Δημήτρης Βασιλειάδης, COO, MetLife Greece
Για τον κοινό νόμο που αφορά τα προσωπικά δεδομένα και θα εφαρμοστεί σε όλα τα κράτη της ΕΕ μιλά στο ΑΜ ο κ. Δ. Βασιλειάδης.
Σε ποιο βαθμό έχετε προετοιμαστεί για την εναρμόνισή σας με το Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR);
Ο νέος Ευρωπαϊκός Κανονισμός 2016/679 τίθεται σε υποχρεωτική εφαρμογή από όλα τα Κράτη Μέλη της Ευρωπαϊκής ένωσης στις 25.5.2018, και μέχρι τότε, οι 28 χώρες της ΕΕ θα πρέπει να προσαρμόσουν τον εν λόγω κανονισμό στην εθνική τους Νομοθεσία. Στο διάστημα αυτό διευκρινήσεις αναφορικά με την εφαρμογή των διατάξεων του Κανονισμού θα εκδίδονται από το νεοσυσταθέν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Εμείς δε, ως ασφαλιστική Εταιρεία ενημερωνόμαστε για όλες τις σχετικές εξελίξεις και από την ΕΑΕΕ. Η Εταιρεία μας είναι πλήρως ενημερωμένη για το Νέο Κανονισμό, βρίσκεται σε διαδικασία προετοιμασίας και προσαρμογής όλων των διαδικασιών της, ώστε να είναι καθόλα έτοιμη να ακολουθήσει τα κανονιστικά κελεύσματα της Ευρωπαϊκής Νομοθεσίας. H Εταιρεία μας είναι πολυεθνική ασφαλιστική ιδιαιτέρως «ευαισθητοποιημένη» σε ζητήματα που άπτονται των προσωπικών δεδομένων. Έτσι, θα μπορούσε να υποστηριχθεί ότι ο νέος κανονισμός απλώς συγκεκριμενοποιεί περισσότερο πρακτικές που η Εταιρεία μας ήδη ακολουθεί σύμφωνα με τις Διεθνείς Πολιτικές της.
Ο νέος Κανονισμός συνεπάγεται και αλλαγή των τεχνολογικών μέσων προστασίας δεδομένων;
Απαιτεί από την κάθε επιχείρηση να προβεί στις απαραίτητες εκείνες βελτιωτικές ενέργειες που θα την διασφαλίσουν πλήρως απέναντι στις επιταγές του. Η επιλογή της διαφοροποίησης των συστημάτων ή των πολιτικών και των διαδικασιών ασφαλείας δεδομένων και επιχειρησιακής συνέχειας εξαρτάται από τον εκάστοτε οργανισμό. Αυτό που κάνει ο GDPR είναι να συστήνει στις επιχειρήσεις να πιστοποιηθούν με κάποια διεθνή πρότυπα και οδηγίες (ISO).
Εμείς ως MetLife, έχουμε εδώ και πολλά χρόνια ένα ολοκληρωμένο πρόγραμμα διαχείρισης ασφάλειας δεδομένων που «πραγματεύεται» όλα τα θέματα διασφάλισης των προσωπικών δεδομένων. Έχουμε εισάγει διαδικασίες συνεχών ελέγχων και αξιολόγησης του προγράμματος αυτού, δεσμευόμενοι προς τους ασφαλισμένους μας για την προστασία των πληροφοριών τους. Εφόσον χρειαστεί να προβούμε σε περαιτέρω πιστοποιήσεις ώστε να ακολουθούμε τα διεθνή πρότυπα, να εναρμονιστούμε πλήρως με το νέο Κανονισμό και να διασφαλίσουμε τους πελάτες μας, θα το κάνουμε όπως το κάναμε και για το PCI, για το οποίο στην Ελλάδα ήμασταν η πρώτη ασφαλιστική που απέκτησε αυτή την πιστοποίηση.
Είναι η ασφάλιση Cyber Privacy Insurance απαραίτητη για τη διαχείριση του κινδύνου;
Από τη στιγμή που μια επιχείρηση «εκπέμπει live» στον κυβερνοχώρο, είτε μέσω του service που παρέχει στο πελατολόγιό της είτε μέσω του προϊόντος που προσφέρει, θα πρέπει να μπορεί να μετριάζει τον κίνδυνο. Η MetLife έχει ένα ολοκληρωμένο πλαίσιο ασφάλειας στον κυβερνοχώρο. Η ομάδα ασφάλειας του κυβερνοχώρου της MetLife εξετάζει συνεχώς και αξιολογεί νέα τρωτά σημεία. Η ανάλυση εξελίσσεται στο δίκτυο και εάν εντοπιστούν τυχόν προβλήματα, αντιμετωπίζονται εγκαίρως.
Τι είδους δεδομένα συλλέγουν και επεξεργάζονται οι ασφαλιστικές;
Τα Προσωπικά Δεδομένα που συλλέγουν οι ασφαλιστικές εταιρείες αφορούν τις εξής κατηγορίες:
• Στοιχεία Γενικής ταυτοποίησης και στοιχεία επικοινωνίας (π.χ. όνομα, διεύθυνση email, αριθμός τηλεφώνου, διεύθυνση)
• Αριθμούς ταυτοποίησης από δημόσιο φορέα (π.χ. δελτίο ταυτότητας, αριθμός μητρώου κοινωνικής ασφάλισης, αριθ- μός διαβατηρίου)
• Οικονομικές πληροφορίες και στοιχεία λογαριασμού (π.χ. αριθμοί πιστωτικών καρτών, αριθμοί τραπεζικών λογαριασμών)
• Ευαίσθητα προσωπικά δεδομένα (π.χ. πληροφορίες υγείας/ ιατρικές πληροφορίες, φυλετική ή εθνική καταγωγή) Τα παραπάνω δεδομένα συλλέγονται λόγω της φύσης του προϊόντος που παρέχουμε σαν ασφαλιστική επιχείρηση. Επιπροσθέτως, ενημερώνουμε πάντα τους πελάτες μας για τη συλλογή και τη χρήση των προσωπικών τους δεδομένων βάσει της Κείμενης Νομοθεσίας και δεσμευόμαστε να έχουμε πρόσβαση στις πληροφορίες των πελατών μας μόνο για την εξυπηρέτηση των σκοπών που απορρέουν από τη μεταξύ μας συμβατική σχέση.
Πώς το GDPR θα επηρεάσει τη λειτουργία των ασφαλιστικών εταιρειών και ποιος θα είναι ο ρόλος του Data Protection Officer;
Η διαμόρφωση ενός ενιαίου νομικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη μέλη της ΕΕ, θέτει μια σειρά περιορισμών και νέων υποχρεώσεων σχετικά με:
• Την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους.
• Τη δυνατότητα μεταφοράς τους σε άλλες χώρες.
• Την προστασία των δικαιωμάτων των φυσικών προσώπων.
• Την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων.
• Τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης. Οι κανονιστικές υποχρεώσεις που προβλέπονται από το Νέο κανονισμό για τις επιχειρήσεις έχουν να κάνουν με:
– Τη λήψη των απαραίτητων τεχνικών και οργανωτικών μέτρων που θα διασφαλίζουν την επεξεργασία των προσωπικών δεδομένων σύμφωνα με τα όσα ορίζει ο κανονισμός δηλαδή, να συλλέγονται για συγκεκριμένο σκοπό, να είναι ακριβή, και μόνο όσα εξ αυτών είναι απαραίτητα, να τηρούνται αποκλειστικά για όσο χρονικό διάστημα απαιτείται, να μη συσχετίζονται μεταξύ τους για να παράγονται προφίλ για λόγους marketing.
– Την ανάπτυξη πολιτικής προστασίας προσωπικών δεδομένων.
– Τη συμμόρφωση με κώδικες δεοντολογίας ή τη διάθεση πιστοποιήσεων που αποδεικνύουν τη συμμόρφωση των εταιρειών με τον κανονισμό.
– Την απόδειξη ότι φέρουν την ευθύνη για την ορθή επεξεργασία των προσωπικών δεδομένων μέσω εφαρμογής κατάλληλων δικλείδων ασφαλείας και πολιτικών διενέργειας εκτίμησης επιπτώσεων, τήρηση μητρώου δεδομένων, ορισμού Υπεύθυνου Προστασίας Δεδομένων, κ.λπ.
Ο Νέος Κανονισμός λειτουργεί σε ένα πιο ρυθμιστικό πλαίσιο, όπου η ευθύνη μεταφέρεται από την ΑΠΔΠΧ στην ίδια την εταιρεία. Έχουμε να εναρμονιστούμε πλέον με έναν κοινό νόμο για όλα τα κράτη της ΕΕ με πολύ αυστηρότερα πρόστιμα, όπου ενδέχεται σε ορισμένες περιπτώσεις να αγγίζουν και το 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών. Ο Data Protection Officer, σύμφωνα με το Νέο Κανονισμό είναι ο Υπεύθυνος Προστασίας των Δεδομένων στις επιχειρήσεις που εκτελούν εργασίες επεξεργασίας δεδομένων και ουσιαστικά αποτελεί το φυσικό πρόσωπο έναντι των Αρχών και των ασφαλισμένων. Είναι ο άνθρωπος που οφείλει να συντονίζει και να ελέγχει την ασφαλή διαχείριση των Προσωπικών Δεδομένων και το πρόσωπο επικοινωνίας της εταιρείας για θέματα προσωπικών δεδομένων.
Πηγή: Ασφαλιστικό Marketing – Τεύχος Μαρτίου 2017
