Menu

Τι υποχρεώσεις φέρνει στους ασφαλιστές ο κανονισμός GDPR

Μια έκθεση με τις βασικότερες υποχρεώσεις των ασφαλιστών έδωσε πριν από λίγες μέρες στη δημοσιότητα η Insurance Europe, ενόψει της εφαρμογής της νέας Ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων (GDPR).

Όπως τονίζει η Insurance Europe, με βάση τον GDPR οι ασφαλιστές θα πρέπει να ενισχύσουν τα μέτρα ασφάλειας και πολιτικής προκειμένου να διασφαλίσουν ότι τα δεδομένα παραμένουν ασφαλή και να θέσουν σε εφαρμογή διαδικασίες που θα επιτρέψουν στους καταναλωτές να ασκήσουν τα δικαιώματά τους στο πλαίσιο του νέου κανονισμού.

Αναλυτικά, οι βασικότερες υποχρεώσεις των ασφαλιστών συνοψίζονται ως εξής:

Νομότυπη επεξεργασία των δεδομένων

Οι ασφαλιστές πρέπει πάντα να βασίζονται στην κατάλληλη νομική βάση κατά την επεξεργασία των προσωπικών δεδομένων των καταναλωτών. Ο GDPR περιέχει  έξι νόμιμες βάσεις για την επεξεργασία προσωπικών δεδομένων, όπως για παράδειγμα, τη συγκατάθεση του ατόμου. Επιπλέον, ισχύουν ειδικοί, πιο περιοριστικοί κανόνες για την επεξεργασία ειδικών κατηγοριών δεδομένων, όπως τα δεδομένα για την υγεία.

Εφαρμογή των αρχών «Privacy by Design» ή «Privacy by Default»

Οι ασφαλιστές πρέπει να λαμβάνουν υπόψη τους κανόνες προστασίας δεδομένων κατά το σχεδιασμό προϊόντων: για παράδειγμα, ενσωματώνοντας την κρυπτογράφηση των προσωπικών δεδομένων. Πρέπει επίσης να λάβουν τα κατάλληλα μέτρα για να

διασφαλίσουν ότι - εξ ορισμού - θα υποβάλλονται σε επεξεργασία μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για συγκεκριμένο σκοπό. Για παράδειγμα, ένας ασφαλιστής μπορεί να επιλέξει να διαγράψει τα δεδομένα με αυτοματοποιημένα μέσα μόλις ολοκληρωθεί η περίοδος για την οποία πρέπει να διατηρηθούν τα δεδομένα.

Ενημέρωση των καταναλωτών

Πριν από την επεξεργασία των προσωπικών δεδομένων, οι ασφαλιστές πρέπει να παρέχουν στους πελάτες τους ορισμένες πληροφορίες, όπως ποιος επεξεργάζεται τα δεδομένα τους και για ποιο σκοπό. Αυτό ισχύει και όταν οι ασφαλιστές λαμβάνουν προσωπικά δεδομένα από τρίτους: για παράδειγμα, τα προσωπικά δεδομένα ενός θύματος τροχαίου ατυχήματος προκειμένου να διεκπεραιώσει μια απαίτηση ή αν ένας ασφαλιστής συλλέγει δεδομένα από δημόσιες πηγές.

Εκτίμηση αντίκτυπου προστασίας δεδομένων

Όταν η επεξεργασία των δεδομένων συνεπάγεται υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες ενός ατόμου, οι ασφαλιστές πρέπει να αξιολογούν τους κινδύνους και να λαμβάνουν μέτρα για τον μετριασμό τους πριν από την επεξεργασία των δεδομένων. Για παράδειγμα, εάν ένας ασφαλιστής επεξεργάζεται δεδομένα υγείας σε μεγάλη κλίμακα, θα πρέπει να αξιολογήσει τον αντίκτυπο σχετικά με την προστασία δεδομένων (DPIA) ώστε να εκτιμήσει τον κίνδυνο που διατρέχουν οι καταναλωτές από την επεξεργασία αυτών των δεδομένων. Είναι σημαντικό για τους ασφαλιστές να ελέγχουν εάν η εθνική εποπτική αρχή τους έχει δημοσιεύσει έναν κατάλογο που περιλαμβάνει τις διαδικασίες επεξεργασίας που απαιτούν DPIA, καθώς και έναν κατάλογο που αναφέρεται σε διαδικασίες επεξεργασίας που δεν απαιτούν DPIA.

Απάντηση στους καταναλωτές που ασκούν τα δικαιώματά τους

Ο GDPR ενισχύει τα δικαιώματα των ατόμων όσον αφορά τα προσωπικά τους δεδομένα και οι ασφαλιστές πρέπει να είναι έτοιμοι να συμμορφωθούν με αυτά τα δικαιώματα. Για παράδειγμα, όταν οι ασφαλιστές επεξεργάζονται δεδομένα με βάση τη συγκατάθεση του καταναλωτή ή τη σύμβαση, ο ασφαλιστής, εφόσον του ζητηθεί, πρέπει να παράσχει στον καταναλωτή τα δεδομένα του σε μηχανικά αναγνώσιμη μορφή ή να αναθέσει τη μορφή σε άλλη εταιρεία.

Κατά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εταιρεία εκτός της ΕΕ / ΕΟΧ, οι ασφαλιστές πρέπει να εξασφαλίσουν ότι η εταιρεία έχει την έδρα της σε μια χώρα στην οποία η Ευρωπαϊκή Επιτροπή έχει αναγνωρίσει ότι διαθέτει επαρκείς κανόνες προστασίας δεδομένων. Εναλλακτικά, ο ασφαλιστής πρέπει να διασφαλίσει ότι η εταιρεία χρησιμοποιεί μία από τις κατάλληλες διασφαλίσεις που απαριθμούνται στον GDPR για να εξασφαλίσει υψηλό επίπεδο προστασίας δεδομένων, όπως τυποποιημένες συμβατικές ρήτρες ή δεσμευτικούς εταιρικούς κανόνες. Σε εξαιρετικές περιπτώσεις, οι ασφαλιστές μπορούν να βασίζονται σε παρεκκλίσεις, όπως η συγκατάθεση του καταναλωτή, για διασυνοριακές μεταφορές δεδομένων.

Πρόσθετες διασφαλίσεις για την επεξεργασία δεδομένων

Εάν μια εξωτερική εταιρεία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό ενός ασφαλιστή - για παράδειγμα, ένας πάροχος υπηρεσιών cloud - τότε ο ασφαλιστής πρέπει να διασφαλίσει ότι η εξωτερική εταιρεία έχει λάβει τα κατάλληλα μέτρα ώστε οι διαδικασίες επεξεργασίας να ανταποκρίνονται στις απαιτήσεις του GDPR.

Υπεύθυνος προστασίας δεδομένων

Εάν οι κύριες δραστηριότητες του ασφαλιστή περιλαμβάνουν την τακτική παρακολούθηση ατόμων ή την επεξεργασία ειδικών κατηγοριών δεδομένων, όπως τα δεδομένα για την υγεία, σε μεγάλη κλίμακα, τότε πρέπει να ορίσει έναν υπεύθυνο προστασίας  δεδομένων (DPO). Ο DPO είναι υπεύθυνος για την παροχή συμβουλών στον ασφαλιστή και στους υπαλλήλους του σχετικά με τις υποχρεώσεις τους. Ο DPO θα παρακολουθεί επίσης τη συμμόρφωση του ασφαλιστή με τον GDPR και θα συνεργάζεται με την εποπτική αρχή σε θέματα που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Απαιτήσεις γνωστοποίησης σε περίπτωση παραβίασης των δεδομένων

Όταν τα προσωπικά δεδομένα αποκαλύπτονται παράνομα ή τυχαία σε μη εξουσιοδοτημένους συμμετέχοντες ή είναι προσωρινά μη διαθέσιμα ή τροποποιημένα, οι ασφαλιστές πρέπει να ενημερώσουν την εποπτική τους αρχή εντός 72 ωρών από την ανίχνευση της παραβίασης.

ΔΙΑΒΑΣΤΕ ΟΛΑ ΤΑ ΑΡΘΡΑ ΓΙΑ ΤΗΝ ΑΣΦΑΛΙΣΤΙΚΗ ΑΓΟΡΑ

ΚΑΡΙΕΡΑ

Απαραίτητα προσόντα η διάθεση για μάθηση και το ισχυρό κίνητρο για επαγγελματική δημιουργία και επιτυχία χωρίς όρια. Η πολυετής εμπειρία και τεχνογνωσία μας θα γίνει ο πολύτιμος σύμβουλός σας!

ΣΧΕΤΙΚΑ ΜΕ ΜΑΣ

ΕΠΙΚΑΙΡΟΤΗΤΑ

ΑΚΟΛΟΥΘΗΣΤΕ ΜΑΣ