المادة (16) حماية البيانات الشخصية والأمن السيبراني
1-16 | يجب أن يكون لدى وسطاء التأمين سياسات وإجراءات مناسبة ومستمرة من أجل: | ||
أ. | تحديد ومنع وحل أي انتهاكات لأمن المعلومات؛ | ||
ب. | وحماية البيانات الشخصية؛ | ||
2-16 | يجب تخزين البيانات الشخصية والاحتفاظ بها في الدولة. كما يجب على الوسطاء إنشاء نسخة احتياطية آمنة ومأمونة لجميع البيانات الشخصية في مكان منفصل لفترة الاحتفاظ المطلوبة البالغة عشر (10) سنوات. | ||
3-16 | يجب على وسطاء التأمين الالتزام بالمتطلبات والمعايير الرقابية المعمول بها بشأن حماية البيانات. ويجب عليهم التحكم ومعالجة والاحتفاظ فقط بالبيانات الشخصية التي تكون ضرورية لغرض تقديم خدمات الوساطة في التأمين. | ||
4-16 | يجوز لوسيط التأمين الكشف عن بيانات العملاء الشخصية إلى: | ||
أ. | طرف ثالث، في حال تم الإفصاح بموافقة كتابية مسبقة من العميل، أو يكون الإفصاح مطلوبًا وفقًا للقوانين المعمول بها؛ | ||
ب. | المصرف المركزي؛ | ||
ج. | السلطات الرقابية الأخرى بناء على الطلب، وبعد الحصول على موافقة مسبقة من المصرف المركزي؛ | ||
د. | محاكم الدولة؛ | ||
ه. | الجهات الحكومية الأخرى التي تتمتع بحقوق للوصول مصرّح بها قانونيًا؛ | ||
و. | المسائل المتعلقة بالتأمين للشركات واتحاد الإمارات للتأمين والممارسين المرخصين للمهن المرتبطة بالتأمين، إلى الحد اللازم للاكتتاب أو تسوية المطالبات. | ||
5-16 | يجب على وسيط التأمين إدارة مخاطر الأمن السيبراني بشكل مناسب من خلال عملية حوكمة المخاطر. ويجب عليه تخصيص كوادر ماهرة كافية لضمان قدرته على تحديد المخاطر وحماية خدماته الحيوية من الهجوم واحتواء تأثير حوادث الأمن السيبراني واستعادة الخدمات. | ||
6-16 | يجب على وسيط التأمين وضع خطة للاستجابة للحوادث السيبرانية وإدارتها لعزل وتحييد التهديد السيبراني بسرعة واستئناف الخدمات المتضررة في أقرب وقت ممكن. ويجب أن تصف الخطة إجراءات الاستجابة لسيناريوهات معقولة للتهديدات السيبرانية. | ||