Czy pośrednik ubezpieczeniowy musi powołać Inspektora Ochrony Danych Osobowych?

inspektor ochrony danych osobowych

Często otrzymujemy od agentów i brokerów ubezpieczeniowych pytania o konieczność powołania Administratora Bezpieczeństwa Informacji (ABI) w świetle RODO (Rozporządzenia o Ochronie Danych Osobowych). Okazuje się, że dotyczy to jednej z większych zmian, które wprowadzają nowe regulacje prawne dotyczące ochrony danych osobowych.

[button style=”green” float=”center” margin=”10″ size=”large” link=”https://insly.pl/pl/wyprobuj-insly-2/” target=””]Wypróbuj Insly przez 14 dni za darmo i przechowuj bezpiecznie dane klientów[/button]

Kim jest (a w zasadzie był) Administrator Bezpieczeństwa Informacji (ABI)?

ABI to termin prawniczy, który wprowadziła ustawa o ochronie danych osobowych z 1997 roku. Określała ona osobę, która nadzorowała w imieniu administratora danych osobowych przestrzeganie wszystkich przyjętych zasad dotyczących ochrony danych osobowych.
Możemy uznać, że taka rola wkrótce przejdzie do historii. Funkcja Administratora Bezpieczeństwa Informacji (ABI) zostaje od 25 maja 2018 r. zastąpiona funkcją Inspektora Ochrony Danych (IOD).

Kim będzie Inspektor Ochrony Danych Osobowych (IOD)?

Wszystko wskazuje na to, że osoby pełniące funkcje Inspektora Ochrony Danych Osobowych będą pełniły jeszcze istotniejszą rolę w procesie ochrony i przetwarzania danych osobowych niż ABI.
Od IOD oczekiwana będzie zarówno wiedza z zakresu obowiązujących przepisów prawnych dotyczących ochrony danych osobowych (RODO) oraz wiedza praktyczna.

Jakie będą obowiązki osoby pełniącej funkcję Inspektora Ochrony Danych Osobowych?

IOD będzie miał duże znaczenie dla prawidłowego przebiegu procesu przetwarzania danych osobowych w przedsiębiorstwie. Do jego głównych zadań będzie należało informowanie administratora danych osobowych i pracownikach o spoczywających na nich obowiązkach wynikających z RODO i innych przepisów regulujących ochronę i przetwarzanie danych osobowych.

Ponadto, Inspektor będzie musiał monitorować przestrzeganie przepisów RODO i wdrożonych polityk po stronie administratora lub procesora. Aby zapewnić odpowiedni poziom świadomości i zrozumienia dla nowych przepisów, Inspektor będzie odpowiedzialny także za przeprowadzanie szkoleń pracowników, którzy biorą udział w procesie przetwarzania danych osobowych.
Do poprawnej oceny sytuacji stanu ochrony danych osobowych, Inspektor będzie mógł skorzystać z możliwości przeprowadzenia audytów w organizacji, która go powołała. Na tej podstawie IOD będzie musiał m.in. udzielić właściwych wskazówek administratorowi i zaproponować skuteczne środki techniczne oraz organizacyjne, które mają zapewnić zgodność z wymogami prawnymi RODO i zagwarantować bezpieczeństwo przetwarzanych danych osobowych.

Jestem pośrednikiem ubezpieczeniowym. Czy muszę powołać Inspektora Ochrony Danych Osobowych?

Obowiązek wyznaczenia IOD będzie ciążył na administratorze i podmiocie przetwarzającym, gdy spełniony jest choć jeden z poniższych warunków (37 RODO):

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (w tym dane o stanie zdrowia – np. przy polisach życiowych), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Zgodnie z projektem polskiej ustawy o ochronie danych osobowych (doprecyzowującej RODO), administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych, zwanego dalej „inspektorem”, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem Urzędu”, o jego wyznaczeniu, w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora (art. 5 ust. 1 projektu z dnia 14 września 2017).

Dowiedz się więcej na temat RODO i obowiązkach, które spoczywają na pośrednikach ubezpieczeniowych:

Agent ubezpieczeniowy – procesor czy administrator danych osobowych?
Jak agenci ubezpieczeniowi powinni przygotować się do RODO? – rozmowa z ekspertem
Jakie zmiany prawne w 2018 roku czekają agentów i brokerów ubezpieczeniowych?
5 rzeczy, które agent ubezpieczeniowy musi wiedzieć o RODO