Insurance Europe (IE) zveřejnila prohlášení k uplatňování a fungování GDPR. Stalo se tak symbolicky po dvou letech od nabytí účinnosti této směrnice a před jejím přezkumem Evropskou komisí.

Pokud jde o pojištění, tak IE zdůrazňuje, že bez osobních údajů by pojistitelé nebyli schopni vytvářet pojistné produkty a stanovovat pojistné, vyřizovat pojistné události nebo odhalovat pojistné podvody. Zpracování osobních údajů se nachází opravdu v jádru podnikání pojistitelů a ti jsou si plně vědomi hodnoty dat a významu jejich ochrany.

IE je proto silným podporovatelem cílů nařízení GDPR, které má zaručit evropské základní právo na ochranu soukromí a osobních údajů, a to konzistentně v celé EU. IE chce, aby nařízení poskytovalo klientům pojišťoven nejlepší možnou ochranu osobních údajů a vedlo podnikatele k zodpovědné hospodářské soutěži v digitálním světě.

Umožnit rozvoj inovací

IE je názoru, že existují jisté oblasti GDPR, kterým musí být věnována pozornost. První z nich je dopad GDPR na inovace v pojišťovnictví, kde byly neúmyslně vytvořeny jisté překážky. Použití nových technologií, jako jsou technologie blockchainu, umělá inteligence, velká data a internet věcí, nabízí pojistitelům významné příležitosti k rozšíření a vylepšení pojistných produktů, které nabízejí spotřebitelům.

Nicméně tyto inovace by mohly být narušeny či znemožněny příslušnými ustanoveními v GDPR nebo pokynech Evropského sboru pro ochranu osobních údajů (EDPB), a to z toho důvodu, že přes veškeré úsilí plně nerespektují princip technologické neutrality. Některá pravidla se skutečně zdají být v rozporu s rychle se vyvíjející technologií a mohou zpomalit vývoj digitálních inovací u pojistitelů.

Například technologie blockchainu mají potenciál ke snížení nákladů a zvýšení transparentnosti a stejně tak k posílení důvěry. Ale blockchainová technologie je konstruována tak, aby uchovávala nezměnitelný a permanentní záznam všech transakcí. IE klade v této souvislosti otázku, jak to může být „usmířeno“ či sladěno s GDPR, a to konkrétně s právem na opravu (right to rectification – Čl. 16) a s právem na výmaz [„právem být zapomenut“ (right to erasure/„right to be forgotten“ – Čl. 17)].

Podobně příslušné pokyny mohou pojistitele odradit od zavádění automatizovaných procesů kvůli úzkému výkladu ohledně „nutnosti“ provádění výhradně automatizovaných procesů. To může bránit vývoji inovativních pojistných produktů jako je pojištění v reálném čase, které je nabízeno přes aplikace mobilních telefonů, i když tyto aplikace pojistitelům umožňují poskytovat spotřebitelům lepší, rychlejší a lacinější služby.

Podle názoru IE by měla Evropská komise úzce spolupracovat s EDPB, aby byla zajištěna nezbytná právní jistota, pokud jde o připuštění vývoje pojistných řešení založených na nových technologiích. Kromě toho právní základ pro zpracování osobních údajů by měl být srovnán mezi GDPR a návrhem nařízení Komise o e-soukromí. Obzvláště zmíněný návrh neposkytuje nyní pojistitelům adekvátní právní základ pro nabízení produktů z oblasti telematiky.

Přezkoumat roli EDPB

Podle IE je třeba se blíže podívat na roli EDPB a dopad jeho pokynů na jednotlivé obory. Pokyny mohou být užitečným implementačním nástrojem a nástrojem pro compliance a mohou napomoci vyjasnit určitá ustanovení a tak naplnit požadavky GDPR a rovněž podpořit konzistentní výklad napříč EU. Existují ale oblasti, kde se výklad EDPR dostal nad rámec textu nařízení tím, že byly vytvořeny dodatečné požadavky nebo byl zúžen výklad ustanovení GDPR. Je třeba mít na paměti, že Komise je „strážcem“ nařízení a že mandát či pravomoci EDPB se řídí dle textu GDPR, který byl výsledkem politické dohody na úrovni EU.

Zvážit jednotnost

Třetí problém prezentovaný IE se týká jednotnosti (consistency – Čl. 63 GDPR). Podle názoru IE je v zájmu konzistentní (jednotné) a celoevropské aplikace GDPR nezbytné vyhodnotit, zda určité národní pokyny k GDPR vytvořily fragmentaci v její aplikaci. Nesoulad jednoznačně vznikl mezi národními pokyny, pokud jde například o souhlas s využitím cookies a tracerů, posouzení vlivu na ochranu osobních údajů a legitimní zájem. To vytváří právní nejistotu a ztěžuje to pojistitelům řízení jejich podnikání ve více členských státech a činí pro ně obtížným docílit souladu s pravidly pro ochranu osobních údajů. Komise musí proto usilovat o jednotný přístup k výkladu a aplikaci GDPR v celé EU.

 

Nástroje pro předávání osobních údajů do třetích zemí

Na závěr IE zdůrazňuje, že by ráda viděla akci ohledně mezinárodního transferu osobních údajů do nečlenských zemí. GDPR k tomu nyní poskytuje různé nástroje a řešení. Z nich jsou pro pojistitele nejpřijatelnější rozhodnutí Komise o odpovídající ochraně (Čl. 45 GDPR), protože poskytují nejvhodnější ochranná opatření (záruky) jak pro správce, tak pro subjekty osobních údajů. Aktuální seznam zemí pokrytých takovými rozhodnutími je ovšem velmi krátký a je tudíž nedostatečný pro tak globálně působící sektor jako je pojišťovnictví. K řešení tohoto problému je požadována rychlá akce, která by měla nařízení GDPR učinit vhodným pro pojišťovnictví.

Příliš brzy na změny GDPR

I když nařízení určitě obsahuje jisté problémy, bylo by nicméně předčasné a kontraproduktivní novelizovat samotný text GDPR právě teď. Pojišťovnictví, stejně jako mnoho jiných oborů, investovalo významné zdroje, aby bylo nařízení a jeho implikace pochopeny a aby byl nový režim řádně implementován. Tato podstatná časová a finanční investice by mohla být zmařena a mohly by vyvstat nové náklady, pokud by text byl změněn po relativně krátké době, tj. jen po několika letech. V případě, že se shledá, že nařízení GDPR nenaplnilo v některých oblastech své cíle, tak Komise by měla zvážit přípravu dalších nebo novelizovaných pokynů, a to společně s EDPB, bude-li to případné.

Zdroj: Insurance Europe a GDPR: Co způsobuje pojistitelům největší problémy? – oPojištění.cz