Czas na drugie spojrzenie na RODO

0
989

Dane są rdzeniem sektora ubezpieczeń. Bez danych ubezpieczyciele nie mogliby oceniać ryzyk, które klienci chcą zabezpieczyć, opracowywać i wyceniać swoich polis, przetwarzać roszczeń klientów ani wykrywać oszustw.

Ponieważ przetwarzanie danych leży u podstaw ich działalności, ubezpieczyciele są świadomi wartości danych i znaczenia ich ochrony. Jest to nie tylko wymóg prawny i regulacyjny, ale także fundamentalny element budowania i utrzymywania zaufania klientów.

Ubezpieczyciele zawsze byli zdecydowanymi zwolennikami celów unijnego ogólnego rozporządzenia o ochronie danych (RODO). Rozporządzenie – które weszło w życie w 2018 r. – zostało pierwotnie przyjęte w celu ochrony fundamentalnego prawa Europejczyków do prywatności, przy jednoczesnym wspieraniu odpowiedzialnej konkurencji w świecie cyfrowym. Teraz, gdy RODO obchodzi swoje szóste urodziny, nadszedł czas na ponowne spojrzenie i sprawdzenie, czy nadal spełnia swoje cele.

Zmiany w otoczeniu cyfrowym

Komisja Europejska ma prawny obowiązek przeprowadzenia drugiej oceny RODO w 2024 r., po której może zdecydować o zmianie lub poprawieniu rozporządzenia. W pierwszej ocenie, przeprowadzonej w 2020 r., KE uznała ramy za spełniające swoje zadanie. Sukces, który udało się osiągnąć, polegał na zapewnieniu osobom fizycznym większej kontroli nad ich danymi.

Sześć lat po wejściu w życie rozporządzenia cyfrowe otoczenie prawne w Europie znacznie się zmieniło. Od ewoluującego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej po zupełnie nowe przepisy wynikające ze strategii danych UE, takie jak Akt w sprawie danych, Akt w sprawie zarządzania danymi i Akt w sprawie sztucznej inteligencji – cyfrowy kodeks UE stał się znacznie bardziej skomplikowany.

To, jak te nowe inicjatywy będą ze sobą współdziałać w praktyce, jeszcze nie zostało ustalone. Jasne jest jednak, że wszystkie one opierają się na fundamentach położonych przez RODO i wszystkie będą miały znaczący wpływ na przetwarzanie danych przez organizacje w nadchodzących latach.

Zanim będzie można ocenić wpływ strategii danych Komisji i jej nowych regulacji, ponowne otwarcie tematu RODO jest przedwczesne. Podobnie jak wiele innych sektorów, branża ubezpieczeniowa zainwestowała znaczne zasoby w zrozumienie RODO i jego implikacji oraz zapewnienie prawidłowego wdrożenia. W czasie gdy RODO z powodzeniem stało się również globalnym standardem, przegląd Komisji powinien wykorzystać tę okazję do rozwiązania nierozstrzygniętych kwestii interpretacyjnych, promowania istniejących mechanizmów prawnych i wspierania zgodności z przepisami (compliance) w działalności firm.

Wpływ RODO na innowacje

Jednym z kluczowych aspektów, na którym powinna skupić się Komisja, jest niezamierzony wpływ RODO na innowacje. Nowe technologie, takie jak blockchain, sztuczna inteligencja i internet rzeczy (IoT), oferują ogromne możliwości zarówno dla ubezpieczycieli, jak i konsumentów. Jednak innowacje mogą być podważane z jednej strony przez brak wytycznych, a z drugiej – przez zbyt rygorystyczną interpretację istniejących wytycznych przedstawionych przez Europejską Radę Ochrony Danych (EROD).

Weźmy za przykład blockchain. Choć jego potencjał w zwiększaniu efektywności, zaufania i przejrzystości jest powszechnie znany, wciąż nie jest jasne, jak jego użycie można pogodzić z prawem do bycia zapomnianym i prawem do sprostowania w ramach RODO.

Prawo dostępu

Chociaż wytyczne EROD są użytecznym narzędziem wdrażania i zapewniania zgodności, istnieje wiele obszarów, takich jak międzynarodowe transfery danych i prawo dostępu do danych, w których EROD nie stosowała konsekwentnie podejścia opartego na ryzyku i zasad proporcjonalności zawartych w RODO.

Na przykład wytyczne dotyczące prawa dostępu sugerują, że po wyraźnym żądaniu dostępu od konsumenta firma powinna przeszukać dane osoby we wszystkich swoich systemach IT, w tym w systemach kopii zapasowych. Wymaganie od administratora przeszukiwania kopii zapasowych, które mogą nie być łatwo dostępne, stanowi nieproporcjonalny wysiłek. Dane z kopii zapasowych są przechowywane wyłącznie w celu ich przywrócenia w przypadku utraty danych, dlatego nie powinny być uwzględniane w zakresie prawa dostępu.

EROD powinna priorytetowo traktować praktyczne wytyczne w celu wzmocnienia harmonizacji i zmniejszenia obciążenia związanego z zapewnieniem zgodności, gdy tylko RODO na to pozwala. Zwiększony dialog z interesariuszami umożliwiłby EROD lepsze poznanie pojawiających się kwestii i opracowanie bardziej adekwatnych wytycznych, które lepiej odpowiadałyby praktycznym realiom, z jakimi borykają się przedsiębiorstwa, ostatecznie promując bardziej skuteczne przestrzeganie ochrony danych.

Międzynarodowy transfer danych

Innym krytycznym obszarem oceny powinien być mechanizm RODO dotyczący międzynarodowego transferu danych. Zapewnienie płynnych przepływów danych między państwami członkowskimi UE a krajami trzecimi jest kluczowe dla europejskich przedsiębiorstw.

Komisja powinna podjąć kroki w celu zapewnienia firmom pełnego wykorzystania wszystkich narzędzi do międzynarodowych transferów przewidzianych w RODO. Na tym etapie użycie istniejących narzędzi, takich jak kodeksy postępowania i wiążące reguły korporacyjne, zostało ograniczone ze względu na wysokie wymagania narzucone przez EROD oraz długie i skomplikowane procesy zatwierdzania.

Komisja powinna również przyspieszyć prace nad opracowaniem nowych decyzji o adekwatności. Są to najodpowiedniejsze instrumenty do międzynarodowego transferu danych, ponieważ zapewniają najbardziej odpowiednie zabezpieczenia zarówno dla firm, jak i konsumentów. Jednak obecna lista krajów objętych decyzją o adekwatności jest nadal dość ograniczona i nie obejmuje wystarczająco transferów danych w środowisku, w którym globalna wymiana danych rośnie każdego dnia.

Co dalej

Ogólnie rzecz biorąc, prace są nadal potrzebne. Nadchodząca ocena jest zatem okazją, aby upewnić się, że rozporządzenie spełnia swoje zamierzone cele. Potrzebny jest kompleksowy przegląd RODO, który rozwiązuje nierozstrzygnięte wyzwania interpretacyjne, ułatwia firmom compliance i wzmacnia jednolity rynek europejski. Musi promować praktyczne wytyczne EROD, zabezpieczać międzynarodowe transfery danych i pełne wykorzystanie wszystkich mechanizmów RODO.

Wszystko to utoruje drogę do kolejnego przeglądu w 2028 r., kiedy będzie można lepiej ocenić wpływ niedawno przyjętych przepisów dotyczących strategii danych i przeprowadzić całościową ocenę cyfrowego kodeksu UE.

William Vidonja
szef działu ds. przestrzegania przepisów Insurance Europe