Podaci su srž sektora osiguranja. Bez podataka, osiguravatelji ne bi mogli procijeniti rizike od kojih potrošači žele biti zaštićeni, razviti i odrediti cijene svojih polica, obraditi zahtjeve potrošača ili uočiti prijevaru.
Vilijam Vidonja, šef poslovnog sektora, Insurance Europe
Kako je obrada podataka u samom središtu njihovog poslovanja, osiguravatelji su svjesni vrijednosti podataka i važnosti njihove zaštite. Ovo nije samo pravni i regulatorni zahtjev, već i temeljna komponenta izgradnje i održavanja povjerenja potrošača.
Osiguravatelji su stoga uvijek snažno podržavali ciljeve Opće uredbe o zaštiti podataka EU-a (GDPR). Tekst – koji je stupio na snagu 2018. – izvorno je usvojen kako bi se zaštitilo temeljno pravo Europljana na privatnost uz istovremeno poticanje odgovornog natjecanja u digitalnom svijetu. Sada kada je GDPR skoro na svom šestom rođendanu, vrijeme je za još jedan pogled i provjeru odgovara li još uvijek namjeni.
Europska komisija ima zakonsku obvezu provesti svoju drugu evaluaciju GDPR-a 2024., nakon čega može odlučiti revidirati ili izmijeniti uredbu. U prvom pregledu, koji je proveden 2020., Komisija je smatrala da okvir odgovara svrsi. Priča o uspjehu koja je pojedincima omogućila veću kontrolu nad njihovim podacima.
Gotovo 6 godina kasnije, europski digitalni pravni krajolik drastično se promijenio. Od razvoja sudske prakse od Suda pravde EU-a do potpuno novih dijelova zakonodavstva koji proizlaze iz europske podatkovne strategije kao što su Zakon o podacima, Zakon o upravljanju podacima i Zakon o umjetnoj inteligenciji, digitalni pravilnik EU-a postao je mnogo složeniji.
Kako će se ove nove inicijative međusobno ispreplitati u praksi, tek treba utvrditi. Ono što je jasno jest da se svi oni grade na temeljima postavljenim GDPR-om i da će svi značajno utjecati na operacije obrade podataka u organizacijama u nadolazećim mjesecima i godinama.
Prije nego što se može procijeniti učinak strategije podataka Komisije i njenih novih propisa, ponovno otvaranje GDPR-a je preuranjeno. Kao i mnogi drugi sektori, industrija osiguranja uložila je značajna sredstva u razumijevanje GDPR-a i njegovih implikacija te osiguravanje pravilne provedbe novog režima. U trenutku kada se GDPR također uspješno postavio kao globalni standard, revizija Komisije trebala bi iskoristiti ovu priliku za rješavanje neriješenih pitanja tumačenja, promicanje postojećih pravnih mehanizama l i poticanje usklađenosti tvrtki.
Započnimo pregledom svake od ovih točaka.
Jedan od ključnih aspekata na koji bi se pregled Komisije trebao usredotočiti je nenamjerni utjecaj GDPR-a na inovacije. Tehnologije u nastajanju poput blockchaina, umjetne inteligencije i Interneta stvari (IoT) nude goleme mogućnosti osiguravateljima i potrošačima. Međutim, inovacija bi mogla biti potkopana, s jedne strane, nedostatkom smjernica, as druge, prestrogim tumačenjem postojećih smjernica koje je iznio Europski odbor za zaštitu podataka (EDPB).
Uzmimo blockchain, na primjer. Iako je dobro poznat njegov potencijal za povećanje učinkovitosti, povjerenja i transparentnosti, još uvijek nije jasno kako se njegova upotreba može uskladiti s pravom na brisanje i pravom na ispravak prema GDPR-u.
Isto tako, zbog vrlo uskog tumačenja “nužnosti” provođenja isključivo automatiziranih procesa, smjernice EDPB-a imaju učinak obeshrabrivanja osiguravatelja od uvođenja inovativnih proizvoda, poput osiguranja u stvarnom vremenu koje se nudi putem aplikacija za mobilne telefone.
Ovo vodi do druge točke. Uloga EDPB-a i njegove smjernice.
Iako su smjernice EDPB-a koristan alat za provedbu i usklađivanje, postoji niz područja, kao što su međunarodni prijenosi podataka i pravo na pristup podacima, u kojima EDPB nije dosljedno primjenjivao pristup temeljen na riziku i načela proporcionalnosti sadržana u GDPR. Na primjer, smjernice o pravu pristupa impliciraju da bi, nakon izričitog zahtjeva za pristup od potrošača, tvrtka trebala pretraživati podatke pojedinca u svim svojim IT sustavima, uključujući sustave za sigurnosno kopiranje. Zahtijevati od kontrolora da traži sigurnosne sustave, koji možda nisu lako ili lako dostupni, predstavlja nerazmjeran napor. Sigurnosni podaci osobni su podaci pohranjeni isključivo radi vraćanja podataka u slučaju gubitka podataka i stoga ne bi trebali biti uključeni u opseg prava pristupa.
EDPB bi trebao dati prednost praktičnim smjernicama za jačanje harmonizacije i smanjenje tereta usklađenosti kad god to dopušta tekst GDPR-a. Pojačani dijalog s vanjskim dionicima omogućio bi EDPB-u da sazna više o novonastalim problemima i razvije relevantne smjernice koje su bolje usklađene s praktičnom realnošću s kojom se suočavaju poduzeća, u konačnici promičući snažniju i učinkovitijuefektivna usklađenost zaštite podataka.
Konačno, još jedno kritično područje za evaluaciju trebao bi biti mehanizam GDPR-a za međunarodni prijenos podataka.
Osiguravanje besprijekornog protoka podataka između država članica EU-a i trećih zemalja ključno je za europska poduzeća.
Ovdje bi Komisija trebala poduzeti mjere kako bi osigurala da tvrtke mogu u potpunosti koristiti sve alate za međunarodne prijenose predviđene GDPR-om. U ovoj je fazi korištenje postojećih alata kao što su kodeksi ponašanja i obvezujuća korporativna pravila ograničeno zbog visokih zahtjeva koje nameće EDPB te dugih i složenih postupaka odobravanja.
Komisija bi također trebala ubrzati svoj rad na izradi novih odluka o primjerenosti. Ovo su najprikladniji instrumenti za međunarodni prijenos podataka budući da pružaju najprikladnije zaštitne mjere za tvrtke i potrošače. Međutim, trenutni popis zemalja koje su obuhvaćene odlukom o primjerenosti još uvijek je prilično ograničen i ne pokriva prijenose podataka u okruženju u kojem je globalna razmjena podataka svakodnevno u porastu.
Općenito, rad je još uvijek potreban. Predstojeća evaluacija stoga je zlatna prilika da se osigura da tekst u potpunosti ispunjava svoje predviđene ciljeve, uključujući usmjeravanje poduzeća da se odgovorno natječu u digitalnom okruženju. Industrija treba fokusiranu reviziju GDPR-a koja rješava izvanredne izazove tumačenja, olakšava usklađivanje tvrtki i jača jedinstveno europsko tržište. Mora promovirati praktične smjernice EDPB-a, osigurati međunarodne prijenose podataka i punu upotrebu svih mehanizama GDPR-a. Sve ovo otvorit će put za sljedeću reviziju 2028. godine kada će se moći bolje procijeniti učinak nedavno usvojenog zakonodavstva o podatkovnoj strategiji i kada će biti moguće provesti sveobuhvatniju procjenu digitalnog pravilnika EU-a.
