Samoregulační standardy ČAP k uplatňování GDPR v pojišťovnictví

20.8.2019 Spektrum

Jelikož zpracovávání údajů osobní povahy za splnění podmínek ochrany spotřebitelů vede k úspěšnému výkonu pojišťovací činnosti, pracovní skupina České asociace pojišťoven (ČAP) pro GDPR a členské pojišťovny ČAP se rozhodly zdůraznit význam připisovaný ochraně soukromí a bezpečnosti osobních údajů přijetím dokumentu soft law povahy. V článku, který vyšel v odborném časopise Pojistný obzor, se dozvíte více.

Pojistný obzor je k přečtení ZDE

Po intenzivních diskuzích pracovní skupiny GDPR s externími poradci a se zástupci Úřadu pro ochranu osobních údajů (ÚOOÚ), za zohlednění zahraničních zkušeností a pokynů WP29 (a následně EDPB[1]), došlo k finalizaci dokumentu Samoregulační standardy ČAP k uplatňování obecného nařízení o ochraně osobních údajů (GDPR) v pojišťovnictví[2] (Standardy). Standardy představují obecně pojatou minimální míru ochrany subjektů údajů, kdy není bráněno jednotlivým členům zvolit si v konkrétních případech vyšší míru ochrany zpracování osobních údajů na základě svých specifických potřeb a postupů. Pojišťovny, které se k jejich dodržování přihlásí, demonstrují nejen svoji kompatibilitu s GDPR, ale zejména svůj respekt k ochraně osobních údajů.

Mohlo by vás zajímat: Sloupek Kateřiny Lhotské: Geniální myšlenka ministryně Schillerové!

Vývoj dokumentu

Pracovní skupina GDPR byla založena již na jaře 2017 s cílem připravit pojistný trh na implementaci GDPR a uchopit mezery (tzv. „gapy“), jež existovaly mezi dosavadní praxí a podmínkami zavedenými GDPR. V průběhu spolupráce došlo v rámci pracovní skupiny k rozvoji myšlenky vypracování kodexu chování dle čl. 40 a násl. GDPR. V průběhu vydávání výkladových pokynů WP29 i EDPB a nedostatečně jasně vymezených kritérií pro tvorbu kodexu se členské pojišťovny domluvily na sepsání dokumentu samoregulační povahy, tedy nikoli kodexu chování dle nařízení.

Na přípravě Standardů se zásadní měrou podíleli zástupci členských pojišťoven, jejichž praktické zkušenosti vedly ve spolupráci s ČAP a s advokátní kanceláří k vymezení minimálních základních pravidel pro ochranu osobních údajů společných celému pojišťovnickému sektoru. V průběhu tvorby dokumentu pracovní skupina reagovala na vyvíjející se národní i evropské výkladové požadavky. Textace byly následně konzultovány s ÚOOÚ, který ocenil přístup pojišťovnického sektoru k této problematice.

Dokument nabyl účinnosti přijetím ze strany prezidia ČAP dne 4. dubna 2019. Standardy jsou dobrovolným závazkem, ke kterému mohou jednotlivé pojišťovny samy přistoupit. Proces přistoupení je charakterizován v samotném textu Standardů a probíhá tak, že pojišťovna zašle ČAP Oznámení o přistoupení. Tím prohlásí, že Standardy dodržuje a že do budoucna jejich dodržování také zajistí. Proces se povedlo ukončit k symbolickému datu – k 25. květnu 2019, tedy rok po účinnosti GDPR. ČAP na svých webových stránkách zveřejní a příp. aktualizuje evidenci ke Standardům přistoupivších pojišťoven.

Mohlo by vás zajímat: Jaroslav Daňhel: Autoři návrhu měnícího PTR by nesložili zkoušky na VŠE!

Obsah dokumentu

Standardy se skládají z preambule, vymezující výchozí zásady, hodnoty a cíle přijetí Standardů, dále seznamu definic a zkratek a dvou hlavních kapitol, jež stanovují požadavky na zpracování osobních údajů v pojišťovnictví a správu a monitorování Standardů. Dokument doplňují dvě přílohy: a) výše zmíněné Oznámení členské pojišťovny ČAP o přistoupení, zakotvující úmysl pojišťovny připojit se k dodržování Standardů, a b) Šablona pro ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 GDPR[3]. Obsah Standardů je tedy strukturován obdobně jako samotné nařízení, od rozpracování hlavních principů až po práva subjektů, technická a organizační opatření k ochraně osobních údajů a postupy při porušení zabezpečení osobních údajů.

Standardy upravují konkrétní postupy pojišťoven v oblasti zpracování osobních údajů klientů a pojišťovacích zprostředkovatelů při výkonu pojišťovací činnosti a souvisejících činností na území ČR. Netýkají se zpracování osobních údajů zaměstnanců ani jiných subjektů údajů. Standardům je nutné rozumět tak, že se jedná o doplněk evropské a národní legislativy pro ochranu osobních údajů a dokumentů EDPB. Jejich účelem není nahradit je; mají sloužit jako obecné interpretační vodítko při aplikaci jednotlivých zásad ochrany osobních údajů a jednotlivých povinností upravených GDPR v prostředí pojišťovnictví. V souladu s požadavky ÚOOÚ a EDPB Standardy obsahují konkrétní příklady praktické implementace GDPR. Tyto příklady slouží k vysvětlení postupů pojišťoven a lépe znázorňují souvislosti, které nemusí být vzhledem k časté složitosti prováděných procesů na první pohled evidentní. Záměrem dokumentu je kromě proklamace důležitosti vysoké úrovně ochrany osobních údajů právě i vymezení specifik pojišťovnického sektoru formou srozumitelnou pro uživatele.

Mohlo by vás zajímat: ČAP představuje: První kalkulačka nákladové složky IŽP

Povaha dokumentu

Na rozdíl od interních směrnic upravujících organizační a technické podmínky služeb poskytovaných ČAP svým členům, které jsou pro ně závazné na základě jejich schválení prezidiem ČAP, upravuje se závaznost Standardů odlišně. Dokumentem se vyjadřuje dobrovolný závazek pojišťoven k zajištění minimální úrovně zpracování a ochrany osobních údajů v pojišťovnictví se zaměřením na klienty a pojišťovací zprostředkovatele. Přistoupení ke Standardům je tedy svobodné, avšak nemá jenom deklaratorní povahu. Přistoupivší pojišťovna se zavazuje zajistit dodržování pravidel stanovených Standardy i do budoucna, provádět vyhodnocení souladu se Standardy na roční bázi a tato vyhodnocení předkládat ČAP. Pokud by docházelo k opakovanému porušování Standardů, může být pojišťovna z evidence pojišťoven dodržujících Standardy vyškrtnuta.

Role ČAP

Role ČAP spočívá ve vyhodnocování pojišťovnou zaslaných informací o dodržování Standardů a o stížnostech subjektů údajů. Sankcí za nedodržování Standardů ze strany ČAP je výše zmíněné vyškrtnutí z evidence. Tento postup je považován za krajní řešení. ČAP tedy není oprávněna k vydávání sankčních opatření v pravém smyslu slova, za zvážení ale samozřejmě stojí možné následné reputační riziko. Úlohou ČAP není ani vyřizování stížností klientů nebo jiných subjektů údajů na postup samotných pojišťoven při zpracování jejich osobních údajů. K tomu účelu slouží interní mechanismy jednotlivých členských pojišťoven.

Mohlo by vás zajímat: Výroční zpráva IE: Jaké jsou vztahy pojistitelů s G20?

Krátkodobý horizont

Vytvořením textace Standardů, navazujícím schválením a přistoupením členů ovšem úsilí nekončí. Pracovní skupina předpokládá, že dokument se bude v následujícím období vyvíjet v souladu s praxí i výkladem. Jelikož jsou Standardy považovány za živý dokument reagující na faktickou aplikaci GDPR, je nezbytné, aby se věcné i výkladového hledisko v jeho obsahu odrazilo. Text Standardů byl vytvářen v době, kdy docházelo k implementaci GDPR; objevovaly se různé praktické otázky a k tomu se rozvíjel odpovídající odborný výklad, v některých případech podpořen konzultací s ÚOOÚ. Lze očekávat, že v návaznosti na postupnou výstavbu výkladové a judikatorní základny bude docházet k úpravám a doplněním textu Standardů. Prozatím se má za to, že tak bude ze strany ČAP činěno jednou ročně.

Střednědobý horizont

Samotné GDPR předvídá samoregulaci pro jednotlivé sektory v podobě kodexů chování dle čl. 40, a to s ohledem na jejich konkrétní povahu a specifikace. Vytvoření kodexu chování je formalizovaný postup obsahující i schválení ze strany ÚOOÚ. Standardy jsou považovány za vhodný základ pro pozdější transformaci v kodex chování, a to jak z obsahového, tak formálního hlediska. V okamžiku, kdy bude připravena prováděcí právní úprava pro tvorbu kodexů chování a nutná infrastruktura, bude vhodné, aby i pojišťovnický sektor vytvořil kodex chování ve smyslu GDPR. Časový rámec prozatím nelze odhadnout, jelikož navazuje na vývoj pokynů EDPB a následně i ÚOOÚ.

V dubnu 2019 byla ukončena veřejná konzultace EDPB k návrhu Pokynů ke kodexům chování a monitorovacím orgánům[4], které se ČAP prostřednictvím Insurance Europe zúčastnila. Po přijetí finální podoby Pokynů realizuje ČAP komparaci požadavků EDPB ke kodexům chování se zněním Standardů. U tohoto hodnocení bude důležité především určitější vymezení podmínek zřízení a fungování monitorovacího orgánu akreditovaného dozorovým úřadem, který je obecně upraven čl. 41 nařízení.

Mohlo by vás zajímat: GDV: Imperativ dneška. Mladší musí spořit dvakrát více než starší

Během veřejné konzultace bylo kromě jiného upozorňováno na nesoulad level 1 textu nařízení, konkrétně čl. 41 odst. 1 a čl. 40 odst. 2, charakterizujících vytvoření monitorovacího orgánu jako možnost, a textu návrhu Pokynů diametrálně odlišně pojímajícího ustanovení monitorovacího orgánu jako povinnost. V této fázi lze pouze vyjádřit víru v proporcionální stanovení podmínek respektujících samotný text GDPR ze strany EDPB. V opačném případě by se jednalo o podstatné navýšení organizační, administrativní a finanční zátěže zainteresovaných subjektů, což může mít odrazující dopady na subjekty orientované na tvorbu kodexu chování.

Z těchto důvodů nebyla zatím vymezena přesná časová osa pro překlopení Standardů do podoby kodexu chování v souladu s požadavky čl. 40 GDPR a Pokyny EDPB. Jelikož je soulad návrhu kodexu s nařízením posuzován ze strany dozorového úřadu příslušného dle čl. 55 a násl. GDPR, lze do budoucna předvídat pokračování komunikace s ÚOOÚ týkající se intenzivní práce na kodexu chování.

Závěr

Členské pojišťovny ČAP jsou si vědomy toho, že vypracování dokumentu, primárně ve formě Standardů a následně kodexu chování, stanovujícího unifikovaný přístup vysoké míry ochrany osobních údajů přináší široké spektrum výhod pro spotřebitele. Ten má kromě právní jistoty také k dispozici relevantní informace o zpracovávání osobních údajů, a to přehlednou, dle možností srozumitelnou formou. To je ve Standardech znát především doplněním praktických příkladů, které společně s podmínkami aplikace GDPR v kontextu výkonu pojišťovací činnosti povedou k hlubšímu pochopení a aplikaci legislativních požadavků v rámci ochrany osobních údajů, a to i ze strany samotných pojišťoven. Pozitivní dopad na porozumění spotřebiteli byl pozorován i v rámci zahraničních asociací, které v minulosti k samoregulaci v této oblasti přikročily.

Mohlo by vás zajímat: Prezident Insurance Europe: Pojišťovnictví trpí pod tíhou zastaralých pravidel

V rámci tak důkladně regulovaného sektoru, jako je pojišťovnictví, představuje GDPR pouze zlomek compliance legislativních požadavků. V souladu se spotřebitelsky zaměřeným smyslem nařízení se i členské pojišťovny rozhodly vyjít v této zásadní oblasti ochrany spotřebitelů co nejvíce vstříc jejím požadavkům. Dobrovolné přistoupení ke Standardům je tak vyjádřením závazku kompatibility s jejich obsahem a zároveň dobré vůle zúčastněných pojišťoven, jež veřejně proklamují respekt k ochraně osobnosti, důvěrnosti a bezpečnosti osobních údajů, plné míře informovanosti klienta, zvýšení jeho ochrany a rozvoji finančního trhu.

Pojistný obzor je k přečtení ZDE

JUDr. Ing. Jana Ammerlaan
zástupce výkonného ředitele
Česká kancelář pojistitelů

Mgr. Jana Andraščiková, LL.M.
právník, evropská agenda
Česká asociace pojišťoven

[1] Vstupem GDPR v účinnost došlo k transformaci WP29 na Evropský sbor pro ochranu osobních údajů (EDPB).

[2] K dispozici zde: http://www.cap.cz/o-nas/samoregulacni-standardy-cap

[3] Příp. k dispozici i zde: https://www.insuranceeurope.eu/template-data-breachnotifications

[4] Pracovní verze k dispozici zde: https://edpb.europa.eu/our-work-tools/publicconsultations/2019/guidelines-12019-codes-conduct-and-monitoring-bodiesunder_en