Firmy ubezpieczeniowe gromadzą dane osobowe, w tym wrażliwe, o klientach i osobach zainteresowanych ich produktami. Wkrótce, bo z dniem 25 maja, zaczną obowiązywać przepisy RODO. Jakie zmiany wprowadza unijne rozporządzenie dotyczące ochrony danych osobowych?

Do jakich danych osobowych odnosi się RODO?

Art. 4 RODO precyzuje, jakie dane należy rozumieć jako „dane osobowe” – to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, a dokładniej:

  • imię i nazwisko,
  • numer identyfikacyjny,
  • dane o lokalizacji,
  • identyfikator internetowy,
  • jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Towarzystwa ubezpieczeniowe zbierają także dane wrażliwe (głównie o stanie zdrowia potencjalnego klienta), które są niezbędne do oceny ryzyka.

Kogo będzie dotyczyć RODO?

Nie tylko branżę ubezpieczeniową czeka prawdziwa rewolucja – każda firma i osoba fizyczna, która przetwarza dane osobowe jest zobowiązana dostosować się do RODO, czyli Rozporządzenia o Ochronie Danych Osobowych. Jednocześnie RODO zastąpi przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych.

RODO – co zmieni się 25 maja?

RODO kładzie nacisk na rzeczywistą ochronę danych osobowych. Gdy unijne rozporządzenie zacznie obowiązywać, firmy:

  • nie będą zobowiązane rejestrować posiadanych zbiorów danych osobowych w GIODO,
  • nie będą miały obowiązku opracowywania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi,
  • same będą decydować o środkach bezpieczeństwa, których celem będzie ochrona danych osobowych.

Patrząc na powyższe, można powiedzieć, że RODO odformalizuje ochronę danych osobowych. Od 25 maja to osoba odpowiedzialna za ochronę danych osobowych w firmie będzie decydowała, czy konieczne jest opracowywanie specjalnych dokumentów, np. polityki bezpieczeństwa.

Jakie nowe obowiązki wprowadza RODO?

RODO to zmiany w dotychczasowym sposobie zarządzania danymi osobowymi. Unijne rozporządzenie przewiduje wprowadzenie następujących rozwiązań:

  • niektóre firmy gromadzące i przetwarzające dane osobowe (np. zatrudniające powyżej 250 pracowników) będą miały obowiązek zatrudnić Inspektora Ochrony Danych Osobowych,
  • rozbudowanie obowiązku informacyjnego – w art. 13 RODO zostały wymienione informacje, jakie należy podać osobie fizycznej w związku z gromadzeniem i przetwarzaniem jej danych osobowych,
  • podmioty przetwarzające dane osobowe swoich klientów (np. agencje ubezpieczeniowe) będą ponosić odpowiedzialność (również finansową), gdy dopuszczą się złamania przepisów RODO,
  • administrator danych osobowych będzie miał obowiązek zgłosić naruszenia przepisów RODO w ciągu 72 godzin do organu nadzorczego, a czasem również osobie, której dane zostały naruszone.

Z punktu widzenia branży ubezpieczeniowej bardzo istotna jest kwestia profilowania. Według RODO profilowanie polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych, które pozwala ocenić czynniki osobowe osoby fizycznej. Towarzystwa ubezpieczeniowe mogą dokonywać oceny ryzyka w sposób zautomatyzowany, ale  potrzebują do tego zgody osoby fizycznej. Jeżeli takiej nie otrzymają, muszą to zaakceptować.

RODO na straży praw osób fizycznych

RODO  daje osobom fizycznym możliwość ochrony swoich danych osobowych poprzez:

  • „prawo do bycia zapomnianym” – osoba fizyczna ma prawo żądać usunięcia danych, jeżeli nie są one już niezbędne do celów, do których je zbierano; administrator powinien je usunąć bez zbędnej zwłoki,
  • uprawnienie do przeniesienia danych do innego podmiotu,
  • rozszerzenie prawa do sprzeciwu wobec przetwarzania danych,
  • prawo do uzupełnienia i skorygowania danych.

W praktyce osoby fizyczne będą mieć więcej narzędzi, za pomocą których będą mogły chronić swoje dane, niż dotychczas.

Jak przygotować się do RODO?

RODO wprowadza wiele zmian w zakresie przetwarzania danych osobowych – z jednej strony można mówić o zminimalizowaniu formalności, z drugiej o konieczności wdrożenia rozwiązań, które zagwarantują, że dane będą bezpieczne. RODO oznacza konieczność:

  • zweryfikowania dotychczas stosowanych systemów zabezpieczeń,
  • rozbudowania lub zmodyfikowania dotychczasowego zaplecza technologicznego,
  • opracowania praktyk, dzięki którym system ochrony danych osobowych będzie uwzględniać zasady zawarte w RODO, czyli: privacy by desing i privacy by default (budowa np. narzędzi związanych z przetwarzaniem danych ma uwzględniać poszanowanie prywatności) oraz privacy impact assessment (dokonywanie oceny skutków przetwarzania danych osobowych).

RODO wymusza zatem przeanalizowanie dotychczasowego sposobu ochrony danych i wdrożenie rozwiązań, które spowodują, że dane faktycznie będą bezpieczne.

Naruszenie przepisów RODO – sankcje

Nowych przepisów odnoszących się do ochrony danych osobowych nie warto lekceważyć choćby z uwagi na wysokie kary finansowe. Art. 83 RODO przewiduje możliwość nałożenia kary finansowej w wysokości do 20 mln euro lub do 4% wartości globalnego obrotu firmy. To maksymalne kary, jakie mogą zostać nałożone na firmę – w praktyce stosowana ma być zasada proporcjonalności, co oznacza, że wysokość kary będzie zależeć od tego, które przepisy zostały naruszone.

Również my przygotowujemy się na RODO. Przeczytaj o zabezpieczeniach AgentPro.