Inspektor Ochrony Danych w sektorze ubezpieczeniowym 

BySylwia Ostrowska
inspektor ochrony danych
Ubezpieczenia w naszym kraju są ważne zarówno dla firm jak i osób fizycznych… 

Ubezpieczenia w czasach PRL-u kojarzone są z monopolem państwa. Dzisiaj sektor ubezpieczeniowy wygląda już zupełnie inaczej. Oczywiście Państwo nadal daje możliwości ubezpieczeniowe, ale większość rynku należy do firm prywatnych. Obecnie zakłady ubezpieczeń funkcjonujące na regulowanym rynku są instytucjami zaufania publicznego. Pełnią one istotną rolę w gospodarce rynkowej współorganizując rynek ubezpieczeniowy. Ubezpieczyciele tworzą i finansują Ubezpieczeniowy Fundusz Gwarancyjny, który zabezpiecza wypłatę świadczeń w określonych sytuacjach. UFG pełni rolę administratora systemu ubezpieczeń obowiązkowych. Coraz więcej administratorów danych z sektora ubezpieczeń zapewnia, że dostosowało swój system ochrony danych do wymogów RODO. Część z nich deklaruje również, że powołała Inspektora Ochrony Danych (IOD), który stoi na straży przestrzegania zasad ochrony danych w organizacji.

Obowiązek powołania Inspektora Ochrony Danych w sektorze ubezpieczeniowym 

Dobrze, że przedsiębiorcy deklarują, iż powołali Inspektora Ochrony Danych w ramach prowadzonych działalności ubezpieczeniowych. I tak jak w przypadku dużych firm (zakładów ubezpieczeń) jestem przekonany, że jest tak w rzeczywistości. Niestety już w przypadku pośredników pewności tej nie mam. Powołanie Inspektora Ochrony Danych wynika nam wprost z art. 37 RODO. Artykuł ten wskazuje sytuacje w których chcemy czy nie chcemy musimy wyznaczyć Inspektora Ochrony Danych. Firmy działające w sektorze ubezpieczeniowym są podmiotami zobligowanymi do wyznaczenia Inspektora Ochrony Danych w ramach swojej działalności. Muszą to zrobić, ponieważ m.in. ich główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych. Ten wymóg jest m.in. skierowany do podmiotów z branży ubezpieczeniowej. Będą to np.: firmy ubezpieczeniowe, agenci, osoby wykonujące czynności agencyjne (OWCA), a w szczególności świadczące usługi w zakresie ubezpieczeń na życie lub zdrowotnych. Kolejny wymóg pojawia się nam w zakresie konieczności wyznaczenia IOD w przypadku prowadzenia operacji przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Niechybnie Inspektor Ochrony Danych w branży ubezpieczeniowej musi być… 

Początki obowiązywania RODO nie wskazywały jak ważną rolę będzie pełnił Inspektor Ochrony Danych. Firmy działające w różnych sektorach nie zawsze odczuwały potrzebę wyznaczania IOD w swoich zespołach. Oczywiście, znajdujący się w RODO obowiązek wyznaczenia IOD może być odebrany jako mało precyzyjny, ale zabieg jest celowy, bo pozwala Administratorowi przeprowadzić analizę i podjąć decyzję czy on się do tej grupy zalicza. Oczywiście to Administrator decyduje, ale ważne, aby podjął właściwą decyzję. Wskazane wyżej przesłanki wyraźnie wskazują, że całość sektora ubezpieczeniowego podlega pod obowiązkowe wyznaczenie Inspektora Ochrony Danych. Wskazówka w zakresie przetwarzania danych szczególnych kategorii, do których zalicza się stan zdrowia nie pozostawia żadnych złudzeń. Niemal każdy z podmiotów z tej branży – w szczególności oferujący lub obsługujący ubezpieczenia na życie – przetwarza szereg danych opisujących stan zdrowia klientów, w tym dane dotyczące ich aktualnej kondycji i dane dotyczące przebytych chorób czy kontuzji. Kolejne odniesienie do regularnego i systematycznego monitorowania osób też znajdziemy w ubezpieczeniach. Najważniejsze dla sektora ubezpieczeń jest objęcie zakresem tego pojęcia profilowania i oceniania dla celów oceny ryzyka (np. dla ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy). Ewidentnie Inspektor Ochrony Danych powinien być członkiem organizacji działającej w sektorze ubezpieczeniowym.

Firmy świadczące usługi agencyjne czy też będące multiagentami ignorują obowiązek powołania IOD… 

Nie moją rolą jest oceniać Administratorów danych czy podmioty przetwarzające dane, zrobi to doskonale Urząd Ochrony Danych Osobowych. Widzimy, że nie tylko duża firma ubezpieczeniowa musi wyznaczyć Inspektora Ochrony Danych, ale i te małe, działające często na rzecz firm ubezpieczeniowych. Jak już wspomniałem powyżej duże zakłady ubezpieczeń wiedzą i z posiadają Inspektora Ochrony Danych. Niestety już firmy świadczące usługi agencyjne czy też będące multiagentami nie analizują nawet przesłanek. Przesłanek, wyraźnie wskazujących: jeżeli jesteś przedsiębiorcą przetwarzającym dane o stanie zdrowia na dużą skalę, musisz powołać IOD. Jeśli dokonujesz oceny ryzyka ubezpieczeniowego celem ustalenia wysokości składek ubezpieczeniowych również Musisz powołać IOD. 

Obowiązek wyznaczenia IOD spoczywa nie tylko administratorach danych osobowych… 

Te mniejsze podmioty często pozostają w błędzie, zakładając, iż występują one w roli podmiotów przetwarzających dane na zlecenie zakładów ubezpieczeń. Faktycznie, zakłady ubezpieczeniowe są administratorami danych, jednakże wskazywany już art. 37 RODO odnosi się również do podmiotów przetwarzających. Skoro odnosi się też do podmiotów przetwarzających, to brokerzy ubezpieczeniowy mają również obowiązek wyznaczenia Inspektora Ochrony Danych. Aby nie popełnić błędu poprzez nie wyznaczenie IOD, te małe firmy powinny przeanalizować wskazane wyżej przesłanki i podjąć właściwą decyzję. Pamiętajmy, że multiagencje, współpracują z szeregiem różnych ubezpieczycieli, a co za tym idzie – często mających rozległe bazy danych klientów. Oczywiście, nie zawsze będzie istniała konieczność wyznaczenia Inspektora Ochrony Danych. Spotyka się też osoby fizyczne działające w formie jednoosobowych działalności gospodarczych i świadczące usługi zazwyczaj na rzecz jednego ubezpieczyciela. Co do zasady takie podmioty nie będą spełniały kryterium przetwarzania danych na dużą skalę. W tym przypadku  zwalnia je to z obowiązku powoływania IOD.

Musimy mieć Inspektora Ochrony Danych, ale jak go wybrać …

Jak wiemy, że wyznaczamy IOD, to pojawia się pytanie kogo wybrać. Można oczywiście zatrudnić osobę, a etat w organizacji i mieć ją stale pod ręką. Można, ale trzeba pamiętać, że taka forma ma swoje ograniczenia. Osoba na etacie to koszt, bo dobry Inspektor Ochrony Danych nie jest tani, a trzeba doliczyć opłaty na rzecz Państwa. Taki IOD na etacie to jeszcze pójdzie na urlop i nikt go nie zastąpi, a także może być chory i co wtedy? Oczywiście, decyzja należy do administratorów, ale ja osobiście polecam modne rozwiązanie, czyli wybór zewnętrznego Inspektora Ochrony Danych. Ta forma jest bezpieczniejsza i wygodniejsza, zwłaszcza dla mniejszych podmiotów. Koszt jest z reguły niższy, wiemy, że profesjonalne firmy zapewniają zastępstwo (tzw. Zastępców Inspektora Ochrony Danych), a do tego stawiają na szkolenia i podnoszą wiedzę tych osób.

Rosnąca rola Inspektorów Ochrony Danych …

Przykładów konieczności posiadania IOD-a na pokładzie swojej organizacji można by znaleźć wiele, ale na pewno przyda się on w przypadku naruszeń. Urząd Ochrony Danych Osobowych działa prężnie i nie dość, że prowadzi postępowania to również wydaje decyzje dotyczące firm ubezpieczeniowych. Rzadko są to decyzję korzystne dla sektorów ubezpieczeniowych. Przykładem może być: Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. . Mając na uwadze potrzeby rynku i aktualną praktykę, można stwierdzić, że w sektorze ubezpieczeniowym outsourcing funkcji IOD sprawdza się bardzo dobrze. Pełnienie funkcji IOD w tej branży wymaga nie tylko wiedzy, lecz także doświadczenia i wypracowania gotowych rozwiązań.

Wybierz właściwie, a będziesz zgodny z wymaganiami RODO… 

Podsumowując, branża ubezpieczeniowa, to branża mająca obowiązek wyznaczania Inspektorów Ochrony Danych. Skoro muszą posiadać IOD, to warto wybrać takiego, który ma doświadczenie w tym sektorze, który bądź co bądź jest specyficzny. Doświadczenie powinno iść w parze z wiedzą i wsparciem. Wsparcie zapewni na pewno zespół. Skoro zespół, to aby ograniczyć koszty wracamy do postawienia na outsourcing Inspektora Ochrony Danych. Pamiętajmy, że Inspektorzy Ochrony Danych z wyspecjalizowanych firm zewnętrznych, którzy są obecni przy kontrolach UODO swoich klientów, zdobywają również szybko niezbędne doświadczenie i kontrola nie przysparza im tyle wyzwań  i stresu. Niektórzy stawiają na Radców Prawnych zatrudnionych w swoich organizacjach, powierzając im również zadania IOD. Oczywiście nie mówię nie, ale pamiętać należy, że osoby te muszą też pozyskać szczegółową wiedzę  z zakresu ochrony danych osobowych.

Warto wiedzieć

Wykonywanie czynności IOD-a nie może być kwalifikowane jako świadczenie pomocy prawnej, mimo że obszary te mają pewne wspólne zakresy. Ze względu na możliwy konflikt interesów nie zaleca się jednak łączenia obu funkcji w ramach jednego podmiotu. I jeszcze jedno, IOD nie jest czynnością prawniczą, a osobną funkcją. Związane z nią działania nie są objęte ochroną w ramach ubezpieczenia odpowiedzialności cywilnej radcy prawnego. Wyspecjalizowane firmy posiadają dedykowane ubezpieczenia o czym zapewne wie wiele osób czytających ten artykuł.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *