Kvůli evropské směrnici GDPR jsou společnosti nuceny zavést řadu technických, organizačních a procesních opatření, které představují značnou časovou i finanční investici. „I přes vynaložené úsilí nelze bohužel vyloučit opomenutí jednotlivce, selhání techniky a stále častěji i pokusy o narušení bezpečnosti systémů společnosti zvenčí. Pojištění GDPR bere v potaz všechny tyto situace, v důsledku kterých může dojít k porušení předpisů o ochraně osobních údajů a zahájení regulatorního řízení nebo soudního sporu,“ říká Marko Antič, Head of Financial Lines z Colonnade Insurance.
Jednou z důležitých novinek GDPR regulace je rozšíření oznamovací povinnosti, v případě narušení bezpečnosti osobních údajů, na všechny správce těchto údajů. Pojištěním jsou kryty náklady na přípravu tohoto oznámení, právní poradenství při zahájení regulatorního řízení i případné pokuty a sankce uložené dozorovým orgánem např. Úřadem pro ochranu osobních údajů.
Mohlo by vás zajímat: Analýza ČAP: Propojištěnost Čechů je velmi nízká
Druhou významnou oblastí jsou nároky, které vůči společnosti mohou vznést jednotlivci a firmy při podezření na neoprávněné nakládání s osobními či důvěrnými informacemi. Jedná se například o neoprávněné zpřístupnění údajů zaměstnancem společnosti nebo pochybení subdodavatelské firmy, která data pro společnost zpracovává. Pojištění pokrývá náklady na právní zastoupení a náklady vzniklé v souvislosti s uplatněním nároku poškozeného.
Napadení počítačové sítě a instalace nelegálního softwaru do spravovaných dat či odcizení IT vybavení s uloženými osobními údaji představují třetí oblast krytou pojištěním GDPR. I v tomto případě jsou uhrazeny škody a náklady na právní zastoupení, je-li vůči společnosti vznesen nárok poškozené osoby.
„Pojištěním GDPR jsme se rozhodli reagovat na poptávku ze strany makléřů i zákazníků. Vzhledem k našim dlouholetým zkušenostem s pojištěním kybernetických rizik, které jsme v roce 2013 uvedli jako první na český trh (jako produkt pojišťovny AIG), můžeme klientům nabídnout profesionální poradenství při zhodnocení a správném nastavení krytí jednotlivých rizik dle oboru činnosti společnosti,“ uvádí Marko Antič, Head of Financial Lines z Colonnade Insurance.
Mohlo by vás zajímat: Zajímavé spekulace. Mění Swiss Re podnikatelský model?
Proč přesně nařízení GDPR vzniklo?
Odpověď je celkem jednoduchá: z důvodu posílení práva osob na kontrolu nad jejich osobními údaji. V našem přetechnizovaném světě, kdy je během jediné minuty odesláno téměř 21 milionů zpráv jen na WhatsApp, je snahou Evropského parlamentu nastavit rovnováhu mezi legitimními zájmy správců a zpracovatelů dat a právem osob na soukromí.
Co si pod osobními údaji máme představit? Je třeba říci, že ochrana osobních údajů se týká pouze fyzických osob a podnikajících fyzických osob. Osobními údaji jsou veškeré informace vztahující se k identifikované nebo identifikovatelné osobě a mohou být obrazové (fotografie), slovní (hlasový záznam), IP adresa, rentgenový snímek nebo informace, které mají k osobě vztah svým obsahem (pracovní pozice).
Mohlo by vás zajímat: Pojištění kybernetických rizik: Víte, jak na něj?
Údaje se člení na osobní a organizační. Jistě jste zaznamenali, že ochrana osobních údajů se bude týkat i vašeho hlasu, neboli dávejte si pozor na všechny hovory, které s vámi chce někdo nahrávat. K nahrávání hlasu a pořizování videa i fotografií musí dát každá fyzická osoba nejprve souhlas, přičemž tento souhlas musí být výslovně vyjádřený, a to písemně nebo slovně. „Výslovně“ znamená např. kladná odpověď na otázku „Můžeme si hovor nahrávat z důvodu zkvalitnění služeb?“ Nestačí jen oznámit „Hovor bude nahráván.“
Stejné je to s fotografií. Pokud jste pořídili databázi fotografií zaměstnanců z důvodu identifikace například na průkazku, je všechno v pořádku a vy nepotřebujete souhlas zaměstnance. Ale pro uveřejnění fotografie ve firemním časopise nebo pořízení fotografie z firemní akce již souhlas potřebujete, a to souhlas písemný a konkrétní. Nelze si vyžádat souhlas s uveřejněním ve firemním newsletteru a pak fotografii umístit v marketingovém příspěvku v jiném časopise.
Citlivé osobní údaje
Dalším ožehavým tématem jsou citlivé osobní údaje neboli veškeré údaje charakteru genetického nebo biometrického, například záznam o zdravotním stavu. Zpracování takových údajů je taxativně vymezeno buď výslovným souhlasem, nebo v nařízení k vyjmenovaným účelům. Každý, kdo má nějaké zaměstnance, a stačí jeden jediný, je zpracovatelem jak osobních údajů, tak i citlivých osobních údajů, tudíž 90% firem a institucí v ČR je zpracovatelem a musí se nařízením zabývat.
Kdy může člověk nebo firma osobní údaje zpracovávat. Může tak činit v okamžiku, kdy k tomu má zákonný důvod. V případě důvodu daného zákonem, např. zpracování osobních údajů zaměstnanců, pak správce údajů nemusí vyžadovat souhlas ke zpracování. Dokonce v případě, že bude i přes zákonný důvod souhlas vyžadován, budou dozorové orgány udílet pokuty. Myslete tedy na to, že domnělým posílením vaší pozice souhlasem navíc se ve skutečnosti vystavujete riziku postihu.
Mohlo by vás zajímat: Seznam rizikových míst na českých silnicích
Dále lze osobní údaje zpracovávat v případě životně důležitých zájmů, například při ochraně zdraví obyvatel.
Třetí okolností umožňující zpracování osobních údajů je veřejný zájem nebo oprávněný zájem. V případě oprávněného zájmu musí být rovnováha mezi zájmy zpracovatele a subjektu dat, neboli oprávněnost zájmu je dána tím, že slouží ve prospěch subjektu dat.
Nutný souhlas
Posledním okamžikem, který zpracovatele opravňuje ke zpracování dat, je souhlas, výslovný a konkrétní. Souhlas nesmí být součástí smlouvy. Souhlas musí být jednostranný akt, který nezpochybnitelně stanoví, jaké údaje a za jakým účelem lze zpracovávat. Pod tím si lze představit, že klient, kterému jste zprostředkovali pojištění vozidla, výslovně souhlasí s tím, že mu budete nabízet i jiné produkty.
Pokud takový souhlas nemáte, nemůžete mu nabídnout žádné jiné pojištění než to, které jste s ním uzavřeli, je tedy možné nabídnout pouze úpravu smlouvy, případně jinou pojistnou smlouvu na vozidlo. Stejně tak banka, ve které máte běžný účet, vám může nabízet pouze produkty spojené s běžným účtem; nemůže nabízet investiční nebo jiné produkty, pokud jste nedali výslovný souhlas s tím, že máte o nabídku jiných produktů zájem.
Co si pod zpracováním osobních údajů představit?
Je to shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledávání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení a výmaz či zničení.
Mohlo by vás zajímat: Štorkův odkaz! Podle soudu smlouva ŽP FLEXI neplatí
Novými termíny ve zpracování údajů jsou výmaz a právo být zapomenut. Kdy může subjekt osobních údajů požadovat výmaz a kdy právo být zapomenut? Právo na výmaz nebo zapomenutí má každý subjekt osobních údajů v okamžiku, kdy pominou důvody se zpracováním, nebo byly tyto důvody nezákonné. Toto právo však není absolutní, neboť důležitý je účel, za kterým správce údaj má, např. pojišťovna z důvodu pojistného rizika. Je třeba si ale uvědomit, že výmaz, pokud je oprávněný, musí proběhnout ze všech médií a ze všech míst, papír a e-mail nevyjímaje.
Každá fyzická nebo právnická osoba, která zpracovává některým z výše uvedených způsobů data, je zpracovatel. Správce je jakákoli fyzická nebo právnická osoba, která sama nebo s jinými určuje účel a způsoby zpracování. Rozdíl mezi správcem a zpracovatelem je v tom, že odpovědný bude vždy v konečném důsledku správce.
Mohlo by vás zajímat: Lloyd´s 2017: Ztráta 2 miliardy liber
Dalším důležitým poznatkem je ustavení pověřence. Že pojišťovny a banky budou muset mít pověřence jakožto zpracovatelé rozsáhlého množství dat, je jasné asi každému. Méně jasné je, že tento pověřenec nesmí být v konfliktu zájmů, tudíž nemůže mít na starosti nic jiného. Pověřencem DPO nemůže být šéf IT oddělení, podnikový právník ani člen představenstva. A především by to měla být osoba, která má nemalé zkušenosti s ochranou dat a IT bezpečností.
Na závěr ještě náhled do budoucnosti. S nařízením GDPR mělo vejít v platnost i nařízení ePrivacy, které bude upravovat elektronickou komunikaci, nahradí náš zákon č. 480/2004Sb. a bude upravovat použití cookies, nastavení interní komunikace a další. Toto nařízení, opět s působností nad našimi zákony, se odkládá o rok, ale již dnes, při zavedení GDPR, na něj musíme být připraveni.
O Colonnade Insurance
Pojišťovna Colonnade vstoupila v roce 2016 na středo a východoevropský pojistný trh převzetím pojistných aktivit australské pojišťovny QBE v České republice, na Slovensku, v Maďarsku a na Ukrajině. Expanze značky pokračovala v roce 2017 akvizicí poboček americké AIG ve výše uvedených zemích a dále pak v Polsku, Rumunsku a Bulharsku.
Na uvedených trzích je společnost reprezentována více než 400 zaměstnanci a dosahuje hrubého předepsaného pojistného přes 100 milionů eur. Colonnade je držitelem ratingu finanční síly A- (Excellent) a úvěrového ratingu a- se stabilním výhledem od ratingové agentury A.M.Best. Vlastníkem společnosti je kanadská investiční společnost Fairfax Financial Holdings.
Komentáře
Přidat komentář