.gif?rand=5644)
Για τον Νέο Κανονισμό Προστασίας Προσωπικών Δεδομένων και τις αλλαγές που επιφέρει για τις ασφαλιστικές εταιρείες μιλά στο id η κα Φερενίκη Παναγοπούλου, Δ.Ν. (Ηumboldt), M.Δ.Ε. (Παν. Αθηνών), Μ.P.H. (Harvard) Νομική Ελέγκτρια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ειδικότερα η κα Παναγοπούλου αναλύει τον τρόπο με τον οποίο θα επιβάλλονται τα πρόστιμα και οι κυρώσεις στις ασφαλιστικές εταιρείες και το ρόλο της αρχής, τα βασικά στοιχεία που εισάγει το νέο πλαίσιο, τα ευαίσθητα προσωπικά δεδομένα και πως οι ασφαλιστικές μπορούν να έχουν πρόσβαση σε αυτά αλλά και τις δικλείδες σε περίπτωση συλλογής ή επεξεργασίας δεδομένων εν αγνοία των ασφαλισμένων.
στη Βίκυ Γερασίμου
1) To 2018 τίθεται σε ισχύ ο Νέος Κανονισμός για την προστασία προσωπικών δεδομένων. Ποιος είναι ο βασικός τoυ στόχος και επιγραμματικά ποιες είναι οι σημαντικές αλλαγές που επιφέρει;
Από το Μάιο του 2018 τίθεται σε εφαρμογή ο Νέος Κανονισμός για την Προστασία Δεδομένων (679/2016/ΕΕ ) με βασικό στόχο την ενίσχυση της προστασίας των προσωπικών δεδομένων των πολιτών. Η προηγούμενη Οδηγία (95/46/ΕΚ) -πρωτοποριακή για την εποχή της- ήταν λογικό μετά από μια εικοσαετία περίπου να ξεπεραστεί από την ιλιγγιώδη τεχνολογική ανάπτυξη.
Ο Νέος Κανονισμός λαμβάνει υπ’ όψιν του τις νέες τεχνολογικές εφαρμογές θέτοντας ως ζητούμενο να συμβαδίζει με την τεχνολογία και να μην την ακολουθεί ασθμαίνοντας. Δεν είναι τυχαία μάλιστα η επιλογή το τελικό κείμενο να λάβει το «ένδυμα» ενός Κανονισμού, που θα χαίρει άμεσης και συνακόλουθα ομοιόμορφης και πιο συνεκτικής εφαρμογής από τα κράτη μέλη, και όχι μιας Οδηγίας, που θα απαιτεί την ενσωμάτωσή της από τα κράτη μέλη με νόμο.
Οι βασικές καινοτομίες που επιφέρει ο Κανονισμός είναι επιγραμματικά οι εξής:
Α) Ενδυνάμωση των δικαιωμάτων των πολιτών
1. Δικαίωμα στη λήθη: Κάθε ενδιαφερόμενος πολίτης μπορεί να ζητήσει από μηχανές αναζητήσεως να αφαιρέσουν συγκεκριμένα αποτελέσματα, εφόσον δεν θίγεται το δικαίωμα ενημερώσεως της κοινής γνώμης.
2. Ενίσχυση της παιδικής προστασίας: Οι γονείς πρέπει να συγκατατίθενται για τη συμμετοχή των παιδιών σε υπηρεσίες του διαδικτύου.
3. Δικαίωμα στη φορητότητα: Χρήστης συγκεκριμένου παρόχου τηλεπικοινωνιών έχει δικαίωμα να ζητήσει τη μεταφορά των δεδομένων του σε άλλο πάροχο. Επίσης, χρήστης υπηρεσιών κοινωνικής δικτυώσεως, όπως του Facebook, μπορεί να ελέγχει όλες τις πληροφορίες που ανάρτησε στη συγκεκριμένη πλατφόρμα και να ζητήσει τη μεταφορά τους σε άλλη πλατφόρμα.
4. Ενημέρωση σε περίπτωση παραβιάσεως: Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει τόσο τον ενδιαφερόμενο όσο και την Αρχή Προστασίας Δεδομένων σε περίπτωση παραβιάσεως των προσωπικών του δεδομένων.
5. Δικαίωμα στην ανθρώπινη παρέμβαση: Καθένας έχει το δικαίωμα να μην αξιολογείται βάσει αυτοματοποιημένης επεξεργασίας χωρίς ανθρώπινη παρέμβαση. Για παράδειγμα, αν μια ασφαλιστική εταιρεία κρίνει βάσει αλγοριθμικών υπολογισμών ότι δεν πρέπει να ασφαλιστώ, πρέπει η τελική αξιολόγηση να υπόκειται σε ανθρώπινη παρέμβαση.
Β) Ενισχυμένες υποχρεώσεις προς τον Υπεύθυνο Επεξεργασίας
1. Κατάλληλα τεχνικά και οργανωτικά μέτρα: Ο υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον Κανονισμό.
2. Δημιουργία κατά το σχεδιασμό (privacy by design) και εξ ορισμού κατάλληλης δομής (privacy by default): Ο υπεύθυνος επεξεργασίας οφείλει κατά το σχεδιασμό και εξ ορισμού να δημιουργήσει δομή, τεχνολογία και διαδικασίες που θα ανταποκρίνονται στις απαιτήσεις του Κανονισμού.
3. Κατάρτιση μελέτης εκτιμήσεως επιπτώσεων: Ο υπεύθυνος επεξεργασίας οφείλει να καταρτίσει μελέτη εκτιμήσεως αντικτύπου (impact assessment) για επεξεργασία δεδομένων που παρουσιάζουν υψηλό κίνδυνο και σχετίζονται με αξιολόγηση προσωπικών πτυχών, αφορούν σε δεδομένα μεγάλης κλίμακας ή σε παρακολούθηση δημοσίου χώρου.
4. Κατάρτιση πολιτικής ασφαλείας και κωδίκων δεοντολογίας: Ο υπεύθυνος επεξεργασίας οφείλει να καταρτίζει πολιτικές ασφαλείας των δεδομένων και κώδικες δεοντολογίας.
5. Ορισμός Υπευθύνου Προστασίας Δεδομένων: Ο υπεύθυνος επεξεργασίας οφείλει να ορίσει υπεύθυνο προστασίας δεδομένων (data protection officer) σε περίπτωση που επεξεργάζεται δεδομένα μεγάλης κλίμακας.
Γ) Περαιτέρω ζητήματα
1. Υπηρεσία μιας Στάσεως (One-Stop-Shop): Μια εταιρεία με θυγατρικές εταιρείες σε περισσότερα κράτη μέλη θα συνεργάζεται μόνο με την εποπτική αρχή του κράτους μέλους της κυρίας εγκαταστάσεως της επιχειρήσεως.
2. Υψηλά πρόστιμα: Επιβάλλονται πολύ υψηλά πρόστιμα που δύνανται να φτάσουν τα 20 εκατομμύρια Ευρώ ή το 4% του παγκόσμιου ετήσιου τζίρου μιας εταιρείας.
Επιβάλλονται πολύ υψηλά πρόστιμα που δύνανται να φτάσουν τα 20 εκατομμύρια Ευρώ ή το 4% του παγκόσμιου ετήσιου τζίρου μιας εταιρείας.
2) Εν τέλει προστατεύεται περισσότερο ο πολίτης και ο καταναλωτής;
Η ευρύτερη προστασία των πολιτών είναι ένας από τους βασικούς στόχους του Κανονισμού, ο οποίος επιδιώκεται μέσω της ενίσχυσης των δικαιωμάτων των πολιτών και των αυξημένων υποχρεώσεων των εταιρειών. Για παράδειγμα μέσω της υποχρεώσεως των εταιρειών να καταρτίζουν πολιτική ασφαλείας, κωδίκων δεοντολογίας και μελέτης εκτιμήσεως επιπτώσεων, ευαισθητοποιούνται εκ των πραγμάτων αναφορικά με την επεξεργασία των προσωπικών δεδομένων των πολιτών.
3) Ο Κανονισμός οδηγεί σε πιο οριοθετημένη σχέση των εταιρειών με την ΑΠΔΠΧ; Ενισχύεται ο ρόλος της Αρχής;
Ο Κανονισμός αποφορτίζει από τη μία πλευρά την Αρχή Προστασίας Δεδομένων από περιττά βάρη, όπως π.χ. τη λήψη γνωστοποιήσεως τηρήσεως αρχείου εκ μέρους του υπευθύνου επεξεργασίας, ενώ από την άλλη πλευρά της αναθέτει ουσιώδεις αρμοδιότητες. Όλες αυτές οι ενισχυμένες αρμοδιότητες των εποπτικών αρχών και ιδίως η απαίτηση για διενέργεια εκτιμήσεως αντίκτυπου, η προηγούμενη διαβούλευση με την Αρχή, η ενθάρρυνση της καταρτίσεως κωδίκων δεοντολογίας και μηχανισμών πιστοποιήσεως σε συνδυασμό με την υποχρέωση διορισμού υπευθύνου προστασίας δεδομένων ενισχύουν τη συνεργασία μεταξύ υπευθύνων επεξεργασίας (λ.χ. ασφαλιστικών εταιρειών) και αρχών και κατ’ αποτέλεσμα και την προστασία των δεδομένων.
Έτσι προτού η Αρχή καταλήξει στην επιβολή κάποιας κυρώσεως σε μια ασφαλιστική εταιρεία θα έχει προηγουμένως συνεργαστεί μαζί της καθώς επίσης και με τον υπεύθυνο προστασίας δεδομένων
Έτσι προτού η Αρχή καταλήξει στην επιβολή κάποιας κυρώσεως σε μια ασφαλιστική εταιρεία θα έχει προηγουμένως συνεργαστεί μαζί της καθώς επίσης και με τον υπεύθυνο προστασίας δεδομένων που έχει ορίσει παρέχοντας συμβουλευτική γνώμη, θα την έχει προειδοποιήσει και εάν παρόλη τη συνεργασία η εταιρεία δεν συμμορφωθεί στις υποδείξεις της Αρχής, αλλά και του υπευθύνου προστασίας δεδομένων, τότε θα υποστεί κυρώσεις.
4) Πότε μπορεί μια ασφαλιστική εταιρεία να ζητήσει πρόσβαση σε προσωπικά δεδομένα (π.χ. από άλλη ασφαλιστική ή ένα νοσοκομείο) και υπό ποιες προϋποθέσεις η Αρχή τής παρέχει την άδεια;
Με βάση την ισχύουσα νομοθεσία στην Ελλάδα (άρθρο 7 παρ. 2 ν. 2472/1997), οι ασφαλιστικές εταιρείες μπορούν να λαμβάνουν ευαίσθητα προσωπικά δεδομένα ασφαλισμένων κατόπιν άδειας της Αρχής. Οφείλουν να απευθύνουν αίτηση προς τον υπεύθυνο επεξεργασίας (π.χ. άλλη ασφαλιστική εταιρεία ή ένα νοσοκομείο) και αυτός με τη σειρά του θα διαβιβάσει την αίτηση προς την Αρχή, η οποία θα αποφανθεί περί της χορηγήσεως ή μη άδειας. Σημειώνεται επίσης ότι, όπως έχει κρίνει η Αρχή, τυχόν εισαγγελική παραγγελία (η οποία σημειωτέον δεν δεσμεύει τον ιδιωτικό τομέα) δεν μπορεί να υποκαταστήσει την απαιτούμενη άδεια της Αρχής. Ο λόγος που απαιτείται η προηγούμενη άδεια της Αρχής είναι προκειμένου να ελεγχθεί εάν η ασφαλιστική εταιρεία νομιμοποιείται να λάβει συγκεκριμένα στοιχεία του ιατρικού φακέλου του ασφαλισμένου.
Τονίζεται δε μάλιστα ότι -αναλόγως της περιπτώσεως- μέσω της απαιτούμενης άδειας της Αρχής δεν δίδεται «λευκή επιταγή» για πρόσβαση σε όλο τον ιατρικό φάκελο
Τονίζεται δε μάλιστα ότι -αναλόγως της περιπτώσεως- μέσω της απαιτούμενης άδειας της Αρχής δεν δίδεται «λευκή επιταγή» για πρόσβαση σε όλο τον ιατρικό φάκελο, αλλά παρέχεται άδεια για χορήγηση ιατρικού πιστοποιητικού που θα αναγράφει τις απαραίτητες μόνο πληροφορίες. Ως εκ τούτου, προϋποθέσεις εκδόσεως της άδειας εκ μέρους της Αρχής είναι ο λόγος για τον οποίο ζητείται η άδεια να είναι νόμιμος, σαφής και καθορισμένος και τα δεδομένα να μην υπερβαίνουν το σκοπό της επεξεργασίας.
5) Οι ασφαλιστικές εταιρείες μέσα από τα δεδομένα που συλλέγουν μπορούν να δουν πολλές πληροφορίες. Υπάρχει όριο στο τι μπορούν να επεξεργαστούν; Λόγου χάρη μέσα από μια εφαρμογή που χρησιμοποιείται από ασφαλισμένο οδηγό και καταγράφει τη συμπεριφορά του (ταχύτητα, χρόνος οδήγησης κ.λπ.) η ασφαλιστική εταιρεία μπορεί να δει και αν την ώρα που οδηγεί μιλά στο κινητό του καθώς και αν έχει συνδεδεμένα τα hands free; Στο εξωτερικό μάλιστα έχει ανοίξει η συζήτηση κατά πόσο τέτοιες πληροφορίες πρέπει να μεταφέρονται στις αρχές για λόγους αποτροπής ατυχημάτων. Ποια είναι η άποψή σας;
Οι νέες τεχνολογικές εφαρμογές προσφέρουν τον πειρασμό στις ασφαλιστικές εταιρείες να γνωρίζουν πληθώρα δεδομένων των ασφαλισμένων τους. Πολλές εφαρμογές καταγράφουν την οδηγική συμπεριφορά του ασφαλιζομένου (ταχύτητα, απότομα φρεναρίσματα, επιταχύνσεις, διανυθέντα χιλιόμετρα, ομιλία σε κινητό τηλέφωνο κ.ο.κ.). Οι ασφαλιστικές εταιρείες επιθυμούν την κοστολόγηση της ασφαλίσεως βάσει της οδηγικής συμπεριφοράς. Για παράδειγμα, εάν κάποιος ασφαλισμένος επιθυμεί, μπορεί να επιτρέψει στην ασφαλιστική εταιρεία να εγκαταστήσει μια εφαρμογή στο αυτοκίνητό του που θα καταγράφει όλα αυτά τα δεδομένα έχοντας ως κέρδος χαμηλότερο κόστος ασφαλίστρων σε περίπτωση που επιδείξει συνετή οδηγική συμπεριφορά.
Σε περίπτωση που δεν δεχθεί την εγκατάσταση της εφαρμογής θα πληρώνει υψηλότερο ασφάλιστρο. Οι σχετικές εφαρμογές έχουν ως πλεονέκτημα ότι θα ενισχύσουν την οδηγική ασφάλεια και θα μειώσουν τον αριθμό των ατυχημάτων. Ενέχουν, ωστόσο, τον κίνδυνο να οδηγήσουν σε αέναη παρακολούθηση του ασφαλισμένου. Ορθό θα ήταν να οριοθετηθούν οι προϋποθέσεις υπό τις οποίες η ασφαλιστική εταιρεία θα έχει πρόσβαση σε αυτά τα δεδομένα. Για παράδειγμα, πρέπει να μην δημιουργείται ένα προφίλ του ασφαλισμένου βάσει του οποίου θα λαμβάνονται αυτοματοποιημένες αποφάσεις για την ασφάλισή του. Περαιτέρω, δεν πρέπει να χρησιμοποιούνται τα δεδομένα αυτά για άλλους σκοπούς, π.χ. για την πρόσληψή σε μια επιχείρηση. Καθοριστικής σημασίας είναι και ο χρόνος τηρήσεως των δεδομένων. Εδώ έγκειται και ο ρόλος της Αρχής όχι να φρενάρει την τεχνολογία, αλλά να την οριοθετήσει με γνώμονα την προστασία των πολιτών.
