Evropský digitálně kybernetický boom


			Evropský digitálně kybernetický boom

Během letních měsíců, na počátku slovinského předsednictví v Radě EU, byl evropský legislativní posun v digitální a kybernetické oblasti zpomalen. Po prázdninách však evropské orgány popadly nový dech, neboť o digitálně-kybernetické iniciativy není v souladu s příslibem Evropské komise nouze. V článku, který vyšel v odborném časopise Pojistný obzor, se dozvíte více.


Pojistný obzor je k přečtení ZDE


Evropská komise předložila dne 15. září 2021 návrh rozhodnutí, kterým se zřizuje program do roku 2030 – Cesta k digitálnímu desetiletí[1]. Návrh stanovil politické cíle v oblasti digitalizace, jichž by EU měla dosáhnout, jak bylo poprvé vytyčeno v Digitálním kompasu[2]. Digitální cíle pro rok 2030 se zakládají na digitální dovednosti, infrastruktuře či digitalizaci podniků a veřejných služeb. Návrh by měl zavést mechanismus každoroční spolupráce mezi Evropskou komisí a členskými státy, který by se skládal ze strukturovaného, transparentního a sdíleného monitorovacího systému založeného na indexu digitální ekonomiky a společnosti (DESI) pro měření pokroku při plnění jednotlivých cílů pro rok 2030, včetně klíčových ukazatelů výkonnosti (KPI), výroční zprávy o „stavu digitálního desetiletí“ či víceletých strategických plánů členských států apod. Dalším krokem je přijetí návrhu prostřednictvím spolurozhodování Evropského parlamentu a Rady EU.

Proběhla také veřejná konzultace Evropské komise k digitálním principům EU s cílem získání zpětné vazby pro nezávazné společné prohlášení Evropské komise, Evropského parlamentu a Rady EU. Podle Evropské komise je cílem tohoto politického prohlášení sestavit soubor zásad na vysoké úrovni, seznámit s nimi všechny občany EU a řídit „evropskou cestu“ pro digitální společnost. Tyto zásady by se týkaly témat jako: bezpečný on-line prostor, důvěrnost elektronických komunikací, evropská digitální identita (viz níže), cenově dostupný přístup k internetu a přístup k digitálním službám a vzdělávání. Očekává se, že Evropská komise předloží návrh digitálních zásad EU koncem roku 2021.


Mohlo by vás zajímat: ČAP Insurance talk: U mikrofonu Alena Macková


Dále Evropská komise publikovala návrh nařízení k evropské digitální identitě (EUid) revidující nařízení EIDas. Z hodnocení současného rámce totiž vyplynulo, že existují nedostatky plynoucí z nových tržních potřeb (omezení veřejného sektoru, omezené možnosti připojení k systému ze strany soukromých on-line poskytovatelů, nedostupnost řešení, nízká flexibilita, ochrana soukromí apod.), jež jsou znatelné i ze stavu, kdy pouze 14 členských států zavedlo eID schéma. Elektronickou identifikaci je tak potřeba zefektivnit. Podle návrhu by členské státy prostřednictvím akreditovaných veřejných, ale i soukromých subjektů nabízely obyvatelům (nejenom občanům) a právnickým osobám digitální peněženky (digital identity wallets) propojující národní identity s dalšími atributy (např. řidičským oprávněním, diplomem, profesním oprávněním, bankovním účtem, zdravotním certifikátem, rodným listem) a elektronické podpisy, elektronická časová razítka, značky apod. Návrh u fyzických osob zakotvuje službu bez poplatků.

Na evropském poli se rovněž začíná skloňovat pojem „digitální daně“. Tato agenda je aktuální také pro G20 a OECD v kontextu reformy mezinárodního korporátního zdanění. Již v dubnu 2021 Evropský parlament přijal zprávu z vlastní iniciativy k digitální dani[3], kde zdůrazňuje, že daňová pravidla by měla zohledňovat digitální ekonomické vztahy. Cílem plánované iniciativy je zvýšit transparentnost společností v EU zpřístupněním většího množství informací na přeshraničním základě a přizpůsobit pravidla a postupy práva obchodních společností EU digitálnímu věku. Evropská komise v průběhu léta zveřejnila posouzení dopadů připravované legislativy s tím, že veřejná konzultace bude dostupná koncem roku 2022.


Mohlo by vás zajímat: Máte slovo: Nižší, nebo stejná částka pro 2. stupeň invalidity


Priority pojišťovnického sektoru

V létě 2021 se ČAP zapojila do konzultace EIOPA k blockchainu a chytrým smlouvám, jelikož rané zkušenosti prokázaly potenciál těchto technologií pro spotřebitele i pro pojišťovnictví. Stejně tak se věnovala návrhu nařízení ePrivacy, kdy proběhlo druhé trialogové jednání.

Prioritou pojistného trhu nadále zůstává čl. 8 upravující právní základy, přičemž za vyhovující je považována formulace ve verzi Rady EU, která pojistitelům umožní poskytovat inovativní produkty typu telematika bez potřeby souhlasu. Zde je základním argumentačním bodem to, že aby byl souhlas platný, musí být udělen svobodně. Pokud je však souhlas nezbytnou podmínkou k uzavření pojistné smlouvy, může být vykládán jako nesvobodně udělený. Také Evropský sbor pro ochranu osobních údajů ve svých pokynech k souhlasu výslovně uvedl, že souhlas není vhodným právním základem, je-li zpracování údajů nezbytné pro plnění smlouvy. V praktické rovině je komplikací také právo souhlas kdykoliv odvolat a tím přerušit zpracování údajů nezbytné pro plnění smlouvy. Pojistitel by proto nemohl pokračovat v poskytování telematického pojištění z důvodu chybějících údajů. Dochází sice ke zintenzivnění dialogů, ale nadále platí jejich složitost vzhledem k rozporům mezi Evropským parlamentem a členskými státy v Radě EU.


Mohlo by vás zajímat: Robert Kareš: Výlučné postavení PVZP při pojištění cizinců není v rozporu se SFEU


Co se týká kybernetické oblasti, v návaznosti na Strategii kybernetické bezpečnosti EU pro digitální desetiletí[4] z prosince 2020 Evropská komise zveřejnila v červenci 2021 doporučení o vybudování společné kybernetické jednotky, jejímž cílem je koordinovat úsilí EU v oblasti prevence a reakce na rozsáhlé kybernetické incidenty. Již ve strategii byl identifikován nedostatek v oblasti shromažďování a sdílení informací o kybernetických incidentech ze strany vnitrostátních orgánů i soukromého sektoru a nízká úroveň systematičnosti a komplexnosti. To způsobuje nedostatek kolektivního povědomí o kybernetických hrozbách v EU.

Doporučení stanovuje rámec a postup pro zřízení jednotky, která bude podporována pracovní skupinou, již zřídí Evropská komise za přispění ENISA. Jednotka by měla fungovat fyzicky, a to v Bruselu, i virtuálně. Evropská komise v závěrečné fázi (v roce 2023) zamýšlí zapojit do jednotky zřizování zúčastněné strany ze soukromého sektoru v kontextu odvětvového rámce pro sdílení informací, jak předpokládá návrh nařízení k digitální odolnosti finančních institucí (DORA).

Kromě výše charakterizovaného doporučení bylo v červenci 2021 přijato také nařízení (EU)2021/887, kterým se zřizuje Evropské kompetenční centrum pro kybernetickou bezpečnost a síť koordinačních center pro kybernetickou bezpečnost[5], s cílem posílit evropské kapacity, výzkum a konkurenceschopnost EU v oblasti kybernetické bezpečnosti. Kompetenční centrum je novým orgánem EU zřízeným na základě Smlouvy o fungování EU. Společně se sítí národních koordinačních center bude centrum, sídlící v Bukurešti, ve spolupráci s členskými státy, průmyslem a akademickou obcí vyvíjet a provádět společnou agendu pro rozvoj technologií a pro jejich široké nasazení v odvětvích veřejného zájmu a tam, kde je to důležité, včetně malých a středních podniků. Nařízení rovněž formalizuje a spojuje stávající národní centra kybernetické bezpečnosti do sítě s většími pravomocemi a s přístupem k přímým dotacím EU. Tento krok je také součástí výše zmíněné strategie.


Mohlo by vás zajímat: ČAP podala stížnost k Evropské komisi kvůli monopolu na pojištění cizinců PVZP


Co se týká aktivit s přímým dopadem na pojišťovnický sektor, je nutno zmínit vývoj návrhu nařízení ke správě dat (data governance act).[6] Cílem této legislativní úpravy by mělo být nové sdílení dat podle evropských standardů, v protikladu k praktikám bigtech hráčů, disponujících enormním datovým potenciálem, a posílení přehledu a kontroly občanů nad jejich daty či zvýšení jejich dostupnosti pro další použití. Evropská komise tak usiluje o vytvoření jednotného trhu s údaji (o vznik společných evropských data spaces), na němž budou moci být údaje od veřejných subjektů, podniků a občanů využívány bezpečně a spravedlivě ve společném zájmu.

Tyto úmysly pojišťovnický sektor samozřejmě vítá, avšak je potřeba vývoj návrhu pečlivě monitorovat, a to především v kontextu následné aktivity Výboru pro průmysl, výzkum a energetiku Evropského parlamentu. Ten kromě jiného přijal pozměňovací návrh týkající se pojišťovnictví: Pojišťovně nebo jakémukoli jinému poskytovateli služeb, který je oprávněn přistupovat k informacím uloženým v aplikacích elektronického zdravotnictví, by nemělo být povoleno využívat tyto údaje za účelem diskriminace při stanovování cen, neboť by to bylo v rozporu se základním právem na přístup ke zdraví. Toto ustanovení se zakládá na neporozumění tomu, že běžně aplikovaná diferenciace nepředstavuje nespravedlivou diskriminaci. Insurance Europe proto zintenzivnila dialog s klíčovými europoslanci a bude se také soustředit na jednání v Radě EU. V rámci ní dospěly členské státy k dohodě o textu v říjnu 2021. Trialog by tak měl započít ještě během slovinského předsednictví.

V souvislosti s Evropskou strategií pro data a návrhem nařízení ke správě dat se pojistný trh zapojil do konzultace Evropské komise k European Health Data Space (EHDS), kde ocenil aktivitu ke zlepšení dostupnosti tohoto typu údajů pro spotřebitele s podmínkou dostatečného rámce ochrany soukromí v mezích GDPR. To v konečném důsledku přinese výhody i pro pojišťovnictví, např. při uzavírání a plnění pojistných smluv (např. životních, zdravotních, odpovědnostních a úrazových), u kterých je třeba, aby pacienti sdělili příslušné zdravotní údaje a předložili ověřovací dokumenty, což se může vléci. Znatelné urychlení by se dalo zajistit, pokud by pacienti pojišťovně umožnili shromáždit potřebné údaje z EHDS. V této věci je legislativní návrh očekáván do konce roku 2021.


Mohlo by vás zajímat: Máte slovo: Jeden pojištěný, nebo celá rodina?


S návrhem nařízení ke správě dat souvisí i chystaná publikace připravovaného data act. Mělo by se jednat o horizontální legislativní úpravu přístupu k datům ze strany veřejných i soukromých subjektů, které by mohly lépe využívat výhody strojového učení nebo big dat, a také o úpravu problematiky sdílení dat (B2B, B2G). Insurance Europe se k iniciativě vyjádřila během veřejné konzultace Evropské komise, ve které ji hodnotila pozitivně, poněvadž větší dostupnost dat by pro pojistitele mohla vést k lepšímu sledování a vyhodnocování rizik, odhalování podvodů a následně také k lepším zákaznickým zkušenostem.

Co se týká aktivity Evropské komise v oblasti open finance, včetně open insurance, k žádnému relevantnímu posunu nedošlo. Ačkoliv Evropská komise ve své Strategii digitálního financování stanovila ambici mít do roku 2024 k dispozici rámec otevřeného financování, dosud nepřijala žádná rozhodnutí ohledně toho, jak by takový rámec mohl vypadat v praxi a jaký by mohl být jeho rozsah. Aktuálně Evropská komise zvažuje, pro které části odvětví finančních služeb může být zavedení „otevřeného“ rámce pro sdílení údajů vhodné a přínosné. Kromě toho EIOPA zahájila v 1. polovině roku 2021 průzkum, na který ČAP prostřednictvím Insurance Europe reagovala, přičemž zdůraznila především podmínky interoperability a reciprocity.

Cíle evropské legislativy

Zájem Evropské komise v oblasti sběru dat míří také na dohledové orgány. Před prázdninami proběhla konzultace k dohledové datové strategii s cílem zlepšit sběr dohledových dat, tzn. údajů reportovaných národním a evropským dohledovým orgánům, a modernizovat postupy. Ve spojitosti s očekávanou legislativní úpravou umělé inteligence pak byla na úrovni Evropské komise otevřena veřejná konzultace k občanskoprávní odpovědnosti a úpravě odpovědnosti v digitálnímu věku a umělé inteligence, do které se ČAP zapojí. Dále byla na evropském poli debatována potřeba revize směrnice o odpovědnosti za vadné výrobky (PLD). Evropská komise totiž koncem června 2021 zveřejnila konzultaci k plánu přizpůsobení pravidel odpovědnosti digitálnímu prostředí a umělé inteligenci, která je součástí postupného přístupu k rozvoji ekosystému důvěryhodnosti pro umělou inteligenci a bude doplňovat navrhovaný akt o umělé inteligenci.


Mohlo by vás zajímat: Společnost LIMMIT vstupuje do STAR INSURANCE GROUP


Evropská komise specifikuje dva cíle: 1) Modernizovat pravidla odpovědnosti tak, aby zohledňovala vlastnosti a rizika nových technologií či digitálních a obchodních modelů, včetně produktů a služeb vybavených umělou inteligencí. To má podnikům zajistit právní jasnost, kterou potřebují k plánování svých investic, posouzení své odpovědnosti, pojištění a uvádění bezpečných, inovativních a udržitelných produktů na trh. 2) Snížit překážky pro oběti škod při získávání náhrady škody.

Z důvodu relevance pro pojišťovnictví se těmto návrhům v detailu věnujeme na ČAP i Insurance Europe. Potenciál umělé inteligence pro rozvoj nejen pojišťovnictví, ale i zlepšení spotřebitelské zkušenosti je nepochybný. Avšak PLD v kombinaci s vnitrostátní úpravou funguje dobře, i když nelze ignorovat zastaralou terminologii. Aktuální předpisy jsou vyváženým systémem odpovědnosti, neboť poskytují vysokou úroveň ochrany poškozeným osobám a zároveň zohledňují oprávněné zájmy výrobců.

Kontroverzní je i zvažovaná alternativa povinného pojištění. Systémy přísné odpovědnosti fungují pouze tehdy, když jsou rizika, která mají být kryta, dostatečně podobná a když jsou splněny specifické tržní předpoklady. To není případ nových technologií, které zahrnují velmi širokou škálu různých zařízení a použití. Bez splnění těchto podmínek by zavedení povinného pojištění odpovědnosti za škodu způsobenou vadou výrobku mohlo zapříčinit více škody než užitku, s následkem nedostatku upisovací/smluvní svobody a potlačení inovací pojistných produktů. Dále by na pronikání na trh mohlo mít nepříznivý vliv, pokud by pojistný trh nebyl schopen poskytnout dostatečné krytí ani negativně ovlivnit výši pojistného a prevenci, protože pojistníci by mohli nabýt dojmu, že břemeno je na pojistiteli.


Mohlo by vás zajímat: Švýcarsko: Největší obavy jsou z polarizace společnosti


Tématu umělé inteligence věnuje více pozornosti i EIOPA, jejíž expertní skupina pro digitální etiku vypracovala Zprávu k principům umělé inteligence[7]. Mezi nepříliš překvapivá zjištění patří, že umělá inteligence umožňuje granulárnější hodnocení rizik i naceňování, zvýšenou efektivitu vyřizování pohledávek a detekci pojistných podvodů. Další výhody spočívají v oblastech predikce, automatizace, vývoje nových produktů a služeb či snižování nákladů. Na druhé straně může být zajištění spravedlnosti, nediskriminace, transparentnosti a zároveň vysvětlitelnosti výzvou. Podobné jsou i závěry obsažené ve Zprávě OECD k dopadům umělé inteligence a big dat na pojišťovnictví a Zprávě OECD o umělé inteligenci, strojovém učení a velkých technologiích. Legislativní iniciativa navazující na aktuálně běžící konzultační fázi by měla být ze strany Evropské komise předložena v 1. polovině roku 2022.

Především oblast umělé inteligence i DORA zůstávají předmětem debat Insurance Europe, slovinského předsednictví v Radě EU a poslanců Evropského parlamentu. Co se týče DORA, letní vývoj by se dal popsat jako „ticho před bouří“, která započala v září 2021, odkdy dochází k diskuzím na Radě EU a také v Evropském parlamentu. V parlamentní verzi návrhu jsou znatelné určité pozitivní posuny v souladu s ČAP i Insurance Europe proklamovanou proporcionalitou (např. u dopadů na regulované subjekty, rizikového managementu, snížení počtu RTS), a to ve větší orientaci na principy (např. u testování) a rizika (např. interní ohlašování pouze závažných incidentů).


Mohlo by vás zajímat: PwC: Globální tempo dekarbonizace musí pětinásobně zrychlit


Důraz na kybernetickou ochranu

Mezi další relevantní oblasti, u kterých se očekává diskuze, patří reportingové povinnosti vůči dohledovému orgánu (na národní úrovni vůči České národní bance, na evropské úrovni pak vůči nově vytvořenému centrálnímu hubu), smysluplná úprava vztahů k ICT poskytovatelům služeb v postavení třetích stran umožňující reálnou vyjednávací a smluvní svobodu mezi stranami a exit strategii a v neposlední řadě délka implementační lhůty. Od počátku diskuzí k DORA probíhá smysluplný a názorově kompatibilní dialog ČAP a Ministerstva financí ČR a plánuje se také komunikace s ČNB.

Pro pojišťovnický sektor nadále zůstává prioritou dosáhnout proporcionální, principově a rizikově založené úpravy, a to jak ve vztahu k regulovaným subjektům z hlediska jejich velikosti i rizikovosti, tak ve vztahu k racionálně stanoveným požadavkům, které splní primární cíl posílení kybernetické odolnosti, ale nepovedou k omezení inovací. Dále je nezbytné předejít kontradiktorní nebo duplicitní úpravě s již existujícím právním rámcem, jmenovitě Solventnost II, GDPR a NIS (popř. verze aktuálně revidovaného návrhu NIS2), či s mezinárodními standardy a pokyny ESAs nebo ENISA.

Obdobně naštěstí vyjádřila i EIOPA stanovisko všech ESAs ve svém článku[8], podle kterého principově založený návrh vítá především z důvodu regulatorního podchycení případných rizik spojených s využíváním digitálních řešení a zvýšené míry kybernetické ochrany. Zároveň považuje za prioritní zlepšení testování a úpravu vztahů k poskytovatelům ICT služeb v postavení třetích stran. Na druhé straně byl však učiněn prostor pro zlepšení v oblasti proporcionality, správy a dohledu. Ukazatelem úspěšnosti bude především fungující implementace, proto ESAs považují za nezbytné svoje dostatečné kvalitativní a kvantitativní vybavení.


Mohlo by vás zajímat: Petr Král: Nehraje se o nic menšího, než je důvěra lidí v cenovou stabilitu


Dále byla vyjádřena nutnost rozvoje trhu s pojistnými produkty orientovanými na kybernetickou bezpečnost, což může posílit obecný rizikový management v této oblasti. V souvislosti se svou strategií[9] upisování kybernetických rizik určila EIOPA řadu podmínek, které jsou nezbytné pro odolný trh kybernetického pojištění. Patří mezi ně: existence vhodných postupů upisování a řízení kybernetických rizik; odpovídající nástroje pro posuzování a zmírňování potenciálních systémových a extrémních rizik; vzájemné porozumění mezi pojistníky a pojistiteli ohledně smluvních definic, podmínek a ustanovení; odpovídající úroveň a kvalita údajů o kybernetických incidentech dostupných na evropské úrovni. Je zásadní, aby se od počátku uvažovalo o centralizovaném sběru těchto kybernetických incidentů a pamatovalo se na jejich možné širší využití v budoucnosti. V konečném důsledku by přístup k údajům o kybernetických incidentech, potenciálně k evropské databázi, mohl podpořit další rozvoj evropského odvětví kybernetického pojištění a působit jako faktor posilující digitální ekonomiku.

Výčet digitálně-kybernetických aktivit tímto samozřejmě nekončí, nicméně v článku jsme nastínili alespoň základy další regulatorní vlny, která upraví stávající kritéria nebo zavede nové požadavky.


Pojistný obzor je k přečtení ZDE


Mgr. Jana Andraščiková, LL.M.
Právník, koordinátor evropské agendy, gestor kybernetické bezpečnosti
Česká asociace pojišťoven


[1] K dispozici zde: https://digital-strategy.ec.europa.eu/en/library/proposal-decisionestablishing-2030-policy-programme-path-digital-decade
[2] K dispozici zde: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:52021DC0118
[3] K dispozici zde: https://www.europarl.europa.eu/news/en/press-room/20210422IPR02622/ meps-lay-out-plans-for-a-fairer-tax-system-fit-for-the-digital-age
[4] dispozici zde: https://digital-strategy.ec.europa.eu/en/library/eus-cybersecuritystrategy-digital-decade-0
[5] K dispozici zde: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021R0887
[6] K dispozici zde: https://digital-strategy.ec.europa.eu/en/policies/datagovernance-act
[7] K dispozici zde: https://www.eiopa.europa.eu/sites/default/files/publications/reports/eiopa-ai-governance-principles-june-2021.pdf
[8] K dispozici zde: https://www.eiopa.europa.eu/media/speeches-presentations/contribution/digital-operational-resilience-addressing-risks-ofdigital_en
[9] Https://www.eiopa.europa.eu/document-library/strategy/cyber-underwritingstrategy_en

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Nejsou žádné komentáře.

Související články