EU chystá nové nařízení na ochranu osobních údajů. Jaký bude mít vliv na pojišťovny?

5.8.2015 Pojistný trh

Zpracování osobních údajů je přirozenou součástí poskytování nejrůznějších služeb, včetně pojištění. V roce 1995 byla přijata evropská směrnice, na jejímž základě stojí evropské právo ochrany osobních údajů dodnes, a která byla v České republice implementována zvláštním zákonem. V důsledku rozvoje informačních technologií a stále mohutnějšího zpracovávání osobních dat v roce 2012 Evropská komise zveřejnila návrh „nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů“ [1], který má tuto směrnici nahradit. Předpisy vydávané jako nařízení jsou na rozdíl od směrnic přímo aplikovatelné (jednotlivé státy k jeho implementaci nepřijímají zvláštní zákony)). To ale zdaleka není nejdůležitější změna, kterou nová legislativa přinese.

Text nařízení se v současnosti teprve finalizuje. Jelikož korporace budou potřebovat určitý čas na přípravu, odhaduje se účinnost nařízení někdy na rok 2017-18. Očekáváné změny je však již nyní vhodné vést v patrnosti.

Jeden dohledový orgán

Pokud pojišťovna poskytuje služby ve více členských zemí EU, vztahují se na ni v současnosti nejen jednotlivé implementační předpisy o ochraně osobních údajů příslušných států, ale také pravomoc jednotlivých dozorových orgánů (v České republice je to Úřad pro ochranu osobních údajů). Podle nařízení bude pro příslušnost dohledového orgánu rozhodující, kde je umístěna hlavní provozovna správce nebo zpracovatele osobních údajů. Příslušný úřad pak bude kompetentní k dohledu nad zpracováním i v jiných členských státech. To přinese pojišťovnám s pobočkami ve více zemích určité zjednodušení.

Konec registrací

Zatímco podle současné právní úpravy se zpracovatelé musí registrovat u dohledových orgánů (ledaže jim svědčí některá s výjimek), nařízení od této povinnosti upouští a nahrazuje jí povinností vést interní dokumentaci, kterou jsou povinni předložit orgánu dozoru na požádání. Někteří správci budou navíc muset určit speciální osobu odpovědnou za tuto agendu (data protection officer).

Podrobnější informování o zpracování

Informační sdělení správců budou vyžadovat revizi osobních údajů, ve kterých popisují důvody pro zpracování, práva subjektů údajů a další zákonem vyžadované informace. Nařízení povinně sdělované informace rozšiřuje o řadu položek, jejichž obsah bude záviset také na důvodu pro zpracování.

Profilování (profiling)

Nařízení definuje nový druh zpracování osobních údajů, takzvané profilování (profiling), kterým se rozumí „automatizované zpracování určené k vyhodnocení jistých rysů osobnosti nebo k analýze či předpovídání zejména plnění pracovních povinností, ekonomické situace, lokalizace, zdravotního stavu, osobních preferencí, spolehlivosti nebo chování této fyzické osoby“. Typicky se tedy jedná o nějakou formu sledování chování klienta či zákazníka, které ale zároveň širším způsobem vyhodnocuje jeho osobnost. Provádění profilování bude možné jen v případech stanovených v nařízení.

Ohlašování případů narušení bezpečnosti osobních údajů

Na rozdíl od směrnice obsahuje nařízení také speciální úpravu pro případy, kdy dojde k narušení bezpečnosti osobních údajů (například v důsledku hackerského útoku). Podle nařízení bude potřeba takový případ oznámit bez zbytečného odkladu orgánu dozoru společně s popisem povahy narušení, opatřeními ke zmírnění nežádoucích účinků narušení a dalšími informacem. Pokud se narušení bezpečnosti dotkne také ochrany osobních údajů nebo soukromí subjektu údajů, může být správce povinen oznámit narušení bezpečnosti také subjektům údajů, ledaže správce ke spokojenosti orgánu dozoru prokáže, že zavedl náležitá technická ochranná opatření a že tato opatření byla použita u údajů, jejichž bezpečnost byla narušena.

Citelnější sankce

Zatímco směrnice neharmonizovala sankce pro porušení příslušné legislativy a ty se v ČR pohybují do 5 000 000 Kč, nařízení již stanovuje sankce podstatně citelnější a pokuty se teoreticky mohou pohybovat až do výše 100 miliónů EUR nebo 2 až 5% světového obratu společnosti (podle toho, co je větší), a dostávají se tak na úroveň zákonodárství na ochranu hospodářské soutěže.

Další změny

Výše popsané změny jsou jen výběrem z toho, co má nařízení o 91 článcích přinést. Další změny budou zahrnovat například nové přeshraniční účinky nařízení, novou úpravu souhlasu subjektu se zpracováním údajů, povinnost provádět v některých případech analýzy dopadů zpracování na ochranu osobních údajů, podrobnější smlouvy správců se zpracovateli, přímé povinnosti zpracovatelů (nejenom správců) ohledně zpracování údajů, výslovnou úpravu práva „být zapomenut“ anebo akceptaci závazných podnikových pravidel jako nástroje pro přeshraniční transfery dat.

Ne všechny výše popsané změny budou mít vliv na byznys pojišťoven. Ty osobní údaje zpracovávají pro účely plnění smluv a z legitimních důvodů a v zásadě tak například nepotřebují souhlas subjektu se zpracováním údajů, který má být podle nařízení obtížněji získatelný (ledaže osobní údaje využívají ještě k jiným účelům, než je plnění smluv a operace inherentně spojené s pojišťovnictvím). Na řadu nových požadavků však bude potřeba se připravit.

[1] Návrh nařízení pod číslem COM/2012/011 lze naleznout na anglických stránkách Evropské Komise, kde je možné sledovat i další vývoj návrhu. Samotný text návrhu nařízení je po otevření k dispozici i v českém jazyce.

Zdroj: Mgr. František Čech, advokát