Ochrana dat v pojišťovnictví Praha 30.01.2019 Ing. Petr Brabenec, MBA, Kooperativa, a.s. Vienna Insurance Group Česká podnikatelská pojišťovna, a.s. Vienna Insurance Group 1 Obsah Subjekty údajů v pojišťovně Aktuální vývoj u souhlasů se zpracováním zvláštních kategorií osobních údajů Práva subjektů údajů dle GDPR a jejich implementace Vliv GDPR na vnitřní procesy a uspořádání v pojišťovně Skupinový útvar DPO v praxi 2 1
Subjekty údajů v pojišťovně Pojistník Pojištěný Oprávněná osoba Pojistné smlouva, pojistná Obmyšlená osoba událost Poškozený Zájemce o pojištění - Pojistná smlouva (před uzavřením) Příjemce marketingových sdělení - Souhlas Zaměstnanec - Pracovní smlouva Celkem rozlišujeme více než 20 rolí subjektů údajů 3 Subjekty údajů v pojišťovně účely zpracování Modelace, návrh a uzavření pojistné smlouvy Správa a ukončení pojistné smlouvy Likvidace pojistné události Prevence a odhalování pojistných podvodů a jiných protiprávních jednání Plnění zákonných povinností Ochrana majetku a osob Ochrana právních nároků pojišťovny Vznik, správa a ukončení vztahů se zprostředkovateli Zajištění a soupojištění Zajištění řádného nastavení vztahů se zaměstnanci Celkem 18 účelů zpracování 4 2
Aktuální vývoj u souhlasů se zpracováním zvláštních kategorií osobních údajů v pojišťovnách 1) Aktuální stav přístupu modelace/nabídka souhlas sjednání nového pojištění, underwriting (nová PS / změna PS) souhlas od uzavření PS bez souhlasu (likvidace PU, šetření stížností, ukončení, ochrana nároků, prevence fraudu) starý kmen bez souhlasu 2) Odůvodnění tohoto přístupu GDPR čl. 9 zákaz zpracování OU o zdravotním stavu.. S výjimkou a) SU udělil výslovný souhlas, f) zpracování je nezbytné pro určení, výkon a obhajobu právních nároků, Důvodová zpráva k novela ZZOU, Povinnost získávat zdravotní údaje dle NOZ, 2828, 2864 navazující stanovisko ČAP, 3) Ostatní souhlasy se zpracováním OU Marketingové souhlasy Souhlasy s nahráváním hovorů pro účely zlepšování kvality služeb Souhlas s vedením v databázi uchazečů o zaměstnání Souhlas se zpracováním OU získaný z kontaktního formuláře na webu 5 GDPR a jejich implementace I 1) Právo SU na přístup k OU (čl.15) Účel zpracování - zejména pojišťovací činnost (uzavření PS, správa PS, zajištění, likvidace, předcházení pojistným podvodům ), Kategorie OU identifikační údaje, kontaktní údaje, údaje o zdravotním stavu, údaje o užívání služeb,.. Příjemci OU externí tiskárny, advokáti, exekutoři, smluvní lékaři, samostatní likvidátoři, zprostředkovatelé PS, zajišťovny, Doba expirace OU, Informace o dalších právech SU (oprava, výmaz, omezení, námitka na zpracování, možnost podat stížnost k UOOU), Informace o automatizovaném rozhodování a profilování Možnost poskytnout kopie OU 6 3
GDPR a jejich implementace - II 2) Právo na opravu (čl. 16) SU má právo, aby správce opravil nepřesné OU jež se týkají, SU má právo na doplnění jeho OU, 3) Právo na výmaz (čl. 17) Pokud SU odvolá souhlas se zpracováním OU a současně pojišťovna nemá jiný další důvod zpracování OU, Pokud SU vznese oprávněnou námitku na zpracování OU, které pojišťovna zpracovává na základě oprávněných zájmů a pojišťovna shledá, že již nadále žádné převažující zájmy nemá, Pokud SU vznese námitku proti zpracování pro účely přímého marketingu, Pokud by OU byly zpracovávány protiprávně, Výjimky zpracování z důvodů plnění právních povinností - určení, výkon nebo obhajobu právních nároků 7 GDPR a jejich implementace - III 4) Právo na omezení zpracování (čl. 18) SU popírá přesnost osobních údajů, do doby, než dojde k dohodě, jaké údaje jsou správné, Zpracování OU je protiprávní a SU odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití, Pojišťovna již OU dále nepotřebuje pro účely zpracování, ale SU je požaduje pro určení, výkon nebo obhajobu právních nároků, SU vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů. Výjimky souhlas SU, určení, výkon nebo obhajoba právních nároků, ochrana práv jiné f.o. nebo p.o., důležitý veřejný zájem, 8 4
GDPR a jejich implementace IV 5) Právo na přenositelnost (čl. 20) SU má právo získat od pojišťovny všechny OU, které sám poskytl a které zpracováváme na základě souhlasu nebo na základě plnění smlouvy, Podmínkou přenosu OU je jejich automatizované zpracování, OU je nutné poskytnout v strukturované, běžně používaném a strojově čitelném formátu (např. csv) Možnost označení jiného správce, kterému mají být dat předána, Neposkytuje se např. podpis SU, 9 GDPR a jejich implementace V 6) Právo vznést námitku (čl. 21) SU má právo vznést proti zpracování, pokud se jedná o plnění ve veřejném zájmu nebo pro účely oprávněných zájmů pojišťovny nutno provést balanční test, další zpracování pouze pokud oprávněné zájmy pojišťovny převáží, SU má právo vznést námitku proti zpracování OU pro účely přímého marketingu nelze již dále zpracovávat OU, SU musí být na uvedená práva výslovně upozorněn, SU má právo vznést námitku proti zpracování pro vědecké a historické účely, 7) Právo SU na podání stížnosti na postup správce nebo zpracovatele u UOOU (čl. 13 a čl. 57) 10 5
GDPR a jejich implementace VI Přijetí žádosti Identifikace Přijetí žádosti SU na výkon práv (písemně, elektronicky, vzdáleným přístupem), Žádosti jsou směřovány do útvaru DPO, Žádosti jsou zdokumentovány v interním SW nástroji Identifikace SU (jméno, příjmení, rodné číslo nebo datum narození, doplňkově číslo PS), Přijetí žádosti, žádost o doplnění identifikačních údajů, odmítnutí Využití interního nástroje KOD Katalog osobních dat Posouzení a zpracování žádosti Posouzení a vyřízení žádosti, součinnost ostatních útvarů pojišťovny (oprava, výmaz, odvolání souhlasů), Možnost prodloužit základní 30-denní lhůtu až o dalších 60 dní Odeslání odpovědi a její evidence (písemně, elektronicky, vzdáleným přístupem), 11 Vliv GDPR na vnitřní procesy a uspořádání v pojišťovně Změny v souhlasech se zpracováním OU (marketing, zdravotní údaje) Nová smluvní dokumentace informační povinnost, zpracovatelské doložky Nová práva subjektů údajů (DPO/správa smluv) Posuzování vlivu na ochranu OU (nové produkty a procesy v pojišťovně) (DPO/produktové útvary) Ohlašování porušení zabezpečení OU (DPO/bezpečnost) Vzdělávání a poradenství (DPO/personální) Interní audit (DPO/IA) 12 6
Skupinový útvar DPO v praxi Právní analýza od advokátní kanceláře povinnost jmenovat DPO v pojišťovnách, interní x externí DPO, organizační zařazení, úkoly, odpovědnosti, kvalifikace a pravomoci, Rozhodnutí představenstva o jmenování, Schválení útvaru DPO pro pojišťovny, aktuální zařazení v úseku bezpečnosti, Spolupráce s DPO skupiny Vienna Insurance Group a DPO dceřiných společností v ČR asistenční služby, likvidace, pojišťovací zprostředkovatelé, Úkoly útvaru DPO: Poskytování poradenství a vzdělávání v ochraně OU, Monitorování souladu činností pojišťoven a GDPR, kontrolní činnost Kontaktní místo pro UOOU, Ohlašování porušení zabezpečení OU, Spolupráce při posuzování vlivu na ochranu OU (DPIA), Účast na výborech (informační bezpečnost, řízení a kvality dat, compliance, řízení rizik, produkty 13 Děkuji za pozornost Prostor pro otázky Petr Brabenec, Tel: 737 411 037 Petr.Brabenec@cpp.cz 14 7