Η σημασία της αναθεώρησης του GDPR

Ακολουθήστε μας στο Linkedin και συνδεθείτε με άλλους επαγγελματίες του κλάδου

Γράφει ο William Vidonja, Head of Conduct of Business, Insurance Europe

Τα δεδομένα βρίσκονται στον πυρήνα του ασφαλιστικού τομέα. Χωρίς δεδομένα, οι ασφαλιστικές δεν θα μπορούσαν να αξιολογήσουν τους κινδύνους από τους οποίους οι καταναλωτές επιθυμούν να προστατευτούν, να αναπτύξουν και να τιμολογήσουν τις πολιτικές τους, να επεξεργαστούν τις αξιώσεις των καταναλωτών ή να εντοπίσουν την απάτη.

Δεδομένου ότι η επεξεργασία δεδομένων βρίσκεται στην καρδιά των δραστηριοτήτων τους, οι ασφαλιστικές γνωρίζουν την αξία των δεδομένων και τη σημασία της προστασίας τους. Αυτό δεν αποτελεί μόνο νομική και κανονιστική απαίτηση, αλλά και ένα θεμελιώδες στοιχείο για την οικοδόμηση και τη διατήρηση της εμπιστοσύνης των καταναλωτών.

Οι ασφαλιστικές ήταν ανέκαθεν υποστηρικτές των στόχων του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) της ΕΕ. Το κείμενο – το οποίο τέθηκε σε ισχύ το 2018 – υιοθετήθηκε αρχικά για να προστατεύσει το θεμελιώδες δικαίωμα των Ευρωπαίων στην ιδιωτικότητα, ενώ παράλληλα προάγει τον υπεύθυνο ανταγωνισμό στον ψηφιακό κόσμο. Τώρα που το GDPR πλησιάζει τα 6α γενέθλιά του, είναι καιρός για μια αναθεώρηση και να ελέγξουμε εάν εξακολουθεί να εξυπηρετεί τον σκοπό του.

Η Ευρωπαϊκή Επιτροπή έχει νομική υποχρέωση να διενεργήσει τη δεύτερη αξιολόγηση του GDPR το 2024, μετά την οποία μπορεί να αποφασίσει να αναθεωρήσει ή να τροποποιήσει τον κανονισμό. Στην πρώτη ανασκόπηση, που πραγματοποιήθηκε το 2020, η Επιτροπή έκρινε ότι το πλαίσιο ήταν κατάλληλο για τον σκοπό του. Μια επιτυχής ιστορία που κατάφερε να δώσει στους πολίτες μεγαλύτερο έλεγχο των δεδομένων τους.

Σχεδόν 6 χρόνια αργότερα, το ψηφιακό νομικό τοπίο της Ευρώπης έχει αλλάξει δραστικά. Από τη διαρκώς εξελισσόμενη νομολογία του Δικαστηρίου της ΕΕ έως τους εντελώς νέους νόμους που προκύπτουν από την ευρωπαϊκή στρατηγική δεδομένων, όπως ο Νόμος για τα Δεδομένα, ο Νόμος για την Διακυβέρνηση Δεδομένων και ο Νόμος για την Τεχνητή Νοημοσύνη, το ψηφιακό ρυθμιστικό βιβλίο της ΕΕ έχει γίνει πολύ πιο περίπλοκο.

Το πώς αυτές οι νέες πρωτοβουλίες θα αλληλεπιδράσουν στην πράξη δεν έχει ακόμα καθοριστεί. Είναι σαφές ότι όλες βασίζονται στα θεμέλια που έθεσε ο GDPR και όλες θα επηρεάσουν σημαντικά τις επιχειρήσεις επεξεργασίας δεδομένων τους επόμενους μήνες και χρόνια.

Πριν αξιολογηθεί ο αντίκτυπος της στρατηγικής δεδομένων της Επιτροπής και των νέων κανονισμών της, το άνοιγμα του GDPR είναι πρόωρο. Όπως και πολλοί άλλοι τομείς, η ασφαλιστική βιομηχανία έχει επενδύσει σημαντικούς πόρους στην κατανόηση του GDPR και των επιπτώσεών του και στη διασφάλιση της σωστής εφαρμογής του νέου καθεστώτος. Τη στιγμή που ο GDPR έχει επίσης καθιερωθεί επιτυχώς ως παγκόσμιο πρότυπο, η αναθεώρηση της Επιτροπής θα πρέπει να εκμεταλλευτεί αυτή την ευκαιρία για να αντιμετωπίσει εκκρεμή ζητήματα ερμηνείας, να προωθήσει τους υφιστάμενους νομικούς μηχανισμούς και να ενισχύσει τη συμμόρφωση των εταιρειών.

Ας ξεκινήσουμε εξετάζοντας καθένα από αυτά τα σημεία.

Ένα από τα βασικά σημεία που πρέπει να επικεντρωθεί η αναθεώρηση της Επιτροπής είναι ο ακούσιος αντίκτυπος του GDPR στην καινοτομία. Οι αναδυόμενες τεχνολογίες όπως το blockchain, η τεχνητή νοημοσύνη και το Internet of Things (IoT) προσφέρουν τεράστιες ευκαιρίες τόσο για τις ασφαλιστικές όσο και για τους καταναλωτές. Ωστόσο, η καινοτομία μπορεί να υπονομευτεί, αφενός, από την έλλειψη καθοδήγησης, και αφετέρου, από την υπερβολικά αυστηρή ερμηνεία που παρέχεται από τις υπάρχουσες οδηγίες της Ευρωπαϊκής Επιτροπής Προστασίας Δεδομένων (EDPB).

Πάρτε για παράδειγμα το blockchain. Ενώ η δυνατότητά του να ενισχύσει την αποδοτικότητα, την εμπιστοσύνη και τη διαφάνεια είναι γνωστή, παραμένει ασαφές πώς η χρήση του μπορεί να συμφιλιωθεί με το δικαίωμα διαγραφής και το δικαίωμα διόρθωσης που προβλέπει ο GDPR.

Ομοίως, λόγω μιας πολύ στενής ερμηνείας της “αναγκαιότητας” εκτέλεσης αποκλειστικά αυτοματοποιημένων διαδικασιών, οι οδηγίες του EDPB έχουν ως αποτέλεσμα την αποθάρρυνση των ασφαλιστών από την εισαγωγή καινοτόμων προϊόντων, όπως η ασφάλιση σε πραγματικό χρόνο μέσω εφαρμογών κινητών τηλεφώνων.

Αυτό μας οδηγεί στο δεύτερο σημείο. Ο ρόλος του EDPB και των κατευθυντήριων γραμμών του.

Ενώ η καθοδήγηση του EDPB είναι ένα χρήσιμο εργαλείο για την εφαρμογή και τη συμμόρφωση, υπάρχουν αρκετές περιοχές, όπως οι διεθνείς μεταφορές δεδομένων και το δικαίωμα πρόσβασης στα δεδομένα, στις οποίες το EDPB δεν έχει εφαρμόσει με συνέπεια την προσέγγιση βάσει κινδύνου και τις αρχές της αναλογικότητας που ενσωματώνονται στον GDPR. Για παράδειγμα, οι οδηγίες σχετικά με το δικαίωμα πρόσβασης υπονοούν ότι, μετά από ρητό αίτημα πρόσβασης από έναν καταναλωτή, μια εταιρεία θα πρέπει να αναζητήσει τα δεδομένα του ατόμου σε όλα τα συστήματα πληροφορικής της, συμπεριλαμβανομένων των συστημάτων εφεδρείας. Η απαίτηση να αναζητηθούν δεδομένα σε συστήματα εφεδρείας, που μπορεί να μην είναι εύκολα προσβάσιμα, συνιστά δυσανάλογη προσπάθεια. Τα εφεδρικά δεδομένα είναι προσωπικά δεδομένα που αποθηκεύονται αποκλειστικά για την αποκατάσταση των δεδομένων σε περίπτωση απώλειας και ως εκ τούτου δεν θα πρέπει να περιλαμβάνονται στο δικαίωμα πρόσβασης.

Το EDPB θα πρέπει να δώσει προτεραιότητα στην πρακτική καθοδήγηση για την ενίσχυση της εναρμόνισης και τη μείωση του φορτίου συμμόρφωσης όποτε το επιτρέπει το κείμενο του GDPR. Ο αυξημένη διάλογος με εξωτερικούς φορείς θα επέτρεπε στο EDPB να μάθει περισσότερα για τα αναδυόμενα ζητήματα και να αναπτύξει σχετικές οδηγίες που ευθυγραμμίζονται καλύτερα με τις πρακτικές πραγματικότητες που αντιμετωπίζουν οι επιχειρήσεις, προωθώντας τελικά πιο ισχυρή και αποτελεσματική συμμόρφωση με την προστασία δεδομένων.

Τέλος, ένας άλλος κρίσιμος τομέας για την αξιολόγηση θα πρέπει να είναι ο μηχανισμός του GDPR για τις διεθνείς μεταφορές δεδομένων.

Η διασφάλιση απρόσκοπτων ροών δεδομένων μεταξύ των κρατών μελών της ΕΕ και τρίτων χωρών είναι ζωτικής σημασίας για τις ευρωπαϊκές επιχειρήσεις. Εδώ, η Επιτροπή θα πρέπει να λάβει μέτρα για να διασφαλίσει ότι οι εταιρείες μπορούν να αξιοποιήσουν πλήρως όλα τα εργαλεία για τις διεθνείς μεταφορές που παρέχονται στον GDPR. Σε αυτό το στάδιο, η χρήση των υφιστάμενων εργαλείων όπως οι Κώδικες Συμπεριφοράς και οι Δεσμευτικοί Εταιρικοί Κανόνες είναι περιορισμένη λόγω των υψηλών απαιτήσεων που επιβάλλονται από το EDPB και των μακρών και περίπλοκων διαδικασιών έγκρισης.

Η Επιτροπή θα πρέπει επίσης να επιταχύνει το έργο της για την ανάπτυξη νέων αποφάσεων επάρκειας. Αυτά είναι τα πιο κατάλληλα εργαλεία για τη μεταφορά δεδομένων διεθνώς, καθώς παρέχουν τις πλέον κατάλληλες εγγυήσεις τόσο για τις εταιρείες όσο και για τους καταναλωτές. Ωστόσο, η τρέχουσα λίστα των χωρών που καλύπτονται από απόφαση επάρκειας είναι ακόμη αρκετά περιορισμένη και δεν καλύπτει επαρκώς τις μεταφορές δεδομένων σε ένα περιβάλλον όπου η παγκόσμια ανταλλαγή δεδομένων αυξάνεται καθημερινά.

Συνολικά, χρειάζεται ακόμα δουλειά. Η επερχόμενη αξιολόγηση είναι επομένως μια χρυσή ευκαιρία να διασφαλιστεί ότι το κείμενο πληροί πλήρως τους επιδιωκόμενους στόχους του, συμπεριλαμβανομένης της καθοδήγησης των επιχειρήσεων να ανταγωνίζονται υπεύθυνα στο ψηφιακό περιβάλλον. Η βιομηχανία χρειάζεται μια εστιασμένη αναθεώρηση του GDPR που να αντιμετωπίζει εκκρεμή ζητήματα ερμηνείας, να διευκολύνει τη συμμόρφωση των εταιρειών και να ενισχύει την ενιαία αγορά της Ευρώπης.

Πρέπει να προωθήσει την πρακτική καθοδήγηση από το EDPB, να διασφαλίσει τις διεθνείς μεταφορές δεδομένων και την πλήρη αξιοποίηση όλων των μηχανισμών του GDPR. Όλα αυτά θα ανοίξουν τον δρόμο για την επόμενη αναθεώρηση το 2028, όταν ο αντίκτυπος της πρόσφατα υιοθετημένης νομοθεσίας για τη στρατηγική δεδομένων θα μπορεί να αξιολογηθεί καλύτερα και θα είναι δυνατή μια πιο ολοκληρωμένη αξιολόγηση του ψηφιακού ρυθμιστικού βιβλίου της ΕΕ.