zapewnić bezpieczeństwo danych w agencji ubezpieczeniowej?
Program dla agencji ubezpieczeniowej w chmurze – czy można z niego korzystać?
Przetwarzanie danych osobowych przez agenta ubezpieczeniowego – co powinieneś wiedzieć?

More reading from

Innowacje w ubezpieczeniach