Share30 dni do RODO – jak agent ubezpieczeniowy może się przygotować?
Mimo, że na dostosowanie się do regulacji RODO pośrednicy ubezpieczeniowi mieli ponad dwa lata to wielu z nich zostawiło to na ostatnią chwilę. W naszym ostatnim webinarze zadaliśmy sobie pytanie, czy agent ubezpieczeniowy jest w stanie dostosować się do tych regulacji w ciągu 30 dni?
Nasz ekspert, mec. Tomasz Klemt z Kancelarii CZUBLUN TRĘBICKI, stwierdził, że to możliwe choć bardzo ambitne zadanie.
Przygotowanie do RODO w 6 krokach
Od czego zacząć przygotowania do wdrożenia regulacji Rozporządzenia o Ochronie danych osobowych jeżeli czas nas nagli?
- Warto przede wszystkim zapoznać się z tym, czym są dane osobowe. Na wstępie zaznaczam, że w przypadku RODO mówimy o danych osobowych osób fizycznych. - sugeruje Tomasz Klemt. - Jednocześnie trzeba pamiętać, że obejmuje to także jednoosobowe działalności gospodarcze. Zwracam na to szczególną uwagę – dodaje ekspert.
Kiedy zapoznamy się z podstawowymi definicjami to możemy ze spokojnym sumieniem przejść do pierwszego kroku. Jest nim zidentyfikowanie czynności przetwarzania danych osobowych oraz wpisanie rodzaju wykonywanych czynności i okresu retencji danych do rejestru czynności przetwarzania danych osobowych.
Co to wszystko oznacza? Ten punkt sprowadza się do stworzenia dokumentu (najczęściej przybiera on formę arkusza Excel), w którym zawrzemy kilka szczegółowych informacji związanych z danymi osobowymi. W jednej z kolumn zdefiniować musimy, w którym z procesów biznesowych zachodzi przetwarzanie danych osobowych oraz kto jest administratorem tych danych. W tym dokumencie wskazujemy także podmioty pełniące rolę współadministratora oraz jedną z najistotniejszych rzeczy – cele przetwarzania danych osobowych.
Rejestr czynności przetwarzania danych osobowych dla agentów ubezpieczeniowych
Jak stworzyć rejestr czynności przetwarzania danych osobowych dobrze obrazuje przykład rekrutacji pracowników. Gdy do naszej multiagencji ubezpieczeniowej chcemy zrekrutować nowych pracowników to pozyskujemy od nich szereg danych osobowych: m.in. imię, nazwisko, adres e-mail oraz numer telefonu. W przypadku rekrutacji to nasza multiagencja jest administratorem danych. Jeżeli posiada ona inspektora ochrony danych osobowych to tutaj też należy o tym poinformować. Teraz należy określić cele przetwarzania danych, czyli w tym przypadku będzie proces rekrutacji i możliwość kontaktu z aplikującym kandydatem na stanowisko.
Pozostałe kolumny rejestru czynności przetwarzania danych osobowych to miejsce, w którym wskazujemy kategorię osób, których dane dotyczą oraz kategorię danych, które od nich zbieramy. Przy okazji rekrutacji będą to kandydacie do pracy, od których zbieramy takie dane jak np. imię i nazwisko, adres e-mail czy numer telefonu. Aby dokument ten spełniał swoją rolę należy określić także okres przetwarzania danych osobowych. Ponadto ważną kwestią jest wskazanie środków zabezpieczających, które wdrożyliśmy w celu ochrony przetwarzanych danych na potrzeby tego procesu.
- Pierwszy krok duże firmy bardzo często robią w formie audytu. To znaczy - przychodzą prawnicy, eksperci od spraw ochrony danych osobowych. - zauważa Tomasz Klemt - Jednakże wiemy dobrze, że agenci i brokerzy bardzo często działają w znacznie mniejszych organizacjach, w związku z tym, ten pierwszy krok możemy przeprowadzić także samodzielnie. - dodaje prawnik.
Co powinniśmy zrobić po zidentyfikowaniu czynności przetwarzania danych i przygotowania odpowiedniego rejestru?
- Kolejnym krokiem jest przygotowanie dokumentacji. Kancelaria CZUBLUN TRĘBICKI rekomenduje dziewięć podstawowych dokumentów. - dzieli się swoją wiedzą mec. Tomasz Klemt – Po przygotowaniu i wdrożeniu dokumentacji należy przekazać upoważnienia do przetwarzania danych osobowych naszym OFWC-om, pracownikom i tak dalej. Trzeba pamietać, by ewidencjonować te upoważnienia. - dodaje prawnik.
Przy okazji przekazywania upoważnień dobrze jest zadbać o zebranie oświadczeń, że pracownicy czy OFWC-e zapoznali się z zasadami ochrony danych osobowych w naszej firmie oraz przepisami prawa. To ważne ze względu na to, by pracownicy mieli świadomość jakie obowiązki na nich ciążą w tej kwestii.
- Piąty krok, to wielkie wyzwanie dla wielu agentów i brokerów ubezpieczeniowych - weryfikacja umów powierzenia z kontrahentami. - ostrzega Tomasz Klemt. - Przy tej kwestii pojawia się problem do rozważenia w przypadku agencji – czy ma być ona administratorem czy procesorem danych dla zakładu ubezpieczeń. - zastrzega prawnik.
Warto zwrócić uwagę, że weryfikacja umów dotyczy nie tylko współpracy z zakładami ubezpieczeń, ale z wielką ilością podmiotów, z którymi kooperują agencje.
Rekomendowana dokumentacja RODO dla agentów i brokerów ubezpieczeniowych
Kancelaria CZUBLUN TRĘBICKI zidentyfikowała i zarekomendowała 9 dokumentów, które agencje ubezpieczeniowe i brokerzy ubezpieczeniowi powinni wdrożyć w celu spełnienia nowych regulacji RODO.
Na tej liście znalazło się:
- Rejestr czynności przetwarzania danych osobowych
- Polityka bezpieczeństwa
- Procedura realizacji praw podmiotów danych
- Procedura w przypadku naruszenia
- Instrukcja zarządzania systemami informatycznymi (w przypadku ich posiadania)
- Upoważnienie do przetwarzania dla pracowników/współpracowników oraz ewidencji osób upoważnionych i oświadczenie upoważnionych pracowników
- Umowa powierzenia przetwarzania danych osobowych
- Instrukcja zarządzania kopiami zapasowymi (w przypadku ich tworzenia)
- Wzorcowe zgody oraz brzmienie obowiązku informacyjnego
Miło nam poinformować, że wzory tych dokumentów są dostępne bezpłatnie dla klientów programu dla agentów i brokerów ubezpieczeniowych Insly.