Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach - zagrożenia i środki zaradcze Maciej Byczkowski © 2010 ENSI

Agenda prezentacji









Procesy przetwarzania danych osobowych w branży ubezpieczeniowej Problemy związane z wykonywaniem obowiązków ochrony danych w firmach ubezpieczeniowych Praktyczne rozwiązania dotyczące zapewnienia skutecznej ochrony danych osobowych Projekt SABI – zmiany ustawy odo © 2010 ENSI

Złożoność problemu przetwarzania danych



Różne produkty ubezpieczeniowe Realizacja procesów przetwarzania:









Kanały zbierania danych Akcje marketingowe Powierzanie danych procesorom Udostępnianie danych Transfer danych do państwa trzeciego

Miejsca agregowania danych:



System IT Archiwa papierowe

© 2010 ENSI

Rodzaje zbiorów


Zbiór danych klientów:






Zbiór danych potencjalnych klientów






Dane osób dotyczące zawartych umów ubezpieczenia Dane zawarte we wnioskach, na podstawie których umowy nie zostały zawarte Baza marketingowa

Zbiór danych osób wykonujących czynności agencyjne Zbiór danych respondentów


Rejestr korespondencji

© 2010 ENSI

Rodzaje zbiorów


Zbiór danych pracowników:








Zbiór danych kandydatów do pracy Zbiór danych współpracowników:





Dane dotyczące zatrudnienia Dane osobowe dotyczące ZFŚS Dane dotyczące spraw BHP

Dane osobowe zleceniobiorców

Zbiory powierzone przez innych ADO © 2010 ENSI

Obowiązki administratora danych osobowych










Obowiązek spełnienia podstaw prawnych dla przetwarzania danych (art.23, 27) Obowiązek informacyjny (art. 24 - 25) Obowiązek adekwatności, celowości i czasu przetwarzania danych (art. 26) Obowiązki przy udostępnianiu danych (art.29) Obowiązki w razie powierzenia danych (art. 31) Obowiązki związane z prawami osób, których dane są przetwarzane (art.32 - 33) Obowiązek zabezpieczenia danych (art. 36 - 39) Obowiązek rejestracji zbioru danych (art.40) Obowiązki przy przekazywaniu danych do państwa trzeciego (47 - 48)

© 2010 ENSI

Problemy z wykonywaniem obowiązków


Kwestie podstaw prawnych dla przetwarzania danych









Problem „niespolisowanych” wniosków Problem danych wrażliwych Wymuszanie zgody na przetwarzanie danych Czas przetwarzania danych

Brak odpowiednich klauzul informacyjnych Brak pisemnych umów powierzenia przetwarzania danych procesorom © 2010 ENSI

Problemy z wykonywaniem obowiązków



Brak nadawania upoważnień do przetwarzania danych osobowych Brak odpowiedniego nadzoru nad przetwarzaniem danych osobowych






Rola i zadania ABI

Brak wdrożonych zasad ochrony danych osobowych – PBDO Brak aktualizacji wniosków zgłoszonych do GIODO


m.in. Kwestia procesorów

© 2010 ENSI

Praktyczne rozwiązania dotyczące zapewnienia skutecznej ochrony danych osobowych

© 2010 ENSI

Praktyczne rozwiązania




Zarządzanie procesami przetwarzania danych osobowych – podział zadań Wyznaczenie ABI na niezależnym stanowisku lub outsourcing roli ABI Wprowadzenie skutecznych zasad ochrony danych






Minimalizacja ryzyka prawnych konsekwencji Procedury dotyczące realizacji poszczególnych obowiązków

Szkolenia z zasad ochrony

© 2010 ENSI

Procesy przetwarzania danych osobowych









Zbieranie danych Utrwalanie danych – wprowadzenie do systemu, archiwum Odczytywanie/zmiana/usuwanie danych Archiwizowanie danych Udostępnianie danych Realizacja uprawnień osób (art. 32) Powierzanie danych do przetwarzania Rejestracja zbiorów © 2010 ENSI

Zarządzanie procesami


Zarządzający procesem (KKO)







Uczestnik procesu






Odpowiedzialny za dany proces Zarządza zasobem danych osobowych Dopuszcza osoby do danych i procesu Osoba dopuszczona do procesu Wykonuje konkretne zadania przy przetwarzaniu danych

Kontroler procesu (ABI)


Prowadzi nadzór nad przestrzeganiem zasad ochrony danych w ramach procesów © 2010 ENSI

Polityka Bezpieczeństwa Danych Osobowych 

Dokument opisujący sposób przetwarzania danych:     

Obowiązki firmy jako ADO – wymogi prawne Rodzaje (Kategorie) danych objętych ochroną Zadania i zakresy odpowiedzialności osób przy przetwarzaniu danych Zasady dopuszczania osób do przetwarzania danych osobowych Zasady przetwarzania danych, w tym:  Zasady udostępniania i powierzania danych  Zasady wypełniania obowiązku informacyjnego  Zasady rejestracji i aktualizacji zbiorów danych © 2010 ENSI

Polityka Bezpieczeństwa Danych Osobowych








Zasady ochrony obszaru przetwarzania danych Zasady monitorowania ochrony danych Zasady przetwarzania danych w systemie IT oraz na nośnikach Zasady archiwizacji danych i przechowywania kopii zapasowych Zasady postępowania w sytuacji naruszenia zasad ochrony danych Odpowiedzialność karna Załączniki: wykazy, wzory, instrukcje © 2010 ENSI

Projekt SABI dotyczący nowelizacji ustawy o ochronie danych osobowych

© 2010 ENSI

Zakres zmian




Status ABI Rejestracja zbiorów danych osobowych Zasady przeprowadzenia kontroli

© 2010 ENSI

Propozycja zmian Statusu ABI








Powołanie ABI Zadania ABI Kwalifikacje ABI Niezależne stanowisko i możliwość wykonywania obowiązków Powołanie zastępcy ABI Zgłaszanie ABI do GIODO Delegacja do nowego rozporządzenia © 2010 ENSI

Propozycje zmian dotyczących rejestracji zbiorów





Administrator danych, który powołał ABI jest zwolniony ze zgłoszenia do rejestracji/aktualizacji swoich zbiorów (za wyjątkiem zbiorów danych wrażliwych) W przypadku zgłoszenia zbiorów danych, pozytywna opinia ABI umożliwia rozpoczęcie przetwarzania danych bez potrzeby rejestracji przez GIODO © 2010 ENSI

Propozycja zmian w zakresie przeprowadzania kontroli


Założenie: ABI jako niezależny kontroler wewnętrzny może przejąć zadania kontrolne GIODO, bez ograniczania kompetencji samego organu ochrony danych osobowych

© 2010 ENSI

Korzyści dla ADO z wyznaczenia ABI






Uproszczona procedura rejestracji zbiorów danych – zgłoszenie do ABI Zwolnienie z procedury uprzedniej kontroli przy rejestracji zbiorów z danymi wrażliwymi Uproszczona forma kontroli przez GIODO

© 2010 ENSI

Pytania? Kontakt: [email protected] www.sabi.org.pl www.ensi.net © 2010 ENSI