Očekávané dopady GDPR do pojišťovnictví Praha 6.3.2018 JUDr. Darina Jašíčková, compliance officer/útvar DPO Kooperativa pojišťovna, a.s., Vienna Insurance Group Česká podnikatelská pojišťovna, a.s., Vienna Insurance Group Obsah Subjekty údajů v pojišťovně Aktuální vývoj u souhlasů se zpracováním zvláštních kategorií osobních údajů Příprava pojišťoven skupiny VIG ČR na GDPR GDPR a jejich implementace Vliv GDPR na vnitřní procesy a uspořádání v pojišťovně Příprava skupinového útvaru DPO 1
Subjekty údajů v pojišťovně Pojistník Pojištěný Oprávněná osoba Pojistná smlouva Obmyšlená osoba Poškozený Zájemce o pojištění - Pojistná smlouva (před uzavřením) Příjemce marketingových sdělení - Souhlas Zaměstnanec - Pracovní smlouva Aktuální vývoj u souhlasů se zpracováním zvláštních kategorií osobních údajů v pojišťovnách 1) Poslední stav přístupu modelace/nabídka souhlas sjednání nového pojištění, underwriting (nová PS / změna PS) souhlas od uzavření PS bez souhlasu (likvidace PU, šetření stížností, ukončení, ochrana nároků, prevence fraudu) starý kmen bez souhlasu 2) Odůvodnění tohoto přístupu GDPR čl. 9 zákaz zpracování OU o zdravotním stavu.. S výjimkou a) SU udělil výslovný souhlas, f) zpracování je nezbytné pro určení, výkon a obhajobu právních nároků, Důvodová zpráva k novela ZZOU, Povinnost získávat zdravotní údaje dle NOZ, 2828, 2864 navazující stanovisko ČAP 2
Příprava pojišťoven skupiny VIG ČR na GDPR Příprava plánu implementace Přelom 2016/2017 Projektové řízení (cíl, team, finance..) Výběr poradců 3 samostatné/spolupracující projekty Mapování procesů a GAP analýza 1. pol. 2017 Implementace změn 2. pol. 2017 květen 2018 Právní požadavky Změny procesů pojišťovny Katalog osobních dat IT bezpečnostní požadavky Informační memorandum, Souhlasy podle GDPR Zpracovatelské doložky, Výkon práv SU, Ohlašování porušení zabezpečení OU, DPIA, útvar DPO, záznamy o činnostech zpracování, Příprava Katalogu osobních dat Řešení IT bezpečnostních požadavků (přístupy, hesla, oprávnění, archivace ). Ověření 2. pol. 2018 GDPR a jejich implementace I 1) Právo SU na přístup k OU (čl.15) Účel zpracování - zejména pojišťovací činnost (uzavření PS, správa PS, zajištění, likvidace, předcházení pojistným podvodům ), Kategorie OU identifikační údaje, kontaktní údaje, údaje o zdravotním stavu, údaje o užívání služeb,.. Příjemci OU externí tiskárny, advokáti, exekutoři, smluvní lékaři, samostatní likvidátoři, zprostředkovatelé PS, zajišťovny, Doba expirace OU, Informace o dalších právech SU (oprava, výmaz, omezení, námitka na zpracování, možnost podat stížnost k UOOU), Informace o automatizovaném rozhodování a profilování, Možnost poskytnout kopie OU. 3
GDPR a jejich implementace - II 2) Právo na opravu (čl. 16) SU má právo, aby správce opravil nepřesné OU jež se týkají, SU má právo na doplnění jeho OU, 3) Právo na výmaz (čl. 17) Výmaz z důvodů expirace účelů zpracování OU, Pokud SU odvolá souhlas se zpracováním OU a současně pojišťovna nemá jiný další důvod zpracování OU, Pokud SU vznese oprávněnou námitku na zpracování OU, které pojišťovna zpracovává na základě oprávněných zájmů a pojišťovna shledá, že již nadále žádné převažující zájmy nemá, Pokud SU vznese námitku proti zpracování pro účely přímého marketingu, Pokud by OU byly zpracovávány protiprávně, Výjimky zpracování z důvodů plnění právních povinností - určení, výkon nebo obhajobu právních nároků GDPR a jejich implementace - III 4) Právo na omezení zpracování (čl. 18) SU popírá přesnost osobních údajů, do doby, než dojde k dohodě, jaké údaje jsou správné, Zpracování OU je protiprávní a SU odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití, Pojišťovna již OU dále nepotřebuje pro účely zpracování, ale SU je požaduje pro určení, výkon nebo obhajobu právních nároků, SU vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů. Výjimky souhlas SU, určení, výkon nebo obhajoba právních nároků, ochrana práv jiné FO nebo PO, důležitý veřejný zájem, 4
GDPR a jejich implementace IV 5) Právo na přenositelnost (čl. 20) SU má právo získat od pojišťovny všechny OU, které sám poskytl a které zpracováváme na základě souhlasu nebo na základě plnění smlouvy, Podmínkou přenosu OU je jejich automatizované zpracování, OU je nutné poskytnout v strukturované, běžně používaném a strojově čitelném formátu (např. csv) Možnost označení jiného správce, kterému mají být data předána, Neposkytuje se např. podpis SU GDPR a jejich implementace V 6) Právo vznést námitku (čl. 21) SU má právo vznést proti zpracování, pokud se jedná o plnění ve veřejném zájmu nebo pro účely oprávněných zájmů pojišťovny nutno provést balanční test, další zpracování pouze pokud oprávněné zájmy pojišťovny převáží, SU má právo vznést námitku proti zpracování OU pro účely přímého marketingu nelze již dále zpracovávat OU, SU musí být na uvedená práva výslovně upozorněn, SU má právo vznést námitku proti zpracování pro vědecké a historické účely, 7) Právo SU na podání stížnosti na postup správce nebo zpracovatele u ÚOOU (čl. 13 a čl. 57) 5
GDPR a jejich implementace VI Přijetí žádosti Identifikace Přijetí žádosti SU na výkon práv (písemně, elektronicky, vzdáleným přístupem), Žádosti jsou směřovány do útvaru DPO, Žádosti jsou zdokumentovány v interním SW nástroji Identifikace SU (jméno, příjmení, rodné číslo nebo datum narození, doplňkově číslo PS), Přijetí žádosti, žádost o doplnění identifikačních údajů, odmítnutí Využití interního nástroje KOD Katalog osobních dat Posouzení a zpracování žádosti Posouzení a vyřízení žádosti, součinnost ostatních útvarů pojišťovny (oprava, výmaz, odvolání souhlasů), Možnost prodloužit základní 30-denní lhůtu až o dalších 60 dní Odeslání odpovědi a její evidence (písemně, elektronicky, vzdáleným přístupem), Vliv GDPR na vnitřní procesy a uspořádání v pojišťovně - rekapitulace Změny v souhlasech se zpracováním OU (marketing, zdravotní údaje) Nová smluvní dokumentace informační povinnost, zpracovatelské doložky Nová práva subjektů údajů (DPO/správa smluv) Posuzování vlivu na ochranu OU (nové produkty a procesy v pojišťovně) (DPO/produktové útvary) Ohlašování porušení zabezpečení OU (DPO/bezpečnost) Vzdělávání a poradenství (DPO/personální) Interní audit (DPO/IA) 6
Příprava skupinového útvaru DPO Právní analýza od advokátní kanceláře povinnost jmenovat DPO v pojišťovnách, interní x externí DPO, organizační zařazení, úkoly, odpovědnosti, kvalifikace a pravomoci, Rozhodnutí představenstva o jmenování, Schválení útvaru DPO pro pojišťovny, Spolupráce s DPO skupiny Vienna Insurance Group a DPO dceřiných společností v ČR asistenční služby, likvidace, pojišťovací zprostředkovatelé, Úkoly útvaru DPO: Poskytování poradenství a vzdělávání v ochraně OU, Monitorování souladu činností pojišťoven a GDPR, Kontaktní místo pro ÚOOU, Ohlašování porušení zabezpečení OU, Spolupráce při posuzování vlivu na ochranu OU (DPIA), Účast na výborech (informační bezpečnost, řízení a kvality dat, compliance, řízení rizik, produkty) Děkuji za pozornost Prostor pro otázky Darina Jašíčková Tel: 733 698 714 djasickova@koop.cz 7