Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

Praktyczne aspekty ochrony
danych osobowych
w ubezpieczeniach
- zagrożenia i środki zaradcze
Maciej Byczkowski
© 2010 ENSI
Agenda prezentacji
Procesy przetwarzania danych
osobowych w branży ubezpieczeniowej
Problemy związane z wykonywaniem
obowiązków ochrony danych w firmach
ubezpieczeniowych
Praktyczne rozwiązania dotyczące
zapewnienia skutecznej ochrony
danych osobowych
Projekt SABI – zmiany ustawy odo
© 2010 ENSI
Złożoność problemu
przetwarzania danych
Różne produkty ubezpieczeniowe
Realizacja procesów przetwarzania:
Kanały zbierania danych
Akcje marketingowe
Powierzanie danych procesorom
Udostępnianie danych
Transfer danych do państwa trzeciego
Miejsca agregowania danych:
System IT
Archiwa papierowe
© 2010 ENSI
Rodzaje zbiorów
Zbiór danych klientów:
Zbiór danych potencjalnych klientów
Dane osób dotyczące zawartych umów
ubezpieczenia
Dane zawarte we wnioskach, na podstawie
których umowy nie zostały zawarte
Baza marketingowa
Zbiór danych osób wykonujących
czynności agencyjne
Zbiór danych respondentów
Rejestr korespondencji
© 2010 ENSI
Rodzaje zbiorów
Zbiór danych pracowników:
Zbiór danych kandydatów
do pracy
Zbiór danych współpracowników:
Dane dotyczące zatrudnienia
Dane osobowe dotyczące ZFŚS
Dane dotyczące spraw BHP
Dane osobowe zleceniobiorców
Zbiory powierzone przez innych ADO
© 2010 ENSI
Obowiązki administratora danych osobowych
Obowiązek spełnienia podstaw prawnych dla
przetwarzania danych (art.23, 27)
Obowiązek informacyjny (art. 24 - 25)
Obowiązek adekwatności, celowości i czasu
przetwarzania danych (art. 26)
Obowiązki przy udostępnianiu danych (art.29)
Obowiązki w razie powierzenia danych (art. 31)
Obowiązki związane z prawami osób, których dane
są przetwarzane (art.32 - 33)
Obowiązek zabezpieczenia danych (art. 36 - 39)
Obowiązek rejestracji zbioru danych (art.40)
Obowiązki przy przekazywaniu danych do państwa
trzeciego (47 - 48)
© 2010 ENSI
Problemy z wykonywaniem
obowiązków
Kwestie podstaw prawnych dla
przetwarzania danych
Problem „niespolisowanych” wniosków
Problem danych wrażliwych
Wymuszanie zgody na przetwarzanie
danych
Czas przetwarzania danych
Brak odpowiednich klauzul
informacyjnych
Brak pisemnych umów powierzenia
przetwarzania danych procesorom © 2010 ENSI
Problemy z wykonywaniem
obowiązków
Brak nadawania upoważnień do
przetwarzania danych osobowych
Brak odpowiedniego nadzoru nad
przetwarzaniem danych osobowych
Rola i zadania ABI
Brak wdrożonych zasad ochrony
danych osobowych – PBDO
Brak aktualizacji wniosków
zgłoszonych do GIODO
m.in. Kwestia procesorów
© 2010 ENSI
Praktyczne rozwiązania
dotyczące zapewnienia
skutecznej ochrony danych
osobowych
© 2010 ENSI
Praktyczne rozwiązania
Zarządzanie procesami przetwarzania
danych osobowych – podział zadań
Wyznaczenie ABI na niezależnym
stanowisku lub outsourcing roli ABI
Wprowadzenie skutecznych zasad
ochrony danych
Minimalizacja ryzyka prawnych
konsekwencji
Procedury dotyczące realizacji
poszczególnych obowiązków
Szkolenia z zasad ochrony
© 2010 ENSI
Procesy przetwarzania
danych osobowych
Zbieranie danych
Utrwalanie danych – wprowadzenie do
systemu, archiwum
Odczytywanie/zmiana/usuwanie danych
Archiwizowanie danych
Udostępnianie danych
Realizacja uprawnień osób (art. 32)
Powierzanie danych do przetwarzania
Rejestracja zbiorów
© 2010 ENSI
Zarządzanie procesami
Zarządzający procesem (KKO)
Uczestnik procesu
Odpowiedzialny za dany proces
Zarządza zasobem danych osobowych
Dopuszcza osoby do danych i procesu
Osoba dopuszczona do procesu
Wykonuje konkretne zadania przy
przetwarzaniu danych
Kontroler procesu (ABI)
Prowadzi nadzór nad przestrzeganiem
zasad ochrony danych w ramach
procesów
© 2010 ENSI
Polityka Bezpieczeństwa Danych
Osobowych
Dokument opisujący sposób przetwarzania
danych:
Obowiązki firmy jako ADO – wymogi prawne
Rodzaje (Kategorie) danych objętych ochroną
Zadania i zakresy odpowiedzialności osób przy
przetwarzaniu danych
Zasady dopuszczania osób do przetwarzania
danych osobowych
Zasady przetwarzania danych, w tym:
Zasady udostępniania i powierzania danych
Zasady wypełniania obowiązku informacyjnego
Zasady rejestracji i aktualizacji zbiorów danych
© 2010 ENSI
Polityka Bezpieczeństwa
Danych Osobowych
Zasady ochrony obszaru przetwarzania
danych
Zasady monitorowania ochrony danych
Zasady przetwarzania danych w systemie
IT oraz na nośnikach
Zasady archiwizacji danych i
przechowywania kopii zapasowych
Zasady postępowania w sytuacji
naruszenia zasad ochrony danych
Odpowiedzialność karna
Załączniki: wykazy, wzory, instrukcje © 2010 ENSI
Projekt SABI dotyczący
nowelizacji ustawy o
ochronie danych
osobowych
© 2010 ENSI
Zakres zmian
Status ABI
Rejestracja zbiorów danych osobowych
Zasady przeprowadzenia kontroli
© 2010 ENSI
Propozycja zmian Statusu ABI
Powołanie ABI
Zadania ABI
Kwalifikacje ABI
Niezależne stanowisko i możliwość
wykonywania obowiązków
Powołanie zastępcy ABI
Zgłaszanie ABI do GIODO
Delegacja do nowego rozporządzenia
© 2010 ENSI
Propozycje zmian dotyczących
rejestracji zbiorów
Administrator danych, który powołał
ABI jest zwolniony ze zgłoszenia do
rejestracji/aktualizacji swoich zbiorów
(za wyjątkiem zbiorów danych
wrażliwych)
W przypadku zgłoszenia zbiorów
danych, pozytywna opinia ABI
umożliwia rozpoczęcie przetwarzania
danych bez potrzeby rejestracji przez
GIODO
© 2010 ENSI
Propozycja zmian w zakresie
przeprowadzania kontroli
Założenie: ABI jako niezależny
kontroler wewnętrzny może przejąć
zadania kontrolne GIODO, bez
ograniczania kompetencji samego
organu ochrony danych osobowych
© 2010 ENSI
Korzyści dla ADO
z wyznaczenia ABI
Uproszczona procedura rejestracji
zbiorów danych – zgłoszenie do ABI
Zwolnienie z procedury uprzedniej
kontroli przy rejestracji zbiorów z
danymi wrażliwymi
Uproszczona forma kontroli przez
GIODO
© 2010 ENSI
Pytania?
Kontakt: [email protected]
www.sabi.org.pl
www.ensi.net
© 2010 ENSI