RODO to nie tylko zagrożenie i ryzyko wysokich kar ale też szansa na unowocześnienie i dopasowanie ubezpieczeń do zmieniających się trendów konsumenckich, przekonuje dr Maciej Kawecki, koordynator krajowej reformy ochrony danych osobowych, w rozmowie z portalem beinsured.pl.
Piotr Czublun: Mówiliśmy o jednym z obszarów działalności zakładów ubezpieczeń. Na rynku istnieją też obawy dotyczące innego obszaru tej działalności, a mianowicie dystrybucji. Dzisiaj ogromna rzesza agentów ubezpieczeniowych pracuje w terenie, ma samochód, teczkę, a w niej laptopa z mnóstwem danych. Czy z perspektywy takiego małego przedsiębiorcy, który jest agentem ubezpieczeniowym, dostrzega Pan jakieś wyzwania?
dr Maciej Kawecki: – Wszystkie przepisy RODO w jednakowym stopniu dotyczą i małych, i średnich, i dużych, i ogromnych przedsiębiorców. Działanie każdego z nich będzie zagrożone taką samą sankcją, tj. 20 mln euro. To trzeba sobie bardzo jasno powiedzieć. Przepisy krajowe też nie wprowadzają w tym zakresie żadnych rozróżnień.
A co jeśli takiemu agentowi zakład ubezpieczeń powierzy przetwarzanie danych? Czy będzie to również ryzyko zakładu ubezpieczeń?
– Bardzo dobrze Pan powiedział, że będzie również. To znaczy, jeśli powierza się przetwarzanie danych komuś, kto jest podwykonawcą zakładu ubezpieczeń, a agent ubezpieczeniowy bardzo często jest, to wtedy odpowiedzialność ponosi i zakład jako administrator danych, i agent jako jego podwykonawca. Adresatem decyzji powinny być oba podmioty.
Ale czy to może oznaczać, że mniejsze podmioty, prowadzący jednoosobową działalność, których nie stać na inwestycje w jakiś zaawansowany system, powinni zniknąć z rynku?
– Absolutnie nie powinni zniknąć z rynku. Wręcz odwrotnie. Natomiast trzeba powiedzieć sobie o jednej rzeczy, że najbardziej czasogenne i kosztogenne są zmiany dotyczące systemów informatycznych. A systemy trzeba zmieniać, tam gdzie jest automatyzm podejmowania decyzji, gdzie występuje ogromna liczba żądań. Natomiast mały przedsiębiorca, który dostaje jedno na miesiąc żądanie usunięcia danych czy jedno na dwa miesiące żądanie przekazania danych innemu podmiotowi, nie musi tego automatyzować. On po prostu musi wiedzieć, że taki obowiązek istnieje i musi go zrealizować, a zarazem dbać o swoje dane osobowe tak, żeby dostęp do nich uzyskiwała tylko osoba upoważniona, np. pracownik, który został upoważniony do przetwarzania danych osobowych.
A czy Pana zdaniem, ubezpieczyciele, którzy dopiero dzisiaj zabierają się za temat RODO, czy nie są za bardzo opóźnieni?
– Wszystko zależy od wielkości. Jeżeli ktoś potrzebuje zmiany systemu, to jest opóźniony. Natomiast jeżeli mówimy o malutkich podmiotach, to można powiedzieć, że jest to ostatni moment, kiedy można się rzetelnie do tego prawa przygotować.
Ostatnie pytanie: czy z perspektywy biznesowej, Pana zdaniem, RODO może być szansą dla branży ubezpieczeniowej czy bardziej jest to zagrożenie?
– RODO jest szansą, ale też nie jest aktem probiznesowym i sprzedawanie go w taki sposób jest kłamstwem. RODO jest aktem prawnym, które ma chronić obywateli. Natomiast rzeczywiście można go sprzedać probiznesowo i dopatrzeć się w nim pewnych probiznesowych instrumentów. Sprzedać go można probiznesowo, ponieważ jeśli go wdroży jakaś spółka i uzyska certyfikat bezpieczeństwa to się wyróżnia na rynku spośród tych, co go nie mają. Natomiast oprócz tego, RODO wprowadza małe rozwiązania probiznesowe, np. możliwość przedstawiania pewnych wymogów, a więc klauzul prawnych za pomocą znaków graficznych, czego dzisiaj nie ma. Ubezpieczyciel dzięki temu nie musi odstraszać nudnymi elaboratami prawnymi, tylko może wykorzystać ciekawy w swojej treści, kolorystyce znak graficzny. To działa na takiej samej zasadzie, jak dzisiaj serwisy internetowe wykorzystują znaki dotyczące plików cookies i pojawiają się śmieszne ciasteczka.
Drugi to taki, że znaczna część tych obowiązków, o których mówię, np. prawo żądania okazania kopii danych, może być realizowana pod warunkiem wniesienia przez obywatela opłaty, czyli poniesienia kosztów po stronie przedsiębiorcy, oczywiście jeżeli są spełnione przesłanki wynikające z rozporządzenia. Jest to kolejna rzecz probiznesowa, ponieważ dzisiaj takiego uprawnienia nie ma.
Podsumowując, bać się tego RODO, czy się go nie bać?
– Nie bać, natomiast być świadomym, że jeżeli dojdzie do naruszenia, to kara może nas zabić. Ubezpieczyciele są o tyle w lepszej sytuacji, że są, tak jak banki, sektorem mocno uregulowanym.
A więc nie chowajmy głowy w piasek ale miejmy pełną świadomość wymagań i się do nich dostosujmy.
Pierwsza część wywiadu jest opublikowana na portalu beinsured.pl pod linkiem.
CV
Dr Maciej Kawecki jest absolwentem Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie, na którym obronił pracę doktorską nt. unijnej reformy ochrony danych osobowych. Studiował również na Uniwersytecie w Sztokholmie oraz Uniwersytecie J.W. Goethego we Frankfurcie nad Menem. Jest Zastępcą Dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, koordynuje krajową reformę ochrony danych osobowych. W latach 2016–2017 pracował jako doradca w Gabinecie Ministra Cyfryzacji. Wcześniej związany był z Biurem Generalnego Inspektora Ochrony Danych Osobowych.