Wdrożenie wymagań RODO w bankach, firmach ubezpieczeniowych i instytucjach finansowych.

RODO w firmach ubezpieczeniowych, bankach i instytucjach finansowych

RODO to najważniejsze rozporządzenie o ochronie danych osobowych, jakie powstało w ciągu ostatnich 20 lat. Dotyczy ono wszystkich firm w Unii Europejskiej, które gromadzą dane osobowe, w tym instytucji finansowych.

Nie ma jednak jasnych wytycznych, jak wdrożenie RODO powinno wyglądać, czyli w jaki sposób firmy powinny chronić dane osobowe. Każda instytucja musi więc samodzielnie przeanalizować, jakie dane posiada, jakie ryzyko jest z tym związane i w jaki sposób może zadbać o ich bezpieczeństwo. Wdrożenie RODO nakłada nie tylko dodatkowe obowiązki na firmy, ale daje też liczne przywileje klientom. Każdy obywatel ma prawo o wystąpienie do danej firmy o przekazanie mu wszystkich danych osobowych, jakimi dysponuje ona na jego temat lub przekazanie ich innej firmie, czyli na przykład przesłanie danych między bankami. Plan wdrożenia RODO zakłada też, że klient może domagać się usunięcia jego danych z rejestru firmy, o ile nie są one aktualnie używane.

Czy firmy mogą obejść w jakiś sposób te regulacje i może dochodzić do nadużyć? Wdrożenie RODO nie pozostawia dużego pola manewru. Firmy, które nie stosują się do unijnych wymagań, mogą zostać obciążone dużymi karami, sięgającymi nawet do 4 procent ich rocznych przychodów lub 20 milionów euro, w zależności od tego, która kwota jest wyższa. Dokładna wysokość kary zależy od rodzaju danych, jakie zostały niewystarczająco zabezpieczone oraz skali szkód z tym związanych. Proces wdrożenia RODO zakłada też, że w momencie gdy dane zostaną nawet nieświadomie udostępnione lub gdy dojdzie do ataku hakerskiego, instytucja ma obowiązek poinformowania o tym klientów. Ma na to 72 godziny.

W jaki sposób dokładnie wdrożenie RODO wpłynęło i wpływa na pracę banków i firm ubezpieczeniowych?

Zobacz nasze rozwiązania w zakresie RODO

RODO w bankach i instytucjach finansowych

Ustawa mocno odbiła się na instytucjach finansowych, bo mają one ciągły kontakt z dużą ilością danych osobowych. Każdy proces wdrożenia RODO w instytucjach finansowych powinien zacząć się od przeanalizowania posiadanych zasobów. Każda instytucja finansowa musi teraz wiedzieć, czy nie posiada zarchiwizowanych danych nieodpowiednich do potrzeb lub zapomnianych. Aby dane osobiste klientów były zawsze pod kontrolą, a proces wdrożenia RODO w bankach sprawny, powinien zostać powołany administrator danych osobowych.

Instytucje muszą teraz również na bieżąco dokładnie analizować, kto ma dostęp do danych klientów, kiedy i w jaki sposób są one przetwarzane oraz chronione. Plan wdrożenia RODO powinien uwzględniać więc używanie najnowocześniejszych rozwiązań technologicznych w celu jak najlepszej ochrony danych. Jednym z obowiązków instytucji zgodnie z RODO w bankach i instytucjach finansowych jest wdrożenie rejestru czynności przetwarzania danych osobowych. Według nowego rozporządzenia bank ma również nałożony obowiązek informacyjny o przetwarzaniu danych, a także musi posiadać udokumentowaną zgodę na ich przetwarzanie.

W każdej chwili klient może wycofać zgodę na wykorzystywanie jego danych i to też musi być starannie rejestrowane przez banki. Klient powinien mieć też łatwy dostęp do mechanizmu, który pozwoli mu na takie działanie. Istotną zmianą, którą przynosi proces wdrożenia RODO w pracy instytucji finansowych, w tym głównie banków, jest doprecyzowanie zgód, które obecnie mogą być udzielane na konkretne działania i konkretnym osobom. Oznacza to, że w chwili obecnej klient może wyrazić zgodę jedynie na konkretną formę komunikacji, czyli na przykład wyłącznie formę mailową. W takiej sytuacji bank nie może wykonywać telefonów do klienta z ofertami marketingowymi.

RODO w bankach wpływa też na proces przekazywania klientom ofert. Niewyrażenie przez klienta zgody na otrzymywanie ofert marketingowych może utrudnić przekazywanie mu spersonalizowanych ofert. Dlatego instytucje finansowe powinny mieć plan wdrożenia RODO zawierający odpowiednie mechanizmy działania w takich przypadkach.

Wdrożenie RODO w firmach ubezpieczeniowych

Przetwarzanie danych przez ubezpieczycieli

W przypadku ubezpieczycieli, proces wdrożenia RODO wygląda podobnie jak w bankach i innych instytucjach, które przetwarzają dane osobowe. Firmy ubezpieczeniowe muszą same wytworzyć proces wdrażania RODO, który pozwalaj im na jak najlepszą ochronę danych osobowych klientów i przetwarzanie ich zgodnie z wytycznymi rozporządzenia. RODO w firmach ubezpieczeniowych wymaga często jednak podjęcia jeszcze bardziej zdecydowanych kroków. Ponieważ agenci zbierają często dane wyjątkowo wrażliwe, określane przez RODO „danymi szczególnej kategorii”, na przykład o stylu życia, stanie zdrowia czy nałogach, wymagają one szczególnej ochrony, a ich wyciek czy bezprawne przekazanie może wiązać się z bardzo dużymi konsekwencjami. Kolejną istotną kwestią, którą reguluje RODO w firmach ubezpieczeniowych,  są ubezpieczenia osób nieletnich. Obecnie wymagają one zgody rodziców na przetwarzanie danych osób nieletnich.

Przetwarzanie danych przez podmioty trzecie

Kolejną istotną kwestią jest współpraca firm ubezpieczeniowych z podmiotami trzecimi, takimi jak brokerzy. Proces wdrożenia RODO wymaga w tym wypadku podpisania odpowiedniej formy umowy, która określa to, czy broker jest osobą przetwarzającą dane czy również ich administratorem.

Zobacz nasze produkty Cyber Security

Skontaktuj się z ekspertem Comarch

Zachęcamy do kontaktu z naszymi ekspertami w celu szczegółowego omówienia interesujących Państwa produktów i usług skierowanych do branży finansowej.