23
05.18
RODO: najważniejsza jest zmiana świadomości

Ubezpieczyciele są gotowi na RODO, choć 25 maja nie skończą się prace legislacyjne. Nadal nie ma przepisów wprowadzających, konsultowane są kolejne projekty, co generuje większe koszty dla biznesu. To kwestie, które musimy jeszcze rozwiązać. Jednak RODO to nie tylko więcej obowiązków dla firm, to również szansa na rozwój biznesu. Uporządkowanie baz danych dotyczących klientów pozwoli na lepsze dotarcie do nich.

RODO budzi wiele obaw. Mimo ponad dwóch lat prac, wielu szkoleń branżowych, uruchomionych infolinii, nadal wiele osób nie ma pewności co do tego, jak działać po 25 maja i przede wszystkim, jaki jest sens zmian.

Zapytaliśmy przedstawicieli branży, czego się spodziewać, jak rozumieć zmiany, czy jako branża jesteśmy gotowi na rozporządzenie. Co zrobiliśmy, a czego jeszcze brakuje i jaki to ma wpływ na działanie firm.

RODO to zmiana świadomości – dane osobowe są ważnym dobrem

By zrozumieć zmiany, jakie wprowadza rozporządzenie, warto pamiętać o idei, jaka im przyświeca. Ochrona danych osobowych w Unii Europejskiej nie jest nowym tematem. RODO to nie rewolucja, choć bez wątpienia ogromna zmiana, nie tylko w prawie, również w naszej świadomości.

RODO podnosi rangę przepisów dotyczących ochrony danych osobowych w całej Unii Europejskiej. To dotyczy wszystkich firm, branż i każdego obywatela. Rozporządzenie przede wszystkim wzmacnia nasze podstawowe prawa obywatelskie. Dla branży ubezpieczeniowej, tak jak wszystkich innych, oznacza ujednolicenie zasad ochrony danych osobowych – mówi Anna Kwiatkowska, ekspert Polskiej Izby Ubezpieczeń.

– Wszyscy zaczynamy zdawać sobie sprawę z tego, że dane osobowe to dobro, aktywo, które trzeba chronić. Zarówno pracownicy sieci sprzedaży, jak i centrale firm ubezpieczeniowych zauważają, gdzie pojawiają się w ich pracy dane osobowe i na świeżo zadają sobie pytanie, czy przetwarzane są one zgodnie z prawem i w sposób bezpieczny – mówi Paweł Dygas, dyrektor Departamentu Zarządzania Ryzykiem UNIQA.

RODO to proces, zmiany wprowadzane są stopniowo

– Większość postulatów RODO mieliśmy w naszych przepisach już od dwudziestu lat – podkreśla Paweł Dygas.

RODO poprzedzała Dyrektywa 95/46/WE, której odpowiednie zapisy znalazły się w polskiej ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych. Z kolei przygotowania do wdrożenia przepisów głównego rozporządzenia RODO rozpoczęły się w 2016 r. wraz z jego oficjalną publikacją.

– Zorganizowaliśmy dla zakładów ubezpieczeń specjalistyczne warsztaty nt. prawidłowego wdrożenia i interpretacji przepisów RODO. Jako samorząd branżowy wielokrotnie spotykaliśmy się z przedstawicielami Ministerstw Cyfryzacji i Finansów, by szczegółowo przedstawić konieczne zmiany w ustawach ubezpieczeniowych. Rekomendowaliśmy rozwiązania dla branży ubezpieczeniowej na forum FinTech – wyjaśnia Anna Kwiatkowska z PIU.

– RODO daje szansę, by zastanowić się, które procesy możemy ulepszyć. Samo stworzenie np. Rejestru Czynności Przetwarzania Danych Osobowych, które jest wymogiem RODO, nie jest niczym innym jak uporządkowaniem istniejących baz danych klientów – dodaje Dawid Piesz z Biura Komunikacji Korporacyjnej AXA.

Budowa standardów, dobrych praktyk, interpretacji przepisów prawa to proces rozłożony w czasie i mimo tego, że wiele rzeczy już zostało zrobionych, nie należy oczekiwać, że po 25 maja będziemy znać odpowiedź na wszystkie pytania. Zwłaszcza, że ta data nie oznacza końca procesu legislacyjnego.

Istotny problem – brak przepisów wprowadzających

Brakuje niezwykle istotnych z punktu widzenia branży ubezpieczeniowej przepisów wprowadzających. Aktualnie Ministerstwo Cyfryzacji prowadzi konsultacje trzeciego już projektu legislacyjnego, w którego przygotowanie się angażowaliśmy.

– Proces legislacyjny zakończy się prawdopodobnie dopiero jesienią. Póki co działamy bez przepisów wykonawczych, przy braku pewności legislacyjnej. To niestety generuje dodatkowe koszty związane z dostosowaniem procesów biznesowych czy informacyjnych – wskazuje Anna Kwiatkowska.

RODO jest specyficznym aktem prawnym, pozwalającym na różne interpretacje. Nawet wśród specjalistów istnieją fundamentalne różnice zdań. Jako branża pracowaliśmy nad ujednoliceniem podejścia, jednak bez lokalnych przepisów wdrażających RODO nadal pozostają duże obszary wymagające dodatkowych ustaleń np. podstawy przetwarzania danych o stanie zdrowie lub okresy retencji danych w ubezpieczeniach – wyjaśnia Ambroży Wójcik, Inspektor Ochrony Danych w Avivie i przewodniczący Grupy Ekspertów w PIU ds. wdrożenia RODO.

– Należy również zwrócić uwagę na ogromny wpływ przepisów dostosowujących na relacje zakładów ubezpieczeń z reasekuratorami, placówkami medycznymi, a nawet ubezpieczającymi w przypadku ubezpieczeń grupowych – dodaje Ambroży Wójcik.

Prace nad ostateczną wersją przepisów w polskim prawie są intensywne. Przedstawiciele PIU spotykają się z osobami odpowiedzialnymi w ministerstwach i organie nadzorczym.

– Latem rozpoczniemy współpracę z nowym Urzędem Ochrony Danych Osobowych nad ubezpieczeniowym kodeksem dobrych praktyk ochrony danych osobowych – zapowiada Anna Kwiatkowska. Jak podkreśla Ambroży Wójcik, to niezwykle istotne uzgodnienia, branża ubezpieczeniowa ze swoimi skomplikowanymi procesami przetwarzania danych, profilowaniem w celu oceny ryzyka ubezpieczeniowego oraz przetwarzaniem danych o stanie zdrowie, wymaga bardzo rozbudowanego kodeksu.

– Firmy wybrały najważniejsze aspekty, które chcą mieć gotowe do 25. maja. Większość z nich uda się zrealizować. Złożoność niektórych, jak na przykład tzw. okresy retencji danych, mogą wymagać dłuższych prac. Podobnie, mniej istotne aspekty wynikające z RODO, zakłady ubezpieczeń będą dopracowywać w swoich systemach przez najbliższe dwa-trzy lata. Jednak teraz jedną z najważniejszych kwestii jest przygotowanie ludzi – dodaje Paweł Dygas.

RODO w firmach ubezpieczeniowych

Przedłużający się proces dostosowania prawa nie wpływa więc na to, co dzieje się w firmach, które sukcesywnie budują świadomość pracowników na temat ochrony danych, organizują szkolenia, tworzą bazę łatwo dostępnej wiedzy o RODO i wprowadzają niezbędne rozwiązania technologiczne, w tym zakresie, w którym mogą to zrobić bez przepisów wprowadzających.

Sądzimy, że najlepszym gwarantem bezpieczeństwa jest świadomość pracowników i kontrahentów – podkreśla Dawid Piesz – nasi agenci zostali już poinformowani o zmianach i obowiązkach, jakie nakładają na współpracę zapisy w RODO. Z partnerami zawarliśmy umowy powierzenia przetwarzania danych. Pracownicy AXA, którzy pracują w terenie i są pierwszym ogniwem kontaktu z agentami zostali przeszkoleni z RODO i wspierają agentów we wdrażaniu RODO. Niebawem ogłosimy również adres mailowy, na który każdy agent będzie mógł kierować pytania dotyczące ochrony danych osobowych. Być może nie od razu znajdziemy odpowiedzi, ale na pewno pomożemy w znalezieniu rozwiązania. Będziemy wspierać naszych partnerów i wyjaśniać wszelkie wątpliwości, np. instruując, w jaki sposób należy prowadzić rejestr czynności przetwarzania danych itp.

– Poza szkoleniami dla agentów w całej Polsce, regularnie publikowaliśmy krótkie artykuły szkoleniowe z wybranych zagadnień RODO w systemie POS, który jest dostępny dla wszystkich agentów. Agenci otrzymali też ankietę, na podstawie której mogli sprawdzić poziom przygotowania do RODO, wzory niezbędnych dokumentów oraz szczegółowe wytyczne, jak realizować poszczególne zapisy rozporządzenia. UNIQA już uruchomiła dedykowany adres e-mail, a zagadnienia omówione mailowo zostały zebrane w zestaw pytań i odpowiedzi dostępny dla wszystkich agentów – dodaje Dygas.

Bez wątpienia pojawi się jeszcze wiele pytań. Agenci firm mogą liczyć na wsparcie i warto, by z niego korzystali.

Świadomy klient – szansa dla biznesu – szansa dla agentów

Niezależnie od wprowadzenia wszystkich zmian w prawie i usystematyzowania działań branży, RODO to szansa na rozwój biznesu.

– Uporządkowanie baz danych pozwoli na lepsze i skuteczniejsze dotarcie do klientów. Całą wiedzę na ich temat agenci będą mieli w jednym miejscu. RODO nie powinno wpłynąć na nasze obecne relacje biznesowe, może je jedynie wzmocnić, jeśli razem zrozumiemy, że jesteśmy częścią zmian w zakresie ochrony danych osobowych – mówi Dawid Piesz.

Dzięki RODO rośnie świadomość klientów – informacje o danych osobowych mogą być doskonałą okazją, by wyjaśniać procesy ubezpieczeniowe, które ich dotyczą. RODO daje więc impuls do jeszcze lepszej i świadomej komunikacji.

Co zauważy klient? Otrzyma więcej informacji o tym, co dzieje się z jego danymi, będzie też częściej pytany, czy wyraża na to zgodę. Coraz więcej firm przejdzie na komunikację z klientem kanałami szyfrowanymi, ograniczy też liczbę danych prezentowanych w zestawieniach i raportach – mówi Paweł Dygas

– Ważne jest, by klienci łatwo mogli uzyskać podstawowe informacje. Z tego powodu UNIQA uruchomiła podstronę, na której można przeczytać o zasadach przetwarzania danych osobowych w ramach jej działalności. Bezpośredni kontakt do inspektora danych osobowych pozwala też na szybką realizację praw podmiotów danych oraz na odpowiedź na nurtujące klienta pytania – dodaje Dygas.