Biuro Prasowe

28 czerwca 2017
Largo Capital
Ubezpieczyciele mają obowiązek chronić dane pod groźbą kary

Ubezpieczyciele – jako podmioty, które w związku z prowadzoną działalnością przetwarzają duże ilości danych osobowych – są zobowiązani do zabezpieczania zebranych informacji w najlepszy możliwy sposób – również przez szyfrowanie, które w obliczu drastycznego wzrostu zagrożeń i skuteczności cyberataków jest rozwiązaniem najpewniejszym. Ryzyko podmiotów zarządzających danymi osobowymi związane z niedopełnieniem obowiązków jest poważne, gdyż wiąże się nawet z odpowiedzialnością karną – z karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.


Dodatkowo, ubezpieczyciele są związani wytycznymi przedstawionymi przez ich organ nadzorujący – jakim jest Komisja Nadzoru Finansowego. Nałożyła ona – Uchwałą z 16 grudnia 2014 roku (która oczekiwała, że wytyczne zostaną wprowadzone do 31 grudnia 2016 roku) obowiązek wprowadzenia nowych standardów dotyczących kwestii teleinformatycznych w tym ochrony danych i szyfrowania, które zapewnia najwyższy dostępny obecnie standard bezpieczeństwa.

 

Wytyczne te dodatkowo wyprzedzają obowiązki wskazane w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych1 (RODO, które zacznie bezpośrednio obowiązywać od 25 maja 2018 roku). Obowiązki nakładane przez oba te akty, w odniesieniu do zabezpieczeń danych przetwarzanych w systemach informatycznych, można w istotnym zakresie realizować używając programów szyfrujących.

 

Sytuacja Ubezpieczycieli jest szczególna, gdyż nie tylko są zobligowani do realizowania postanowień zawartych w wytycznych KNF, ale także będzie ich obowiązywało – jak wszystkich przedsiębiorców na terenie całej Unii Europejskiej – rozporządzenie o ochronie danych osobowych – RODO, które przewiduje znacznie surowsze sankcje finansowe niż występujące dotychczas, m.in. dla tych, którzy niewłaściwie zabezpieczają dane osobowe. Mogą one wynosić w zależności od naruszenia odpowiednio do 10 mln euro albo 2 % łącznego światowego obrotu przedsiębiorstwa lub do 20 mln euro albo do 4% łącznego obrotu światowego przedsiębiorstwa.


Sytuacja Ubezpieczycieli i zakładów reasekuracji ze względu na obowiązujące już wytyczne KNF oraz zapowiadane standardy RODO jest złożona. Stosowane przez wiele firm rozwiązania hardware są kosztowne i wymagają częstych aktualizacji. Ich wadą są drogie umowy pogwarancyjne oraz brak gwarancji bezpieczeństwa w przypadku uzyskania do nich dostępu osób niepożądanych, a to może wiązać się z istotnymi konsekwencjami dla firmy. Alternatywnym rozwiązaniem jest zastosowanie oprogramowania software’owego, które poprzez szyfrowanie i kontrolę dostępu zapewni odpowiedni poziom ochrony danych, nawet w przypadku ataku hakerskiego. Takie oprogramowanie może uchronić firmy ubezpieczeniowe i reasekuracyjne przed wielomilionowymi stratami związanymi z utratą danych w wyniku cyberataku, karami finansowymi nakładanymi przez organy nadzoru i odszkodowaniami wypłacanymi poszkodowanym klientom. Zaznaczyć należy, że coraz popularniejsze stają się ataki polegające na uzyskiwaniu dostępu do danych i ich szyfrowaniu przez atakującego w celu wymuszenia okupu, który i tak często nie zapewnia ich odzyskania.

 

Szyfrowanie zalecane jest w wytycznych Komisji Nadzoru Finansowego dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji2 w odniesieniu do następujących obszarów:

  • wytyczna numer 7: „Rozwój systemów informatycznych
  • wytyczna numer 9: „Zarządzanie infrastrukturą teleinformatyczną
  • wytyczna numer 10: „Współpraca z zewnętrznymi dostawcami usług”
  • wytyczna numer 11: „Kontrola dostępu”
  • wytyczna numer 15: „Ciągłość działania środowiska teleinformatycznego”
  • wytyczna numer 16: „Bezpieczeństwo danych i środków klientów”  
  • wytyczna numer 19: „Klasyfikacja informacji i systemów informatycznych”

RODO zacznie obowiązywać za niespełna rok, to jest 25 maja 2018 roku. Aktualnie wszystkie podmioty w obrocie gospodarczym są w okresie przejściowym, w którym konieczne jest dostosowanie obecnie stosowanych standardów ochrony danych osobowych do przyszłorocznej reformy. Należy jednak podkreślić, że ze względu na wspomniane wytyczne KNF, ubezpieczyciele i firmy reasekuracyjne są już obecnie zobowiązane do stosowania wysokich standardów bezpieczeństwa w ochronie danych, w tym osobowych, przetwarzanych w systemach informatycznych.


Autorem artykułu jest adwokat Piotr Biernatowski z kancelarii LARGO LAW



1 25 maja 2016 roku weszło w życie na terenie UE Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane potocznie ogólnym rozporządzeniem o ochronie danych osobowych, w skrócie RODO.

 


© by Multifocus 2014
HOME     O GENESIS PR     SIEĆ MIĘDZYNARODOWA     BIURO PRASOWE     IPO     EVENTY     NAPISALI O NAS     NASI KLIENCI     KARIERA W GENESIS PR     KONTAKT
coded by NewFuture