Η ΜΙΝΕΤΤΑ Ασφαλιστική ενημερώνει τους συνεργάτες της σχετικά με τον νέο Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR):

Ι. Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation 2016/679 - GDPR) αφορά στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και αποτελεί μια ισχυρότερη και πιο εκσυγχρονισμένη εκδοχή του ήδη υπάρχοντος νομικού πλαισίου, με τη διαφορά ότι ο εν λόγω Κανονισμός έχει καθολική ισχύ σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης, ορίζει αυστηρότερες απαιτήσεις και προβλέπει υψηλά πρόστιμα για τους παραβάτες με ανώτατο προβλεπόμενο τα 20.000.000 € ή αν πρόκειται για επιχείρηση το 4% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού ανάλογα με το ποιο είναι υψηλότερο.

1. Ποια είναι χαρακτηριστικά παραδείγματα δεδομένων προσωπικού χαρακτήρα και ποια όχι;

Προσωπικά δεδομένα ορίζονται όλα εκείνα τα στοιχεία που χαρακτηρίζουν ένα φυσικό πρόσωπο όπως:

• Ονοματεπώνυμο
• Επάγγελμα
• Οικογενειακή κατάσταση
• Ηλικία
• Διεύθυνση κατοικίας
• Διεύθυνση ηλεκτρονικού ταχυδρομείου (email)
• Στοιχεία τραπεζικού λογαριασμού
• Διεύθυνση IP του ηλεκτρονικού υπολογιστή
• ΑΜΚΑ,
• ΑΦΜ
• αριθμοί τηλεφώνου/ φαξ
• Δεδομένα Πληρωμής π.χ. τραπεζικοί λογαριασμοί, χρεωστικές/ πιστωτικές και λοιπές τραπεζικές κάρτες
• Δεδομένα Ασφάλισης, δηλαδή δεδομένα απαραίτητα για τη σύναψη και διαχείριση της ασφαλιστικής σύμβασης, (σε σχέση με την οικονομική/ περιουσιακή κατάσταση, επενδυτικούς/ αποταμιευτικούς στόχους, δεδομένα υγείας, δεδομένα για οδηγική συμπεριφορά -driving history)
• Δεδομένα Διακανονισμού: δεδομένα απαραίτητα για τη διαχείριση των απαιτήσεων από ασφάλιση που εμπεριέχονται στην αίτηση καταβολής [κατά περίπτωση] αποζημίωσης/ εξαγοράς/ καταβολής ασφαλίσματος ή σε συνοδευτικά αυτής έγγραφα/ δικαιολογητικά ή σχετίζονται με αυτήν.

Ευαίσθητα προσωπικά δεδομένα ορίζονται τα δεδομένα που αφορούν:

• Ιατρικό ιστορικό (Διαγνώσεις, συνταγές, παραπομπές, παραπεμπτικά γνωματεύσεις, αποτελέσματα εργαστηριακών και απεικονιστικών εξετάσεων)
• φυλετική ή εθνική προέλευση,
• πολιτικά φρονήματα και θρησκευτικές πεποιθήσεις,
• πληροφορίες σχετικές με την ερωτική ζωή,
• Ποινικές διώξεις ή καταδίκες.

Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα, είναι ο αριθμός μητρώου μιας εταιρείας, η εταιρική ηλεκτρονική διεύθυνση του τύπου «πληροφορίες@εταιρεία.com» και κάθε είδους ανώνυμα δεδομένα που δεν μπορούν να ταυτοποιήσουν ένα άτομο.

2. Τι αποτελεί «επεξεργασία δεδομένων»;

Ο όρος «επεξεργασία» καλύπτει ένα ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα.

Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

3. Ποια είναι τα δικαιώματα των υποκειμένων των δεδομένων

Όλα τα φυσικά πρόσωπα, τα «υποκείμενα» στα οποία ανήκουν τα δεδομένα, έχουν ολοκληρωμένα δικαιώματα διαχείρισης στα προσωπικά τους δεδομένα, με πιο σημαντικά:

• να αποκτούν εύκολη πρόσβαση και να λαμβάνουν όλα τα δεδομένα
• να ζητούν την διόρθωση σφαλμάτων
• να εναντιώνονται στην επεξεργασία τους
• να μπορούν να ζητούν την διαγραφή των προσωπικών τους δεδομένων (δικαίωμα στην λήθη).

4. Τι πρέπει να κάνουν οι εταιρίες που διαχειρίζονται προσωπικά δεδομένα.

Όλοι οι οργανισμοί, οι εταιρίες και οι ελεύθεροι επαγγελματίες, οι οποίοι επεξεργάζονται (με την έννοια της «επεξεργασίας» όπως αναλύθηκε πιο πάνω), θα πρέπει να εφαρμόζουν πολιτικές & διαδικασίες με τις οποίες:

• θα λαμβάνουν την ρητή συγκατάθεση από τα υποκείμενα των δεδομένων για τη συλλογή και την επεξεργασία προσωπικών δεδομένων.
• θα παρέχουν σαφή γνωστοποίηση για τη συλλογή και την επεξεργασία δεδομένων φυσικών προσώπων.
• θα περιγράφουν τους λόγους και τις περιπτώσεις επεξεργασίας των προσωπικών δεδομένων. Εν προκειμένω και όσον αφορά τις ασφαλιστικές εργασίες οι σκοποί για τους οποίους γίνεται επεξεργασία δεδομένων από τις ασφαλιστικές εταιρίας ή τους ασφαλιστικούς διαμεσολαβητές συνίστανται κυρίως:

- στις απαραίτητες ενέργειες κατά το προσυμβατικό στάδιο λ.χ. συμπλήρωση ερωτηματολογίων, υποβολή αίτησης ασφάλισης ή αίτησης προσφοράς ασφαλιστικού προϊόντος και κατά το στάδιο διακανονισμού της ασφαλιστικής αποζημίωσης.
- εκτίμηση του κινδύνου στο πλαίσιο της σύναψης της ασφαλιστικής σύμβασης, του καθορισμού των γενικών και ειδικών όρων της σύμβασης αυτής καθώς και του ανάλογου ασφαλίστρου
- διαχείριση της ασφαλιστικής σύμβασης εν γένει.

• Θα παρέχουν αναλυτικές πληροφορίες για τις διαδικασίες επεξεργασίας των δεδομένων [πώς συλλέγονται, πού αποστέλλονται πχ στην ασφαλιστική εταιρία, σε παρόχους υπηρεσιών υγείας, φύλαξης και διαχείρισης αρχείων, υπηρεσιών τηλεφωνικής εξυπηρέτησης πελατών, δικηγόρους, ερευνητές ή πραγματογνώμονες) πώς αποθηκεύονται κλπ.
• θα προστατεύουν τα προσωπικά δεδομένα λαμβάνοντας κατάλληλα μέτρα ασφαλείας στο εσωτερικό τους και στις επικοινωνίες τους με τρίτους προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας των δεδομένων έναντι των κινδύνων μη εξουσιοδοτημένης ή παράνομης επεξεργασίας, τυχαίας απώλειας, καταστροφής ή φθοράς. Βασική επιδίωξη των Υπευθύνων Επεξεργασίας αποτελεί η αποτροπή κάθε πρόσβασης στα δεδομένα προσωπικού χαρακτήρα από μη εξουσιοδοτημένα άτομα. Για τον λόγο αυτό, οι υπεύθυνοι επεξεργασίας δεσμεύονται ότι θα θεσπίσουν πολιτικές περιορισμένης πρόσβασης στα αρχεία δεδομένων προσωπικού χαρακτήρα, ώστε μόνο τα εξουσιοδοτημένα άτομα να έχουν πρόσβαση σε αυτά. Κατ’ ελάχιστον θα πρέπει να λαμβάνονται τα ακόλουθα μέτρα: α) θα αποθηκεύονται εφεδρικά αντίγραφα (back-up) των αρχείων που περιέχουν δεδομένα προσωπικού χαρακτήρα, σε χρονικά διαστήματα ανάλογα με τον βαθμό επικαιροποίησης και την επικινδυνότητα απώλειας/καταστροφής των δεδομένων, β) οι ηλεκτρονικές συσκευές στις οποίες αποθηκεύονται δεδομένα θα προστατεύονται με τη χρήση κωδικών ασφαλείας (password) οι οποίοι τροποποιούνται συχνά, γ) ειδική μέριμνα θα λαμβάνεται για την ασφάλεια των δεδομένων που τηρούνται σε φορητές ηλεκτρονικές συσκευές, πχ. μέσω κρυπτογράφησης, δ) ηλεκτρονικές συσκευές στις οποίες υπάρχουν προσωπικά δεδομένα δεν θα είναι εκτεθειμένες σε σημεία όπου έχει πρόσβαση το κοινό, ούτε θα είναι δυνατή η θέαση της οθόνης τους από οποιονδήποτε άλλον εκτός από τον εξουσιοδοτημένο χρήστη του υπολογιστή, ε) θα υπάρχουν κατάλληλοι χώροι διαθέσιμοι για συναντήσεις/συνομιλίες με τα Υποκείμενα των δεδομένων, όπου δεν θα είναι δυνατό να υφαρπαγεί από τρίτους συζήτηση στην οποία αποκαλύπτονται δεδομένα προσωπικού χαρακτήρα, στ) οι υπεύθυνοι επεξεργασίας των δεομένων θα θεσπίζουν εσωτερική πολιτική για την προστασία των δεδομένων προσωπικού χαρακτήρα και θα ενημερώνουν κατάλληλα το προσωπικό τους, ζ) θα εκπονήσουν αναλυτικές οδηγίες αναφορικά με τις απαραίτητες ενέργειες σε περίπτωση που διαπιστωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα, λαμβάνοντας υπόψη τα σχετικά άρθρα του Κανονισμού.
• Θα διενεργούν κάθε έτος αξιολόγηση κινδύνου σε επίπεδο ασφάλειας πληροφοριών, όπως διενέργεια ετήσιου ελέγχου ασφαλείας προκειμένου να εντοπίζονται τυχόν κενά ή αδυναμίες σε επίπεδο πληροφοριακών συστημάτων και εφαρμογών και εφαρμογή σαφούς πλάνου διορθώσεων (vulnerability assessment/penetration test), διενέργεια τακτικών ελέγχων της πρόσβασης σε συστήματα και εφαρμογές από συγκεκριμένα πρόσωπα και εφαρμογή μέτρων ώστε η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα των Υποκειμένων να περιορίζεται μόνο στα πρόσωπα τα οποία είναι αναγκαίο να γνωρίζουν και να επεξεργάζονται τα εκάστοτε δεδομένα.
• Θα λαμβάνουν τα απαραίτητα μέτρα ώστε να υφίστανται επεξεργασία μόνο τα απολύτως απαραίτητα για τον εκάστοτε σκοπό δεδομένα και τα δεδομένα να τυγχάνουν επεξεργασίας μόνο στον αναγκαίο βαθμό και για τον αναγκαίο χρόνο.
• θα γνωστοποιούν εντός 72 ωρών στις αρχές και στους ενδιαφερόμενους τυχόν παραβιάσεις προσωπικών δεδομένων.