Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach
Transkrypt
Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach
Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach - zagrożenia i środki zaradcze Maciej Byczkowski © 2010 ENSI Agenda prezentacji Procesy przetwarzania danych osobowych w branży ubezpieczeniowej Problemy związane z wykonywaniem obowiązków ochrony danych w firmach ubezpieczeniowych Praktyczne rozwiązania dotyczące zapewnienia skutecznej ochrony danych osobowych Projekt SABI – zmiany ustawy odo © 2010 ENSI Złożoność problemu przetwarzania danych Różne produkty ubezpieczeniowe Realizacja procesów przetwarzania: Kanały zbierania danych Akcje marketingowe Powierzanie danych procesorom Udostępnianie danych Transfer danych do państwa trzeciego Miejsca agregowania danych: System IT Archiwa papierowe © 2010 ENSI Rodzaje zbiorów Zbiór danych klientów: Zbiór danych potencjalnych klientów Dane osób dotyczące zawartych umów ubezpieczenia Dane zawarte we wnioskach, na podstawie których umowy nie zostały zawarte Baza marketingowa Zbiór danych osób wykonujących czynności agencyjne Zbiór danych respondentów Rejestr korespondencji © 2010 ENSI Rodzaje zbiorów Zbiór danych pracowników: Zbiór danych kandydatów do pracy Zbiór danych współpracowników: Dane dotyczące zatrudnienia Dane osobowe dotyczące ZFŚS Dane dotyczące spraw BHP Dane osobowe zleceniobiorców Zbiory powierzone przez innych ADO © 2010 ENSI Obowiązki administratora danych osobowych Obowiązek spełnienia podstaw prawnych dla przetwarzania danych (art.23, 27) Obowiązek informacyjny (art. 24 - 25) Obowiązek adekwatności, celowości i czasu przetwarzania danych (art. 26) Obowiązki przy udostępnianiu danych (art.29) Obowiązki w razie powierzenia danych (art. 31) Obowiązki związane z prawami osób, których dane są przetwarzane (art.32 - 33) Obowiązek zabezpieczenia danych (art. 36 - 39) Obowiązek rejestracji zbioru danych (art.40) Obowiązki przy przekazywaniu danych do państwa trzeciego (47 - 48) © 2010 ENSI Problemy z wykonywaniem obowiązków Kwestie podstaw prawnych dla przetwarzania danych Problem „niespolisowanych” wniosków Problem danych wrażliwych Wymuszanie zgody na przetwarzanie danych Czas przetwarzania danych Brak odpowiednich klauzul informacyjnych Brak pisemnych umów powierzenia przetwarzania danych procesorom © 2010 ENSI Problemy z wykonywaniem obowiązków Brak nadawania upoważnień do przetwarzania danych osobowych Brak odpowiedniego nadzoru nad przetwarzaniem danych osobowych Rola i zadania ABI Brak wdrożonych zasad ochrony danych osobowych – PBDO Brak aktualizacji wniosków zgłoszonych do GIODO m.in. Kwestia procesorów © 2010 ENSI Praktyczne rozwiązania dotyczące zapewnienia skutecznej ochrony danych osobowych © 2010 ENSI Praktyczne rozwiązania Zarządzanie procesami przetwarzania danych osobowych – podział zadań Wyznaczenie ABI na niezależnym stanowisku lub outsourcing roli ABI Wprowadzenie skutecznych zasad ochrony danych Minimalizacja ryzyka prawnych konsekwencji Procedury dotyczące realizacji poszczególnych obowiązków Szkolenia z zasad ochrony © 2010 ENSI Procesy przetwarzania danych osobowych Zbieranie danych Utrwalanie danych – wprowadzenie do systemu, archiwum Odczytywanie/zmiana/usuwanie danych Archiwizowanie danych Udostępnianie danych Realizacja uprawnień osób (art. 32) Powierzanie danych do przetwarzania Rejestracja zbiorów © 2010 ENSI Zarządzanie procesami Zarządzający procesem (KKO) Uczestnik procesu Odpowiedzialny za dany proces Zarządza zasobem danych osobowych Dopuszcza osoby do danych i procesu Osoba dopuszczona do procesu Wykonuje konkretne zadania przy przetwarzaniu danych Kontroler procesu (ABI) Prowadzi nadzór nad przestrzeganiem zasad ochrony danych w ramach procesów © 2010 ENSI Polityka Bezpieczeństwa Danych Osobowych Dokument opisujący sposób przetwarzania danych: Obowiązki firmy jako ADO – wymogi prawne Rodzaje (Kategorie) danych objętych ochroną Zadania i zakresy odpowiedzialności osób przy przetwarzaniu danych Zasady dopuszczania osób do przetwarzania danych osobowych Zasady przetwarzania danych, w tym: Zasady udostępniania i powierzania danych Zasady wypełniania obowiązku informacyjnego Zasady rejestracji i aktualizacji zbiorów danych © 2010 ENSI Polityka Bezpieczeństwa Danych Osobowych Zasady ochrony obszaru przetwarzania danych Zasady monitorowania ochrony danych Zasady przetwarzania danych w systemie IT oraz na nośnikach Zasady archiwizacji danych i przechowywania kopii zapasowych Zasady postępowania w sytuacji naruszenia zasad ochrony danych Odpowiedzialność karna Załączniki: wykazy, wzory, instrukcje © 2010 ENSI Projekt SABI dotyczący nowelizacji ustawy o ochronie danych osobowych © 2010 ENSI Zakres zmian Status ABI Rejestracja zbiorów danych osobowych Zasady przeprowadzenia kontroli © 2010 ENSI Propozycja zmian Statusu ABI Powołanie ABI Zadania ABI Kwalifikacje ABI Niezależne stanowisko i możliwość wykonywania obowiązków Powołanie zastępcy ABI Zgłaszanie ABI do GIODO Delegacja do nowego rozporządzenia © 2010 ENSI Propozycje zmian dotyczących rejestracji zbiorów Administrator danych, który powołał ABI jest zwolniony ze zgłoszenia do rejestracji/aktualizacji swoich zbiorów (za wyjątkiem zbiorów danych wrażliwych) W przypadku zgłoszenia zbiorów danych, pozytywna opinia ABI umożliwia rozpoczęcie przetwarzania danych bez potrzeby rejestracji przez GIODO © 2010 ENSI Propozycja zmian w zakresie przeprowadzania kontroli Założenie: ABI jako niezależny kontroler wewnętrzny może przejąć zadania kontrolne GIODO, bez ograniczania kompetencji samego organu ochrony danych osobowych © 2010 ENSI Korzyści dla ADO z wyznaczenia ABI Uproszczona procedura rejestracji zbiorów danych – zgłoszenie do ABI Zwolnienie z procedury uprzedniej kontroli przy rejestracji zbiorów z danymi wrażliwymi Uproszczona forma kontroli przez GIODO © 2010 ENSI Pytania? Kontakt: [email protected] www.sabi.org.pl www.ensi.net © 2010 ENSI