Ubezpieczyciele mają obowiązek chronić dane pod groźbą kary

Ignorantia iuris nocet (łac. nieznajomość prawa szkodzi) lub Ignorantia legis non excusat (łac. nieznajomość prawa nie jest usprawiedliwieniem). Cokolwiek w tym miejscu nie napisać to jednak warto przypomnieć. Gąszcz przepisów prawnych coraz bardziej podobny do ciemnego lasu … i jak tu żyć? Na pewno nie w beztrosce.

P.P.


Artykuł w portalu Strefa Biznesu 26 czerwca 2016. Autorzy: Piotr Biernatowski , Maciej Badowski AIP

Ubezpieczyciele – jako podmioty, które w związku z prowadzoną działalnością przetwarzają duże ilości danych osobowych – są zobowiązani do zabezpieczania zebranych informacji w najlepszy możliwy sposób – również przez szyfrowanie, które w obliczu drastycznego wzrostu zagrożeń i skuteczności cyberataków jest rozwiązaniem najpewniejszym. Ryzyko podmiotów zarządzających danymi osobowymi związane z niedopełnieniem obowiązków jest poważne, gdyż wiąże się nawet z odpowiedzialnością karną – z karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Dodatkowo, ubezpieczyciele są związani wytycznymi przedstawionymi przez ich organ nadzorujący – jakim jest Komisja Nadzoru Finansowego. Nałożyła ona – Uchwałą z 16 grudnia 2014 roku (która oczekiwała, że wytyczne zostaną wprowadzone do 31 grudnia 2016 roku) obowiązek wprowadzenia nowych standardów dotyczących kwestii teleinformatycznych w tym ochrony danych i szyfrowania, które zapewnia najwyższy dostępny obecnie standard bezpieczeństwa.

Wytyczne te dodatkowo wyprzedzają obowiązki wskazane w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO, które zacznie bezpośrednio obowiązywać od 25 maja 2018 roku). Obowiązki nakładane przez oba te akty, w odniesieniu do zabezpieczeń danych przetwarzanych w systemach informatycznych, można w istotnym zakresie realizować używając programów szyfrujących.

Sytuacja Ubezpieczycieli jest szczególna, gdyż nie tylko są zobligowani do realizowania postanowień zawartych w wytycznych KNF, ale także będzie ich obowiązywało – jak wszystkich przedsiębiorców na terenie całej Unii Europejskiej – rozporządzenie o ochronie danych osobowych – RODO, które przewiduje znacznie surowsze sankcje finansowe niż występujące dotychczas, m.in. dla tych, którzy niewłaściwie zabezpieczają dane osobowe. Mogą one wynosić w zależności od naruszenia odpowiednio do 10 mln euro albo 2 % łącznego światowego obrotu przedsiębiorstwa lub do 20 mln euro albo do 4% łącznego obrotu światowego przedsiębiorstwa.

Sytuacja Ubezpieczycieli i zakładów reasekuracji ze względu na obowiązujące już wytyczne KNF oraz zapowiadane standardy RODO jest złożona. Stosowane przez wiele firm rozwiązania hardware są kosztowne i wymagają częstych aktualizacji. Ich wadą są drogie umowy pogwarancyjne oraz brak gwarancji bezpieczeństwa w przypadku uzyskania do nich dostępu osób niepożądanych, a to może wiązać się z istotnymi konsekwencjami dla firmy.

Alternatywnym rozwiązaniem jest zastosowanie oprogramowania software’owego, które poprzez szyfrowanie i kontrolę dostępu zapewni odpowiedni poziom ochrony danych, nawet w przypadku ataku hakerskiego. Takie oprogramowanie może uchronić firmy ubezpieczeniowe i reasekuracyjne przed wielomilionowymi stratami związanymi z utratą danych w wyniku cyberataku, karami finansowymi nakładanymi przez organy nadzoru i odszkodowaniami wypłacanymi poszkodowanym klientom. Zaznaczyć należy, że coraz popularniejsze stają się ataki polegające na uzyskiwaniu dostępu do danych i ich szyfrowaniu przez atakującego w celu wymuszenia okupu, który i tak często nie zapewnia ich odzyskania.

Szyfrowanie danych zalecane jest w wytycznych Komisji Nadzoru Finansowego dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji w odniesieniu do następujących obszarów:

• wytyczna numer 7: „Rozwój systemów informatycznych”
• wytyczna numer 9: „Zarządzanie infrastrukturą teleinformatyczną”
• wytyczna numer 10: „Współpraca z zewnętrznymi dostawcami usług”
• wytyczna numer 11: „Kontrola dostępu”
• wytyczna numer 15: „Ciągłość działania środowiska teleinformatycznego”
• wytyczna numer 16: „Bezpieczeństwo danych i środków klientów”
• wytyczna numer 19: „Klasyfikacja informacji i systemów informatycznych”

Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (link do strony Komisji Nadzoru Finansowego)

Udostępnij przez:

Średnia ocen
0 z 0 głosów.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Strona POKSINSKI.COM używa plików cookies zgodnie z warunkami Polityki prywatności. Pozostając na stronie akceptujesz te warunki. | Polityka prywatności |

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close