Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach - zagrożenia i środki zaradcze Maciej Byczkowski
Agenda prezentacji Procesy przetwarzania danych osobowych w branży y ubezpieczeniowej Problemy związane zane z wykonywaniem obowiązk zków w ochrony danych w firmach ubezpieczeniowych Praktyczne rozwiązania zania dotyczące ce zapewnienia skutecznej ochrony danych osobowych Projekt SABI zmiany ustawy odo
Złożoność problemu przetwarzania danych Różne produkty ubezpieczeniowe Realizacja procesów w przetwarzania: Kanały y zbierania danych Akcje marketingowe Powierzanie danych procesorom Udostępnianie danych Transfer danych do państwa trzeciego Miejsca agregowania danych: System IT Archiwa papierowe
Rodzaje zbiorów Zbiór r danych klientów: Dane osób b dotyczące ce zawartych umów ubezpieczenia Dane zawarte we wnioskach, na podstawie których umowy nie zostały y zawarte Zbiór r danych potencjalnych klientów Baza marketingowa Zbiór r danych osób b wykonujących czynności ci agencyjne Zbiór r danych respondentów Rejestr korespondencji
Rodzaje zbiorów Zbiór r danych pracowników: w: Dane dotyczące ce zatrudnienia Dane osobowe dotyczące ce ZFŚS Dane dotyczące ce spraw BHP Zbiór r danych kandydatów do pracy Zbiór r danych współpracownik pracowników: w: Dane osobowe zleceniobiorców Zbiory powierzone przez innych ADO
Obowiązki administratora danych osobowych Obowiązek spełnienia podstaw prawnych dla przetwarzania danych (art.23, 27) Obowiązek informacyjny (art. 24-25) Obowiązek adekwatności, celowości ci i czasu przetwarzania danych (art. 26) Obowiązki przy udostępnianiu danych (art.29) Obowiązki w razie powierzenia danych (art. 31) Obowiązki związane zane z prawami osób, których dane są przetwarzane (art.32-33) Obowiązek zabezpieczenia danych (art. 36-39) Obowiązek rejestracji zbioru danych (art.40) Obowiązki przy przekazywaniu danych do państwa trzeciego (47-48)
Problemy z wykonywaniem obowiązk zków Kwestie podstaw prawnych dla przetwarzania danych Problem niespolisowanych wniosków Problem danych wrażliwych Wymuszanie zgody na przetwarzanie danych Czas przetwarzania danych Brak odpowiednich klauzul informacyjnych Brak pisemnych umów w powierzenia przetwarzania danych procesorom
Problemy z wykonywaniem obowiązk zków Brak nadawania upoważnie nień do przetwarzania danych osobowych Brak odpowiedniego nadzoru nad przetwarzaniem danych osobowych Rola i zadania ABI Brak wdrożonych onych zasad ochrony danych osobowych PBDO Brak aktualizacji wniosków zgłoszonych do GIODO m.in. Kwestia procesorów
Praktyczne rozwiązania zania dotyczące ce zapewnienia skutecznej ochrony danych osobowych
Praktyczne rozwiązania zania Zarządzanie procesami przetwarzania danych osobowych podział zadań Wyznaczenie ABI na niezależnym nym stanowisku lub outsourcing roli ABI Wprowadzenie skutecznych zasad ochrony danych Minimalizacja ryzyka prawnych konsekwencji Procedury dotyczące ce realizacji poszczególnych obowiązk zków Szkolenia z zasad ochrony
Procesy przetwarzania danych osobowych Zbieranie danych Utrwalanie danych wprowadzenie do systemu, archiwum Odczytywanie/zmiana/usuwanie danych Archiwizowanie danych Udostępnianie danych Realizacja uprawnień osób b (art. 32) Powierzanie danych do przetwarzania Rejestracja zbiorów
Zarządzanie procesami Zarządzaj dzający procesem (KKO) Odpowiedzialny za dany proces Zarządza zasobem danych osobowych Dopuszcza osoby do danych i procesu Uczestnik procesu Osoba dopuszczona do procesu Wykonuje konkretne zadania przy przetwarzaniu danych Kontroler procesu (ABI) Prowadzi nadzór r nad przestrzeganiem zasad ochrony danych w ramach procesów
Polityka Bezpieczeństwa Danych Osobowych Dokument opisujący sposób b przetwarzania danych: Obowiązki firmy jako ADO wymogi prawne Rodzaje (Kategorie) danych objętych ochroną Zadania i zakresy odpowiedzialności osób b przy przetwarzaniu danych Zasady dopuszczania osób b do przetwarzania danych osobowych Zasady przetwarzania danych, w tym: Zasady udostępniania i powierzania danych Zasady wypełniania obowiązku informacyjnego Zasady rejestracji i aktualizacji zbiorów w danych
Polityka Bezpieczeństwa Danych Osobowych Zasady ochrony obszaru przetwarzania danych Zasady monitorowania ochrony danych Zasady przetwarzania danych w systemie IT oraz na nośnikach nikach Zasady archiwizacji danych i przechowywania kopii zapasowych Zasady postępowania powania w sytuacji naruszenia zasad ochrony danych Odpowiedzialność karna Załą łączniki: wykazy, wzory, instrukcje
Projekt SABI dotyczący cy nowelizacji ustawy o ochronie danych osobowych
Zakres zmian Status ABI Rejestracja zbiorów w danych osobowych Zasady przeprowadzenia kontroli
Propozycja zmian Statusu ABI Powołanie ABI Zadania ABI Kwalifikacje ABI Niezależne stanowisko i możliwo liwość wykonywania obowiązk zków Powołanie zastępcy ABI Zgłaszanie ABI do GIODO Delegacja do nowego rozporządzenia
Propozycje zmian dotyczących cych rejestracji zbiorów Administrator danych, który powołał ABI jest zwolniony ze zgłoszenia do rejestracji/aktualizacji swoich zbiorów (za wyjątkiem zbiorów w danych wrażliwych) W przypadku zgłoszenia zbiorów danych, pozytywna opinia ABI umożliwia rozpoczęcie cie przetwarzania danych bez potrzeby rejestracji przez GIODO
Propozycja zmian w zakresie przeprowadzania kontroli Założenie: ABI jako niezależny ny kontroler wewnętrzny może e przejąć zadania kontrolne GIODO, bez ograniczania kompetencji samego organu ochrony danych osobowych
Korzyści dla ADO z wyznaczenia ABI Uproszczona procedura rejestracji zbiorów w danych zgłoszenie do ABI Zwolnienie z procedury uprzedniej kontroli przy rejestracji zbiorów w z danymi wrażliwymi Uproszczona forma kontroli przez GIODO
Pytania? Kontakt: maciej.byczkowski@ensi.net www.sabi.org.pl www.ensi.net