Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach - zagrożenia i środki zaradcze Maciej Byczkowski © 2010 ENSI
Agenda prezentacji
Procesy przetwarzania danych osobowych w branży ubezpieczeniowej Problemy związane z wykonywaniem obowiązków ochrony danych w firmach ubezpieczeniowych Praktyczne rozwiązania dotyczące zapewnienia skutecznej ochrony danych osobowych Projekt SABI – zmiany ustawy odo © 2010 ENSI
Złożoność problemu przetwarzania danych
Różne produkty ubezpieczeniowe Realizacja procesów przetwarzania:
Kanały zbierania danych Akcje marketingowe Powierzanie danych procesorom Udostępnianie danych Transfer danych do państwa trzeciego
Miejsca agregowania danych:
System IT Archiwa papierowe
© 2010 ENSI
Rodzaje zbiorów
Zbiór danych klientów:
Zbiór danych potencjalnych klientów
Dane osób dotyczące zawartych umów ubezpieczenia Dane zawarte we wnioskach, na podstawie których umowy nie zostały zawarte Baza marketingowa
Zbiór danych osób wykonujących czynności agencyjne Zbiór danych respondentów
Rejestr korespondencji
© 2010 ENSI
Rodzaje zbiorów
Zbiór danych pracowników:
Zbiór danych kandydatów do pracy Zbiór danych współpracowników:
Dane dotyczące zatrudnienia Dane osobowe dotyczące ZFŚS Dane dotyczące spraw BHP
Dane osobowe zleceniobiorców
Zbiory powierzone przez innych ADO © 2010 ENSI
Obowiązki administratora danych osobowych
Obowiązek spełnienia podstaw prawnych dla przetwarzania danych (art.23, 27) Obowiązek informacyjny (art. 24 - 25) Obowiązek adekwatności, celowości i czasu przetwarzania danych (art. 26) Obowiązki przy udostępnianiu danych (art.29) Obowiązki w razie powierzenia danych (art. 31) Obowiązki związane z prawami osób, których dane są przetwarzane (art.32 - 33) Obowiązek zabezpieczenia danych (art. 36 - 39) Obowiązek rejestracji zbioru danych (art.40) Obowiązki przy przekazywaniu danych do państwa trzeciego (47 - 48)
© 2010 ENSI
Problemy z wykonywaniem obowiązków
Kwestie podstaw prawnych dla przetwarzania danych
Problem „niespolisowanych” wniosków Problem danych wrażliwych Wymuszanie zgody na przetwarzanie danych Czas przetwarzania danych
Brak odpowiednich klauzul informacyjnych Brak pisemnych umów powierzenia przetwarzania danych procesorom © 2010 ENSI
Problemy z wykonywaniem obowiązków
Brak nadawania upoważnień do przetwarzania danych osobowych Brak odpowiedniego nadzoru nad przetwarzaniem danych osobowych
Rola i zadania ABI
Brak wdrożonych zasad ochrony danych osobowych – PBDO Brak aktualizacji wniosków zgłoszonych do GIODO
m.in. Kwestia procesorów
© 2010 ENSI
Praktyczne rozwiązania dotyczące zapewnienia skutecznej ochrony danych osobowych
© 2010 ENSI
Praktyczne rozwiązania
Zarządzanie procesami przetwarzania danych osobowych – podział zadań Wyznaczenie ABI na niezależnym stanowisku lub outsourcing roli ABI Wprowadzenie skutecznych zasad ochrony danych
Minimalizacja ryzyka prawnych konsekwencji Procedury dotyczące realizacji poszczególnych obowiązków
Szkolenia z zasad ochrony
© 2010 ENSI
Procesy przetwarzania danych osobowych
Zbieranie danych Utrwalanie danych – wprowadzenie do systemu, archiwum Odczytywanie/zmiana/usuwanie danych Archiwizowanie danych Udostępnianie danych Realizacja uprawnień osób (art. 32) Powierzanie danych do przetwarzania Rejestracja zbiorów © 2010 ENSI
Zarządzanie procesami
Zarządzający procesem (KKO)
Uczestnik procesu
Odpowiedzialny za dany proces Zarządza zasobem danych osobowych Dopuszcza osoby do danych i procesu Osoba dopuszczona do procesu Wykonuje konkretne zadania przy przetwarzaniu danych
Kontroler procesu (ABI)
Prowadzi nadzór nad przestrzeganiem zasad ochrony danych w ramach procesów © 2010 ENSI
Polityka Bezpieczeństwa Danych Osobowych
Dokument opisujący sposób przetwarzania danych:
Obowiązki firmy jako ADO – wymogi prawne Rodzaje (Kategorie) danych objętych ochroną Zadania i zakresy odpowiedzialności osób przy przetwarzaniu danych Zasady dopuszczania osób do przetwarzania danych osobowych Zasady przetwarzania danych, w tym: Zasady udostępniania i powierzania danych Zasady wypełniania obowiązku informacyjnego Zasady rejestracji i aktualizacji zbiorów danych © 2010 ENSI
Polityka Bezpieczeństwa Danych Osobowych
Zasady ochrony obszaru przetwarzania danych Zasady monitorowania ochrony danych Zasady przetwarzania danych w systemie IT oraz na nośnikach Zasady archiwizacji danych i przechowywania kopii zapasowych Zasady postępowania w sytuacji naruszenia zasad ochrony danych Odpowiedzialność karna Załączniki: wykazy, wzory, instrukcje © 2010 ENSI
Projekt SABI dotyczący nowelizacji ustawy o ochronie danych osobowych
© 2010 ENSI
Zakres zmian
Status ABI Rejestracja zbiorów danych osobowych Zasady przeprowadzenia kontroli
© 2010 ENSI
Propozycja zmian Statusu ABI
Powołanie ABI Zadania ABI Kwalifikacje ABI Niezależne stanowisko i możliwość wykonywania obowiązków Powołanie zastępcy ABI Zgłaszanie ABI do GIODO Delegacja do nowego rozporządzenia © 2010 ENSI
Propozycje zmian dotyczących rejestracji zbiorów
Administrator danych, który powołał ABI jest zwolniony ze zgłoszenia do rejestracji/aktualizacji swoich zbiorów (za wyjątkiem zbiorów danych wrażliwych) W przypadku zgłoszenia zbiorów danych, pozytywna opinia ABI umożliwia rozpoczęcie przetwarzania danych bez potrzeby rejestracji przez GIODO © 2010 ENSI
Propozycja zmian w zakresie przeprowadzania kontroli
Założenie: ABI jako niezależny kontroler wewnętrzny może przejąć zadania kontrolne GIODO, bez ograniczania kompetencji samego organu ochrony danych osobowych
© 2010 ENSI
Korzyści dla ADO z wyznaczenia ABI
Uproszczona procedura rejestracji zbiorów danych – zgłoszenie do ABI Zwolnienie z procedury uprzedniej kontroli przy rejestracji zbiorów z danymi wrażliwymi Uproszczona forma kontroli przez GIODO
© 2010 ENSI
Pytania? Kontakt:
[email protected] www.sabi.org.pl www.ensi.net © 2010 ENSI