του Γιώργου Χλωμούδη, Data Protection Officer, ΑΧΑ Ασφαλιστική
Τον Απρίλιο του 2016, το Ευρωπαϊκό Συμβούλιο ψήφισε τον Κανονισμό 679/2016 (General Data Protection Regulation – GDPR) που, τίθεται σε ισχύ στις 25 Μαΐου 2018. Η νέα νομοθεσία αλλάζει σε μεγάλο βαθμό το πλαίσιο προστασίας των Δεδομένων Προσωπικού Χαρακτήρα (ΔΠΧ) καθώς, μεταξύ άλλων:
• Ενισχύει τον εποπτικό και ελεγκτικό χαρακτήρα των αρμόδιων αρχών προστασίας προσωπικών δεδομένων, προσφέροντας ως εργαλείο μια ενιαία νομοθεσία και θεσμοθετώντας υψηλές ποινές και πρόστιμα μη συμμόρφωσης.
• Ενισχύει επίσης και διευρύνει τα δικαιώματα των φυσικών ατόμων ως προς την επεξεργασία των δεδομένων τους (π.χ. δικαίωμα στη φορητότητα, διόρθωση, διαγραφή, εναντίωση). • Θεσπίζει την υποχρέωση των Υπευθύνων Επεξεργασίας των ΔΠΧ να παρέχουν διαφανείς και εύκολα προσβάσιμες πληροφορίες στα Υποκείμενα των Δεδομένων όσον αφορά την επεξεργασία των δεδομένων τους.
• Ορίζει αναλυτικά τις γενικές και ειδικές διατάξεις προστα- σίας και επεξεργασίας των ΔΠΧ τόσο των Υπευθύνων όσο και των Εκτελούντων την Επεξεργασία για λογαριασμό αυτών (π.χ. κατάλληλοι μηχανισμοί ασφάλειας, ρήτρες εμπιστευτικότητας κ.λπ.).
• Θέτει συγκεκριμένα χρονικά περιθώρια ενημέρωσης τόσο της Αρχής Προστασίας ΔΠΧ όσο και των Υποκειμένων των Δεδομένων σε περίπτωση εκδήλωσης περιστατικού διαρροής αυτών.
Παρατηρούμε λοιπόν ότι η αυξανόμενη ανησυχία των καταναλωτών ως προς τη χρησιμοποίηση των δεδομένων που τους αφορούν, φαίνεται να καλύπτεται από τις πρόνοιες του νέου Κανονισμού. Την ίδια στιγμή, παραμένει αναλλοίωτο το στρατηγικό ενδιαφέρον των ασφαλιστικών επιχειρήσεων για αξιοποίηση των διαθέσιμων πληροφοριών είτε πρόκειται για την αξιολόγηση κινδύνων είτε για τη διερεύνηση των συνθηκών κινδύνων. Με αφορμή τη νέα νομοθεσία, το στοίχημά μας είναι να βρεθεί η ισορροπία μεταξύ αυτών των δύο τάσεων.
Η ψήφιση του νέου Ευρωπαϊκού Κανονισμού GDPR, αναμένεται να επιφέρει αλλαγές και στην ελληνική νομοθεσία ώστε να υπάρχει ένα ενιαίο πλαίσιο εφαρμογής. Ωστόσο, οι βασικές αρχές προστασίας των ΔΠΧ θα παραμείνουν ίδιες. Ο νέος Κανονισμός δεν συνεπάγεται την αλλαγή των τεχνολογικών μέσων προστασίας. Η υιοθέτηση ή όχι συγκεκριμένων μηχανισμών ασφάλειας εξαρτάται από την αξιολόγηση/αποτίμηση της έκθεσης ενός Οργανισμού σε σχετικούς κινδύνους αλλά και από το επίπεδο κινδύνων που δέχεται ή επιλέγει να αναλάβει ο Οργανισμός αυτός (Risk Tolerance). Πλέον ο νέος Κανονισμός GDPR έρχεται, όχι για να αλλάξει τα τεχνολογικά μέσα, αλλά να ενισχύσει την ανάγκη υιοθέτησης των κατάλληλων και πιθανώς επιπρόσθετων τεχνολογικών μηχανισμών.
Γνωρίζουμε ωστόσο, ότι 100% ασφάλεια και προστασία δεν μπορεί να επιτευχθεί, καθώς τόσο η εξέλιξη της τεχνολογίας όσο και η ραγδαία αύξηση των αδυναμιών, σε συνδυασμό με τον ανθρώπινο παράγοντα που πάντα αποτελεί τον αδύναμο κρίκο στην αλυσίδα της ασφάλειας, δεν το επιτρέπουν. Το κενό αυτό στη διαχείριση των κινδύνων έρχεται να συμπληρώσει το Cyber Insurance, δηλαδή η ασφάλιση ενός Οργανισμού από τις επιπτώσεις (οικονομικές και άλλες) που δύναται να προκαλέσει μια εκτεταμένη διαρροή προσωπικών ή ευαίσθητων δεδομένων ή άλλου περιστατικού ασφάλειας.
Το Cyber Insurance υπήρχε και πριν την ψήφιση του Κανονισμού GDPR. Ωστόσο, βάσει δημοσιευμένων στατιστικών αναφορών, για πολλές εταιρείες, η ασφάλιση αυτή δεν ήταν επιλογή προτεραιότητας καθώς πολλά περιστατικά παρέμεναν κρυφά από τη δημοσιότητα και σε μερικές περιπτώσεις ανεξιχνίαστα.
Η νέα νομοθεσία (GDPR) θέτει ισχυρούς κανόνες συμμόρφωσης (π.χ. data breach notification) και επισύρει αυστηρότατα πρόστιμα και ποινές μη συμμόρφωσης αυξάνοντας την εταιρική ευθύνη. Το Cyber Insurance λοιπόν αποτελεί ένα ουσιαστικό εργαλείο διαχείρισης των κινδύνων απώλειας εμπιστευτικών πληροφοριών, μέσω ενός συνδυασμού ασφαλιστικών καλύψεων, που ενδεικτικά, και όχι περιοριστικά, δύναται να περιλαμβάνουν: αστική ευθύνη έναντι τρίτων που επλήγησαν, νομικά έξοδα διαχείρισης ασφαλιστικών καλύψεων, συμβουλές, πρόσβαση σε εξειδικευμένους φορείς (π.χ. διαπραγματευτές), απώλεια κερδών, εταιρική ενημέρωση και δημόσιες σχέσεις κατά το περιστατικό κ.λπ. Παρότι λοιπόν, το Cyber Insurance δεν είναι νομικά αναγκαίο, πλέον αποτελεί ένα πιο επιτακτικό και ουσιαστικό εργαλείο διαχείρισης των σχετικών κινδύνων.
Κάνοντας μια μικρή αναφορά στο ρόλο του Data Protection Officer, θα πρέπει καταρχάς να αναφερθεί ότι ο ορισμός και η θέσπιση του συγκεκριμένου αυτού ρόλου είναι απαραίτητη για όλες τις εταιρείες ή οργανισμούς που πληρούν συγκεκριμένα κριτήρια επεξεργασίας ΔΠΧ. Καθώς η αγορά ωριμάζει σταδιακά, ανάλογα θα εξελίσσεται και ο ρόλος του Data Protection Officer, ώστε να καταστεί ένα κεντρικό σημείο συντονισμού και αναφοράς μεταξύ ποικίλων εταιρικών λειτουργιών (τεχνολογίας, συμμόρφωσης, ασφάλειας, νομικών υπηρεσιών, marketing κ.ά.), εταιρικής επικοινωνίας έναντι των αρχών και πρακτικής εμπειρίας εφαρμογής μηχανισμών προστασίας των ΔΠΧ κατά την επεξεργασία τους (συλλογή, μεταφορά, αποθήκευση κ.λπ.).
Στο πλαίσιο των διατάξεων του νέου Κανονισμού, οι ασφαλιστικές εταιρείες βρίσκονται στο επίκεντρο, καθώς συλλέγουν και επεξεργάζονται προσωπικά δεδομένα, σε πολλές περιπτώσεις ευαίσθητα δεδομένα πελατών, υπαλλήλων και συνεργατών τους (π.χ. ονοματεπώνυμο, διεύθυνση, οικογενειακή κατάσταση, ΑΦΜ, πληροφορίες υγείας κ.λπ.). Με δεδομένη μάλιστα τη μεγάλη εξάρτηση που έχουν οι ασφαλιστικές εταιρείες στην τεχνολογία και σε τρίτους, εξειδικευμένους παρόχους και συνεργάτες, συμπεραίνουμε ότι η επεξεργασία των προσωπικών και ευαίσθητων δεδομένων πολλαπλασιάζεται γεωμετρικά και καθιστά τις διεργασίες ελέγχου και προστασίας επίπονες και σύνθετες.
Η ΑΧΑ, τόσο σε επίπεδο Ομίλου όσο και σε εγχώριο έχει δημιουργήσει ένα ισχυρό πλαίσιο διακυβέρνησης για να αντιμετωπίσει αποτελεσματικά τις νέες, Data Privacy απαιτήσεις. Είναι μάλιστα ανάμεσα στις πρώτες εταιρείες που θέσπισαν ειδικό Data Protection Officer (DPO) ρόλο με συγκεκριμένα καθήκοντα και αρμοδιότητες.
Για την ΑΧΑ Ασφαλιστική, όλο αυτό το πλαίσιο αποτελεί μια μεγάλη πρόκληση, αλλά και ευθύνη. Πρόκληση για να αντεπεξέλθουμε με επιτυχία στις νέες ρυθμιστικές απαιτήσεις, αλλά και ευθύνη επιβεβαίωσης της προτεραιότητας που έχει ο κάθε ξεχωριστός πελάτης που μας εμπιστεύεται. Ο στόχος είναι να μας επιλέγει όχι μόνο για την ποιότητα των ασφαλιστικών υπηρεσιών, αλλά και για τη συνολική εταιρική μας υπευθυνότητα, μέρος της οποίας αντανακλάται στην προστασία των προσωπικών και ευαίσθητων δεδομένων.
