Τα δεδομένα βρίσκονται στον πυρήνα του ασφαλιστικού τομέα. Χωρίς πρόσβαση σε δεδομένα, οι ασφαλιστές δεν θα ήταν σε θέση να αξιολογήσουν τους κινδύνους από τους οποίους επιθυμούν να προστατευθούν οι καταναλωτές, να αναπτύξουν και να τιμολογήσουν τα συμβόλαιά τους, να επεξεργαστούν τις απαιτήσεις των καταναλωτών ή να εντοπίσουν απάτες. Καθώς η επεξεργασία δεδομένων βρίσκεται στο επίκεντρο της επιχείρησής τους, οι ασφαλιστές γνωρίζουν την αξία των δεδομένων και τη σημασία της προστασίας τους. Αυτό δεν είναι μόνο νομική και κανονιστική απαίτηση, αλλά και θεμελιώδες στοιχείο της οικοδόμησης και της διατήρησης της εμπιστοσύνης των καταναλωτών.
του William Vidonja, Head of conduct of business, Insurance Europe (αναδημοσίευση άρθρων σε συνεργασία του insurancedaily.gr με την Insurance Europe )
Ως εκ τούτου, οι ασφαλιστές ήταν πάντα ένθερμοι υποστηρικτές των στόχων του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) της ΕΕ. Το κείμενο – το οποίο τέθηκε σε ισχύ το 2018 – εγκρίθηκε αρχικά για την προστασία του θεμελιώδους δικαιώματος των Ευρωπαίων στην ιδιωτική ζωή, ενισχύοντας παράλληλα τον υπεύθυνο ανταγωνισμό στον ψηφιακό κόσμο. Τώρα που ο GDPR είναι σχεδόν στα 6α γενέθλιά του, ήρθε η ώρα για άλλη μια ματιά και να ελέγξουμε αν είναι ακόμα κατάλληλος για τον σκοπό του.
Η Ευρωπαϊκή Επιτροπή έχει νομική υποχρέωση να πραγματοποιήσει τη δεύτερη αξιολόγηση του GDPR το 2024, μετά την οποία μπορεί να αποφασίσει να αναθεωρήσει ή να τροποποιήσει τον κανονισμό. Στην πρώτη επανεξέταση, η οποία πραγματοποιήθηκε το 2020, η Επιτροπή θεώρησε το πλαίσιο κατάλληλο για τον σκοπό. Μια ιστορία επιτυχίας που κατάφερε να δώσει στα άτομα περισσότερο έλεγχο στα δεδομένα τους.
Σχεδόν 6 χρόνια αργότερα, το ψηφιακό νομικό τοπίο της Ευρώπης έχει αλλάξει δραστικά. Από την εξελισσόμενη νομολογία από το Δικαστήριο της ΕΕ έως τα εντελώς νέα νομοθετήματα που απορρέουν από την ευρωπαϊκή στρατηγική δεδομένων, όπως ο νόμος για τα δεδομένα, ο νόμος περί διακυβέρνησης δεδομένων και ο νόμος περί τεχνητής νοημοσύνης, το ψηφιακό βιβλίο κανόνων της ΕΕ έχει γίνει πολύ πιο περίπλοκο.
Το πώς αυτές οι νέες πρωτοβουλίες θα αλληλεπιδράσουν μεταξύ τους στην πράξη δεν έχει ακόμη καθοριστεί. Αυτό που είναι ξεκάθαρο είναι ότι όλα βασίζονται στα θεμέλια που θέτει ο GDPR και όλα θα επηρεάσουν σημαντικά τις λειτουργίες επεξεργασίας δεδομένων των οργανισμών τους επόμενους μήνες και χρόνια.
Προτού μπορέσει να αξιολογηθεί ο αντίκτυπος της στρατηγικής δεδομένων της Επιτροπής και των νέων κανονισμών της, είναι πρόωρο το να ανοίξει η συζήτηση για τον GDPR. Όπως πολλοί άλλοι τομείς, ο ασφαλιστικός κλάδος έχει επενδύσει σημαντικούς πόρους στην κατανόηση του GDPR και των επιπτώσεών του και στη διασφάλιση της ορθής εφαρμογής του νέου καθεστώτος. Σε μια εποχή που ο GDPR έχει επίσης με επιτυχία αποτελέσει παγκόσμιο πρότυπο, η αναθεώρηση της Επιτροπής θα πρέπει να εκμεταλλευτεί αυτή την ευκαιρία για να αντιμετωπίσει εκκρεμή ζητήματα ερμηνείας, να προωθήσει τους υφιστάμενους νομικούς μηχανισμούς και να ενισχύσει τη συμμόρφωση των εταιρειών.
Ας ξεκινήσουμε εξετάζοντας κάθε ένα από αυτά τα σημεία:
- Μία από τις βασικές πτυχές στις οποίες θα πρέπει να επικεντρωθεί η ανασκόπηση της Επιτροπής είναι η ακούσια επίδραση του GDPR στην καινοτομία. Οι αναδυόμενες τεχνολογίες όπως το blockchain, η τεχνητή νοημοσύνη και το Internet of Things (IoT) προσφέρουν τεράστιες ευκαιρίες τόσο για τους ασφαλιστές όσο και για τους καταναλωτές. Ωστόσο, η καινοτομία θα μπορούσε να υπονομευθεί, από τη μία πλευρά, από την έλλειψη καθοδήγησης και από την άλλη, από την υπερβολικά αυστηρή ερμηνεία που παρέχεται από τις υπάρχουσες οδηγίες που προτείνονται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB). Πάρτε το blockchain, για παράδειγμα. Ενώ οι δυνατότητές του να ενισχύσουν την αποτελεσματικότητα, την εμπιστοσύνη και τη διαφάνεια είναι ευρέως γνωστές, δεν είναι ακόμη σαφές πώς η χρήση του μπορεί να συμβιβαστεί με το δικαίωμα διαγραφής του GDPR και το δικαίωμα διόρθωσης. Ομοίως, λόγω μιας πολύ στενής ερμηνείας της «αναγκαιότητας» της διενέργειας αποκλειστικά αυτοματοποιημένων διαδικασιών, οι κατευθυντήριες γραμμές EDPB έχουν ως αποτέλεσμα να αποθαρρύνουν τους ασφαλιστές να εισάγουν καινοτόμα προϊόντα, όπως η ασφάλιση σε πραγματικό χρόνο που προσφέρονται μέσω εφαρμογών για κινητά τηλέφωνα.
- Αυτό οδηγεί στο δεύτερο σημείο. Ο ρόλος του EDPB και οι κατευθυντήριες γραμμές του. Ενώ η καθοδήγηση του EDPB είναι ένα χρήσιμο εργαλείο υλοποίησης και συμμόρφωσης, υπάρχουν ορισμένοι τομείς, όπως οι διεθνείς διαβιβάσεις δεδομένων και το δικαίωμα πρόσβασης στα δεδομένα, στους οποίους το EDPB δεν εφαρμόζει με συνέπεια την προσέγγιση βάσει κινδύνου και τις αρχές της αναλογικότητας που κατοχυρώνονται στο GDPR. Για παράδειγμα, οι κατευθυντήριες γραμμές για το δικαίωμα πρόσβασης υποδηλώνουν ότι, μετά από ρητή αίτηση πρόσβασης από έναν καταναλωτή, μια εταιρεία θα πρέπει να αναζητήσει τα δεδομένα του ατόμου σε όλα τα συστήματα πληροφορικής της, συμπεριλαμβανομένων των εφεδρικών συστημάτων. Η απαίτηση από τον ελεγκτή να αναζητήσει εφεδρικά συστήματα, τα οποία μπορεί να μην είναι εύκολα ή εύκολα προσβάσιμα, αποτελεί δυσανάλογη προσπάθεια. Τα δεδομένα αντιγράφων ασφαλείας είναι προσωπικά δεδομένα που αποθηκεύονται αποκλειστικά για την αποκατάσταση των δεδομένων σε περίπτωση απώλειας δεδομένων και επομένως δεν πρέπει να περιλαμβάνονται στο πεδίο εφαρμογής του δικαιώματος πρόσβασης. Το EDPB θα πρέπει να δώσει προτεραιότητα στην πρακτική καθοδήγηση για την ενίσχυση της εναρμόνισης και τη μείωση του φόρτου συμμόρφωσης όποτε το επιτρέπει το κείμενο του GDPR. Ο αυξημένος διάλογος με εξωτερικά ενδιαφερόμενα μέρη θα επιτρέψει στο EDPB να μάθει περισσότερα για τα αναδυόμενα ζητήματα και να αναπτύξει σχετικές κατευθυντήριες γραμμές που θα ευθυγραμμίζονται καλύτερα με την πρακτική πραγματικότητα που αντιμετωπίζουν οι επιχειρήσεις, προωθώντας τελικά πιο ισχυρή και αποτελεσματική συμμόρφωση με την προστασία δεδομένων.
- Τέλος, ένας άλλος κρίσιμος τομέας για την αξιολόγηση θα πρέπει να είναι ο μηχανισμός του GDPR για τη διεθνή μεταφορά δεδομένων. Η διασφάλιση απρόσκοπτης ροής δεδομένων μεταξύ των κρατών μελών της ΕΕ και τρίτων χωρών είναι ζωτικής σημασίας για τις ευρωπαϊκές επιχειρήσεις. Εδώ, η Επιτροπή θα πρέπει να λάβει μέτρα για να διασφαλίσει ότι οι εταιρείες μπορούν να κάνουν πλήρη χρήση όλων των εργαλείων για διεθνείς μεταφορές που προβλέπονται στον GDPR. Σε αυτό το στάδιο, η χρήση υφιστάμενων εργαλείων όπως οι Κώδικες Δεοντολογίας και οι Δεσμευτικοί Εταιρικοί Κανόνες έχουν περιοριστεί λόγω των υψηλών απαιτήσεων που επιβάλλονται από το EDPB και των μακρών και πολύπλοκων διαδικασιών έγκρισης. Η Επιτροπή θα πρέπει επίσης να επιταχύνει τις εργασίες της για την ανάπτυξη νέων αποφάσεων επάρκειας. Αυτά είναι τα πιο κατάλληλα μέσα για τη μεταφορά δεδομένων διεθνώς, καθώς παρέχουν τις πιο κατάλληλες διασφαλίσεις τόσο για τις εταιρείες όσο και για τους καταναλωτές. Ωστόσο, ο τρέχων κατάλογος των χωρών που καλύπτονται με “απόφαση επάρκειας” είναι ακόμα αρκετά περιορισμένος σε ένα περιβάλλον στο οποίο η παγκόσμια ανταλλαγή δεδομένων αυξάνεται καθημερινά.
Συνολικά, χρειάζεται ακόμα δουλειά. Η επικείμενη αξιολόγηση είναι επομένως μια χρυσή ευκαιρία για να διασφαλιστεί ότι το κείμενο ανταποκρίνεται πλήρως στους επιδιωκόμενους στόχους του, συμπεριλαμβανομένης της καθοδήγησης των επιχειρήσεων να ανταγωνιστούν υπεύθυνα στο ψηφιακό περιβάλλον. Ο κλάδος χρειάζεται μια εστιασμένη αναθεώρηση του GDPR που να αντιμετωπίζει εξαιρετικές προκλήσεις ερμηνείας, να διευκολύνει τη συμμόρφωση για τις εταιρείες και να ενισχύει την ενιαία αγορά της Ευρώπης. Πρέπει να προωθήσει την πρακτική καθοδήγηση από το EDPB, να ασφαλίσει τις διεθνείς μεταφορές δεδομένων και την πλήρη χρήση όλων των μηχανισμών GDPR. Όλα αυτά θα ανοίξουν το δρόμο για την επόμενη αναθεώρηση το 2028, όταν θα μπορέσει να αξιολογηθεί καλύτερα ο αντίκτυπος της νομοθεσίας για τη στρατηγική δεδομένων που εγκρίθηκε πρόσφατα και θα είναι δυνατή η διεξαγωγή μιας πιο ολοκληρωμένης αξιολόγησης του ψηφιακού εγχειριδίου κανόνων της ΕΕ.
