RODO przynosi największą zmianę przepisów dotyczących ochrony danych osobowych od 21 lat !
Zbliżający się termin wejścia w życie RODO (25 maja) budzi wiele obaw wśród podmiotów, które w swojej codziennej pracy, przetwarzają dane osobowe. Do grona takich podmiotów należą również agenci ubezpieczeniowi. Dzisiejszą publikacją rozpoczynamy cykl artykułów dotyczących RODO. W przystępnej formie, przy wykorzystaniu przykładów z pracy pośrednika, będziemy wyjaśniać zasady prawidłowego i bezpiecznego przetwarzania danych osobowych klientów PZU.
Przyczyny wprowadzenia RODO
Celem RODO jest ujednolicenie na obszarze Unii Europejskie przepisów dotyczących ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych, oraz przepisów o swobodnym przepływie danych osobowych między państwami członkowskimi.
Do stosowania RODO zobowiązane są wszystkie pomioty przetwarzające dane osobowe osób fizycznych na terytorium Unii Europejskiej. RODO nie ma ograniczeń branżowych. W równym stopniu przepisy rozporządzenia zobowiązane są stosować instytucje finansowe (zakłady ubezpieczeń, banki) jak i przedsiębiorcy z branży turystycznej czy informatycznej. RODO dotyczy zarówno przedsiębiorców działających w sektorze prywatnym jak i publicznym.
Czym są dane osobowe ?
Dane osobowe oznaczają informacje o zidentyfikowanej albo możliwej do zidentyfikowania osobie fizycznej. Według RODO osobę fizyczną można zidentyfikować w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny (np. PESEL), dane o lokalizacji (np. adres zamieszkania), identyfikator internetowy (np. login), numer polisy ubezpieczeniowej, numer rejestracyjny pojazdu.
Zakres stosowania RODO
RODO ma zastosowanie do przetwarzania danych osób fizycznych, w tym osób fizycznych prowadzących działalność gospodarczą.
RODO nie ma zastosowania do przetwarzania danych osób prawnych (np. spółek akcyjnych, spółek z ograniczoną odpowiedzialnością, banków, jednostek samorządu terytorialnego, fundacji, szkół wyższych, spółdzielni). Rozporządzenia nie stosuje się również do przetwarzania danych osób zmarłych i osób fikcyjnych.
Przetwarzanie danych
Przetwarzanie oznacza pojedynczą operację albo zestaw operacji wykonywanych na danych osobowych. Przetwarzaniem będzie więc np.: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie czy samo przeglądanie danych.
W celu zawarcia umowy ubezpieczenia albo przedstawienia klientowi oferty ubezpieczenia przetwarzane są dane osobowe.
Czy agent jest administratorem czy procesorem ?
Administratorem jest podmiot, któremu osoba której dane dotyczą, udostępniła swoje dane osobowe. Np. administratorem danych klientów PZU SA jest PZU SA. Administrator może powierzyć przetwarzanie danych, którymi administruje, innemu podmiotowi tzw. procesorowi. Procesor (nazywany również „podmiotem przetwarzającym”) to ten, kto w imieniu administratora przetwarza powierzone mu dane.
Najliczniejszą grupą procesorów w PZU SA są agenci ubezpieczeniowi. Zakres, cel oraz szczegółowe zasady przetwarzania przez procesorów danych klientów PZU SA, określa umowa agencyjna oraz dodatkowe instrukcje i wytyczne, które mogą być doręczone agentowi.
Odpowiedzialność administratora i procesora
Zarówno administrator jak i procesor ponoszą odpowiedzialność:
administrator
odpowiada za szkody spowodowane przetwarzaniem danych w sposób naruszający RODO
procesor
odpowiada za szkody spowodowane przetwarzaniem danych gdy nie dopełnił obowiązków, które RODO na niego nakłada np. w zakresie bezpieczeństwa danych (dostęp do danych mają osoby nieuprawnione) albo gdy procesor działa z naruszeniem umowy agencyjnej, zasad i instrukcji określonych przez administratora.
Za naruszenia RODO, zarówno w przypadku administratora jak i procesora, organ nadzoru może zdecydować o nałożeniu administracyjnej kary pieniężnej (do 20 mln euro lub do 4 % wartości rocznego światowego obrotu przedsiębiorstwa).
WAŻNE:
PZU ponosi odpowiedzialność za przetwarzanie danych osobowych przez agenta tylko w takim zakresie w jakim powierzył agentowi ich przetwarzanie. Oznacza to, że jeżeli agent przetwarza (np. utrwala) dane osobowe w zakresie szerszym niż wynika to z powierzenia (PZU nie wymagał ich pozyskania w celu oceny ryzyka, zawarcia umowy ubezpieczenia) to agent staje się administratorem takich „nadmiarowych” danych i ponosi odpowiedzialność za ich przetwarzanie właściwą dla administratora.
Przykład: agent utrwalił poza Everest (własny nośnik) dane osobowe np. numer telefonu, adres e-mail klienta PZU. W zakresie takich danych osobowych agent sam staje się administratorem. W związku z tym ponosi szerszą niż procesor odpowiedzialność oraz spełnić musi obowiązki, które RODO nakłada na administratora.
adw. Renata Skorża
Biuro Efektywności Sprzedaży w PZU SA