Co agent ubezpieczeniowy powinien wiedzieć o RODO (cz. I)?

Specjalista: Piotr Czublun

Stanowisko: radca prawny, partner w Kancelarii CZUBLUN TRĘBICKI

Data dodania: 24-01-2018

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. - ogólne rozporządzenie o ochronie danych (RODO) zacznie w całości obowiązywać 25 maja 2018 roku.

RODO nakłada szereg nowych obowiązków na przedsiębiorców przetwarzających dane osobowe, o czym już wielokrotnie pisaliśmy na łamach beinsured.pl. Pytanie jednak, co te nowe przepisy oznaczają dla agenta ubezpieczeniowego? Co taki agent powinien wiedzieć, aby móc w odpowiedni sposób przygotować się do wejścia w życie RODO? Czy w jakikolwiek sposób sytuacja agenta wyłącznego różni się od sytuacji multiagenta.

Na początek warto wyjaśnić dwa podstawowe pojęcia wynikające z RODO, które determinują obowiązki, jakie mogą obciążać agenta ubezpieczeniowego. Pierwsze, to „administrator” (przepisy obecnie obowiązującej ustawy o ochronie danych osobowych posługują się pojęciem „administratora danych osobowych”), czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Drugie pojęcie, to „podmiot przetwarzający”, czyli osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. W zależności od tego, do której kategorii zaliczymy agenta ubezpieczeniowego – nieco inaczej będą wyglądać jego obowiązki wynikające z RODO.

Nie ulega wątpliwości, że każdy agent (niezależnie, czy będzie to agent wyłączny, czy multiagent), będzie działać jako podmiot przetwarzający dane osobowe w imieniu administratora, jakim jest zakład ubezpieczeń, w zakresie tych danych, które obejmują informacje o kliencie niezbędne do zawarcia i wykonania umowy ubezpieczenia.

Powierzenie przetwarzania danych wymaga zawarcia umowy pomiędzy administratorem, a podmiotem przetwarzającym, która to umowa powinna regulować m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Generalna zasada wynikająca z art. 28 RODO mówi również, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.

Szczegółowe wymogi, nałożone również na podmiot przetwarzający to m.in. wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających w stosownym przypadku (wszystko przy uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia):

  1.  pseudonimizację i szyfrowanie danych osobowych;
  2.  zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3.  zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4.  regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Agent ubezpieczeniowy zatrudniający co najmniej 250 osób, lub przetwarzający dane m.in. o stanie zdrowia osób fizycznych, będzie też zobowiązany do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierającego m.in. następujące informacje: imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający; kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Taki agent będzie też zobowiązany do wyznaczenia inspektora ochrony danych.

Omówione wyżej przepisy to tylko wycinek obowiązków, jakie RODO nakłada na podmioty przetwarzające, w tym również na agentów ubezpieczeniowych. Jednak już na tych przykładach widać, że przepisy te będą dużym wyzwaniem dla wielu agentów. Z całą pewnością nie każdego będzie stać m.in. na wdrożenie zaawansowanych narzędzi informatycznych, a tylko to pozwoli na zrealizowanie wymogów wynikających z RODO, a warto pamiętać, że ubezpieczyciele powinni korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.

Komentarze (0)
lista opinii