Ryzyko podmiotów zarządzających danymi osobowymi związane z niedopełnieniem obowiązków jest poważne, gdyż wiąże się nawet z odpowiedzialnością karną – z karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.
Dodatkowo, ubezpieczyciele są związani wytycznymi przedstawionymi przez ich organ nadzorujący – jakim jest Komisja Nadzoru Finansowego. Nałożyła ona – Uchwałą z 16 grudnia 2014 roku (która oczekiwała, że wytyczne zostaną wprowadzone do 31 grudnia 2016 roku) obowiązek wprowadzenia nowych standardów dotyczących kwestii teleinformatycznych w tym ochrony danych i szyfrowania, które zapewnia najwyższy dostępny obecnie standard bezpieczeństwa.
Wytyczne te dodatkowo wyprzedzają obowiązki wskazane w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych[1] (RODO, które zacznie bezpośrednio obowiązywać od 25 maja 2018 roku). Obowiązki nakładane przez oba te akty, w odniesieniu do zabezpieczeń danych przetwarzanych w systemach informatycznych, można w istotnym zakresie realizować używając programów szyfrujących.
Sytuacja Ubezpieczycieli jest szczególna, gdyż nie tylko są zobligowani do realizowania postanowień zawartych w wytycznych KNF, ale także będzie ich obowiązywało – jak wszystkich przedsiębiorców na terenie całej Unii Europejskiej – rozporządzenie o ochronie danych osobowych – RODO, które przewiduje znacznie surowsze sankcje finansowe niż występujące dotychczas, m.in. dla tych, którzy niewłaściwie zabezpieczają dane osobowe. Mogą one wynosić w zależności od naruszenia odpowiednio do 10 mln euro albo 2 % łącznego światowego obrotu przedsiębiorstwa lub do 20 mln euro albo do 4% łącznego obrotu światowego przedsiębiorstwa.
Sytuacja Ubezpieczycieli i zakładów reasekuracji ze względu na obowiązujące już wytyczne KNF oraz zapowiadane standardy RODO jest złożona. Stosowane przez wiele firm rozwiązania hardware są kosztowne i wymagają częstych aktualizacji. Ich wadą są drogie umowy pogwarancyjne oraz brak gwarancji bezpieczeństwa w przypadku uzyskania do nich dostępu osób niepożądanych, a to może wiązać się z istotnymi konsekwencjami dla firmy. Alternatywnym rozwiązaniem jest zastosowanie oprogramowania software’owego, które poprzez szyfrowanie i kontrolę dostępu zapewni odpowiedni poziom ochrony danych, nawet w przypadku ataku hakerskiego. Takie oprogramowanie może uchronić firmy ubezpieczeniowe i reasekuracyjne przed wielomilionowymi stratami związanymi z utratą danych w wyniku cyberataku, karami finansowymi nakładanymi przez organy nadzoru i odszkodowaniami wypłacanymi poszkodowanym klientom. Zaznaczyć należy, że coraz popularniejsze stają się ataki polegające na uzyskiwaniu dostępu do danych i ich szyfrowaniu przez atakującego w celu wymuszenia okupu, który i tak często nie zapewnia ich odzyskania.
Szyfrowanie zalecane jest w wytycznych Komisji Nadzoru Finansowego dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji w odniesieniu do następujących obszarów:
- wytyczna numer 7: „Rozwój systemów informatycznych”
- wytyczna numer 9: „Zarządzanie infrastrukturą teleinformatyczne
- wytyczna numer 10: „Współpraca z zewnętrznymi dostawcami usług”
- wytyczna numer 11: „Kontrola dostępu”
- wytyczna numer 15: „Ciągłość działania środowiska teleinformatycznego”
- wytyczna numer 16: „Bezpieczeństwo danych i środków klientów”
- wytyczna numer 19: „Klasyfikacja informacji i systemów informatycznych”
RODO zacznie obowiązywać za niespełna rok, to jest 25 maja 2018 roku. Aktualnie wszystkie podmioty w obrocie gospodarczym są w okresie przejściowym, w którym konieczne jest dostosowanie obecnie stosowanych standardów ochrony danych osobowych do przyszłorocznej reformy. Należy jednak podkreślić, że ze względu na wspomniane wytyczne KNF, ubezpieczyciele i firmy reasekuracyjne są już obecnie zobowiązane do stosowania wysokich standardów bezpieczeństwa w ochronie danych, w tym osobowych, przetwarzanych w systemach informatycznych.
Autorem artykułu jest adwokat Piotr Biernatowski z kancelarii LARGO LAW
Ubezpieczyciele mają chronić dane klientów
Ubezpieczyciele jako podmioty, które w związku z prowadzoną działalnością przetwarzają duże ilości danych osobowych są zobowiązani do zabezpieczania zebranych informacji w najlepszy możliwy sposób również przez szyfrowanie, które w obliczu drastycznego wzrostu zagrożeń i skuteczności cyberataków jest rozwiązaniem najpewniejszym - pisze adwokat Piotr Biernatowski.