GDPR: Šablona IE jako významná pomoc pojišťovnám


			GDPR: Šablona IE jako významná pomoc pojišťovnám
7.5.2018 Spektrum

Jednou z výzev pro pojistitele je v současnosti nesporně aplikace nařízení GDPR, které bude použitelné od 25. května 2018. Moc času tedy pojišťovnám a dalším dotčeným subjektům působícím v pojišťovnictví na dotažení všech nezbytných opatření a postupů už nezbývá.

Aplikaci by jim mohla usnadnit účelná pomůcka, kterou vyvinula federace Insurance Europe (IE) a která se týká ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu.

Podle IE nové nařízení GDPR zavazuje podniky, aby zpracování osobních údajů prováděly v souladu s novými a přísnějšími pravidly pro ochranu osobních údajů. Jednou z jejich povinností bude ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu. Podle čl. 33 nařízení musí správce ohlásit dozorovému úřadu jakékoli porušení zabezpečení osobních údajů, a to bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl.

Obsah ohlášení

Toto ohlášení musí podle čl. 33 odst. 3 nařízení obsahovat přinejmenším:

  • popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
  • popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.     

Mohlo by vás zajímat: Zajímavost: První on-line pojištění psů a koček


Význam šablony

IE vyvinula detailní šablonu, kterou je možno chápat jako jeden ze způsobů, jak se vyrovnat s danou povinností.  Mohla by prý zajímat především střední a malé podniky a dozorové úřady. Tyto podniky by se na ni mohly spolehnout, a vyhnuly by se tak popisnému „cvičení“ v případě zjištěného porušení, přičemž taková činnost vyžaduje zdroje, jež nemusí být k dispozici. Dozorové úřady by mohly mít užitek ze standardizovaného formátu, který by jim měl umožnit sdílet data přeshraničně, lépe provádět detekci trendů a získat hlubší vhled do problematiky boje proti kybernetickým hrozbám v Evropě.

Šablona je vytvořena takovým způsobem, že shromážděné informace mohou být sdíleny bez nutnosti jejich anonymizace či agregace, protože nebude možné identifikovat podnik skrze informaci, kterou předložil.

Pokud by byla tato šablona použita v širším rozsahu, mohla by přispět ke zvýšení objemu dostupných informací a údajů o kybernetických rizicích, a posílit tak kybernetickou odolnost v rámci celé ekonomiky/společnosti.

V současné době nedostatek dostupných informací o kybernetických událostech brání řadě subjektů sehrávat patřičnou roli v kybernetické ochraně, a to zvláště pojišťovnám, jež jsou omezeny ve schopnosti nabídnout pojištění kybernetických rizik a související služby. To by se mohlo změnit, kdyby byl pojišťovnám zaručen přístup k anonymizovaným údajům, jež by byly shromažďovány národními dozorovými úřady v souvislosti s ohlašováním porušení zabezpečení osobních údajů.


Mohlo by vás zajímat: První mladé hrdinky pomohly osiřelému Martínkovi


Struktura šablony

Šablona má tři odlišné sekce:

  1. sekce: Identifikační údaje a informace o zasažené společnosti (tato sekce nebude sdílena se třetími osobami);
  2. sekce: Podrobnosti o případu porušení zabezpečení osobních údajů podle čl. 33 GDPR. Tyto informace budou zaslány národnímu dozorovému úřadu, pokud možno do 72 hodin od okamžiku, kdy se o něm správce dozvěděl;
  3. sekce: Tato sekce bude dokončena po uplynutí 72 hodin, kdy již bude k dispozici více informací o porušení zabezpečení, včetně sad doplňujících údajů, aby bylo možno získat hlubší poznání povahy porušení.

Soubory údajů v sekcích 2 a 3 jsou navrženy ve formě odpovědí s násobným výběrem nebo ve formě číselných polí. Každý takový formát umožní příslušným úřadům porovnat informace napříč podniky a sektory a zajistit, že informace v obou sekcích zůstanou anonymizované a mohou být sdíleny s pojišťovacím sektorem.

Tuto akci IE je nutno ocenit. Zmíněná šablona může v každém případě posloužit jednotlivým pojišťovnám připravit se na případné plnění povinností podle čl. 33 nařízení. Pokud by se ale návrhu chopil národní dozorový úřad nebo dozorové úřady ve více či všech  členských státech EU, tak pak by shromážděné informace umožnily lépe konstruovat pojistné produkty v oblasti kybernetických rizik. Další vývoj budeme sledovat.

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Nejsou žádné komentáře.

Související články