GDPR - Πρακτική Εφαρμογή, Δικαιώματα & Υποχρεώσεις



i) Δικαίωμα στην ενημέρωση.

Αναδεικνύει την ανάγκη της απόλυτης διαφάνειας επί της δίκαιης επεξεργασίας ή χρήσης των δεδομένων

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;

Πρώτον: Σημείωμα εμπιστευτικότητας με πελάτη ή τροποποίηση υπάρχοντος, που θα συμπεριλαμβάνει τα εξής :

· Την πλήρη ονομασία και τα στοιχεία επικοινωνίας μου, καθώς και άλλων θυγατρικών μου ή φορέων που θα επεξεργάζονται τα δεδομένα.

· Τον σκοπό της φύλαξης-επεξεργασίας, καθώς και αναφορά στο σχετικό νομικό πλαίσιο.

· Αναφορά στο έννομο συμφέρον του data controller ή του εκτε- λούντος την επεξεργασία των δεδομένων.

· Σαφή αναφορά στα δικαιώματα του υποκειμένου βάσει της GDPR (έγινε αναφορά στις ερωτήσεις – απαντήσεις γενικού περιεχομέ- νου), συμπεριλαμβανομένου του δικαιώματος απόσυρσης της αρχικής συγκατάθεσης. 


ii) Δικαίωμα πρόσβασης στα Δεδομένα.

Αποκτά πλέον ο πελάτης απόλυτο δικαίωμα πρόσβασης στα υπό φύλαξη-χρήση-επεξεργασία δεδομένα του. Δικαιούται να ζητήσει:

· Απόδειξη ότι τα δεδομένα του τελούν υπό επεξεργασία.

· Πρόσβαση στα δεδομένα του.

· Οποιαδήποτε άλλη πληροφορία που πρέπει να αναφέρεται στο σημείωμα εμπιστευτικότητας\συναίνεσης.


Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;

Βάσει της GDPR αυτή η πληροφόρηση πρέπει να παρέχεται στον πελάτη χωρίς χρέωση, χωρίς καθυστέρηση και με χρονικό περιθώριο τον ένα μήνα το αργότερο. Σε ειδικές περιπτώσεις, που το αίτημα είναι αδικαιολογήτως εκτενές ή πολύ συχνά επαναλαμβανόμενο, μπορεί να υπάρχει λογική χρέωση από τον μεσίτη για αυτήν την υπηρεσία.

Ο νόμος πλέον ορίζει ότι η πληροφορία αυτή θα πρέπει να επικοινωνείται στον πελάτη σε συνηθισμένη ηλεκτρονική μορφή. Ως εκ τούτου η επιχείρηση θα πρέπει να φροντίζει η μορφή των αρχείων που χρησιμοποιεί (file formatting) να έχει συνέχεια, ιδιαιτέρως αν λάβουμε υπόψη ότι ένα τέτοιο αίτημα μπορεί να έρθει μετά από αρκετά χρόνια (χρονοβόρο και δαπανηρό).

iii) Δικαίωμα στην διόρθωση ανακριβών στοιχείων.

Το δικαίωμα αυτό αντικατοπτρίζει το ήδη υπάρχον δικαίωμα, αλλά τώρα ρητά συσχετίζεται και με την επεξεργασία των προ- σωπικών δεδομένων.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;

Σε αυτήν την περίπτωση, κατ’ εντολή του πελάτη για αλλαγή των στοιχείων, είναι ευθύνη του μεσίτη να ενημερώσει όλα τα εμπλεκόμενα τρίτα μέρη, π.χ. ασφαλιστική εταιρία, περί των αλλαγών. Δεύτερον, να ενημερώσει τον πελάτη για το ποια είναι αυτά τα εμπλεκόμενα τρίτα μέρη που χρειάζεται να ενημερωθούν για την αλλαγή.

iv) Δικαίωμα διαγραφής.

Δικαίωμα να ζητείται η διαγραφή οποιωνδήποτε δεδομένων που αφορούν το / τα υποκείμενα υπό ορισμένες προϋποθέσεις (δεδο- μένα που δεν είναι πλέον απαραίτητα, ανάκληση συγκατάθεσης, δεδομένα που έχουν υποβληθεί σε παράνομη επεξεργασία).

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;

Το δικαίωμα διαγραφής δεν συνεπάγεται πάντοτε το δικαίωμα απόλυτης διαγραφής, δεδομένου του ότι κάποια στοιχεία μπορεί να απαιτεί- ται να παραμείνουν σε μορφή αρχείου, καθώς μπορεί να επηρεάζουν την απόδοση ενός ασφαλιστηρίου συμβολαίου, ακόμα και μετά τη λήξη του, π.χ. αστική ευθύνη σε loss occurrence. Ο μεσίτης διατηρεί το δικαίωμα άρνησης της διαγραφής όταν μπορεί τεκμηριωμένα να αποδείξει την ανάγκη ολικής ή μερικής διατήρησης των δεδομένων. Επίσης, υπάρχουν ειδικές προδιαγραφές σχετικά με την παραγγελία διαγραφής προσωπικών δεδομένων που αφορούν παιδιά.

Πότε επιβάλλεται η διαγραφή δεδομένων;

· Όταν τα προσωπικά δεδομένα δεν είναι πλέον αποδεδειγμένα χρήσιμα για τον σκοπό που είχαν αρχικώς συλλεχθεί.

· Όταν ο πελάτης αποσύρει τη συγκατάθεσή του εγγράφως.

· Όταν ο πελάτης ενίσταται στη συνέχιση της διαδικασίας επεξεργα- σίας ή φύλαξης, και δεν υπάρχει ισχυρό έννομο συμφέρον για την απόκρουση αυτού.

· Όταν η επεξεργασία των δεδομένων αποδεδειγμένα δεν έγινε με σύννομο τρόπο (GDPR breach).

· Όταν τα προσωπικά δεδομένα πρέπει να διαγραφούν ώστε να επι- τευχθεί μια νομική υποχρέωση (π.χ. εισαγγελική παραγγελία, υπό προϋποθέσεις που ο εισαγγελέας ορίζει). 


v) Δικαίωμα περιορισμού της επεξεργασίας.

Το δικαίωμα ασκείται όταν αμφισβητείται η ακρίβεια των δεδομένων, η επεξεργασία είναι παράνομη, τα δεδομένα δεν χρειάζονται πλέον στον Υπεύθυνο Επεξεργασίας, το Υποκείμενο των Δεδομένων έχει αντιταχθεί στην αυτοματοποιημένη επεξεργασία.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;

Αυτό σημαίνει ότι εάν η επιχείρηση έχει το δικαίωμα να τηρεί προσωπικά δεδομένα, αλλά του στερηθεί το δικαίωμα επεξεργασίας της πληροφορίας, πρακτικά δεν θα μπορεί να χειριστεί την εξυπηρέτηση του ασφαλιστηρίου, άρα δεν θα έχει και ουσιαστικό ρόλο, πλέον!

vi) Δικαίωμα στην φορητότητα των δεδομένων.

Δικαίωμα έγγραφης αίτησης διαβίβασης δεδομένων προσωπικού χαρακτήρα σε άλλον Υπεύθυνο Επεξεργασίας σε δομημένη, ευρέως χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;

Το δικαίωμα αυτό θα αφορά περισσότερο επιχειρήσεις οι οποίες θα χρησιμοποιούν δεδομένα από συσκευές τηλεματικής ή άλλες αυτοματοποιημένες συσκευές.

vii) Δικαίωμα ενημέρωσης κατά την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα και διατύπωση αντιρρήσεων.

Όταν η απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, (π.χ. Direct marketing-profiling) και η απόφαση αυτή παράγει έννομα αποτελέσματα ή επηρεάζει σημαντικά το υποκείμενο των δεδομένων. Δικαίωμα να ζητείται η ανθρώπινη παρέμβαση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;

Η επιχείρηση θα πρέπει να διασφαλίζει πάντοτε κατόπιν αυτοματοποιημένης επεξεργασίας δεδομένων ή περισσότερο όταν πρόκειται για απόφαση που να απορρέει από τη διαδικασία αυτή, ότι δίνει όλο το έδαφος στον πελάτη να αναπτύξει ανθρώπινη παρέμβαση, δηλαδή να εξηγήσει τη θέση του, να διαφωνήσει ή να προσβάλει την εν λόγω απόφαση.

viii) Δικαίωμα στην επεξεργασία δημιουργίας προφίλ.

H GDPR χαρακτηρίζει τη δημιουργία προφίλ (profiling) ως την αυτοματοποιημένη μέθοδο που αποσκοπεί στην αξιολόγηση συγκεκριμένων προσωπικών πληροφοριών, που μπορεί να σχετίζονται άμεσα ή έμμεσα με την:

· Απόδοση στην εργασία

· Οικονομική κατάσταση

· Υγεία

· Προσωπικές συνήθειες

· Συμπεριφορά

· Εγκυρότητα χαρακτήρα

· Τοποθεσία – διαμονή

· Κίνηση


Πώς με αφορά, τι πρέπει να γνωρίζω, τι να τηρώ;

Οι επιχειρήσεις που επεξεργάζονται δεδομένα με σκοπό τη δημιουργία προφίλ θα πρέπει να διασφαλίζουν τα εξής:

Ότι η εν λόγω επεξεργασία θα πρέπει να είναι ακέραιη και για το συγκεκριμένο σκοπό.

Να παρέχουν ενημέρωση στον πελάτη για τη λογική αυτής, τη σημαντικότητά της, καθώς και τις προβλεπόμενες πιθανές συνέπειες από τη χρήση της.

Τη χρήση επιστημονικών μεθόδων για τη δημιουργία προφίλ, όπως αναγνωρισμένα μαθηματικά ή στατιστικά εργαλεία, που θα διασφαλίζουν την ελαχιστοποίηση λαθών, καθώς και τη γρήγορη και αποτελεσματική διόρθωση τυχών ανακριβειών.


ix) Πως λαμβάνεται και αποδεικνύεται η συγκατάθεση που απαιτεί η GDPR

Σύμφωνα με την απαίτηση της GDPR, για την επεξεργασία των προσωπικών δεδομένων απαιτείται η συγκατάθεση του υποκειμένου και αυτή θα πρέπει να εκδηλώνεται με ξεχωριστή σαφή θετική ενέργεια ή δήλωση. Συνεπώς, η σιωπηρή απραξία του πελάτη και τα προσυμπληρωμένα εικονίδια δεν θα αρκούν για την απόκτηση και την απόδειξη έγκυρης συγκατάθεσης του υποκειμένου.

Παράδειγμα έγκυρης συγκατάθεσης αποτελεί η υπογραφή του πελάτη στην αίτηση σύμβασης που συμπληρώνει, όπου όμως θα πρέπει να του γνωστοποιείται με σαφή και διακριτό τρόπο για ποιο είδος επεξεργασίας απαιτείται η συγκατάθεσή του. Το ίδιο θα ισχύει και για τις ηλεκτρονικές συμβάσεις, όπου ως σαφής θετική συγκατάθεση θα εκλαμβάνεται π.χ. η συμπλήρωση ειδικών εικονιδίων από τον πελάτη.

x) Σε περίπτωση παραβίασης των προσωπικών δεδομένων από βάσεις ή αρχεία της επιχείρησης σας, ποιες είναι οι υποχρεώσεις.

Σε περίπτωση απώλειας, μεταβολής, ή άνευ αδείας διαρροής έντυπων ή/και ηλεκτρονικών προσωπικών πληροφοριών (π.χ. απώλεια επιστολής ταχυδρομείου, κλοπή ηλεκτρονικού υπολογιστή ή/και μαγνητικών μέσων αποθήκευσης όπως εξωτερικού σκληρού δίσκου, USB, CD, κτλ, επίθεση κακόβουλου χρήστη «hacker» ο οποίος παραβίασε τον υπολογιστή και έκλεψε αρχείο με προσωπικά δεδομένα), όπως και σε περιπτώσεις μη εξουσιοδοτημένης πρόσβασης (χρήστη ή τρίτου) σε προσωπικά δεδομένα ή τυχαίας/παράνομης καταστροφής τους, υπάρχει υποχρέωση, από την 25η Μαΐου 2018, να κοινοποιείται η παραβίαση προς την ασφαλιστική εταιρία και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εάν λειτουργείτε ως υπεύθυνος προστασίας) εντός 72 ωρών από τη στιγμή που αντιληφθήκατε το συμβάν και αφού αξιολογήσετε τον κίνδυνο που ενέχει η διαρροή αυτή. Επίσης εντός του ίδιου χρόνου θα πρέπει να ενημερώνεται και το υποκείμενο για το θέμα αυτό.

xi) Ορισμός DPO.

Εάν η επιχείρηση δεν έχει ορίσει ήδη DPO, τώρα είναι η στιγμή που θα πρέπει να το κάνει. Παρ’ όλα αυτά, εάν είναι μικρή οντότητα, ίσως να μη χρειαστεί έναν επίσημα ορισμένο DPO, αλλά κάποιον από την επιχείρησή του που θα έχει λάβει την απαραίτητη εκπαίδευση/γνώση, και θα μπορεί να αναλάβει τον ρόλο του υπεύθυνου της διαφύλαξης και συμμόρφωσης με τον νόμο επί των προσωπικών δεδομένων, σε θέματα τόσο οργάνωσης όσο και διαφύλαξης των πληροφοριών. Επίσης, η συγκεκριμένη ευθύνη μπορεί να ανατεθεί σε εξωτερικό σύμβουλο.

Σχόλια

Δημοφιλείς αναρτήσεις από αυτό το ιστολόγιο

Ο ρόλος του νέου επιχειρηματία ασφαλιστή, πέρα από την ψηφιοποίηση

Τι είναι τα Ασφαλιστικά cluster

Οι Αλλαγές στις επιχειρήσεις ασφαλιστικής διαμεσολάβησης μέχρι το 2030