Данните са в основата на застрахователния сектор. Без данни застрахователите не биха могли да оценят рисковете, срещу които потребителите желаят да бъдат защитени, да разработят и определят цените на полиците си, да обработват искове на потребителите или да разпознават измами.
Тъй като обработката на данни е в самото сърце на техния бизнес, застрахователите са наясно със стойността на данните и значението на тяхната защита. Това е не само законово и регулаторно изискване, но и основен компонент за изграждане и поддържане на доверието на потребителите.
Следователно застрахователите винаги са били силни поддръжници на целите на Общия регламент за защита на данните на ЕС (GDPR). Текстът, който влезе в сила през 2018 г., първоначално беше приет, за да защити основното право на неприкосновеността на личния живот на европейците, като същевременно насърчава отговорната конкуренция в цифровия свят. Сега, когато GDPR е почти на своя 6-ти рожден ден, е време за нов поглед и да проверим дали все още е подходящ за целта.
Европейската комисия има правно задължение да извърши втората си оценка на GDPR през 2024 г., след което може да реши да преразгледа или измени регламента. При първия преглед, извършен през 2020 г., Комисията счете рамката за подходяща за целта. История на успеха, която успя да даде на хората повече контрол върху техните данни.
Почти 6 години по-късно цифровият правен пейзаж в Европа се промени драстично. От развиващата се съдебна практика от Съда на ЕС до изцяло новите законодателни актове, произтичащи от европейската стратегия за данни, като Закона за данните, Закона за управление на данните и Закона за изкуствения интелект, цифровият правилник на ЕС стана много по-сложен.
Предстои да се определи как тези нови инициативи ще си взаимодействат една с друга на практика. Ясно е, че всички те се основават на основите, поставени от GDPR, и всички те ще окажат значително влияние върху операциите по обработка на данни на организациите през следващите месеци и години.
Преди да може да бъде оценено въздействието на стратегията за данни на Комисията и нейните нови разпоредби, повторното отваряне на GDPR е преждевременно. Подобно на много други сектори, застрахователната индустрия е инвестирала значителни ресурси в разбирането на GDPR и неговите последици и осигуряване на правилното прилагане на новия режим. Във време, когато GDPR също така успешно се наложи като глобален стандарт, прегледът на Комисията трябва да се възползва от тази възможност, за да се справи с нерешените проблеми с тълкуването, да насърчи съществуващите правни механизми l и да насърчи съответствието на компаниите.
Нека започнем, като прегледаме всяка една от тези точки.
Един от ключовите аспекти, върху които трябва да се съсредоточи прегледът на Комисията, е нежеланото въздействие на GDPR върху иновациите. Нововъзникващите технологии като блокчейн, изкуствен интелект и Интернет на нещата (IoT) предлагат огромни възможности както за застрахователите, така и за потребителите. Иновациите обаче могат да бъдат подкопани, от една страна, от липсата на насоки, а от друга, от твърде стриктното тълкуване, предоставено от съществуващите насоки, представени от Европейския съвет за защита на данните (ЕКЗД).
Вземете например блокчейн. Въпреки че потенциалът му за повишаване на ефективността, доверието и прозрачността е добре известен, все още не е ясно как използването му може да се съчетае с правото на изтриване и правото на коригиране на GDPR.
По същия начин, поради много тясно тълкуване на "необходимостта" от извършване на изцяло автоматизирани процеси, насоките на EDPB възпират застрахователите да въвеждат иновативни продукти, като например застраховане в реално време, предлагано чрез приложения за мобилни телефони.
Това води до втората точка. Ролята на ЕКЗД и неговите насоки.
Въпреки че насоките на ЕКЗД са полезен инструмент за прилагане и съответствие, има редица области, като международните трансфери на данни и правото на достъп до данни, в които ЕКЗД не е прилагал последователно основания на риска подход и принципите на пропорционалност, залегнали в GDPR. Например насоките относно правото на достъп предполагат, че след изрична заявка за достъп от страна на потребителя, компанията трябва да търси данните на лицето във всички свои ИТ системи, включително системи за архивиране. Изискването от контролера да търси резервни системи, които може да не са лесно или лесно достъпни, представлява непропорционално усилие. Резервните данни са лични данни, съхранявани единствено за възстановяване на данните в случай на загуба на данни и следователно не трябва да бъдат включени в обхвата на правото на достъп.
ЕКЗД следва да даде приоритет на практическите насоки за укрепване на хармонизацията и за намаляване на тежестта за съответствие, когато текстът на GDPR го позволява. Засиленият диалог с външни заинтересовани страни би позволил на ЕКЗД да научи повече за възникващите проблеми и да разработи подходящи насоки, които по-добре съответстват на практическите реалности, пред които са изправени предприятията, като в крайна сметка насърчават по-стабилно и ефективно спазване на изискванията за защита на данните.
И накрая, друга критична област за оценка трябва да бъде механизмът на GDPR за международен трансфер на данни.
Осигуряването на безпроблемни потоци от данни между държавите-членки на ЕС и трети държави е жизненоважно за европейския бизнес.
Тук Комисията трябва да предприеме мерки, за да гарантира, че компаниите могат да използват пълноценно всички инструменти за международни преводи, предвидени в GDPR. На този етап използването на съществуващи инструменти като кодекси за поведение и задължителни корпоративни правила е ограничено поради високите изисквания, наложени от EDPB, и дългите и сложни процеси на одобрение.
Комисията следва също така да ускори работата си за разработване на нови решения относно адекватността. Това са най-подходящите инструменти за международен трансфер на данни, тъй като осигуряват най-подходящите предпазни мерки както за компаниите, така и за потребителите. Въпреки това настоящият списък от държави, обхванати от решение за адекватност, все още е доста ограничен и не покрива трансферите на данни в среда, в която глобалният обмен на данни се увеличава ежедневно.