Το Insurancedaily αναδημοσιεύει το αφιέρωμα του περιοδικού Ασφαλιστικού Marketing σχετικά με την εφαρμογή του GDPR με θέμα “Τι πρέπει να ξέρουν οι επιχειρήσεις που διαχειρίζονται προσωπικά στοιχεία για το Νέο Κανονισμό προστασίας Προσωπικών Δεδομένων”.
Στις συνεντεύξεις του περιοδικού ΑΜ μιλούν:
- Νίκος Γεωργόπουλος, cyRM, MBA, Cyber Privacy Risks Insurance Advisor, Cromar Coverholder at Lloyd’s
- Ιωάννης Ε. Γιαννακάκης, Δικηγόρος – Nομικός Σύμβουλος Νότιας Ευρώπης Ομίλου G4S
- Δρ. Χρήστος Ξενάκης, Αν. Καθηγητής στο Τμήμα Ψηφιακών Συστημάτων, Πανεπιστήμιο Πειραιώς
- Δρ. Νικόλαος Λουκάς, Research Associate στο Τμήμα Ψηφιακών Συστημάτων, Πανεπιστήμιο Πειραιώς
- Γιώργος Τσινός, Υπεύθυνος Ασφάλειας Πληροφορίας (CISO), Εθνική Ασφαλιστική
- Γιώργος Χλωμούδης, Data Protection Officer, ΑΧΑ Ασφαλιστική
- Δημήτρης Βασιλειάδης, C.O.O. MetLife Greece
- Κατερίνα Παπαδοπούλου, Προϊσταμένη Κανονιστικής Συμμόρφωσης, Ευρωπαϊκή Πίστη
- Κώστας Αργυρόπουλος, Υπεύθυνος Ασφάλειας Πληροφοριών & Συντονιστής Επιχειρησιακής Συνέχειας, Υδρόγειος Ασφαλιστική
- Παναγιώτης Καταρτζής, Information Security Officer, Eurolife ERB
- Θεοδώρα Παν. Λάσκαρη, Δικηγόρος Αθηνών, Νομικός Σύμβουλος, ARAG SE
Στην εποχή του ψηφιακού επιχειρείν και της ροής τεράστιων όγκων πληροφοριών μεταξύ εταιρειών εντός και εκτός της Ευρωπαϊκής Ένωσης, η ανάγκη να διασφαλιστούν η ενημέρωση και η προστασία των πολιτών στη χρήση και διαχείριση προσωπικών στοιχείων καθίστανται πιο αναγκαίες από ποτέ. Η διαδικτυακή επικοινωνία, οι ηλεκτρονικές συναλλαγές και οι έξυπνες συσκευές δημιούργησαν νέες μορφές συλλογής και επεξεργασίας δεδομένων, μέσα από τις οποίες πρέπει να διασφαλιστεί ο σεβασμός στα θεμελιώδη δικαιώματα και τις ελευθερίες που αναγνωρίζονται στην εγχώρια και διεθνή έννομη τάξη.
Αυτή την ισορροπία, μεταξύ της ηλεκτρονικής πληροφορίας, των μεθόδων επεξεργασίας αλλά και των δικαιωμάτων που δεν πρέπει να απεμποληθούν, επιχειρεί να φέρει ο νέος Κανονισμός προστασίας Προσωπικών Δεδομένων, που προβλέπει αυστηρότερο πλαίσιο για τις επιχειρήσεις και θα τεθεί σε εφαρμογή στις 25 Μαίου του 2018.
Το νέο πλαίσιο αφορά όλες τις επιχειρήσεις που τηρούν και επεξεργάζονται προσωπικά δεδομένα και δη τις ασφαλιστικές που εξ επιχειρηματικής φύσεως διατηρούν πληροφορίες που αφορούν περιουσιακά στοιχεία, δεδομένα υγείας, στοιχεία ταυτοποίησης από δημόσιους φορείς, αριθμούς πιστωτικών καρτών και λογαριασμών, αλλά και άλλου είδους ευαίσθητες πληροφορίες για τις ανάγκες των ασφαλιστηρίων συμβολαίων.
Ποιες είναι οι υποχρεώσεις και τα δικαιώματα που απορρέουν από το νέο νομοθέτημα και πόσο προετοιμασμένες είναι οι επιχειρήσεις και η ασφαλιστική αγορά για να εναρμονιστούν με όσα ορίζει; Σε ποιο βαθμό αλλάζει η σχέση των εταιρειών με το υποκείμενο δεδομένων και την ανεξάρτητη αρχή; Ποιος είναι ο ρόλος του Data Protection Officer; Πόσο σημαντική είναι πλέον η κάλυψη cyber insurance δεδομένων και των μεγάλων προστίμων που επισείει η παραβίαση του κανονισμού; Αυτά είναι μερικά από τα ερωτήματα που θα επιχειρήσουμε να απαντήσουμε μέσα από το ρεπορτάζ, τις συνεντεύξεις και την αρθρογραφία που θα αναρτηθούν τις επόμενες ημέρες σταδιακά στο insurance daily και προέρχονται από συνεντεύξεις που έγιναν στο περιοδικό Ασφαλιστικό Marketing.
Οι βασικές αλλαγές του νέου πλαισίου GDPR
• Διευρύνει τη συνεργασία των αρμοδίων σε κάθε εταιρεία με τις αρχές.
• Επιτάσσει την τήρηση λεπτομερέστερων αρχείων και πληροφοριών, δημιουργώντας περισσότερη «γραφειοκρατία» για τις εταιρείες.
• Ενισχύει την αυτοτελή ευθύνη του εκτελούντος την επεξεργασία.
• Καθιστά στην ουσία αναγκαίο τον DPO.
• Χαρακτηρίζει τα βιομετρικά και γενετικά δεδομένα ως προσωπικού χαρακτήρα από τη στιγμή που οδηγούν στην ταυτοποίηση του καταναλωτή.
• Ορίζει μεγάλα πρόστιμα για τις εταιρείες: Οι παραβάσεις του κανονισμού μπορεί να οδηγήσουν από συστάσεις σε ελάσσονος σημασίας περιστατικά μέχρι και διοικητικά πρόστιμα που φτάνουν στα 10-20 εκατ. ευρώ ή σε περίπτωση επιχειρήσεων στο 2%-4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Δικαιώματα
1. Δικαίωμα Διόρθωσης
Ο άνθρωπος στον οποίο ανήκουν τα δεδομένα έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση τη διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που τον αφορούν.
2. Δικαίωμα στη λήθη
Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει όταν έχουν χρησιμοποιηθεί παράνομα, όταν δεν είναι πλέον απαραίτητα για τους σκοπούς για τους οποίους συλλέχθηκαν και όταν ο ενδιαφερόμενος ανακαλεί τη συγκατάθεσή του.
3. Δικαίωμα φορητότητας των δεδομένων
Έχει δικαίωμα να ζητά από τον υπεύθυνο επεξεργασίας να λαμβάνει τα δεδομένα σε κοινώς αναγνωρίσιμο μορφότυπο, καθώς και την απευθείας διαβίβαση των δεδομένων του σε άλλον υπεύθυνο επεξεργασίας.
Πού δεν εφαρμόζεται
• Σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί.
• Στα δεδομένα προσωπικού χαρακτήρα θανόντων. Τα κράτη μέλη μπορούν να προβλέπουν κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων. • Σε επεξεργασία από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας.
• Από αρχές για διερεύνηση ή δίωξη ποινικών αδικημάτων και εκτέλεση ποινικών κυρώσεων ή για λόγους δημόσιας ασφάλειας.
Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή
Ο κανονισμός οδηγεί τις επιχειρήσεις σε στενότερη επαφή με την Ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και χαρακτηρίζει τα γενετικά και βιομετρικά δεδομένα, προσωπικά. Σε περίπτωση παραβίασης ο εκτελών την επεξεργασία πρέπει να ενημερώσει αμελλητί μόλις αντιληφθεί το συμβάν τον υπεύθυνο επεξεργασίας, που οφείλει, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση. Στοιχεία που πρέπει να αναφέρονται στην ενημέρωση της εποπτικής αρχής είναι:
Α) να περιγραφεί η φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,
Β) να αναφέρεται το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,
Γ) να περιγραφούν οι ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα και
Δ) να περιγραφούν τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στον πελάτη
Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώσει άμεσα την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων. Σε περίπτωση που δεν το πράξει όταν η εποπτική αρχή μπορεί να εξετάσει την πιθανότητα επέλευσης υψηλού κινδύνου από την παραβίαση των δεδομένων προσωπικού χαρακτήρα και να του ζητήσει να το πράξει ή μπορεί να αποφασίσει ότι δεν χρειάζεται. Η ανακοίνωση στο υποκείμενο των δεδομένων δεν απαιτείται, εάν ο υπεύθυνος επεξεργασίας εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας και τα μέτρα αυτά εφαρμόστηκαν στα επηρεαζόμενα από την παραβίαση δεδομένα προσωπικού χαρακτήρα, κυρίως μέτρα που καθιστούν μη κατανοητά τα δεδομένα προσωπικού χαρακτήρα σε όσους δεν διαθέτουν άδεια πρόσβασης σε αυτά, όπως η κρυπτογράφηση. Επίσης δεν απαιτείται εάν ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανό να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένω
Πηγή: Ασφαλιστικό Marketing – Τεύχος Μαρτίου 2017