του Κώστα Αργυρόπουλου, Υπεύθυνου Ασφάλειας Πληροφοριών και Συντονιστή Επιχειρησιακής Συνέχειας και της Ελένης Ντασιώτη, Υπεύθυνης Κανονιστικής Συμμόρφωσης, Υδρόγειος ασφαλιστική
Στις 25 Μαΐου 2018, τίθεται σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ – GDPR 2016/679), ο νέος Κανονισμός της Ευρωπαϊκής Ένωσης που αποσκοπεί στην ενίσχυση της προστασίας των προσωπικών δεδομένων των πολιτών εντός αυτής. Με τον ΓΚΠΔ, καθιερώνεται ένα ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλα τα κράτη-μέλη της Ε.Ε. O νέος Κανονισμός αφορά ιδιαίτερα τις ασφαλιστικές εταιρείες και τους ασφαλιστές, οι οποίοι καλούνται να εφαρμόσουν αυξημένα μέτρα προστασίας για τα προσωπικά δεδομένα των πελατών τους.
ΤΙ ΑΦΟΡΑ Ο ΓΚΠΔ;
Ο ΓΚΠΔ θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την κυκλοφορία/μεταβίβαση των δεδομένων προσωπικού χαρακτήρα εντός και εκτός Ε.Ε. με στόχο να προστατευθούν πληρέστερα τα θεμελιώδη δικαιώματα και οι ελευθερίες των φυσικών προσώπων.
ΤΙ ΘΕΩΡΕΙΤΑΙ ΠΡΟΣΩΠΙΚΟ ΔΕΔΟΜΕΝΟ
Ως προσωπικό δεδομένο ορίζεται οποιαδήποτε πληροφορία σχετικά με το φυσικό πρόσωπο, το οποίο μπορεί να προσδιοριστεί/ταυτοποιηθεί άμεσα ή έμμεσα. Αυτό περιλαμβάνει και ηλεκτρονικά αναγνωριστικά στοιχεία, όπως διευθύνσεις IP και cookies, καθώς μπορούν να συνδεθούν ξανά με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Οι έμμεσες πληροφορίες μπορεί να περιλαμβάνουν φυσικές, φυσιολογικές, γενετικές, ψυχικές, οικονομικές, πολιτιστικές ή κοινωνικές ταυτότητες που μπορούν να συνδεθούν με ένα συγκεκριμένο άτομο. Δεν υπάρχει διάκριση μεταξύ προσωπικών δεδομένων σχετικά με ένα άτομο στο προσωπικό, δημόσιο ή εργασιακό του ρόλο – όλα καλύπτονται από τον κανονισμό.
ΠΟΙΑ ΕΙΝΑΙ Η ΔΙΑΦΟΡΑ ΜΕΤΑΞΥ ΕΝΟΣ “ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ” ΚΑΙ ΕΝΟΣ “ΕΚΤΕΛΟΥΝΤΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ”
Ο Υπεύθυνος Επεξεργασίας είναι το πρόσωπο ή η επιχείρηση που καθορίζει τους σκοπούς και τον τρόπο με τον οποίο τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία. Ο Εκτελών την Επεξεργασία είναι οποιοσδήποτε επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του Υπεύθυνου Επεξεργασίας, εξαιρουμένων των υπαλλήλων του Υπεύθυνου Επεξεργασίας.
Σε όποια κατηγορία και αν ανήκετε, θεωρείστε υπεύθυνοι σύμφωνα με τον ΓΚΠΔ, για την προστασία των προσωπικών δεδομένων του υποκειμένου και την ασφάλεια των συστημάτων που διαθέτετε αφού σε περίπτωση απώλειας, μεταβολής, άνευ αδείας διαρροής, μη εξουσιοδοτημένης πρόσβασης, ή τυχαίας/παράνομης καταστροφής τους μπορεί να σας επιβληθούν κυρώσεις ή πρόστιμα από την Εποπτική Αρχή καθώς και να εγερθεί εναντίον σας ευθεία αγωγή αποζημίωσης για τη υλική ή ηθική ζημιά που υπέστη το θιγόμενο μέρος.
ΠΟΙΑ ΕΠΑΓΓΕΛΜΑΤΑ ΠΡΕΠΕΙ ΝΑ ΣΥΜΜΟΡΦΩΘΟΥΝ ΜΕ ΤΟΝ ΓΚΠΔ;
ΜΕΡΙΚΑ ΠΑΡΑΔΕΙΓΜΑΤΑ ΕΠΑΓΓΕΛΜΑΤΙΩΝ ΠΟΥ ΟΦΕΙΛΟΥΝ ΝΑ ΣΥΜΜΟΡΦΩΘΟΥΝ:
Ασφαλιστές – Ασφαλιστικά Γραφεία, οι οποίοι συλλέγουν δεδομένα προσωπικού χαρακτήρα π.χ. ΑΔΤ, Δίπλωμα Οδήγησης, Άδεια Κυκλοφορίας Οχημάτων, Συμβόλαια Ιδιοκτησίας Κατοικιών, κτλ..
Πραγματογνώμονες, για τα δεδομένα προσωπικού χαρακτήρα που παραλαμβάνουν π.χ. Ασφαλιστήρια Συμβόλαια, ΑΔΤ, Δίπλωμα Οδήγησης, Άδεια Κυκλοφορίας Οχημάτων, Συμβόλαια Ιδιοκτησίας Κατοικιών, κτλ.
Ιατροί – Επαγγελματίες Υγείας, οι οποίοι μάλιστα επεξεργάζονται ευαίσθητα προσωπικά δεδομένα. z Δικηγορικά Γραφεία, για τα δεδομένα προσωπικού χαρακτήρα που παραλαμβάνουν και επεξεργάζονται.
ΠΟΙΑ ΕΙΝΑΙ ΤΑ ΠΡΟΣΤΙΜΑ ΓΙΑ ΤΗΝ ΜΗ ΣΥΜΜΟΡΦΩΣΗ;
Στις επιχειρήσεις, ανεξαρτήτως μεγέθους, που δεν συμμορφώνονται με τον κανονισμό μπορούν να επιβληθούν πρόστιμα μέχρι €10 εκατ. ή το 2% του ετήσιου κύκλου εργασιών (όποιο είναι μεγαλύτερο). Για σοβαρότερες παραβιάσεις, τα πρόστιμα μπορούν να φτάσουν τα €20 εκατ. ή το 4% του ετήσιου κύκλου εργασιών (όποιο είναι μεγαλύτερο).
ΤΙ ΠΡΕΠΕΙ ΝΑ ΞΕΡΩ;
Από ποιον συλλέγω τα δεδομένα; Που είναι αποθηκευμένα; Ποιος τα διαχειρίζεται; Ποια η νομική βάση που μου επιτρέπει να τα επεξεργάζομαι; Για ποιον σκοπό τα επεξεργάζομαι; Με ποιον και γιατί τα μοιράζομαι; Είμαι έτοιμος να απαντήσω μέσα σε 1 μήνα σε αιτήματα υποκειμένων των δεδομένων για το τί πληροφορίες κρατώ γι’ αυτούς καθώς και για την επεξεργασία που τα δεδομένα τους έχουν υποστεί;
Υπάρχουν δικαιολογητικοί λόγοι που μου επιτρέπουν να απορρίψω αυτό το αίτημα;
Μήπως κρατώ προσωπικά δεδομένα που δεν έχουν καμία σχέση με το είδος και την φύση των επαγγελματικών μου υποχρεώσεων;
ΠΟΙΑ ΕΙΝΑΙ ΤΑ ΒΑΣΙΚΑ ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΠΟΛΙΤΩΝ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΓΚΠΔ;
Ο κανονισμός ενισχύει τα δικαιώματα των πολιτών όσον αφορά τη λήψη εγγυήσεων για την ασφάλεια, την νομιμότητα της επεξεργασίας και το χρόνο τήρησης των δεδομένων τους:
Δικαίωμα ενημέρωσης και πρόσβασης στα δεδομένα. Δικαίωμα περιορισμού της επεξεργασίας. Δικαίωμα στη λήθη. Δικαίωμα διόρθωσης. Δικαίωμα εναντίωσης στην επεξεργασία.
Δικαίωμα στη φορητότητα των δεδομένων. Δικαίωμα εναντίωσης στην κατάρτιση προφίλ.
ΠΟΙΕΣ ΟΙ ΑΡΧΕΣ ΠΟΥ ΘΕΣΠΙΖΟΝΤΑΙ ΓΙΑ ΤΗΝ ΔΙΑΦΥΛΑΞΗ ΚΑΙ ΕΠΕΞΕΡΓΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ;
Το άρθρο 5 του ΓΚΠΔ ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει:
Να υποβάλλονται σε νόμιμη επεξεργασία, δίκαια και με διαφανή τρόπο. Να συλλέγονται μόνο για συγκεκριμένους, σαφείς και θεμιτούς σκοπούς.
Να είναι επαρκή, συναφή και περιορισμένα σε ό,τι είναι αναγκαίο. Να είναι ακριβή και ενημερωμένα. Να διατηρούνται μόνο για το χρονικό διάστημα που απαιτείται και όχι περισσότερο. Ο τρόπος και το είδος της επεξεργασίας να διασφαλίζει την προστασία τους.
ΤΙ ΕΙΝΑΙ Η ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΚΑΤΑ ΤΟΝ ΣΧΕΔΙΑΣΜΟ
Ο ΓΚΠΔ επιβάλλει ότι τα κατάλληλα μέτρα προστασίας των προσωπικών δεδομένων πρέπει να λαμβάνονται ήδη από το στάδιο του σχεδιασμού μίας υπηρεσίας, τεχνολογικής εφαρμογής ή συστήματος που θα διαχειρίζεται προσωπικά δεδομένα (π.χ. ανάπτυξης ιστοσελίδας
της επιχείρησης).
ΤΙ ΕΙΝΑΙ Ο ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ;
Σύμφωνα με τα Άρθρα 37,38 & 39 του ΓΚΠΔ η εταιρεία ή ο οργανισμός σας, είτε είναι υπεύθυνος επεξεργασίας είτε εκτελών την επεξεργασία, οφείλει να διορίσει Υπεύθυνο Προστασίας Δεδομένων, εφόσον οι βασικές δραστηριότητες που ασκεί περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων σε μεγάλη κλίμακα ή την τακτική και συστηματική παρακολούθηση σε μεγάλη κλίμακα φυσικών προσώπων. Κριτήρια διορισμού Υπευθύνου Προστασίας δεδομένων, αποτελούν ο αριθμός των υποκειμένων καθώς και ο όγκος των δεδομένων τους προς επεξεργασία, η διάρκεια αυτής, η γεωγραφική έκταση κ.α. Ο Υπεύθυνος Προστασίας Δεδομένων μπορεί να είναι μέλος του προσωπικού του οργανισμού σας ή μπορεί να είναι εξωτερικός συνεργάτης με βάση σύμβαση παροχής υπηρεσιών. Μπορεί να είναι φυσικό πρόσωπο ή νομικό πρόσωπο.
Κρίσιμα Ερωτήματα για Ασφαλιστικούς Διαμεσολαβητές
Πού φυλάσσονται τα προσωπικά δεδομένα των πελατών που παραλαμβάνετε για την έκδοση ασφαλιστήριων συμβολαίων;
Οι έντυπες πληροφορίες που σας παραδίδουν οι πελάτες (π.χ. φωτοτυπία ταυτότητας, διπλώματος, άδειας κυκλοφορίας, συμβολαίου κατοικίας, κτλ.), στις οποίες αναγράφονται προσωπικά δεδομένα όπως ονοματεπώνυμο, διεύθυνση, τηλέφωνο, ΑΦΜ, κτλ., πρέπει να προστατεύονται. Τα έντυπα αυτά πρέπει να φυλάσσονται σε συρτάρια ή ερμάρια που κλειδώνουν και τα κλειδιά να τα διαχειρίζεται ο ασφαλιστικός διαμεσολαβητής ή/και έμπιστο προσωπικό που εργάζεται για αυτόν. Όπου καταχωρούνται προσωπικά δεδομένα σε ηλεκτρονικό υπολογιστή, θα πρέπει ο υπολογιστής αυτός να προστατεύεται με πρόγραμμα προστασίας ιών (antivirus) και η πρόσβαση σε αυτόν να γίνεται με μυστικό κωδικό (password).
Πως λαμβάνεται και αποδεικνύεται η συγκατάθεση / συναίνεση που απαιτεί ο ΓΚΠΔ προ της εκδόσεως ασφαλιστηρίου συμβολαίου;
Σύμφωνα με την απαίτηση του ΓΚΠΔ, στις περιπτώσεις όπου για την επεξεργασία των προσωπικών δεδομένων απαιτείται η συγκατάθεση του υποκειμένου, αυτή θα πρέπει να εκδηλώνεται με ξεχωριστή σαφή θετική ενέργεια ή δήλωση. Συνεπώς, η σιωπή ή η απραξία του πελάτη και τα προσυμπληρωμένα εικονίδια δεν θα αρκούν για την απόκτηση και την απόδειξη έγκυρης συγκατάθεσης του υποκειμένου. Παράδειγμα έγκυρης συγκατάθεσης, αποτελεί η υπογραφή του πελάτη στην αίτηση ασφάλισης που σας παραδίδει για την έκδοση ασφαλιστηρίου συμβολαίου, όπου όμως θα πρέπει να του γνωστοποιείται με σαφώς και διακριτό τρόπο, για ποιο είδος επεξεργασίας απαιτείται η συγκατάθεσή του. Το ίδιο θα ισχύει και για τις ηλεκτρονικές αιτήσεις ασφάλισης, όπου ως σαφής θετική ενέργεια συγκατάθεσης θα εκλαμβάνεται π.χ η συμπλήρωση ειδικών εικονιδίων από τον πελάτη.
Ποιος δικαιούται να έχει πρόσβαση στο αρχείο των πελατών;
Πρόσβαση στο αρχείο πελατών (έντυπα σε φάκελο και ηλεκτρονικά σε υπολογιστή) έχει μόνο ο ασφαλιστικός διαμεσολαβητής και οι εντεταλμένοι υπάλληλοι αυτού.
Πώς αποστέλλετε τα ασφαλιστήρια συμβόλαια, αποφάσεις αποζημιώσεων, ιατρικά δεδομένα πελατών / δικαιούχων, στις ενδιαφερόμενες ομάδες (π.χ. πελάτες, πραγματογνώμονες, ασφαλιστικές εταιρείες, κτλ.);
Σε περίπτωση που αποστέλλετε ασφαλιστήρια συμβόλαια στον πελάτη σας, πρέπει η έντυπη αποστολή να γίνεται μέσω συστημένης επιστολής. Τα αρχεία που αποστέλλονται μέσω ηλεκτρονικού ταχυδρομείου (email) και που περιέχουν προσωπικά δεδομένα πρέπει να προστατεύονται με κρυπτογράφηση. Μία μορφή κρυπτογράφησης είναι η χρήση του εργαλείου “winzip” το οποίο έχει δυνατότητα χρήσης κωδικού ασφαλείας “password”. Η αποστολή εγγράφων/αρχείων προς την ασφαλιστική εταιρεία πρέπει να γίνεται μέσω των ασφαλών εξειδικευμένων εφαρμογών όπως το ηλεκτρονικό underwriting.
Σε περίπτωση παραβίασης των προσωπικών δεδομένων από βάσεις ή αρχεία της επιχείρησής σας, ποιες είναι οι υποχρεώσεις σας;
Σε περίπτωση απώλειας, μεταβολής, ή άνευ αδείας διαρροής έντυπων ή/και ηλεκτρονικών προσωπικών πληροφοριών (π.χ. απώλεια επιστολής ταχυδρομείου, κλοπή ηλεκτρονικού υπολογιστή ή/και μαγνητικών μέσων αποθήκευσης όπως εξωτερικού σκληρού δίσκου, USB, CD, κτλ, επίθεση κακόβουλου χρήστη -hacker – ο οποίος παραβίασε των υπολογιστή σας και έκλεψε αρχείο με προσωπικά δεδομένα), όπως και σε περιπτώσεις μη εξουσιοδοτημένης πρόσβασης (χρήστη ή τρίτου) σε προσωπικά δεδομένα ή τυχαίας/παράνομης καταστροφής τους, είστε υποχρεωμένοι από την 25η Μαΐου 2018 να κοινοποιείτε την παραβίαση προς την ασφαλιστική εταιρεία ή/και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εάν λειτουργείτε ως υπεύθυνος επεξεργασίας) εντός 72 ωρών από τη στιγμή που αντιληφθήκατε το συμβάν.
ΘΥΜΗΘΕΙΤΕ:
Από την στιγμή που λαμβάνετε προσωπικά δεδομένα οφείλετε και να τα διασφαλίζετε.
Παραμένετε ο θεματοφύλακας των προσωπικών δεδομένων καθ’ όλη τη διάρκεια ζωής τους.
Η ευθύνη σας παραμένει ενεργή ακόμα και μετά τη διαβίβαση των προσωπικών δεδομένων στην ασφαλιστική εταιρεία ή και σε τρίτο.
Οι σκοποί της επεξεργασίας πρέπει να είναι σαφείς, νόμιμοι καιπ ροσδιορισμένοι.
Καθορίστε τις διαδικασίες για τη φύλαξη (σύστημα αρχειοθέτησης) και την επεξεργασία των προσωπικών δεδομένων που φυλάσσετε.
Δηλώστε υπεύθυνα στην ασφαλιστική εταιρεία τι είδους προσωπικά δεδομένα πελατών διαθέτετε καθώς και πώς τα επεξεργάζεστε.
Για κάθε είδος επεξεργασίας το υποκείμενο έχει και ένα δικαίωμα για το οποίο οφείλετε να το ενημερώσετε προσυμβατικά. Εάν υπάρχουν πλείονες σκοποί επεξεργασίας (π.χ. κοινοποίηση στοιχείων σε τρίτα μέρη, προώθηση διαφημιστικών εντύπων, ενημέρωση μέσω ηλεκτρονικού ταχυδρομείου, κ.α.) θα πρέπει να λαμβάνετε ξεχωριστή συγκατάθεση για καθέναν από αυτούς ή να υπάρχει διαφορετική νομική βάση που να δικαιολογεί αυτή την «επιπλέον» επεξεργασία.
Η Υδρόγειος, λαμβάνοντας υπόψη τις νέες απαιτήσεις, θα προβεί σε ενημέρωση μέσω εγκυκλίων καθώς και στη διανομή Κώδικα Δεοντολογίας ως προς την συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων.
(Το άρθρο δημοσιεύτηκε στο ηλεκτρονικό περιοδικό VOICE, ΥΔΡΟΓΕΙΟΣ ΑΣΦΑΛΙΣΤΙΚΗ, τεύχος Μάιου 2018)