Click Accept pentru a primi notificări cu cele mai importante știri!
Pe data de 25 mai va intra în vigoare la nivelul țărilor membre al Uniunii Europene Regulamentul General de Protecţie a Datelor (GDPR). Chiar dacă și până acum există o legislaţie privind protecţia datelor cu caracter personal, noul regulament vine cu prevederi mult mai stricte. Deși mai sunt câteva zile până la intrarea sa în vigoare, România nu a reușit să-și facă încă temele pentru că Autoritatea Naţională de Supraveghere a Datelor cu Caracter Personal nu a emis normele de aplicare. Amenzile pentru nerespectarea noilor prevederi sunt de milioane de euro. Unul dintre cele mai expuse sectoare este cel al asigurărilor pentru că aici se operează exclusiv cu date care au caracter personal.
Din perspective sancţiunilor ce decurg în cazul neaplicării acestui regulament european, aplicarea lui este marea provocare a anului în asigurări. Amenzile sunt usturătoare, ele putând merge până la 4% din cifra de afaceri globală a grupului sau 20 de milioane de euro. La asemenea amenzi nu este deloc de joacă, spun oficialii Autorității pentru Supravegherea Financiară.
“Implementarea regulamentului GDPR, alături de implementarea directivei IDD privind distribuţia de asigurări, reprezintă cele două mari provocări ale pieţei de asigurări pentru anul 2018.” Ovidiu Wlassopol, prim-vicepreşedinte ASF.
Care sunt datele vizate
Datele cu caracter personal vizate de noul regulament pot fi: imagini, nume, stare civilă, CNP, locaţie, timp, prieteni, obiceiuri zilnice, note obţinute la examene, date financiare, date fiscale, IP internet etc. În general, vorbim despre orice date care pot face o persoană identificabilă. De asemenea, există şi date personale sensibile care necesită o protecție specială. Acestea sunt: originea rasială sau etnică, prelucrarea fotografiilor prin mijloace tehnice specifice care permit identificarea sau autentificarea unei persoane fizice, date medicale, orientarea sexuală, apartenenţa la o organizaţie politică sau sindicală etc.
Piaţa asigurărilor şi GDPR
Sub impactul noului Regulament European, toate societăţile de asigurări, precum şi intermediarii în asigurări, vor trebui să fie mult mai atenţi cu privire la modul în care colectează, prelucrează şi utilizează astfel de date în activităţile curente. Cel mai banal exemplu, este cel în care solicităm unui broker de asigurări o ofertă pentru o poliţa RCA. După data de 25 mai, vor exista obligaţii suplimentare ale intermediarului în asigurări. Practic, înainte de a transmite solicitarea către asigurătorii cu care colaborează, brokerul va trebui să pună la dispoziţia clientului un formular în care acesta îşi exprimă acordul explicit pentru transmiterea şi prelucrarea datelor în vederea obţinerii de oferte pentru produsul RCA din partea societăţilor de asigurări cu care colaborează. “Brokerul nu va putea folosi acel acord decât într-un termen limitat de timp şi doar în ceea ce priveşte cotaţiile de primă RCA solicitate de către client” ne-a declarat Ovidiu Wlassopol, prim-vicepreşedintele ASF.
Temeiurile în baza cărora se poate face prelucrarea sunt consimţământul,
executarea unui contract, interesul legitim, obligaţie legală.
Respectarea dreptului de a fi uitat
Operatorul are obligaţia de a şterge datele cu caracter personal fără întărzieri nejustificate, atunci când persoana vizată solicită acest lucru. Totusi, trebuie precizat faptul că “dreptul de a fi uitat” nu este un drept absolut, supunându-se prevederilor exprese ale legislaţie interne şi internaţionale în domeniul retenţiei datelor cu caracter personal. De exemplu, legislaţia bancară obligă toţi operatorii economici din acea piaţă să păstreze datele prelucrate ale clienţilor timp de cinci ani după încheierea relaţiilor contractuale. Pe de altă parte, în cazul în care am dat acordul unei societăţi de asigurări să ne folosească datele în campanile lor de marketing şi ulterior revocăm acel consimţământ şi solicităm ca societatea de asigurări să nu mai folosească datele noastre în acele campanii de marketing, precum şi ştergerea lor.
Operatorul de date va fi obligat să informeze persoana, la cerere acesteia, în termen de o lună sau în cazuri deosebite în termen de trei luni cu privire la modul în care îi sunt respectate drepturile sale în privinţa protecţiei datelor, precum şi motivele prelungirii termenului de răspuns.
