Edukacja

Nowe przepisy RODO w branży ubezpieczeniowej

4 530

Przepisy unijnego rozporządzenia o ochronie danych osobowych (tzw. RODO) przedefiniowują znany do tej pory system ochrony danych. U podstaw stosowania nowych przepisów legła bowiem zasada rozliczalności. Administrator, po przeprowadzeniu szacowania ryzyka związanego z przetwarzaniem danych, podejmie decyzję, co do rodzaju środków i zabezpieczeń jakie zastosuje. Będzie on zatem odpowiedzialny za respektowanie przepisów RODO oraz za wykazanie ich przestrzegania. Poniżej przedstawiono dwa zagadnienia, które szczególnie dotyczyć będą branży ubezpieczeniowej.

Nowe przepisy RODO w branży ubezpieczeniowej

Przetwarzanie danych wrażliwych

Ustawodawca zrezygnował z obowiązku wyrażania pisemnej zgody na przetwarzanie tzw. danych wrażliwych. W obecnym stanie prawnym, przetwarzanie danych wrażliwych przez zakłady ubezpieczeń wymaga zdobycia pisemnej zgody od osoby (art. 38 i 39 ustawy o działalności ubezpieczeniowej i reasekuracyjnej), której dane medyczne mają być przetwarzane. Zgoda ta również wynika z brzemienia art. 27 ust 2 pkt 1 ustawy o ochronie danych osobowych. RODO wymaga natomiast złożenia wyraźniej zgody w przypadku przetwarzania danych wrażliwych, co oznacza, że forma pisemna na przetwarzanie takich danych nie powinna być już wymagana.

Profilowanie

RODO wprowadziło do porządku prawnego pojęcie i zasady profilowania. Samo profilowanie nierzadko jest częścią procesu oceny ryzyka w zakładzie ubezpieczeń. Ocena ta może być wykonywana przez człowieka, jak również w sposób zautomatyzowany. Zakłady ubezpieczeń w sytuacji zautomatyzowanego podejmowania decyzji (w tym profilowania) będą musiały informować o przedmiotowym fakcie osobę, której dane dotyczą. Następnie, osoba ta będzie mogła wyrazić sprzeciw wobec profilowania. Ponieważ taki sprzeciw może uniemożliwić prawidłową ocenę ryzyka ubezpieczeniowego oraz zwiększyć koszty wykonania takiej oceny podnoszą się głosy, iż nasz krajowy ustawodawca winien wprowadzić przepisy szczególne regulujące prawo zakładów ubezpieczeń do dokonywania profilowania.

Opisane powyżej pojęcia stanowią jedynie część znacznych zmian, które dotkną administratorów danych osobowych - w tym branżę ubezpieczeniową. Trzeba również pamiętać o pozostałych zmianach, które znajdą zastosowanie do wszystkich administratorów danych osobowych, jak np.: rozszerzenie klauzul informacyjnych, rozszerzenie praw osób, których dane dotyczą, wprowadzenie wysokich kar za nieprzestrzeganie przepisów ochrony danych osobowych czy też zupełnie inny wymiar obowiązków w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu ochronę przetwarzanych danych. Przed administratorami danych osobowych stoi wielkie wyzwanie. RODO zacznie obowiązywać od dnia 25 maja 2018 roku. Jednak należy zdać sobie sprawę, iż okres, który do tej daty pozostał jest niewystarczający na wdrożenie wytycznych zawartych w unijnym rozporządzeniu.

Anna Dmochowska