Όπως είναι γνωστό, από την 25η Μαΐου 2018 καθίσταται υποχρεωτική η εφαρμογή του νέου ευρωπαϊκού Κανονισμού 2016/679 για την προστασία προσωπικών δεδομένων, ο οποίος καταργεί την κοινοτική οδηγία 95/46 και έχει απ’ευθείας εφαρμογή στα Κράτη-Μέλη της Ευρωπαϊκής Ένωσης χωρίς να χρειάζεται ενσωμάτωση στο ελληνικό δίκαιο με ειδική νομοθεσία.

Η ραγδαία τεχνολογική εξέλιξη και εν γένει η χρήση του διαδικτύου στο πλαίσιο προσωπικών και επαγγελματικών δραστηριοτήτων που οδηγούν στην δημιουργία δεξαμενών προσωπικών δεδομένων γέννησαν την ανάγκη συνεκτικής και ομοιόμορφης εφαρμογής των κανόνων προστασίας των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση εξ ου και η επιλογή του Κανονισμού έναντι της Οδηγίας, προκειμένου να αρθούν οι νομικές ασάφειες και η ανασφάλεια δικαίου στα κράτη μέλη ενόψει της νέας ψηφιακής εποχής. 

Στην έννοια των προσωπικών δεδομένων με βάση τον νέο Κανονισμό εμπίπτουν όσες πληροφορίες μπορούν να οδηγήσουν στην ταυτοποίηση ενός ατόμου, καθ’ότι ο Κανονισμός ρυθμίζει την προστασία δεδομένων φυσικών και όχι νομικών προσώπων, όπως ενδεικτικά το ονοματεπώνυμο, η διεύθυνση κατοικίας, τα φυσικά χαρακτηριστικά, η οικονομική κατάσταση και τα ψηφιακά ίχνη (π.χ διεύθυνση IP). Επιπλέον, ο Κανονισμός οριοθετεί την περίπτωση των ευαίσθητων προσωπικών δεδομένων ως ειδική υποκατηγορία στην οποία υπάγονται πληροφορίες που αναφέρονται στις θρησκευτικές ή πολιτικές πεποιθήσεις ενός ατόμου, στην φυλετική ή εθνική του προέλευση στην υγεία και τα βιομετρικά του δεδομένα.

Επομένως, οι μεσίτες ασφαλίσεων είναι, κατά τους ορισμούς του άρθρου 4 περίπτωση 7 του Κανονισμού, Υπεύθυνοι Επεξεργασίας (“Data Controllers”) υπό την έννοια ότι συλλέγουν τα προσωπικά δεδομένα και καθορίζουν τους σκοπούς και τους τρόπους με τους οποίους πρόκειται να γίνει η επεξεργασία τους όπως για παράδειγμα το είδος της ασφαλιστικής σύμβασης. Αντιστοίχως, κατά τους ορισμούς του άρθρου 6 περίπτωση 8, οι ασφαλιστικές εταιρίες είναι οι Εκτελούντες την Επεξεργασία (“Data Processors”) ως επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα προκειμένου να προβούν στην σύναψη της ασφαλιστικής σύμβασης. Η ευθύνη για την συμμόρφωση βαρύνει τόσο την επιχείρηση που συλλέγει δεδομένα (τον “Data Controller”) όσο και την εταιρία που πραγματοποιεί την επεξεργασία τους (“Data Processor”).

Η βασική καινοτομία που εισάγει ο Κανονισμός είναι η ανάγκη ρητής πλέον συναίνεσης των υποκειμένων για την επεξεργασία των δεδομένων τους και η σαφής και πλήρης ενημέρωσή τους για τον σκοπό και τον τρόπο με τον οποίο πρόκειται να γίνει η χρήση αυτών. Η ύπαρξη ρητής συναίνεσης σημαίνει πρακτικά ότι δεν συμμορφώνεται με τον κανονισμό η επιχείρηση που διαθέτει έντυπο συναίνεσης στο οποίο έχει εκ των προτέρων μηχανογραφικά τεθεί η επιλογή «συμφωνώ», ενώ είναι άκυρη ως μη ρητή η συναίνεση που περιέχεται σε Γενικούς Όρους Συναλλαγών, λόγω της υποχρέωσης ύπαρξης ειδικού εντύπου συναίνεσης. Στο έντυπο αυτό θα πρέπει να περιλαμβάνονται ως ελάχιστο περιεχόμενο η επωνυμία της επιχείρησης του μεσίτη ασφαλίσεων, καθώς επίσης και της ασφαλιστικής εταιρίας με την οποία πρόκειται αυτός να συνεργαστεί για την εξυπηρέτηση των αναγκών του πελάτη, να περιγράφεται ο σκοπός της επεξεργασίας (σύναψη και διαχείριση ασφαλιστικής σύμβασης, έρευνα ή στατιστική ανάλυση, προώθηση ασφαλιστικών προϊόντων), καθώς επίσης και το δικαίωμα εναντίωσης του πελάτη για δραστηριότητες όπως η ανάπτυξη πληροφοριακών συστημάτων μάρκετινγκ, η δημιουργία μοντέλων ασφαλιστικών κινδύνων ή μοντέλων τιμολόγησης (database marketing) καθώς επίσης η χρησιμοποίηση των δεδομένων για τους σκοπούς απ’ευθείας μάρκετινγκ (direct marketing).

Στην περίπτωση επιχειρήσεων μεσιτών ασφαλίσεων που διαμεσολαβούν για την σύναψη ασφαλιστικών προγραμμάτων ζωής ή νοσοκομειακής περίθαλψης, λόγω της υπαγωγής των δεδομένων υγείας που συλλέγουν στο άρθρο 9 του Κανονισμού (ειδικές κατηγορίες δεδομένων) απαιτείται υποχρεωτικά ο ορισμός Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer) ο ρόλος του οποίου είναι η εκπροσώπηση της επιχείρησης έναντι των Αρχών, Εθνικών και Ευρωπαϊκών, σε διαδικασίες ελέγχου, η δημιουργία προγράμματος κανονιστικής συμμόρφωσης της επιχείρησης με το νέο αυστηρό νομοθετικό πλαίσιο και η προστασία της επιχείρησης από τους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων. Ο Υπεύθυνος Προστασίας Δεδομένων μπορεί να είναι μέλος του προσωπικού της επιχείρησης ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών, σε κάθε όμως περίπτωση οφείλει να ενεργεί σε καθεστώς ανεξαρτησίας και ανεξάρτητα από τον ειδικό νομικό χαρακτηρισμό της σύμβασης που τον συνδέει με την επιχείρηση (π.χ σύμβαση εργασίας, σύμβαση ανεξαρτήτων υπηρεσιών ή έργου). Για τον λόγο αυτό φρονούμε ότι είναι περισσότερο ενδεδειγμένος ο ορισμός εξωτερικού νομικού συμβούλου ως Υπευθύνου Προστασίας Δεδομένων της επιχείρησης, ούτως ώστε να μην ανακύπτουν ζητήματα σύγκρουσης συμφερόντων που δημιουργούνται από το γεγονός ότι στην περίπτωση κατά την οποία ορίζεται ως Υπεύθυνος Προστασίας εργαζόμενος της επιχείρησης ακυρώνονται «εν τοις πράγμασι» τα εχέγγυα ανεξαρτησίας.

Οι επιπλέον αλλαγές που επιφέρει ο κανονισμός και περιλαμβάνονται στις υποχρεώσεις των μεσιτών ασφαλίσεων κατηγοριοποιούνται ως ακολούθως:

1) Προθεσμία κοινοποίησης τυχόν παραβίασης: Οι επιχειρήσεις έχουν προθεσμία 72 ωρών να γνωστοποιήσουν στην αρμόδια αρχή και στα θιγόμενα πρόσωπα τυχόν διαρροή των στοιχείων τους σε τρίτα μη εξουσιοδοτημένα προς τούτο πρόσωπα

2) Υποχρέωση ελαχιστοποίησης των δεδομένων: Η συλλογή των δεδομένων γίνεται καθορισμένους εκ των προτέρων ρητούς σκοπούς και η επεξεργασία τους πραγματοποιείται μόνον εφόσον είναι αναγκαία σε σχέση με τους σκοπούς που έχουν προβλεφθεί.

3) Δικαίωμα διαγραφής: Οι πελάτες έχουν το δικαίωμα να ζητούν την διαγραφή των δεδομένων τους όταν εκλείπει ο σκοπός για τον οποίο δόθηκαν αρχικά, και διατηρούν σε κάθε περίπτωση το δικαίωμα να αποσύρουν την αρχική συναίνεσή τους

4) Δικαίωμα στην φορητότητα των δεδομένων: Οι πελάτες έχουν το δικαίωμα να ζητούν την μεταφορά των δεδομένων τους σε διαφορετικό μεσίτη ασφαλίσεων από αυτόν στον οποίο συμβλήθηκαν αρχικά

5) Υποχρέωση εμπιστευτικότητας: Οι πληροφορίες που περιέχουν προσωπικά δεδομένα κοινοποιούνται αυστηρά και μόνον σε τρίτους (ασφαλιστικές εταιρίες, πραγματογνώμονες) για τα στοιχεία των οποίων έχει ενημερωθεί ο πελάτης και έχει δώσει ρητά την συναίνεσή του.

Σε διαφορετική περίπτωση ο Κανονισμός προβλέπει υψηλά πρόστιμα εφόσον διαπιστώνεται παραβίαση των διατάξεών του τα οποία μπορούν να ανέλθουν έως του ποσού των 20.000.000€ ή σε ποσοστό 4% του παγκόσμιου τζίρου της επιχείρησης. Σε σχέση με το εδαφικό πεδίο εφαρμογής του ο Κανονισμός εφαρμόζεται σε επιχειρήσεις ανεξαρτήτως τόπου εγκατάστασης εφόσον συλλέγουν ή/και επεξεργάζονται δεδομένα πολιτών της Ευρωπαϊκής Ένωσης ή ατόμων ευρισκόμενων εντός της Ευρωπαϊκής Ένωσης. Επιπλέον, η συμμόρφωση με τον Κανονισμό δεν συνδέεται με το μέγεθος της εταιρίας ή τον ισολογισμό της με αποτέλεσμα ακόμα και μικρές επιχειρήσεις μεσιτών ασφαλίσεων να υποχρεούνται στην τήρησή του.

Προκύπτει επομένως ότι είναι απόλυτα ενδεδειγμένη η εφαρμογή προγράμματος συμμόρφωσης της επιχείρησης μεσιτών ασφαλίσεων που να καλύπτει τις υποχρεώσεις του Νέου Ευρωπαϊκού Κανονισμού, καθώς επίσης και η ανάπτυξη κατάλληλων νομικών εγγρλαφων συμμόρφωσης όπως η κατάρτιση εντύπου επισήμανσης απορρήτου (Privacy Notice) και η Πολιτική Απορρήτου (Privacy Policy) προκειμένου να αποδεικνύεται η τήρηση του Κανονισμού. Είναι περισσότερο από προφανές ότι η διασφάλιση της συμμόρφωσης με τον Κανονισμό αποτελεί μία από τις νέες προκλήσεις των σύγχρονων ασφαλιστικών επιχειρήσεων και εναπόκειται σε αυτές να την φέρουν εις πέρας αντιμετωπίζοντάς την ως ευκαιρία δυνάμενη να αυξήσει την προστιθέμενη αξία της επιχείρησης.

Ροδάνθη Τζωρτζάκη,
Δικηγόρος LLM
Συνεργάτης στην Παντελίδης-Νταραντάνη Δικηγορική Εταιρία
Email at: [email protected]