Insurance Europe a GDPR: Co způsobuje pojistitelům největší problémy?

Význam GDPR

Nařízení GDPR nabylo účinnosti dne 25. května 2018 a podle IE se jedná pravděpodobně o nejkomplexnějším režimem ochrany osobních údajů ve světě. Mezi jeho základní cíle patří:

• poskytnout jednotlivcům více kontroly nad jejich osobními údaji, a to posílením jejich práv,
• ukončit existenci různých zákonů k ochraně osobních údajů napříč EU a zavést jednotný regulatorní rámec, jež bude aplikován ve všech členských státech,
• aktualizovat pravidla pro ochranu soukromí, resp. pro ochranu osobních údajů, ve světle technologického pokroku a zajistit jejich relevanci a efektivnost v ekonomice, jež je v rostoucí míře založena na datech.

Mohlo by vás zajímat: Glosa Jaroslava Daňhela: Jak se změní pojišťovnictví v době koronavirové?

Pokud jde o pojištění, tak IE zdůrazňuje, že bez osobních údajů by pojistitelé nebyli schopni vytvářet pojistné produkty a stanovovat pojistné, vyřizovat pojistné události nebo odhalovat pojistné podvody. Zpracování osobních údajů se nachází opravdu v jádru podnikání pojistitelů a ti jsou si plně vědomi hodnoty dat a významu jejich ochrany.

IE je proto silným podporovatelem cílů nařízení GDPR, které má zaručit evropské základní právo na ochranu soukromí a osobních údajů, a to konzistentně v celé EU. IE chce, aby nařízení poskytovalo klientům pojišťoven nejlepší možnou ochranu osobních údajů a vedlo podnikatele k zodpovědné hospodářské soutěži v digitálním světě.

Umožnit rozvoj inovací

IE je názoru, že existují jisté oblasti GDPR, kterým musí být věnována pozornost. První z nich je dopad GDPR na inovace v pojišťovnictví, kde byly neúmyslně vytvořeny jisté překážky. Použití nových technologií, jako jsou technologie blockchainu, umělá inteligence, velká data a internet věcí, nabízí pojistitelům významné příležitosti k rozšíření a vylepšení pojistných produktů, které nabízejí spotřebitelům.

Nicméně tyto inovace by mohly být narušeny či znemožněny příslušnými ustanoveními v GDPR nebo pokynech Evropského sboru pro ochranu osobních údajů (EDPB), a to z toho důvodu, že přes veškeré úsilí plně nerespektují princip technologické neutrality. Některá pravidla se skutečně zdají být v rozporu s rychle se vyvíjející technologií a mohou zpomalit vývoj digitálních inovací u pojistitelů.

Například technologie blockchainu mají potenciál ke snížení nákladů a zvýšení transparentnosti a stejně tak k posílení důvěry. Ale blockchainová technologie je konstruována tak, aby uchovávala nezměnitelný a permanentní záznam všech transakcí. IE klade v této souvislosti otázku, jak to může být „usmířeno“ či sladěno s GDPR, a to konkrétně s právem na opravu (right to rectification – Čl. 16) a s právem na výmaz [„právem být zapomenut“ (right to erasure/„right to be forgotten“ – Čl. 17)].

Mohlo by vás zajímat: Nejlepší vakcína proti Covid-19 je zbavit se strachu. Epidemie u nás nebyla

Podobně příslušné pokyny mohou pojistitele odradit od zavádění automatizovaných procesů kvůli úzkému výkladu ohledně „nutnosti“ provádění výhradně automatizovaných procesů. To může bránit vývoji inovativních pojistných produktů jako je pojištění v reálném čase, které je nabízeno přes aplikace mobilních telefonů, i když tyto aplikace pojistitelům umožňují poskytovat spotřebitelům lepší, rychlejší a lacinější služby.  

Podle názoru IE by měla Evropská komise úzce spolupracovat s EDPB, aby byla zajištěna nezbytná právní jistota, pokud jde o připuštění vývoje pojistných řešení založených na nových technologiích. Kromě toho právní základ pro zpracování osobních údajů by měl být srovnán mezi GDPR a návrhem nařízení Komise o e-soukromí. Obzvláště zmíněný návrh neposkytuje nyní pojistitelům adekvátní právní základ pro nabízení produktů z oblasti telematiky.

Mohlo by vás zajímat: Pojištění odpovědnosti ve světle nové judikatury

Přezkoumat roli EDPB

Podle IE je třeba se blíže podívat na roli EDPB a dopad jeho pokynů na jednotlivé obory. Pokyny mohou být užitečným implementačním nástrojem a nástrojem pro compliance a mohou napomoci vyjasnit určitá ustanovení a tak naplnit požadavky GDPR a rovněž podpořit konzistentní výklad napříč EU. Existují ale oblasti, kde se výklad EDPR dostal nad rámec textu nařízení tím, že byly vytvořeny dodatečné požadavky nebo byl zúžen výklad ustanovení GDPR. Je třeba mít na paměti, že Komise je „strážcem“ nařízení a že mandát či pravomoci EDPB se řídí dle textu GDPR, který byl výsledkem politické dohody na úrovni EU.     

Zvážit jednotnost

Třetí problém prezentovaný IE se týká jednotnosti (consistency – Čl. 63 GDPR). Podle názoru IE je v zájmu konzistentní (jednotné) a celoevropské aplikace GDPR nezbytné vyhodnotit, zda určité národní pokyny k GDPR vytvořily fragmentaci v její aplikaci. Nesoulad jednoznačně vznikl mezi národními pokyny, pokud jde například o souhlas s využitím cookies a tracerů, posouzení vlivu na ochranu osobních údajů a legitimní zájem. To vytváří právní nejistotu a ztěžuje to pojistitelům řízení jejich podnikání ve více členských státech a činí pro ně obtížným docílit souladu s pravidly pro ochranu osobních údajů. Komise musí proto usilovat o jednotný přístup k výkladu a aplikaci GDPR v celé EU.

Mohlo by vás zajímat: Automobilová výroba v Evropě letos poklesne o 30 %

Nástroje pro předávání osobních údajů do třetích zemí

Na závěr IE zdůrazňuje, že by ráda viděla akci ohledně mezinárodního transferu osobních údajů do nečlenských zemí. GDPR k tomu nyní poskytuje různé nástroje a řešení. Z nich jsou pro pojistitele nejpřijatelnější rozhodnutí Komise o odpovídající ochraně (Čl. 45 GDPR), protože poskytují nejvhodnější ochranná opatření (záruky) jak pro správce, tak pro subjekty osobních údajů. Aktuální seznam zemí pokrytých takovými rozhodnutími je ovšem velmi krátký a je tudíž nedostatečný pro tak globálně působící sektor jako je pojišťovnictví. K řešení tohoto problému je požadována rychlá akce, která by měla nařízení GDPR učinit vhodným pro pojišťovnictví.    

Mohlo by vás zajímat: 1Q 2020: MAPFRE a Crédit Agricole s nižším ziskem

Příliš brzy na změny GDPR

I když nařízení určitě obsahuje jisté problémy, bylo by nicméně předčasné a kontraproduktivní novelizovat samotný text GDPR právě teď. Pojišťovnictví, stejně jako mnoho jiných oborů, investovalo významné zdroje, aby bylo nařízení a jeho implikace pochopeny a aby byl nový režim řádně implementován. Tato podstatná časová a finanční investice by mohla být zmařena a mohly by vyvstat nové náklady, pokud by text byl změněn po relativně krátké době, tj. jen po několika letech. V případě, že se shledá, že nařízení GDPR nenaplnilo v některých oblastech své cíle, tak Komise by měla zvážit přípravu dalších nebo novelizovaných pokynů, a to společně s EDPB, bude-li to případné.