Στη διαβούλευση της Ευρωπαϊκής Επιτροπής σχετικά με τη νέα Στρατηγική για την Ευρωπαϊκή Ένωση Δεδομένων (EU Data Union Strategy) συμμετείχε η Insurance Europe.
Η Ένωση Ασφαλιστικών Εταιριών Ελλάδος παρουσιάζει τα βασικά σημεία της σχετικής τοποθέτησης, με άξονα την υιοθέτηση ενός σύγχρονου πλαισίου που θα υποστηρίζει τις επιχειρήσεις, θα επιτρέπει τον ψηφιακό μετασχηματισμό της κοινωνίας και θα διασφαλίζει την κατάλληλη προστασία των καταναλωτών:
1) Πιθανή ενοποίηση της νομοθεσίας για τα δεδομένα
Για να διευκολύνει την εφαρμογή της τεχνητής νοημοσύνης (ΤΝ) και την καινοτομία βάσει
δεδομένων (data driven innovation), η ΕΕ πρέπει να επικεντρωθεί στην βελτίωση της
χρηστικότητας, της συνοχής και της αποτελεσματικότητας του νομοθετικού της πλαισίου. Η
αύξηση των αλληλεπικαλυπτόμενων νομικών κειμένων (GDPR, AI Act, Data Act) δημιουργεί
αβεβαιότητα ως προς την εφαρμογή τους. Απαιτούνται κατευθυντήριες οδηγίες για να
κατανοήσουν οι ενδιαφερόμενοι πώς τα εργαλεία αυτά λειτουργούν στην πράξη. Οι οδηγίες θα πρέπει να αποσαφηνίζουν τις υποχρεώσεις και τα δικαιώματα, διευκολύνοντας παράλληλα την συμμόρφωση και την καινοτομία.
Η ΙΕ σημειώνει ότι ο εν εξελίξει ψηφιακός μετασχηματισμός και η ενσωμάτωση της ΤΝ
προσφέρουν σημαντικές ευκαιρίες τόσο για τις ασφαλιστικές εταιρίες όσο και για τους πελάτες τους. Παρόλο που το τρέχον ρυθμιστικό πλαίσιο έχει σχεδιαστεί για να προστατεύει τους καταναλωτές, θα πρέπει να αξιολογηθεί εάν οι υφιστάμενοι κανόνες, εμποδίζουν την καινοτομία ή επιβάλλουν περιττά εμπόδια σε ασφαλιστές και ασφαλισμένους. Ειδικότερα, ως προς τη:
• Λήψη αυτοματοποιημένων αποφάσεων βάσει του GDPR
Η εφαρμογή του άρθρου 22 του GDPR σχετικά με την λήψη αυτοματοποιημένων αποφάσεων συχνά ερμηνεύεται στενά. Ορισμένες αρχές προστασίας δεδομένων υποστηρίζουν ότι η λήψη αυτοματοποιημένων αποφάσεων δεν είναι επιτρεπτή και η έγκυρη συγκατάθεση σύμφωνα με το άρθρο 22 παρ. 2 στοιχ. (γ) και το άρθρο 7 παρ. 4 του GDPR μπορεί να δοθεί μόνο εφόσον το υποκείμενο των δεδομένων έχει εξαρχής την δυνατότητα να επιλέξει επεξεργασία από άνθρωπο. Μια τόσο στενή ερμηνεία του τί μπορεί να θεωρηθεί αναγκαίο θα απέκλειε τους ασφαλιστές και τους καταναλωτές από το να επωφεληθούν πλήρως από τα πλεονεκτήματα της νέας τεχνολογίας.
Για να διασφαλιστεί ότι το άρθρο 22 δεν θα αποτελέσει εμπόδιο στον ψηφιακό
μετασχηματισμό θα πρέπει να καταστεί σαφές ότι συνιστά δικαίωμα του υποκειμένου των δεδομένων και όχι απαγόρευση.
• Αλληλεπίδραση μεταξύ GDPR και Κανονισμού για την Τεχνητή Νοημοσύνη (AI Act)
Παρόλο που το άρθρο 2 παρ. 7 του AI Act αναφέρει ότι ο Κανονισμός δεν επηρεάζει την
εφαρμογή του GDPR, η ταυτόχρονη εφαρμογή και των δύο πλαισίων οδηγεί σε
αλληλεπικαλύψεις και ασυνέπειες, όπως η απαίτηση για εκτίμηση αντικτύπου για την
προστασία των προσωπικών δεδομένων βάσει του άρθρου 35 GDPR, και παράλληλα για
εκτίμηση αντικτύπου στα θεμελιώδη δικαιώματα, σύμφωνα με το άρθρο 27 του AI Act.
Υπάρχουν επίσης κίνδυνοι για αποσπασματικές προσεγγίσεις στις κατευθυντήριες οδηγίες και
στην εποπτεία, ιδίως στον τομέα των χρηματοοικονομικών υπηρεσιών.
• Απλοποίηση των υποχρεώσεων αναφοράς στον κυβερνοχώρο
Η πρόσφατη νομοθεσία της ΕΕ έχει εστιάσει στην ενίσχυση μέτρων κυβερνοασφάλειας σε όλη την Ένωση, με έμφαση στην αντιμετώπιση του κινδύνου που προέρχεται από τρίτους
παρόχους ΤΠΕ, στην υποχρέωση αναφοράς περιστατικών στον κυβερνοχώρο και στις δοκιμές για την ενίσχυση της κυβερνοανθεκτικότητας. Οι ασφαλιστικές εταιρίες υπάγονται κυρίως στον Κανονισμό για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), ο οποίος αποτελεί βασικό νομοθέτημα ειδικά για τον χρηματοπιστωτικό τομέα. Παράλληλα εφαρμόζεται και οριζόντια νομοθεσία: GDPR, Οδηγία Ε- Privacy, AI Act και, σε ορισμένες περιπτώσεις ο Κανονισμός για την Κυβερνοανθεκτικότητα (Cyber Resilience Act).
Τα μέτρα που προβλέπει ο Κανονισμός DORA είναι περίπλοκα και απαιτητικά στην εφαρμογή τους και οι εταιρίες έχουν επενδύσει σημαντικά τα τελευταία χρόνια, για την εφαρμογή του από τον Ιανουάριο του 2025. Με την εισαγωγή νέων υποχρεώσεων αναφοράς κυβερνοπεριστατικών έχει δημιουργηθεί διπλή υποχρέωση αναφοράς περιστατικών κυβερνοασφάλειας και περιστατικών που σχετίζονται με δεδομένα, βάσει διαφορετικών νομοθετημάτων, με διαφορετικά χρονοδιαγράμματα, καθώς και (σε κάποια κράτη μέλη) υποχρέωση αναφοράς σε πολλαπλές εθνικές αρχές.
Θα ήταν χρήσιμο να θεσπιστούν μέτρα για τη μείωση και τον εξορθολογισμό των αναφορών συμβάντων, ώστε να αποφευχθεί η διπλή υποβολή στοιχείων, π.χ. εναρμόνιση των μηχανισμών αναφοράς στον κυβερνοχώρο μεταξύ διαφορετικών νομοθετημάτων και κεντρικοποίηση των κοινοποιήσεων. Θα πρέπει επίσης να διασφαλιστεί ότι τα πρότυπα αναφοράς είναι συγκρίσιμα, ώστε να αποφεύγονται διαφορετικές ερμηνείες των απαιτήσεων. Για παράδειγμα, θα ήταν χρήσιμο να αποσαφηνιστεί η αλληλεπίδραση μεταξύ του Κανονισμού DORA και του κειμένου της Οδηγίας Φερεγγυότητα II (Solvency II) όσον αφορά στην αναφορά κινδύνου από τρίτους.
2) Διαθεσιμότητα δεδομένων στην ΕΕ
Στο πεδίο αυτό, η ΙΕ αναφέρει ότι οι ασφαλιστικές εταιρίες με σκοπό να παρέχουν αξιόπιστη
ασφαλιστική κάλυψη, πραγματοποιούν σύνθετες εκτιμήσεις και υπολογισμούς κινδύνου,
χρησιμοποιώντας διάφορους τύπους πληροφοριών στο στάδιο σχεδιασμού ενός προϊόντος.
Ως εκ τούτου, η μεγαλύτερη διαθεσιμότητα δεδομένων θα μπορούσε να οδηγήσει σε καλύτερη παρακολούθηση και αξιολόγηση του κινδύνου και να δημιουργήσει ασφαλιστικά προϊόντα, προσαρμοσμένα στους κινδύνους και στις ανάγκες κάθε καταναλωτή. Ειδικότερα:
• Κανονισμός για τα Δεδομένα (Data Act)
Ο Κανονισμός για τα Δεδομένα αποτελεί ένα βήμα προς την σωστή κατεύθυνση, αλλά δεν
επαρκεί για να αποσαφηνίσει την πρόσβαση στα δεδομένα οχημάτων. Μια σημαντική
αβεβαιότητα που αντιμετωπίζουν οι πάροχοι υπηρεσιών αφορά στον τρόπο με τον οποίο οι
κατασκευαστές οχημάτων θα ερμηνεύσουν το πεδίο εφαρμογής των δεδομένων σε σχέση με τις υποχρεώσεις κοινοχρησίας από τον Κανονισμό Data Act.
Για λόγους σαφήνειας, η πρόσβαση σε δεδομένα, λειτουργίες και πόρους οχημάτων για την υποστήριξη της καινοτομίας και των υπηρεσιών τρίτων πρέπει να είναι διακριτή από τις απαιτήσεις αποκάλυψης αποδεικτικών στοιχείων που ορίζονται στην Οδηγία για την Ευθύνη Προϊόντος (Product Liability Directive) και οι οποίες θα πρέπει να περιορίζονται στο υφιστάμενο πεδίο εφαρμογής τους.
• Κυβερνοκίνδυνοι
Η ασφάλιση κυβερνοκινδύνων μπορεί να ενισχύσει την κυβερνοανθεκτικότητα της Ευρώπης
και να αποτελέσει χρήσιμο εργαλείο για τις επιχειρήσεις προκειμένου να μετριάσουν
καλύτερα τους κυβερνοκινδύνους. Ωστόσο, η έλλειψη διαθέσιμων δεδομένων για τους
κυβερνοκινδύνους είναι ένα από τα κύρια εμπόδια για την ανάπτυξη της αγοράς ασφάλισής
τους. Λόγω της ταχύτητας με την οποία εξελίσσεται η τεχνολογία και οι συναφείς κίνδυνοι,
υπάρχουν ελάχιστα ιστορικά και αναλογιστικά δεδομένα, τα οποία είναι χρήσιμα για την
δημιουργία μοντέλων και την καλύτερη κατανόηση της εξέλιξης αυτών των κινδύνων στην ΕΕ.
Δεδομένα για κυβερνοπεριστατικά συλλέγονται ήδη, σύμφωνα με τις απαιτήσεις διάφορων νομοθετημάτων της ΕΕ (NIS2, DORA). Τα δεδομένα αυτά θα μπορούσαν να αξιοποιηθούν και να υποστηρίξουν τον ασφαλιστικό κλάδο στην αξιολόγηση των κυβερνοκινδύνων.
Δείτε τη σχετική εγκύκλιο: 2025 – 240043 – Εγκύκλιοι
