Reklama

Identyfikacja naruszeń ochrony danych osobowych
poniedziałek, 21 stycznia 2019 09:45

Organizacje oswoiły się już z koniecznością stosowania nowych przepisów w zakresie ochrony danych osobowych. Czas pokazał, z czym borykają się poszczególne sektory. W przypadku sektora ubezpieczeń jednym z powracających tematów jest kwestia identyfikacji i obowiązku zgłoszenia naruszenia ochrony danych osobowych do prezesa Urzędu Ochrony Danych Osobowych.

Z uwagi na dużą skalę przetwarzania, to właśnie w sektorze ubezpieczeń dochodzi do częstych incydentów w obszarze ochrony danych osobowych. Przyczyny bywają rozmaite: agent, który gubi niezabezpieczony komputer lub telefon, pracownik, który omyłkowo wysyła wiadomość e-mail z załącznikiem zawierającym dane innego klienta, niesprawny system kopertowania i wysyłki polis – to tylko niektóre z odnotowanych sytuacji.

Prawidłowa reakcja organizacji na potencjalny incydent zależy w dużym stopniu od postępowania osoby, która powzięła o nim informację, oraz sprawnego działania inspektora ochrony danych, jako analityka potrafiącego ustalić jego przyczyny, zasięg, możliwe konsekwencje oraz ocenić, czy wymaga on zgłoszenia do prezesa Urzędu Ochrony Danych Osobowych oraz poinformowania osób, których dane dotyczą. W tym celu konieczne jest opracowanie procedury, według której będzie się identyfikowało incydenty i określało proces postępowania z nimi. Pracownicy powinni być z taką procedurą dobrze zaznajomieni, aby wiedzieć, jak zachować się w danej sytuacji. Jasno musi zostać również wskazany kanał zgłaszania potencjalnych naruszeń.

Dla zakładu ubezpieczeń ważnym aspektem są incydenty, które zaistniały po stronie podmiotów, którym powierzono dane osobowe do przetwarzania (np. agenci). Pomimo bowiem faktu, że do incydentu doszło w podmiocie zewnętrznym, któremu zakład ubezpieczeń powierzył przetwarzanie danych, to on (zakład ubezpieczeń) będzie musiał zgłosić ewentualny incydent. Istotne jest więc, aby w umowie powierzenia wyznaczyć procesorowi czas na poinformowanie zakładu ubezpieczeń o incydencie oraz wskazać kanał komunikacji. Zakład ubezpieczeń, określając czas reakcji ze strony procesora, musi przy tym pamiętać, że on sam ma 72 godziny na przesłanie do prezesa UODO stosownego zawiadomienia.

Kiedy i jak zgłaszać incydent ochrony danych osobowych?

Administrator, po stwierdzeniu naruszenia, ma 72 godziny na jego zgłoszenie. Zgodnie z informacją znajdującą się na stronie prezesa UODO, administrator dokonuje zgłoszenia naruszenia drogą elektroniczną. W tym celu ma do dyspozycji platformę biznes.gov.pl bądź elektroniczną skrzynkę podawczą ePUAP.

Podkreślenia wymaga fakt, że jest to forma preferowana przez Urząd, natomiast nieusankcjonowana przepisami prawa. Oznacza to, że jeżeli chcielibyśmy złożyć zawiadomienie o wystąpieniu naruszenia pisemnie, prezes UODO nie powinien odmówić przyjęcia takiego zgłoszenia. Zadaniem inspektora ochrony danych jest ocena, czy mamy do czynienia z incydentem wymagającym zgłoszenia prezesowi UODO. Inspektor musi więc oszacować prawdopodobieństwo czy naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. W powyższej ocenie inspektorowi może pomóc m.in. Wytyczna Grupy Roboczej, dotycząca zgłaszania naruszeń ochrony danych osobowych (WP250rev.01).

Jak prowadzić dokumentację w zakresie incydentów ochrony danych osobowych?
Zgodnie z przepisami RODO, bez względu na fakt, czy zaistniały incydent wymagał zgłoszenia do prezesa UODO, organizacja winna go należycie udokumentować, w tym opisać jego okoliczności, skutki oraz podjęte działania zaradcze. Prowadzenie wskazanej dokumentacji ma m.in. na celu pozwolić prezesowi UODO zweryfikować, czy dana organizacja należycie zarządza naruszeniami ochrony danych osobowych oraz respektuje prawa osób, których dane dotyczą. Warto, aby taka dokumentacja zawierała informacje, jakie wskazywalibyśmy w zgłoszeniu do Urzędu (art. 33 ust. 3 RODO) oraz wszelkie okoliczności związane z zaistniałym zdarzeniem.

Incydenty w sektorze ubezpieczeń

Praktyka wskazuje, że naruszenia ochrony danych osobowych w dalszym ciągu następują głównie z powodu błędów pracowników zakładów ubezpieczeń lub współpracujących z nimi agentów. Stąd tak istotne staje się szerzenie wiedzy w zakresie konieczności stosowania wymogów RODO ze szczególnym naciskiem na odpowiednie zabezpieczenie przetwarzanych danych osobowych. Konieczna też jest weryfikacja podmiotu, któremu zamierzamy powierzyć dane (np. agentowi) w kontekście zapewnienia przez niego gwarancji wdrożenia wymogów RODO (art. 28 ust. 1 RODO).

Anna Dmochowska
adwokat


O autorce. Ekspert ds. ochrony danych osobowych, przeprowadza audyty w zakresie ochrony danych osobowych, prowadzi szkolenia, tworzy wewnętrzne procedury i dokumentację oraz sporządza opinie prawne. Audytor wiodący ISO 9001 oraz ISO 22301. Zajmuje się bezpieczeństwem informacji w podmiotach prowadzących działalność ubezpieczeniową. Posiada doświadczenie w zakresie bieżącej obsługi korporacyjnej podmiotów gospodarczych oraz przygotowywaniu i negocjowaniu umów. Współautorka „Unijna reforma ochrony danych osobowych – analiza zmian” oraz „Ustawa o ochronie danych osobowych – Komentarz”.


 

Rynek ubezpieczeń: Wiener TU zamiast Gothaer TU

Po prawie siedmiu latach z polskiego rynku ubezpieczeń znika marka Gothaer. Za kilka tygodni przejęte przez Vienna Insurance Group towarzystwo...


czytaj dalej

Aviva TUnŻ: Mariusz Grendowicz przewodniczącym rady nadzorczej

Mariusz Grendowicz został powołany na przewodniczącego rady nadzorczej Aviva TUnŻ. To pierwszy niezależny członek RN firmy w Polsce, który objął...


czytaj dalej

WTW: Padły nowe rekordy inwestycji w insurtech

Inwestujący w insurtech na całym świecie w I kwartale 2019 r. wykonali największą liczbę transakcji, największą liczbę transakcji w sektorze...


czytaj dalej

Generali: Kwartał wzrostów

Pierwsze trzy miesiące obecnego roku były udane dla Generali. Grupa zanotowała wysokie wzrosty zysków i przypisu składki.

Przypis składki brutto...


czytaj dalej

PBUK: Nowela wymaga korekt

W ocenie Polskiego Biura Ubezpieczycieli Komunikacyjnych (PBUK), wprowadzenie ściślejszych regulacji mogących ustabilizować działalność...


czytaj dalej

Digital Care: Ponad 6 tys. uszkodzeń smartfonów w trakcie majówki

Według statystyk firmy Digital Care, liczba uszkodzeń telefonów w trakcie tegorocznego długiego weekendu majowego była o ponad 30% wyższa niż w...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Zamów newsletter
Facebook