RODO obowiązuje już ponad rok. Coraz więcej administratorów danych zapewnia, że dostosowało swój system ochrony danych do wymogów RODO, a spora część przedsiębiorców deklaruje również, że powołała inspektora ochrony danych (IOD), który stoi na straży przestrzegania zasad ochrony danych w organizacji. Rynek ubezpieczeniowy tworzą podmioty, które – z uwagi na specyfikę swojej działalności – w szczególności muszą powołać IOD. Pełni on bardzo ważną funkcję w systemie ochrony danych podmiotów rynku ubezpieczeń, w związku z czym musi cechować się odpowiednią wiedzą nie tylko teoretyczną, lecz także praktyczną – powinien wyróżniać się znajomością zagadnień dotyczących operacji przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratorów.
Żeby dowiedzieć się, kiedy przedsiębiorcy są zobligowani powołać IOD, należy sięgnąć do art. 37 ust. 1 RODO. Wskazuje on, że wyznaczenie IOD jest obligatoryjne w trzech przypadkach, jednak dla sektora ubezpieczeń kluczowe są dwa z nich, mianowicie:
podmioty z branży ubezpieczeniowej, takie jak firmy ubezpieczeniowe, agenci, osoby wykonujące czynności agencyjne (OWCA), w szczególności świadczące usługi w zakresie ubezpieczeń na życie lub zdrowotnych, a także szpitale, prywatne centra medyczne i większe przychodnie lekarskie, przedsiębiorstwa z branży farmaceutycznej
profilowanie i ocenianie dla celów analizy ryzyka (np. dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy), śledzenie lokalizacji, np. przez aplikacje mobilne, programy lojalnościowe, reklama behawioralna, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych.
Jak zaznacza Urząd Ochrony Danych Osobowych (UODO), sposób sformułowania przepisu określającego obowiązek wyznaczenia IOD jest mało precyzyjny, ale to zabieg celowy – użyty właśnie po to, aby administrator danych samodzielnie dokonał analizy sytuacji i ocenił, czy taki obowiązek w jego przypadku występuje.
Ponadto zgodnie z wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektorów ochrony danych (WP 243) zalecane jest udokumentowanie przeprowadzonej oceny w zakresie istnienia obowiązku wyznaczenia IOD, a nawet powtarzanie takiej oceny co jakiś czas – w razie potrzeby.
Przy rozpatrywaniu konieczności powołania IOD w podmiotach działających w środowisku ubezpieczeniowym, tj. w zakładach ubezpieczeń, u agentów, multiagentów, brokerów czy też OWCA, nie można pominąć dwóch wskazanych wyżej warunków – główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Specyfika działalności przywołanych podmiotów, która w dużej mierze jest związana z przetwarzaniem szerokiego zakresu danych osobowych, sprawia, że przywołane przesłanki będą występować u większości podmiotów z branży ubezpieczeniowej.
Katalog danych szczególnych kategorii wskazano w art. 9 RODO. W przedmiotowym katalogu znajdują się oczywiście dane dotyczące zdrowia, co jest kluczowe dla podmiotów z branży ubezpieczeniowej. Niemal każdy z podmiotów z tej branży – w szczególności oferujący lub obsługujący ubezpieczenia na życie – przetwarza szereg danych opisujących stan zdrowia klientów, w tym dane dotyczące ich aktualnej kondycji i dane dotyczące przebytych chorób czy kontuzji.
Z branżą ubezpieczeniową nierozerwalnie związane jest również regularne i systematyczne monitorowanie osób. To pojęcie niezdefiniowane w RODO, lecz próbę jego interpretacji podjęła Grupa Robocza art. 29 w swoich wytycznych. Oprócz ustalenia znaczenia słowa „regularne” oraz „systematyczne” podała przykłady działań, które wpisują się w ramy takiego monitorowania. Najważniejsze dla sektora ubezpieczeń jest objęcie zakresem tego pojęcia profilowania i oceniania dla celów oceny ryzyka (np. dla ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy). To kolejny argument za tym, że ubezpieczyciele muszą powołać IOD.
Ważne jest to, że opisane powyżej przetwarzanie danych szczególnych kategorii lub monitorowanie muszą odbywać się na tzw. dużą skalę. W RODO nie sprecyzowano pojęcia dużej skali, jednak Grupa Robocza art. 29 wskazała na czynniki, jakie należy wziąć pod uwagę, rozpatrując przetwarzanie danych osobowych na dużą skalę. Są to: liczba osób, których dane dotyczą, zakres przetwarzanych danych osobowych, okres, przez jaki dane są przetwarzane, oraz zakres geograficzny. Ponadto Grupa Robocza art. 29 podała kilka przykładów, kiedy odbywa się przetwarzanie na dużą skalę. Wśród nich znajdujemy przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności. Nie ma więc wątpliwości, że zakłady ubezpieczeń należą do grona podmiotów zobligowanych do posiadania IOD w swoich szeregach. Oczywiście z wysokim prawdopodobieństwem można uznać, że inne podmioty z branży również wpisują się w ramy wyznaczone omawianym pojęciem.
Przywołać tutaj można chociażby multiagentów, współpracujących z szeregiem różnych ubezpieczycieli, a co za tym idzie – często mających rozległe bazy danych klientów.
Praktyka pokazuje, że o ile zakłady ubezpieczeń zazwyczaj mają świadomość ciążącego na nich obowiązku powołania IOD, o tyle nadal zdarza się, że firmy świadczące usługi agencyjne czy też będące multiagentami ignorują to zadanie. Nie analizują przy tym nawet przesłanek, które wyraźnie wskazują: jeżeli jesteś przedsiębiorcą przetwarzającym dane o stanie zdrowia na dużą skalę lub dokonujesz oceny ryzyka ubezpieczeniowego celem ustalenia wysokości składek ubezpieczeniowych, musisz powołać IOD. Podmioty te uznają bowiem, że mogą przerzucić obowiązek powołania IOD na zakłady ubezpieczeń (pozostające administratorami danych w relacji z agentami), a same zasłonić się statutem podmiotu przetwarzającego dane w ich imieniu. Nic bardziej mylnego – art. 37 RODO ma zastosowanie zarówno do administratorów, jak i do podmiotów przetwarzających dane. Zależnie od tego, kto spełnia przesłanki obowiązkowego wyznaczenia IOD, obowiązek jego powołania może spoczywać tylko na administratorze albo tylko na podmiocie przetwarzającym bądź na nich obu jednocześnie. W ostatnim przypadku IOD z obu podmiotów powinni ze sobą współpracować.
Oczywiście wśród agentów często spotykamy osoby fizyczne działające w formie jednoosobowych działalności gospodarczych i świadczące usługi zazwyczaj na rzecz jednego ubezpieczyciela. Co do zasady takie podmioty nie będą spełniały kryterium przetwarzania danych na dużą skalę, co zwalnia je z obowiązku powoływania IOD. Kryterium dużej skali jest bowiem nierozerwalnie związane z dwiema przesłankami (przetwarzanie danych szczególnych kategorii oraz regularne i systematyczne monitorowanie osób) obligującymi do wyznaczenia IOD. Niemniej to sam administrator i podmiot przetwarzający muszą każdorazowo dokonać oceny konieczności powołania IOD.
Kiedy ubezpieczyciel bądź agent działający w jego imieniu podejmą już decyzję o wyznaczeniu IOD, stają często przed dylematem, kto najlepiej sprawdzi się na tym stanowisku. Dla sektora ubezpieczeń jest to niezwykle ważna decyzja, gdyż praktyka pokazuje, że podmiot pełniący funkcję IOD w tym sektorze nie ma czasu na nudę, co jest podyktowane specyfiką branży i dużą ilością przetwarzanych danych, w tym danych wrażliwych.
Najczęstszym problemem wydaje się wybór pomiędzy wewnętrznym pracownikiem organizacji a zleceniem funkcji IOD zewnętrznemu podmiotowi, specjalizującemu się w zagadnieniach związanych z ochroną danych osobowych (outsourcing). Oczywiście znajdziemy plusy i minusy zarówno pierwszego, jak i drugiego rozwiązania.
Wewnętrzny pracownik
Jeżeli do pełnienia funkcji IOD wybierzemy własnego pracownika, zapewnimy jego stałą obecność w organizacji, co pozwoli mu na podejmowanie własnych inicjatyw i pełniejszy nadzór nad sprawami dotyczącymi ochrony danych osobowych. Pracownik, który jest na miejscu, dużo łatwiej może zorientować się, czego administrator potrzebuje, aby prawidłowo wypełniać swoje zadania. Znajomość specyfiki przetwarzania pozwoli mu również łatwiej odnaleźć dane osobowe i zidentyfikować przyczyny incydentów. Ponadto wewnętrzny pracownik nie jest obarczony ryzykiem uczestnictwa w konflikcie interesów między administratorem a zewnętrznymi podmiotami.
Z drugiej strony wyznaczenie na stanowisko IDO wewnętrznego pracownika, który nie ma doświadczenia w ochronie danych, oznacza dla administratora konieczność jego kosztownego doszkalania. Rzadko zdarza się, że jedna osoba specjalizuje się zarówno w zagadnieniach formalnoprawnych, jak i w tematyce z obszaru IT. Problemem często może być też niewystarczająco silna pozycja w organizacji – brak posłuchu u innych pracowników, z którymi trzeba przeprowadzić audyt lub na których trzeba wymóc stosowanie odpowiednich klauzul. Niestety braki w umiejętnościach mogą okazać się najbardziej dotkliwe w sytuacjach kryzysowych – jednej osobie trudniej jest znaleźć właściwe rozwiązanie, jeśli dotyczy wielu aspektów (np. prawnego i IT).
Zewnętrzna firma
Zewnętrzna firma zapewnia specjalizację w ochronie danych, wypracowaną metodykę i sprawdzone schematy działania, a także większą niezależność i dostępność zespołu. Zatrudnienie zewnętrznych ekspertów zwiększa zwykle rangę projektu, w odróżnieniu od częstych problemów wewnętrznego IOD z mobilizacją pozostałych pracowników.Administratorzy, którzy zlecają pełnienie funkcji IOD profesjonalnemu, zewnętrznemu podmiotowi, mogą liczyć w szczególności na:
Podmioty wyspecjalizowane w swojej dziedzinie zapewniają często również dostęp do narzędzi informatycznych pozwalających wykazać zgodność z RODO, w tym do platformy e-learningowej.
Oczywiście powołanie zewnętrznej firmy może wiązać się z koniecznością przeprowadzania częstszych audytów, aby poznać luki i słabości organizacji, a także wymagać większego zaangażowania pracowników administratora. Brak stałej obecności IOD w organizacji może stwarzać ryzyko, że zapozna się on wyłącznie ze sprawami, które zostaną mu przekazane. To oznacza, że IOD będzie bardziej zależny od informacji uzyskanych od pracowników organizacji. Czas potrzebny na poczynienie ustaleń, zwłaszcza w drobniejszych sprawach, może być dłuższy, niż gdyby zajmował się nimi wewnętrzny IOD. W przypadku zaś organizacji obsługujących wiele podmiotów może wystąpić jednoczesna obsługa dwóch stron umowy.
Wsparcie
Warto także wspomnieć o rozwiązaniu, które stanowi niejako kompromis pomiędzy dwoma powyższymi rozwiązaniami, a mianowicie wsparcie wewnętrznego IOD powołanego w organizacji przez zewnętrzny, wyspecjalizowany podmiot. Takie rozwiązanie zyskuje na popularności, ponieważ pozwala na zachowanie równowagi pomiędzy zachowawczym podejściem do tematu ochrony danych osobowych i pewnym zabezpieczeniem przed konsekwencjami niezgodnego z prawem przetwarzania takich danych a zbilansowanym budżetem i możliwością ograniczenia wydatków do minimum, przy jednoczesnym zachowaniu poczucia bezpieczeństwa organizacji. Administratorzy nie są postawieni przed wyborem: wszystko albo nic – mogą liczyć w każdej chwili na pomoc zewnętrznego podmiotu, a ponoszą jedynie niewielki koszt comiesięcznego pakietu godzin.
Niezależnie od powyższego należy podkreślić, że kluczową cechą IOD funkcjonującego w sektorze ubezpieczeń powinna być umiejętność zmobilizowania pracowników do przestrzegania wydawanych przez niego zaleceń. Jej posiadanie jest konieczne ze względu na częste incydenty ochrony danych osobowych w branży ubezpieczeniowej. W tym obszarze niesamowicie istotna jest sprawna obsługa incydentu, ocena konieczności zgłoszenia go do UODO, podjęcie niezbędnych środków zaradczych oraz wydanie odpowiednich rekomendacji dla pracowników administratora, aby jak najszybciej zminimalizować skutki incydentu.
Mając na uwadze potrzeby rynku i aktualną praktykę, można stwierdzić, że w sektorze ubezpieczeniowym outsourcing funkcji IOD sprawdza się bardzo dobrze. Pełnienie funkcji IOD w tej branży wymaga nie tylko wiedzy, lecz także doświadczenia i wypracowania gotowych rozwiązań. Niezwykle istotne jest, aby IOD wyróżniał się wieloaspektowym, obiektywnym spojrzeniem na całą organizację w zakresie procesów przetwarzania danych osobowych – zarówno na kwestie formalnoprawne, jak i na zagadnienia dotyczące zabezpieczeń informatycznych.
Wieloletnie doświadczenie IOD w tematyce ochrony danych osobowych będzie cenne na wypadek ewentualnej kontroli UODO. Inspektor może przyczynić się do jej prawidłowego przebiegu nie tylko dzięki swojej dogłębnej znajomości procedur czy polityk obowiązujących w firmie, lecz także dzięki temu, że ma praktykę związaną z udziałem w postępowaniach prowadzonych przez UODO. Pracownicy wyspecjalizowanych firm zewnętrznych, którzy są obecni przy kontrolach swoich klientów, zdobywają również szybko niezbędne doświadczenie i kontrola nie przysparza im tyle wyzwań i stresu.
Autor: Barbara Matasek, ekspert w firmie ODO 24 sp z o.o.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl