4 maja 2016 r. w Dzienniku Urzędowym Unii Europejskiej opublikowano Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Od tego momentu zaczęliśmy prace, by dostosować nasze prawo do wymogów rozporządzenia. Ustawa wprowadzająca RODO, która została przegłosowana w Senacie RP, zawiera postulaty branży ubezpieczeniowej. To były dwa lata modelowej, bardzo intensywnej pracy.

Nasze prace rozpoczęły się na dobre już 10 maja 2016 r. Na IV Kongresie PIU w Sopocie Jan Grzegorz Prądzyński oraz Andrzej Lewiński, zastępca Generalnego Inspektora Ochrony Danych Osobowych, podpisali porozumienie o wspólnym działaniu na rzecz podnoszenia poziomu ochrony danych osobowych.

Grupa ekspertów ds. ogólnego rozporządzenia o ochronie danych

W grudniu 2016 r. w PIU powołaliśmy grupę ekspertów ds. ogólnego rozporządzenia o ochronie danych. Eksperci z dziedziny prawa ochrony danych osobowych analizowali przepisy rozporządzenia i wskazywali konieczne zmiany w prawie ubezpieczeniowym. Grupa przygotowywała również zakłady ubezpieczeń do zmiany prawa, organizując cykl warsztatów. Ściśle współpracowała również z Ministerstwem Cyfryzacji, które było gospodarzem prac nad wdrożeniem RODO w Polsce.

W krótkim czasie, dzięki staraniom grupy oraz UFG i PBUK, powstał materiał analityczny, w którym wskazaliśmy obszary prawa ubezpieczeniowego, z szeroko rozumianego pakietu ustaw ubezpieczeniowych, wymagające nowelizacji i dostosowania do rozporządzenia. To był doskonały punkt wyjścia do rozmów z Ministerstwem Cyfryzacji i Ministerstwem Finansów, które odpowiada za sektor ubezpieczeniowy.

Najważniejsze kwestie do regulacji

Jakie kwestie regulacyjne były dla nas najważniejsze?

1. Kontynuacja podstawy prawnej do przetwarzania danych zwykłych i danych sensytywnych (tj. o stanie zdrowia);
2. Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa w związku z rozpatrywaniem roszczeń oraz w zakresie niezbędnym do przeciwdziałania przestępstwom popełnianym na szkodę zakładu ubezpieczeń;
3. Przetwarzanie danych w celu przeciwdziałania przestępstwom popełnianym na szkodę zakładu ubezpieczeń oraz przeciwdziałaniu praniu brudnych pieniędzy i finansowaniu terroryzmu;
4. Uprawnienie do zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, w tym profilowanie;
5. Odstępstwa od wypełniania obowiązku informacyjnego w szczególnych przypadkach związanych z przeciwdziałaniem przestępstwom popełnianym na szkodę zakładu ubezpieczeń oraz przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu;
6. Wprowadzenie obowiązku częściowego przechowywania danych o umowach ubezpieczenia przez uzgodniony w prawie czas liczony od daty zakończenia umowy z jednoczesnym zastosowaniem mechanizmu ograniczenia celu przetwarzania danych;
7. Uregulowanie outsourcingu danych;
8. Uszczegółowienie tajemnicy ubezpieczeniowej;
9. Zmiana obowiązku zbierania pisemnych zgód na obowiązek zbierania wyraźnych zgód;
10. Wymiana informacji z UFG.

Brzmi znajomo? Tak, to są właśnie te uzgodnione w drodze wielostronnych, wielogodzinnych spotkań, postulaty branży ubezpieczeniowej, które są w dzisiejszym projekcie ustawy wdrażającej RODO!

Wzorcowa współpraca i partnerzy społeczni

Wzorcowa współpraca – tak można jednym zdaniem opisać to, co się działo przez ostatnie dwa lata. Od stycznia 2017 do lutego 2019 r. kiedy to na 77. posiedzeniu Sejmu RP przyjęto w III czytaniu projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 wraz z poprawką uprawniającą zakłady ubezpieczeń do przetwarzania danych o stanie zdrowia. To był czas analizy bardzo trudnych i przede wszystkim ogólnie napisanych przepisów prawa Unii Europejskiej.

Wszyscy poszukiwaliśmy rozwiązań. Ministerstwa i organy nadzorcze stworzyły ostateczny kształt zmian w prawie polskim, ale wszyscy dołożyli wszelkich starań, by zrozumieć przy tym skomplikowane procesy ubezpieczeniowe. Odbyło się kilkanaście spotkań roboczych z przedstawicielami ministerstw i nadzoru. Ogromna tu rola partnerów społecznych – osób zaangażowanych w proces z ramienia Izby oraz innych instytucji doradczych. We współpracę bardzo zaangażowały się grupy PIU – ekspertów ds. wdrożenia RODO, komisji prawno-legislacyjnej PIU, komisji ubezpieczeń na życie i komisji ds. przeciwdziałania przestępczości ubezpieczeniowej.

Dość napisać, że w tym czasie powstało aż osiem wersji projektu ustawy wdrażającej RODO na stronie BIP RCL.

Praca nad RODO – statystyki

O ogromie włożonej pracy świadczą też takie liczby:

• 141 godzin posiedzeń w PIU grupy ekspertów ds. ochrony danych
• 11 wysłanych komunikatów PIU informujących o pracach nad wdrożeniem RODO
• 7 legislacji PIU zawierających szczegółową analizę prawną kolejnych projektów ustawy (co łącznie daje 48 stron)
• Cykl 8 warsztatów dla członków PIU standaryzującego proces wdrożenia przepisów RODO: odbyło się ponad 40 godzin spotkań, w których wzięło udział 461 przedstawicieli zakładów ubezpieczeń.

Dzięki temu  przed majem 2018 r. członkowie PIU mogli w swoich procesach biznesowych zastosować zestandaryzowane materiały implementujące przepisy RODO.

Dziękujemy naszym członkom za ogromne zaangażowanie. Polska jest jednym z niewielu krajów UE, które mają tak zaawansowany proces legislacyjny. Czy to koniec pracy nad RODO? Nie – przed nami stałe podnoszenie świadomości i szerzenie wiedzy na temat przepisów RODO, budowanie standardów i jednolitej interpretacji prawa. Tworzymy już dobre praktyki ochrony danych osobowych.