Νέοι κανόνες για την προστασία προσωπικών δεδομένων
Οι νέοι κανόνες ιδιωτικού απορρήτου που επιβάλλει ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR), ο οποίος πρόκειται να εισαχθεί σύντομα στη νομοθεσία της Ευρωπαϊκής Ένωσης, θα αλλάξουν δραματικά τη σχέση μεταξύ των ασφαλιστών και των πελατών τους…
Ο Διευθυντής Προστασίας Προσωπικών Δεδομένων του Ομίλου Allianz, κ. Philipp Raether, εξηγεί τι αλλάζει και τι σημαίνει για τους ασφαλιστές και τους πελάτες τους…
Ο Διευθυντής Προστασίας Προσωπικών Δεδομένων του Ομίλου Allianz, κ. Philipp Raether, εξηγεί τι αλλάζει και τι σημαίνει για τους ασφαλιστές και τους πελάτες τους…Το άγρυπνο μάτι
Με τους περισσότερους από εμάς παρόντες στον κόσμο του Διαδικτύου, η ιδιωτικότητα είναι σήμερα μια πολυτέλεια. Ο ψηφιακός κόσμος είναι πλέον τόσο ριζωμένος στην καθημερινότητά μας, που εύκολα ξεχνάμε πόσο πρόσφατο είναι το φαινόμενο. Ήταν μόλις το 1969 όταν στάλθηκε το πρώτο μήνυμα από υπολογιστή σε υπολογιστή, μέσω του δικτύου ARPANET. Και χρειάστηκε να περάσουν περισσότερα από 20 χρόνια, πριν αυτό γίνει βασικό στοιχείο του Διαδικτύου, στις αρχές της δεκαετίας του 1990.
Με ψηφιακούς όρους, αυτά ήταν τα λεγόμενα “σκοτεινά χρόνια” (“πέτρινα χρόνια” θα τα λέγαμε στην Ελλάδα). Η Google δεν υπήρχε, ο Steve Jobs πήγαινε ακόμα σχολείο και το ποντίκι είχε μόλις πριν λίγα χρόνια εφευρεθεί –αν και οι περισσότεροι άνθρωποι δεν ήξεραν τι να κάνουν με αυτό. Παρόλα αυτά, κατά κάποιο τρόπο τότε, το 1970, το γερμανικό ομόσπονδο κρατίδιο της Έσσης είχε την προνοητικότητα να περάσει μια νομοθεσία για την προστασία των δεδομένων.
Η πολυπλοκότητα του ψηφιακού κόσμου έχει επεκταθεί πολλαπλασιαστικά από τότε. Τα έξυπνα τηλέφωνα και το cloud μας έχουν αποδεσμεύσει από τους υπολογιστές, επιτρέποντάς μας να έχουμε πρόσβαση σε συνεχείς ροές πληροφοριών εν κινήσει. Ωστόσο, αυτό σημαίνει, επίσης, ότι συνεχώς συλλέγονται πληροφορίες για τις δραστηριότητές μας. Αυτή η συλλογή, επεξεργασία και ανταλλαγή δεδομένων έχουν γίνει πολύτιμες καθημερινές δραστηριότητες για τις περισσότερες επιχειρήσεις.
Όταν ο GDPR τεθεί σε ισχύ τον Μάιο του 2018, η Ευρωπαϊκή Ένωση θα έχει “προσαρμόσει” την έννοια του προσωπικού απορρήτου στον 21ο αιώνα. Οι χώρες της Ευρώπης έχουν ήδη σε ισχύ κανονισμούς απορρήτου, αλλά ο GDPR θα τις μεταφέρει σε ένα ανώτερο επίπεδο και θα αλλάξει ριζικά ολόκληρο τον κύκλο ζωής των δεδομένων.
Το GDPR εισάγει περισσότερη προστασία για τα άτομα (“πρόσωπα στα οποία αναφέρονται τα δεδομένα”, όπως είναι γνωστά), περισσότερη προστασία της ιδιωτικής ζωής από τους οργανισμούς και αυστηρότερες κυρώσεις για παραβιάσεις. Μάλιστα, σημαντικές παραβιάσεις θα μπορούσαν να οδηγήσουν σε πρόστιμα μέχρι και €20 εκατ. ή 4% του συνολικού ετήσιου κύκλου εργασιών μιας εταιρείας.
Για παράδειγμα, για μια εταιρεία σαν την Allianz –με ένα συνολικό ετήσιο κύκλο εργασιών περίπου €120 δις το 2016– μια σοβαρή παραβίαση μπορεί να σημάνει ένα μέγιστο πρόστιμο ύψους €5 δις!
Προστασία δεδομένων κατά τον σχεδιασμό και από προεπιλογή
Ανατρέχοντας στο 1990, τα δεδομένα προσωπικού χαρακτήρα (όπως όνομα, διεύθυνση, τηλέφωνο, αριθμός λογαριασμού, e-mail, διεύθυνση IP, κ.λπ.) προστατεύονταν ήδη βάσει του δικαιώματος προστασίας των δεδομένων. Ο GDPR έρχεται να ενισχύσει σημαντικά αυτό το δικαίωμα. Μας δίνει ένα σύνολο νέων δικαιωμάτων σχετικά με τα προσωπικά δεδομένα, συμπεριλαμβανομένου του δικαιώματος στη λήθη, του δικαιώματος στην πρόσβαση στα δεδομένα και του δικαιώματος στη φορητότητα.
Για παράδειγμα, από τον ερχόμενο Μάιο, κάθε πρόσωπο που ζει στην Ευρωπαϊκή Ένωση –όχι μόνο οι Ευρωπαίοι πολίτες– μπορούν να ζητούν τη διαγραφή των προσωπικών τους πληροφοριών από τις εταιρικές βάσεις δεδομένων σε εύθετο χρόνο ή να γνωρίζουν τον λόγο για τον οποίο δεν έχει γίνει κάτι τέτοιο. Αυτό περιλαμβάνει όλα τα δεδομένα, ακόμα και τα αντίγραφα ασφαλείας.
Ο GDPR επεκτείνει επίσης τον ορισμό των «προσωπικών δεδομένων», ώστε να περιλαμβάνει «δεδομένα παρακολούθησης» (“tracking data”), όπως τα cookies και η αναγνώριση της κινητής συσκευής, και απαιτεί συγκατάθεση ανά σκοπό. Επιπλέον, η συναίνεση αυτή πρέπει να ενημερώνεται, να είναι σαφής και ελεύθερη.
Ο GDPR απαιτεί, επίσης, οι εταιρείες να διαθέτουν πρόσθετη ρητή, ενημερωμένη και σαφή συγκατάθεση από τους ανθρώπους, εάν θέλουν να χρησιμοποιήσουν τα δεδομένα με νέο τρόπο. Και αυτή η συναίνεση μπορεί να ανακληθεί οποιαδήποτε στιγμή.
Στην ουσία, το GDPR επιδιώκει να ενσωματώσει μια προσέγγιση «προστασίας των προσωπικών δεδομένων από το στάδιο του σχεδιασμού και προστασίας των προσωπικών δεδομένων από προεπιλογή» (Privacy by design, privacy by default).
Προστασία προσωπικών δεδομένων κατά τον σχεδιασμό σημαίνει ότι κάθε υπηρεσία ή επιχειρηματική διαδικασία που χρησιμοποιεί προσωπικά δεδομένα πρέπει να δίνει προτεραιότητα στο απόρρητο των δεδομένων καθ’ όλη τη διάρκεια του κύκλου ζωής τους.
Αυτό σημαίνει ότι το απόρρητο των δεδομένων πρέπει να γίνει κανόνας σε επίπεδο εταιρείας, ειδικά επειδή οι εταιρείες θα πρέπει να αποδείξουν ότι διαθέτουν επαρκή ασφάλεια και ότι παρακολουθείται η συμμόρφωση.
Συλλογή δεδομένων κοινής χρήσης
Ο GDPR εισάγει πραγματικά ιδέες για την ασφάλεια των δεδομένων: ελαχιστοποιεί τη συλλογή προσωπικών δεδομένων, διαγράφει προσωπικά δεδομένα που δεν είναι πλέον έγκυρα, περιορίζει την πρόσβαση και εξασφαλίζει την ασφάλεια των δεδομένων καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Στο επίκεντρό του είναι η ιδέα ότι η πρόσβαση σε προσωπικές πληροφορίες είναι ένα προνόμιο και γι’ αυτό οι επιχειρήσεις πρέπει να ενεργούν με μεγάλη ευθύνη.
Κι ενώ αυτό ακούγεται απλό, υπάρχουν συνήθως πολλά μέρη (moving parts) που εμπλέκονται στη διαχείριση δεδομένων και ο GDPR επιβάλλει αυστηρές απαιτήσεις συμμόρφωσης –και δεν επηρεάζονται μόνο οι ευρωπαϊκές εταιρείες. Αφορά επίσης την εξαγωγή δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ, όπως για παράδειγμα στην περίπτωση των offshore. Έχει επίσης διεθνείς συνέπειες. Εάν ένας ιστότοπος ηλεκτρονικού εμπορίου εκτός Ευρώπης συλλέγει ή επεξεργάζεται δεδομένα για τους κατοίκους της ΕΕ, για παράδειγμα, τότε ισχύουν και για αυτόν οι απαιτήσεις του GDPR.
Πράγματι, η μεγαλύτερη αλλαγή που φέρνει ο GDPR στις επιχειρήσεις είναι η ευθύνη/λογοδοσία. Αυτό είναι ιδιαίτερα σημαντικό για τους ασφαλιστές, καθώς η έκρηξη δεδομένων τις τελευταίες δεκαετίες έχει δώσει περισσότερες πληροφορίες για τους πελάτες.
Τα δεδομένα που συλλέχθηκαν τους επιτρέπουν να κάνουν αναδοχή κινδύνου με περισσότερη ακρίβεια, ώστε να δημιουργούν και να παρέχουν πιο αποτελεσματικά ασφαλιστήρια. Υπάρχει, επίσης, η εξέλιξη της τεχνολογίας με νέους τομείς, όπως η τηλεματική και η απομακρυσμένη παρακολούθηση της υγείας.
Οι ασφαλιστές θα πρέπει να είναι πολύ προσεκτικοί, για να διασφαλίσουν ότι τα προσωπικά δεδομένα που συγκεντρώνονται από όλες αυτές τις πηγές χρησιμοποιούνται και αποθηκεύονται με διαφανή και υπεύθυνο τρόπο και με πλήρη κατανόηση του πελάτη.
Πώς προετοιμάζεται η Allianz
Στην Allianz έχουμε εκπονήσει ένα τριετές επιχειρησιακό πρόγραμμα πολλαπλών φάσεων, που εξασφαλίζει τη συμμόρφωση με τον GDPR όλου του Ομίλου. Ως μέρος αυτού, η Allianz υλοποιεί συνεκτικούς και δεσμευτικούς κανόνες που σχετίζονται με τη μεταφορά όλων των προσωπικών δεδομένων.
Για μας οι απαιτήσεις του GDPR ταιριάζουν με τις προσπάθειες για ψηφιοποίηση. Αυτή η ευκαιρία μάς επιτρέπει να εναρμονίσουμε τα συστήματα σε όλον τον όμιλο, να περιορίσουμε την πολυπλοκότητα και να βελτιώσουμε την αποτελεσματικότητα.
Και στο μέλλον, όπως και στο παρελθόν, η Allianz θα συνεχίσει να έχει ως κύρια προτεραιότητα την εξασφάλιση του απορρήτου των δεδομένων των πελατών μας.
Πηγή: Allianz.com
