Αντιμέτωπη με τις προκλήσεις του νέου Ευρωπαϊκού Κανονισμού General Data Protection Regulation (GDPR) σχετικά με τον χειρισμό και την προστασία των προσωπικών δεδομένων, που αναμένεται να τεθεί σε ισχύ στις 25 Μαΐου 2018, θα βρεθεί και η ασφαλιστική αγορά.

Το Ασφαλιστικό ΝΑΙ (τεύχος 169, Νοέμβριος - Δεκέμβριος 2017) επιχειρώντας να αποσαφηνίσει το νέο τοπίο απευθύνθηκε σε ειδικούς εμπειρογνώμονες και όπως τονίζουν οι ασφαλιστικές εταιρείες καλούνται να ενισχύσουν κυρίως το σύστημα εσωτερικού ελέγχου τους, εμπλουτίζοντας πολιτικές, διαδικασίες, controls, δίδοντας έμφαση στο μηχανογραφικό περιβάλλον τους.

Οι Δημήτρης Παρδάλης, Γιάννης Σουρλής και Νίκος Γεωργόπουλος γράφουν στο «Ασφαλιστικό ΝΑΙ» για τις προκλήσεις των προσωπικών δεδομένων!

Δημήτρης Παρδάλης - Εθνική Ασφαλιστική
GDPR: Απειλή ή ευκαιρία

Στις 25 Μαΐου 2018 τίθεται σε ισχύ ο νέος Ευρωπαϊκός Κανονισμός General Data Protection Regulation (GDPR), σχετικά με τον χειρισμό και την προστασία των προσωπικών δεδομένων. Βασικό συστατικό στοιχείο του GDPR είναι η αυστηρότητα του, η οποία αποτυπώνεται στη δυνατότητα επιβολής προστίμων έως €20 εκατ. ή το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο.

Η αυστηρότητα αυτή έχει θορυβήσει πολλές εταιρίες, ανεξαρτήτως τομέα δραστηριοποίησης, καθιστώντας το GDPR ως κύριο project τους. Οι ασφαλιστικές εταιρίες δεν αποτελούν εξαίρεση. Το τελευταίο ιδιαίτερα έτος εντείνονται οι προσπάθειες εναρμόνισης τους με τις απαιτήσεις του GDPR, ανησυχώντας για τις πιθανές επιπτώσεις σε περίπτωση μη συμμόρφωσης τους.

Υπάρχει, όμως, λόγος για τόσο μεγάλη ανησυχία εκ μέρους των ασφαλιστικών; Ας κάνουμε ένα βήμα πίσω και ας εξετάσουμε τα στοιχεία. Το GDPR θέτει αναμφίβολα πιο αυστηρούς κανόνες σε σχέση με ό,τι ισχύει έως σήμερα. Οι βασικές όμως αρχές για τη διαχείριση των προσωπικών δεδομένων, παραμένουν σταθερές. Οι ασφαλιστικές, καλούνται σήμερα να ενισχύσουν κυρίως το σύστημα εσωτερικού ελέγχου τους, εμπλουτίζοντας πολιτικές, διαδικασίες, controls, δίδοντας έμφαση στο μηχανογραφικό περιβάλλον τους. Απαιτείται επομένως περισσότερο βελτίωση υφιστάμενων δομών για να αντιμετωπισθούν οι μεταβολές που φέρνει το GDPR, παρά δημιουργία νέων εκ του μηδενός.

Οι 6 κύριες μεταβολές στη διαχείριση των προσωπικών δεδομένων λόγω GDPR είναι οι ακόλουθες:

• Αυστηρότερη εφαρμογή του νόμου και σημαντικά πρόστιμα στις ασφαλιστικές που τον παραβιάζουν: έως €20 εκατ. ή το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο.

• Αυξημένη υποχρέωση λογοδοσίας: Οι ασφαλιστικές είναι υπόλογες για την προστασία των προσωπικών δεδομένων εργαζομένων, συνεργατών και πελατών τους. Πρέπει να μπορούν να αποδεικνύουν διαρκώς, βάσει κατάλληλου υποστηρικτικού υλικού πως έχουν λάβει τα βέλτιστα στο μέτρο του δυνατού, οργανωτικά και τεχνικά μέτρα προστασίας των δεδομένων.

• Σαφής συγκατάθεση: Τίθενται αυστηρές προϋποθέσεις αναφορικά με τη συγκατάθεση από το ενδιαφερόμενο πρόσωπο για την επεξεργασία των προσωπικών του δεδομένων, την οποία έχει δικαίωμα να ανακαλέσει ανά πάσα στιγμή.

• Προστασία των δεδομένων από το σχεδιασμό: Οι ασφαλιστικές πρέπει να εντοπίσουν και καταγράψουν τα προσωπικά δεδομένα που διαχειρίζονται, στοιχειοθετώντας με σαφήνεια τους λόγους που καθιστούν την επεξεργασία τους απαραίτητη. Επιπρόσθετα, πρέπει να καταγράψουν τις ροές που ακολουθούν τα δεδομένα, κατά τη διάρκεια του συνόλου της επεξεργασίας τους. Τέλος απαιτητό είναι να διασφαλίσουν πως από τον σχεδιασμό κιόλας των άνωθεν διαδικασιών, διασφαλίζεται στο μέτρο του δυνατού η προστασία τους.

• Σαφής και κατανοητή γλώσσα στις πολιτικές απορρήτου: Οι ασφαλιστικές πρέπει να παρέχουν στο ενδιαφερόμενο πρόσωπο κάθε απαιτούμενη από το νόμο πληροφορία σχετικά με τη διαχείριση των δεδομένων του σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή.

• Ανακοίνωση παραβίασης δεδομένων: Οι ασφαλιστικές πρέπει να ανακοινώνουν αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του.

Για να ανταποκριθούν οι ασφαλιστικές στα νέα δεδομένα, απαραίτητο είναι να επιδείξουν ψυχραιμία και να οργανώσουν ένα απλό και υλοποιήσιμο σχέδιο δράσης. Υπάρχουν 4 βασικά βήματα που καλό είναι να ακολουθηθούν:

• Ορισμός Data Protection Officer (DPO): Επιλογή και ορισμός DPO, ο οποίος θα αναλάβει την ευθύνη συντονισμού του συνόλου των εργασιών που απαιτούνται να γίνουν τόσο σε επίπεδο προετοιμασίας, αλλά πολύ περισσότερο από τη στιγμή που το GDPR τεθεί σε εφαρμογή και ύστερα. Ιδιαίτερη προσοχή πρέπει να δοθεί στο ότι ο DPO πρέπει να έχει μία σειρά από hard και soft skills. Πρέπει να γνωρίζει το business, να γνωρίζει το νομοθετικό και κανονιστικό περιβάλλον, να αντι- λαμβάνεται τις διαδικασίες λειτουργίας της εταιρίας, να διαχειρίζεται ζητήματα διαχείρισης κινδύνων, να γνωρίζει μεθοδολογίες ελέγχου, να κατανοεί το μηχανογραφικό περιβάλλον, σχεδιάζει και να υλοποιεί εκπαιδεύσεις, να λειτουργεί ως εκπρόσωπος της εταιρίας και να ασκεί project management. Αναζητήστε ή δημιουργήστε ένα υβριδικό, multi-tasking στέλεχος...

• Gap Analysis: Ανάλυση της υφιστάμενης κατάστασης και εντοπισμός αποκλίσεων σε σχέση με όσα απαιτεί το GDPR. Οι ασφαλιστικές λόγω της εναρμόνισης τους με την υφιστάμενη νομοθεσία περί προσωπικών δεδομένων Ν. 2472/97, ήδη διαθέτουν σχετικές υποδομές. Απαραίτητο είναι να εκτιμήσουν με ψυχραιμία τις υφιστάμενες δομές τους και να εντοπίσουν με ακρίβεια τις συγκεκριμένες διορθωτικές ενέργειες που πρέπει να κάνουν. Εντοπίστε πώς σας επηρεάζει το GDPR και υλοποιήστε στοχευμένες ενέργειες...

• Διαφάνεια και Λογοδοσία: Κατά την επεξεργασία των δεδομένων, οι ασφαλιστικές πρέπει να λειτουργούν με διαφάνεια και να μπορούν να αποδείξουν πως έχουν κάνει το βέλτιστο δυνατό για να προστατέψουν τα προσωπικά δεδομένα που διαχειρίζονται. Εμπλουτίστε το υποστηρικτικό υλικό που αποδεικνύει τα οργανωτικά και τεχνικά μέτρα που έχετε λάβει για την προστασία των δεδομένων…

Το GDPR αντιμετωπίζεται σήμερα από την ασφαλιστική αγορά ως μία απειλή. Από τη μία υπάρχει η ανησυχία για το ύψος των προβλεπόμενων προστίμων και από την άλλη η συνειδητοποίηση πως για να διασφαλιστεί η αποφυγή τους, θα πρέπει να πραγματοποιηθούν σημαντικές επενδύσεις. Στην πραγματικότητα όμως πρέπει να προσεγγίζεται ως μία μεγάλη ευκαιρία. Το GDPR μπορεί να δώσει το έναυσμα προκειμένου οι ασφαλιστικές να “νοικοκυρέψουν” τα δεδομένα τους, να διατηρήσουν μόνο εκείνα που πραγματικά χρειάζονται περιορίζοντας τις δαπάνες συντήρησης και προστασίας τους, να αναδομήσουν διαδικασίες τους, να δημιουργήσουν νέα multitasking στελέχη και να προσεγγίσουν εκ νέου συνεργάτες και πελάτες διασφαλίζοντας πλέον όχι μόνο την υγεία και την περιουσία τους αλλά και την ιδιωτικότητα τους.

Το GDPR μπορεί να οδηγήσει σε σπατάλη χρημάτων ή σε μία παραγωγική επένδυση. Μπορεί να είναι απειλή ή ευκαιρία. Η επιλογή είναι δική μας...

ΠΗΓΗ http://www.nextdeal.gr/index.php?option=com_k2&view=item&id=35988:ti-tha-ischyei-gia-ta-proswpika-dedomena&Itemid=79