Tydzień przed 25 maja, czyli dniem, gdy RODO miało zgodnie z planem zacząć być stosowane bezpośrednio w prawie, rozmawialiśmy z mec. Tomaszem Klemtem z Kancelarii CZUBLUN TRĘBICKI. Tematem naszego webinaru było to, co może spotkać agentów i brokerów ubezpieczeniowych po tej magicznej dacie.

Przeczytaj poniżej fragment naszej rozmowy i obejrzyj na naszym kanale Youtube przygotowany przez nas webinar.

ZAŁÓŻ DARMOWE KONTO W INSLY

Maciej Biegajewski: Tomku, ostatnio spotkaliśmy się dokładnie 30 dni przed początkiem obowiązywania Rozporządzenia o Ochronie Danych Osobowych. Rozmawialiśmy wtedy o tym, w jaki sposób agenci i brokerzy ubezpieczeniowi mogą się jeszcze przygotować. Teraz czas na inne, prawie postapokaliptyczne pytanie. Jak według Ciebie będzie wyglądał świat po 25 maja?

Mec. Tomasz Klemt: Na pewno obudzimy się jak co dzień i te apokaliptyczne wizje się nie spełnią. Chociażby z tego względu, że firmy będą nadal w procesie implementacji RODO. Oczywiście, duże firmy wdrożą pewne wymogi, narzucą je na swoich podwykonawców, ale nadal będzie można prowadzić biznes. Tylko trzeba będzie robić to mądrze, z zachowaniem pewnych wymogów informacyjnych między innymi w stosunku klientów. Trzeba będzie stworzyć też więcej dokumentacji zarówno wewnętrznej oraz tej, którą dajemy klientowi do podpisu. Na pewno nie będzie też tak, że od razu zapuka do nas Inspektor z Urzędu Ochrony Danych Osobowych z kontrolą, dlatego że tych inspektorów po prostu tyle nie ma.

MB: Dzisiaj chcielibyśmy poruszyć kwestie związane z tym, z czym mogą spotkać się pośrednicy ubezpieczeniowi, gdy RODO będzie obowiązywać z wszelkimi konsekwencjami. W jaki sposób mogą być egzekwowane te regulacje. Głównym pytaniem, które bardzo często się powtarza, jest  czym tak będą „incydenty naruszenia bezpieczeństwa”?

TK: Przede wszystkim RODO nie posługuje się pojęciem „incydenty”, tylko posługuje się pojęciem „naruszenia bezpieczeństwa danych osobowych”. Co może być przykłądem takiego naruszenia? Nawet to, że mamy arkusz kalkulacyjny Excel, gdzie trzymamy dane klientów, odnowienia polis i tym podobne informacje. Bardzo wielu agentów w ten sposób proceduje. Czy nawet jakiś dedykowany system do tego. Tego otwartego laptopa zostawimy w kawiarni i pójdziemy na przykład do toalety. Nie mamy włączonego żadnego wygaszacza ekranu lub innego mechanizmu, który zablokował by nam ekran i wymagał ponownego zalogowania za pomocą hasła. Po powrocie widzimy, że laptop niby stoi w tym samym miejscu, ale teoretycznie ktoś mógł podejść do tego laptopa, włożyć pendrive’a, w szczególności, jeżeli nie mamy zablokowanego portu USB, i zgrać naszą bazę klientów i jednocześnie poznać imię, nazwisko, nawet fakty dotyczące zdrowia, nr PESEL i tak dalej, i tak dalej.

MB: W naszym ostatnim webinarze wspominaliśmy o tym, żeby identyfikować wszystkie momenty, kiedy przetwarzamy dane osobowe i zastosować odpowiednie procedury, by je chronić. Prawda?

TK: Tak. Często boimy się tego słowa „procedury”. Kojarzą nam się z jakimiś tomami algorytmów postępowania. A tak naprawdę procedura to na przykład… wygaszacz ekranu, to zablokowanie portów USB, to właśnie założenie nakładki na laptopa, żeby osoba z boku nic nie widziała. Naprawdę nie ma się czego bać.

MB: Tak jak wspomniałeś, mamy te naruszenia bezpieczeństwa, które rozróżniamy. Jeżeli dobrze zrozumiałem są naruszenia poważniejsze i mniej poważne, tak?

T: Tak. I my sami powinniśmy to ocenić, czy na przykład zostawiając właśnie laptopa w firmie, gdzie siedzi kolega obok i patrzył, czy nie podszedł do niego jakiś obcy to zagrożenie jest praktycznie żadne. W tym przypadku powinniśmy odnotować, że takie naruszenie miało miejsce, ale oceniliśmy jego zagrożenie jako znikome. Wniosek z tego jest taki, że na przyszłość nie zostawiamy laptopa bez opieki, blokujemy go lub wylogowujemy się. Inna rzecz, kiedy stwierdzimy, że naruszenie jest poważne. Wtedy są określone kroki, które powinniśmy podjąć.

M: No właśnie. Przy okazji RODO dużo o tym się mówi. To duża zmiana, w stosunku do poprzednich regulacji prawnych dotyczących ochrony danych osobowych. W RODO jest ściśle ustalony okres na zgłoszenie incydentu? To dokładnie 72h na zgłoszenie takiego naruszenia.

T: Tego poważnego, dodajmy.

M: Tego poważnego. Ale no właśnie… od którego momentu? Czy od momentu, tak jak część osób mówi, od momentu zaistnienia czy od momentu zauważenia?

T: Od momentu zauważenia. Czy inaczej rzecz ujmując, stwierdzenia – tak jak mówi RODO – naruszenia. I mamy te 72 godziny. Oznaczają one siedemdziesiąt dwie godziny zegarowe, całkowite, nie tylko robocze. Czyli jeżeli zauważymy w piątek o szesnastej, to niestety musimy w weekend sobie poradzić z tym zagrożeniem. Jest to podstawa też dla pracodawcy do zarządzenia godzin, nadgodzin dla pracowników.

MB: Dokładnie. Ja bardzo często uczulam na to. Wystarczy wyobrazić sobie taką sytuację w piątkowy wieczór w wigilię świąt Bożego Narodzenia. Niestety trzeba będzie na to zareagować zgodnie, jak wspominaliśmy, procedurami.

T: To też jest bardzo istotne, bo jeżeli jesteśmy administratorem to mamy 72h od momentu stwierdzenia naruszenia. Stwierdzamy, że ktoś nam się włamał do bazy, wykradł dane naszych klientów, w umowach ubezpieczenia. Co musimy zrobić? Musimy przede wszystkim stwierdzić, kiedy zaszło naruszenie, oszacować skutki, jak dużej liczby danych dotyczy naruszenie i to wszystko wpisać. Najlepiej mieć gotowy formularz wcześniej przygotowany, w ramach przygotowania do RODO. Taki formularz, dobrze przygotowany, wystarczy wtedy wysłać w ciągu 72h godzin. Jeżeli stwierdzimy, że jest wysokie ryzyko naruszenia praw i wolności osób fizycznych, chociażby taki przykład, jak ostatnio z Facebookiem, czy też w bankach, gdzie wyciekają dane klientów. Wtedy wysyłamy to do Prezesa Urzędu Ochrony Danych Osobowych. Klienci się często pytają: “nie dotrzymamy tego terminu, może lepiej nie mówić w ogóle?”. Nie. Chciałbym podkreślić, że należy wysłać to zgłoszenie, nawet z opóźnieniem, i wytłumaczyć przyczynę opóźnienia, bo one mogą być zupełnie obiektywne.

MB: „Naruszenia bezpieczeństwa”, tak jak jest to w RODO zapisane, to nie jedyne, co może nas spotkać po 25 maja. Wiemy też, że podmioty, które udostępniają dane osobowe, zyskują nowe prawa. Jest to między innymi prawo do zapomnienia czy też prawo do przenoszenia swoich danych.

T: Tak, i na przykład te prawo przenoszenia, tak z działalności ubezpieczeniowej może wyglądać w ten sposób, że osoba chce się przenieść od brokera do agenta. Od agenta do brokera. I poprosić: „Drogi były agencie, do tej pory obsługiwałeś mnie, proszę o kopię wszystkich danych mnie dotyczących, w ustrukturyzowanym formacie, najlepiej w Excelu, a ja to zaniosę brokera, bo chcę zmienić i jestem już na tyle dużym podmiotem, że na przykład moje pole ubezpieczeniowe jest atrakcyjne dla brokera i jego oferta jest bardziej atrakcyjna”. Taka sytuacja może zajść.

MB: Czy administrator danych osobowych ma obowiązek zrealizować każde z tych praw, które posiadają podmioty?

TK: Co do zasady – tak. Po to są prawa, żeby je egzekwować. Tak, jak moja profesor historii prawa powiedziała, że samo uprawnienie bez procedury i realizacji jest uprawnieniem martwym. Tak tutaj jest w przypadku tych praw osób fizycznych, więc je trzeba realizować, są określone sankcje za ich niezrealizowanie. Pamiętajmy jednak, drodzy państwo, że prawa też można nadużyć. To znaczy osoby, które mają te prawa, mogą je wykorzystywać w sposób nękający wręcz. To znaczy osoba co tydzień żąda kompletu informacji, jakie przechowuje administrator o niej. I RODO też zauważa ten problem i w takich przypadkach po prostu pierwsza informacja jest darmowa i na tym polega to prawo, że nie trzeba za nie płacić, ale późniejsze administrator może pobrać uzasadnioną opłatę, wynikającą z kosztów, jakie ponosi. Zaangażowania osoby, która musi obsłużyć to zapytanie. Być może trzeba coś wydrukować i tak dalej. To trzeba  skalkulować to jako jakiś realny koszt i taką opłatą można obciążyć.

MB: Wiele przedsiębiorstw obawia się, że będą pojawiać się telefony od różnych firm, które będą próbowały wykorzystać sytuację, że ktoś nie zdążył się dostosować na czas i wymuszać zapłacenie komuś za dyskrecję i gotowy pakiet dokumentów umożliwiający dostosowanie się do RODO W jaki sposób można reagować na takie próby wymuszenia?

TK: Nie jak można, ale jak trzeba. Szanowni państwo, tego typu praktyki to są ewidentne wymuszenia i tak naprawdę tego bym się bał, a nie tych urzędowych kontroli. Takie działania należy zdecydowanie potępić, nie uginać się. To najczęściej przyjmuje właśnie formę taką, jak mówiłeś, Maćku, „za dyskrecję” i dodatkowo zapłacenie za jakiś pakiet dokumentacji. Często 4 do nawet 16 tysięcy złotych. Takie próby należy zgłosić organom ścigania, jako ewidentne wymuszenia i ewidentne oszustwa. Znamy to też z działalności biznesowej, że były próby oszustwa na zarejestrowanie w jakichś rejestrach państwowych, przychodziły pisma z pieczęciami z orzełkiem państwowym. To jest tego typu próba oszustwa i wyłudzenia, z którą należy stanowczo i zdecydowanie walczyć.

ZAŁÓŻ DARMOWE KONTO W INSLY