Pojistný obzor je k přečtení ZDE
Dva a půl roku účinnosti nařízení ovšem není dostatečně dlouhá doba k vyhodnocení plusů a minusů, avšak vzhledem k jeho ojedinělé povaze je v čl. 97 GDPR zakotvena povinnost Evropské komise předložit hodnotící zprávu Evropskému parlamentu a Radě EU k 25. květnu 2020. Jejím obsahem by měly být především oblasti předávání osobních údajů do třetích zemí a mezinárodním organizacím a také mechanismus spolupráce a jednotnosti. Publikace dalších hodnotících zpráv je upravena v intervalech čtyř let. Výsledkem zhodnocení Evropské komise může, ale nemusí být předložení návrhů na změnu tohoto nařízení, zvláště s přihlédnutím k vývoji informačních technologií. To úzce souvisí s plánovaným rozšířením záběru EDPB i na tuto oblast, jak plyne z jeho výroční zprávy za rok 2019[1], a s dalším dynamickým vývojem v oblasti legislativní úpravy inovativních technologií a souvisejících institutů, např. umělé inteligence či open dat.
První zpráva o hodnocení a přezkumu GDPR[2] byla mírně opožděna. K její publikaci nakonec došlo 24. června 2020. Jelikož jejím výsledkem naštěstí nebylo znovuotevření nařízení, nedočkala se velkého mediálního zájmu. Zjištěním, k nimž Evropská komise dospěla, se v tomto článku věnujeme především v kontextu zkušeností a nedostatků, které pojišťovnický sektor, zastoupený Insurance Europe, diskutoval s Evropskou komisí na úrovni mnohostranného externího fóra a v rámci veřejné konzultace.
Mohlo by vás zajímat: Lloyd´s doporučuje tvorbu jednodušších pojistných produktů
Kromě konkrétních bodů bylo základem stanoviska obecné vyjádření, že vzhledem ke krátké době účinnosti není důvod otevírat samotný text level 1 nařízení. Tento krok by byl předčasný a kontraproduktivní, a to i ve vztahu k již vynaloženým nemalým compliance nákladům. Dosud nevyjasněné výkladové otázky by měly být i nadále řešeny ve spolupráci s EDPB formou pokynů. S tímto pohledem na věc se ztotožnila i Evropská komise, neboť potvrdila předčasnost tohoto postupu; vymezila ale, že do budoucna se bude zaobírat i touto možností, např. v oblastech sjednocení věku nezletilého u udělování souhlasu v čl. 8 či zjednodušení pravidel pro malé a střední podniky, a to i v návaznosti na nařízení Evropského parlamentu a Rady (EU) 2018/1807, o rámci pro volný tok neosobních údajů v EU. Evropská komise tak měla prostor k tomu, aby se ve zprávě zaměřila na specifičtější otázky.
Hlavní zjištění zprávy o hodnocení a přezkumu GDPR
Mezi hlavní zjištění patří přetrvávání fragmentace GDPR při implementaci mezi členskými státy, což ztěžuje přeshraniční byznys a inovace. Ke zlepšení této situace bylo členským státům doporučováno alokovat dostatečné zdroje pro dozorové úřady, u nás ÚOOÚ. Podle čl. 52 odst. 4 GDPR zajistí členský stát, aby byl každý dozorový úřad vybaven lidskými, technickými a finančními zdroji, prostory a infrastrukturou, které bude potřebovat pro účinné plnění svých úkolů a výkon svých pravomocí, včetně těch, jež je třeba plnit v rámci vzájemné pomoci, spolupráce a účasti v EDPB. Reálně jsou však identifikovány propastné rozdíly mezi zázemím poskytnutým jednotlivým dozorovým úřadům, což znemožňuje jejich činnost za stejných podmínek. Zde Evropská komise nepříliš překvapivě zjistila, že v rozmezí let 2016–2019 sice došlo k nárůstu rozpočtů i personálního obsazení, ovšem situace mezi členskými státy se výrazně liší (ČR nebyla výslovně zmíněna). Zároveň se Evropská komise vyjádřila, že využije všechny nástroje, které má k dispozici, včetně řízení pro porušení povinnosti, aby zajistila kompatibilitu s GDPR.
Mohlo by vás zajímat: 3Q 2020: AIG vykazuje zlepšení v neživotním pojištění. AXA růst výnosů o 3 %
Dále se Evropská komise zavázala k monitorování aplikace GDPR v kontextu nových technologií. Insurance Europe nastínila nutnost vyhodnocení GDPR v kontextu technologických inovací a vymezení potenciálně kritických ustanovení. Jedná se např. o GDPR princip minimalizace dat, přičemž požadavky na efektivní fungování umělé inteligence jsou opačné – k vývoji algoritmu je potřeba velkého množství dat. To má také význam u prevence podjatosti či diskriminace. Expertní skupina Evropské komise (ROFIEG) navrhuje vydat k regulatorním překážkám ve finančních inovacích speciální pokyny pro aplikaci GDPR ve vztahu k novým technologiím ve finančních službách. Dalším příkladem je GDPR úprava automatizovaného rozhodování, jeho vysvětlení a právo na lidský zásah, které může narážet na ochranu duševního vlastnictví, obchodního tajemství či zveřejnění zdrojového kódu. EDPB k této problematice schválil pokyny WP29. GDPR v čl. 22 odst. 1 v obecné rovině zakazuje použití automatizovaného rozhodování, včetně profilování s právními účinky nebo účinky s podobně významným dopadem. Upravuje ale i výjimky z tohoto pravidla. Dle čl. 22 odst. 2 písm. a) je možné ho aplikovat v případě nezbytnosti pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů.
Zatěžující a úzký výklad nezbytnosti ze strany EDPB však vytváří bariéry pro praktické využití v pojišťovnictví. Pokyny vymezují, že „správce musí být schopen prokázat, že tento druh zpracování je nezbytný, a musí zvážit, zda by nebylo možné použít metodu, která méně zasahuje do soukromí. Existují-li účinné a méně rušivé prostředky k dosažení stejného cíle, pak nejde o ‚nezbytnost‘“. To v praxi znamená, že každé toto použití musí být individuálně zdůvodňováno a tím přináší neúměrnou zátěž pro pojistitele. Tento výklad vytváří právní nejistotu v pojišťovnickém sektoru, protože limituje používání automatizovaných procesů. To brání dalšímu rozvoji inovativních technologií, neboť inovativní produkty se zakládají právě na automatizaci, což může dopadnout nejen na samotné pojistitele, ale především na spotřebitele (např. u nabídky pojištění vozidel prostřednictvím mobilní aplikace, kdy zájemce o pojištění zašle fotografii vozidla a uvede požadované informace, na základě čehož je mu zaslána nabídka pojištění s automatizovaně vypočtenou výší pojistného). V případě akceptace nabude smlouva platnosti zaplacením pojistného. Úzký výklad „nezbytnosti“ je zde překážkou poskytování služby v reálném čase, kdy pro uzavření smlouvy není možno tuto „nezbytnost“ prokázat. Podobně může být argumentováno u nabídek cestovního pojištění nebo při vyřizování pohledávek. Z tohoto důvodu bylo Evropské komisi doporučeno revidovat zmíněné pokyny ve smyslu výmazu ustanovení o „nezbytnosti“.
Mohlo by vás zajímat: AML: Zneužití identity klientů finančních institucí
Dále také u výkladu souhlasu dle čl. 22 odst. 2 písm. c) GDPR pokyny uvádějí, že správci opírající se o souhlas jakožto právní základ profilování mají prokázat, že subjekt osobních údajů přesně porozumí obsahu tohoto souhlasu. Požadavek na přesné porozumění obsahu souhlasu je zde disproporční a prakticky nerealizovatelný, a to i v kontextu podmínek informovanosti subjektu údajů dle čl. 13–15 GDPR. Relevantní je taktéž výkon práva být zapomenut a práva na výmaz či portability ve vztahu k permanentní povaze blockchainu.
Oblast technologických inovací
V oblasti technologických inovací Evropská komise uznává potřebu konkretizace případných regulatorních překážek, kdy Evropská komise souhlasí s důležitostí těchto výzev a podporuje konzistentní aplikaci GDPR rámce na tyto technologie. Vyjádřila též potřebu vyjasnění některých souvislostí, na které pojišťovnický sektor upozornil, např. zmíněného GDPR a blockchainu. EDPB má podporu ve vydávání pokynů k technologickému vývoji umělé inteligence, a to mj. v návaznosti na Bílou knihu k umělé inteligenci i Zprávu k bezpečnosti a odpovědnosti umělé inteligence, IoT a robotiky a na další technologie, jako blockchain či IoT, čemuž se věnuje také aktuální Strategie pro data, a to z hlediska doporučené standardizace, big dat či face recognition, které vyžadují kontinuální monitorování. Insurance Europe v tomto kontextu doporučila revizi existujících pokynů EDPB. Jak zmiňujeme výše, zdá se, že EDPB se s revizí ztotožňuje a do budoucna můžeme očekávat jeho aktivitu i v této oblasti. Ve zprávě se dále uvádí, že bude podporována standardizace i certifikace především v oblasti kybernetické bezpečnosti ve spolupráci s národními orgány dohledu, EDPB a ENISA.
Předávání osobních údajů do třetích zemí a mezinárodním organizacím
V souvislosti s hlavním zadáním zprávy, tj. s oblastí předávání osobních údajů do třetích zemí a mezinárodním organizacím a s mechanismem spolupráce jednotnosti, Insurance Europe uvedla, že v GDPR obsažené nástroje (předání založené na rozhodnutí Evropské komise o odpovídající ochraně v zemích hodnocených jako bezpečné, standardní smluvní doložky, závazná podniková pravidla, kodexy chování, certifikační mechanismy) nejsou plně dostačující. V rozhodnutí Evropské komise se uvádí nízká flexibilita, která neodráží dynamický rozvoj globálních ekonomických vztahů. Závazná podniková pravidla se zase týkají předávání údajů v rámci skupiny. Kodexy chování a certifikační mechanismy jsou kapitolou samou pro sebe.
Ve věci certifikace byla doporučena spolupráce s ISO. Nejlépe bylo vyhodnoceno použití standardních smluvních doložek, u kterých ale může být nedostatečně podchycena aktuálnost v oblasti managementu, identifikace pověřence pro ochranu osobních údajů, vyřizování žádosti subjektů údajů v oblasti výkonu jejich práv a v neposlední řadě postavení subdodavatele mimo EU. V návaznosti na tuto problematiku se Evropská komise zavázala k vytvoření souboru nástrojů pro předávání osobních údajů, kdy Evropská komise ukončí probíhající hodnocení existujících rozhodnutí o odpovídající ochraně v zemích hodnocených jako bezpečné a zahájí další dialogy s dotčenými třetími stranami. U rozhodnutí o odpovídající ochraně v zemích hodnocených jako bezpečné byla zakotvena jejich důležitost i ve vztahu k budoucí spolupráci EU a Spojeného království, což bude vyhodnoceno v rámci GDPR i směrnice Evropského parlamentu a Rady (EU) 2016/680, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů.
Mohlo by vás zajímat: V pojišťovnictví začaly klesat mzdy!
Dále Evropská komise poskytne modernizované standardní smluvní doložky pro mezinárodní předávání osobních údajů i pro vztah správce–zpracovatel, čehož se dovolávala také Insurance Europe. Tento závazek potvrdil i komisař pro spravedlnost Didier Reynders, který uvedl, že Evropská komise bude spolupracovat s národními dohledovými orgány[3].
To je relevantní také v kontextu nedávno publikovaného rozsudku Soudního dvora EU ve věci Schrems II[4]. V tomto očekávaném rozsudku, ze dne 16. července 2020, došlo ke zneplatnění prováděcího rozhodnutí Evropské komise 2016/1250, tzv. „EU-US Privacy Shieldu“, z důvodu nedostatečné míry ochrany osobních údajů v USA. To bude mít dopad na přenos osobních údajů, který vycházel z tohoto mechanismu. Podle Deloitte[5] bylo ke dni vydání rozhodnutí prostřednictvím EU-US Privacy Shieldu registrováno 5378 amerických společností, které tímto rozhodnutím ztrácejí status bezpečného zpracovatele osobních údajů ve třetí zemi. Mezi těmito společnostmi jsou i celosvětoví poskytovatelé služeb, jako Amazon.com (AWS), Google LLC (Google Cloud) či Microsoft (OneDrive). Rozsudek se tedy týká i společností (cloudových služeb, mailingových služeb, poskytovatelů serverů a hostingů apod.), které používají technologické prostředky a produkty amerických společností, u nichž dochází k transferu osobních údajů těmto společnostem. Následkem bude opětovné vyjednávání mechanismu přenosu osobních údajů mezi EU a USA.
Mohlo by vás zajímat: Většina Čechů o kyberhrozbách ví. Nedokáže je však odhalit!
Obsahem rozsudku je dále stanovisko, že standardní smluvní doložky pro přenos osobních údajů do třetích zemí zůstávají v platnosti, avšak národní dohledové orgány mohou jejich platnost pozastavit nebo zrušit, vyhodnotí-li, že jejich dodržování není v souladu s evropským standardem v dané třetí zemi možné. Nedostatkem je, že Evropská komise ve své zprávě neobsáhla kodexy chování, závazná podniková pravidla ani certifikační mechanismy. U těchto témat se pouze zmiňuje, že EDPB by měl navýšit intenzitu prací a vyjasnit pravidla týkající se předávání osobních údajů do třetích zemí nebo mezinárodním organizacím a teritoriální dopad čl. 3 kapitoly 5 GDPR. Insurance Europe doporučila základní záběr zprávy rozšířit, což Evropská komise částečně reflektovala.
Dle Insurance Europe zbývá posoudit roli EDPB a dopad jeho pokynů na jednotlivé sektory, s důrazem na možné překročení jeho pravomocí v případě rozšíření požadavků level 1 textu nebo zúžení jeho výkladu, což není v souladu s očekávanou konzistencí. Toto tvrzení bylo podloženo obsáhlým výčtem příkladů a doporučenou revizí pokynů. K uvedeným příkladům patří kromě výše vymezeného přístupu k automatizovanému rozhodování a profilování také rozpor mezi požadavky obsaženými v pokynech k posouzení vlivu na ochranu osobních údajů (DPIA) ve verzi revidované v roce 2017 a v GDPR. Pokyny rozšiřují povinné provedení DPIA i na situace, kdy není jednoznačné, že DPIA je vyžadována, což způsobuje právní nejistotu a zvyšuje náklady na DPIA. Tyto pokyny také uvádějí lokalizační a finanční údaje zařazené mezi citlivé údaje nebo údaje vysoce osobní povahy, což ale není v souladu s čl. 9 a 10 GDPR, obsahujícími taxativní výčet.
Mohlo by vás zajímat: Anketa Pojišťovna roku 2019–2020: Jubilejní ročník ovládla Allianz
Dalším příkladem je kontradikce pokynů k ohlašování případů porušení zabezpečení osobních údajů revidovaných v roce 2018. Pokyny uvádějí, že při pochybnostech o porušení a míře rizika by měl správce provést ohlášení, avšak doslovný výklad pokynů vede správce i k ohlašování případů nad rámec povinností dle čl. 33 a 34 GDPR. Dochází tak k dalšímu zatížení dozorového orgánu a administrativnímu zatížení ohlašovatele. K povinnosti dokumentovat porušení zabezpečení osobních údajů pak pokyny vymezují, že kromě požadavků dle čl. 33 odst. 5 GDPR by měl správce zdokumentovat i zdůvodnění přijatých kroků. Povinnost zahrnout zdůvodnění je nad rámec požadavku dle čl. 33 odst. 5 GDPR.
Kodexy chování
Obsáhlé připomínky byly sděleny i k pokynům přijatým v roce 2019 a tykajícím se kodexů chování a subjektů pro monitorování. Ty jsou z pohledu ČAP relevantní mj. z hlediska možnosti změny formy Samoregulačních standardů ČAP k uplatňování obecného nařízení o ochraně osobních údajů (GDPR) v pojišťovnictví. Pokyny obsahují těžce dosažitelná a finančně náročná akreditační kritéria. Jedná se např. o demonstraci nezávislosti oddělením zaměstnanců, managementu, rozpočtu i odpovědnosti, prevenci střetu zájmů oddělením zaměstnanců monitorovacího orgánu či o odbornost za situace, kdy neexistují předchozí zkušenosti s orgánem podobného charakteru. Kodexy chování mají být samoregulačním nástrojem, a proto by pokyny měly zohlednit proveditelnost řešení pro monitorování souladu s GDPR.
To uvádí, že tyto nástroje mají být přínosné a úsporné. Kodexy chování mají sloužit k lepšímu dosažení compliance s GDPR. Pokyny by měly být upraveny tak, aby excesivní kritéria nebránila v přijetí kodexů chování. Z hlediska procesu tvorby kodexů byla kritizována nemožnost doplnit dokument během jeho schvalování. Pokyny uvádějí, že okamžikem přijetí kodexu chování do schvalovacího procesu může dojít k jeho odmítnutí ze strany dohledového orgánu. To v případě úprav či doplnění kodexu chování povede k opětovnému koloběhu podání a schvalovacího procesu. Samotné schvalování by mělo být efektivnější a vyhnout se nepřiměřeným administrativním a jiným nákladům. Pokyny by měly obsahovat možnost konzultace s dohledovým orgánem během schvalovací fáze.
Mohlo by vás zajímat: Kontrola klientů finančních institucí v boji proti praní špinavých peněz
Navzdory konkrétním příkladům a návrhům na zlepšení, které Insurance Europe uvedla, Evropská komise toto téma ve zprávě naneštěstí neobsáhla. V navazujícím pracovním dokumentu pouze uvádí, že požadavky k vyjasnění aplikace GDPR a poskytnutí právní jistoty nemohou jít na úkor vymezení dalších povinností. Dále Evropská komise vyzývá EDPB k podpoře harmonizované aplikace GDPR prostřednictvím detailního výkladu klíčových GDPR institutů ve formě jasných, praktických, lehce srozumitelných pokynů, k nimž jednotlivé dohledové orgány přistupují jednotně. V této souvislosti se doporučuje zaobírat se i posouzením prohloubené fragmentace výkladu z důvodu činnosti jednotlivých dohledových orgánů. Zde byl uveden příklad rozdílného přístupu k souhlasu s používáním cookies ve Španělsku ve srovnání s doporučenou praxí ve Francii či Spojeném království nebo též právního základu oprávněného zájmu. Unifikovaný přístup je základním kritériem efektivní aplikace nařízení.
Evropská komise tento stav sice uznala, ale detailněji se mu nevěnovala. To je vzhledem k důležitosti jednotného postupu pro harmonizovaný výklad škoda. Na druhé straně zpráva vymezuje, že fragmentace vede k obtížím pro přeshraniční byznys a inovace, a to především pro nový technologický vývoj a řešení kybernetické bezpečnosti. Jako řešení vidí Evropská komise nepřekračování level 1 textu ze strany členských států a nezavádění nadbytečných požadavků. U fragmentace v oblasti zvláštních kategorií osobních údajů (např. údajů o zdravotním stavu), které jsou pro řádný výkon pojišťovnictví nezbytné, Evropská komise v současnosti realizuje mapovací studii napříč EU[6].
Evropský pojišťovnický sektor také opětovně komunikoval potřebu sjednocení právních základů GDPR a návrhu nařízení ePrivacy, kterému se však Evropská komise ve zprávě nevěnovala. Zmínku nalézáme v pracovním dokumentu, kde je uvedena pouze vágní poznámka o důležitosti konzistence v této oblasti.
Od nového hodnocení právního rámce GDPR nás dělí ještě čtyři roky. Nelze předpovědět, zda výsledky dalšího kola povedou k zásadnějším změnám. Do té doby nás vzhledem k výše uvedenému čeká vydávání dalších interpretačních pokynů EDPB, a to se širším záběrem zahrnujícím nové technologie a snad i hlubší spolupráci evropských orgánů. Do 19. října 2020 probíhaly veřejné konzultace k pokynům upravujícím sociální sítě a hlavně k pokynům upravujícím postavení správce a zpracovatele. Dále se očekává aktivita Evropské komise v oblasti standardních smluvních doložek.
Pojistný obzor je k přečtení ZDE
Mgr. Jana Andraščiková, LL.M.
Právník, evropská agenda
Česká asociace pojišťoven
[1] K dispozici zde: https://edpb.europa.eu/our-work-tools/our-documents/ publication-type/annual-report_en.
[2] K dispozici zde: https://ec.europa.eu/info/sites/info/files/1_en_act_part1_v6_1.pdf.
[3] Zdroj: https://www.aa.com.tr/en/europe/eu-to-revise-data-protection-rules-/1912731.
[4] K dispozici zde: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020- 07/cp200091en.pdf.
[5] Zdroj: https://www.dreport.cz/blog/prelomove-rozhodnuti-soudniho-dvora-eu-ohledne-ochrany-osobnich-udaju-v-usa/.
[6] Studie Assesment of the Members States‘ rules on health data in the light of GDPR.
Komentáře
Přidat komentář