Przyzwyczailiśmy się już do RODO, czyli podstawowych przepisów regulujących zasady bezpieczeństwa przetwarzania danych osobowych. Każdy wie jak postępować, a opracowane i przyjęte do realizacji procedury w Alwisie sprawdzają się dobrze w praktyce. Jednak od czasu do czasu coś się wydarza, mam też zapytania o wybrane problemy i praktyczne stosowanie tych zasad. Dlatego po kilku ostatnich sygnałach postanowiłem w skrócie przypomnieć podstawowe (robocze) zasady RODO.
Wszyscy dystrybutorzy (agenci/OFWCA) zawierając ubezpieczenia - na każdym etapie - mają dostęp do danych osobowych, także wrażliwych, co wiąże się z dużą odpowiedzialnością związaną z ich stosowaniem. Zawsze, w każdym działaniu, należy stosować podstawowe zasady RODO, aby skutecznie chronić te dane i unikać naruszeń. Szczegóły są zawarte w wytycznych Zarządu Alwisa oraz procedurach poszczególnych zakładów ubezpieczeniowych. Niektóre zasady zmieniają się np. po wprowadzeniu w praktyce narzędzi sztucznej inteligencji. Jakie są to uaktualnione problemy?
- Zakaz wprowadzania danych do narzędzi sztucznej inteligencji AI. Dane osobowe klientów oraz wszelkie informacje poufne związane z ubezpieczeniem pod żadnym pozorem nie mogą być wprowadzane do zewnętrznych narzędzi opartych na sztucznej inteligencji (AI), chyba że zostało to wyraźnie dopuszczone przez dany zakład ubezpieczeniowy.
- Bezpieczne stosowanie i przekazywanie skanów. Skanów dokumentów (polis, wniosków) należy używać wyłącznie w systemie sprzedażowym danego ZU. Nie należy przechowywać ich lokalnie na komputerach ani innych nośnikach danych, a zbędne kopie powinny być niezwłocznie usuwane z każdej bazy.
- Korespondencja e-mail zawierająca dane osobowe. Przed każdą taka wysyłką należy dokładnie zweryfikować adres odbiorcy/ów. To najczęściej popełniany błąd, rodzący jednak wiele komplikacji prawnych. Załączniki zawierające dane osobowe muszą być szyfrowane (np. przy użyciu 7-ZIP). Hasła do plików należy przekazywać innym kanałem – SMS-em lub telefonicznie. Stosowanie hasłowania jest obowiązkiem każdego dystrybutora i ma na celu zapewnienie bezpieczeństwa danych osobowych Klientów oraz zgodności z obowiązującymi procedurami.
- Uwaga na wszystkie podejrzane wiadomości. Zwracam uwagę, na zachowanie szczególnej ostrożności przy przyjmowaniu korespondencji, zwłaszcza wobec podejrzanych e-maili i linków. Ataki phishingowe i ransomware stanowią realne zagrożenie. Trzeba także przypominać sobie o tym i edukować w tym zakresie współpracowników.
- Upoważnienia i szkolenia pracowników. Pracownicy i współpracownicy (u OFWCA) powinni posiadać odpowiednie upoważnienia do przetwarzania danych osobowych. To jeden z najsłabszych elementów w biurach u OFWCA. Szczegółowe zasady ich nadawania (ze wzorami) są zawarte we wspomnianych już wytycznych Zarządu Alwisa. Obowiązkiem pracodawców (OFWCA) jest także: zapewnienie pracownikom szkoleń oraz regularne przypominanie o obowiązkach związanych z przetwarzaniem danych osobowych, poufności i tajemnicy ubezpieczeniowej.
- Bezpieczne przechowywanie dokumentacji papierowej. Dokumentacja papierowa zawierająca dane osobowe powinna być przechowywana w sposób uniemożliwiający dostęp osobom nieupoważnionym – w zamkniętych szafach, pomieszczeniach lub innych odpowiednio zabezpieczonych miejscach. Po zakończeniu okresu przechowywania, dokumenty należy niszczyć w sposób bezpieczny (np. w niszczarce). Wyeliminować należy z praktyki nawyk przetrzymywania zbędnych, wykorzystanych, nie potrzebnych już dokumentów papierowych. Z praktyki wiem że nadal w wielu biurach zalegają one w szafach, na półkach przez kilka lat nie wykorzystywane.
- Pamiętać o incydentach RODO. Każde naruszenie zasad obrotu danymi osobowymi (utrata danych, wypłyniecie, skradzenie, zgubienie itd.) należy bezzwłocznie zgłaszać do Centrali Alwisa, zgodnie z ustaloną procedurą. Podjęcie tematu "na gorąco" pozwoli zapobiec rozszerzeniu problemu. Postępowanie zgodnie z otrzymanymi wytycznymi ( w tym obowiązek powiadamiania o takim fakcie ubezpieczycieli, zainteresowanych , a czasem GIODO) zapewni działanie zgodne z prawem.
To tylko przypomnienie najważniejszych - zaktualizowanych - zasad bezpiecznego przetwarzania danych osobowych w procesie zawierania ubezpieczania, a nie całość problematyki RODO.
