Μη κατηγοριοποιημένοΠροστασία προσωπικών δεδομένων και ασφαλιστικές επιχειρήσεις – Γ. Λαζαράκος

4 Δεκεμβρίου 20190

Γρηγόρης Λαζαράκος, Αναπληρωτής Καθηγητής Συνταγματικού Δικαίου, Διαχειριστής Εταίρος, L&L Law Firm, πρώην αν. μέλος στην ΑΠΔΠΧ, Πιστοποιημένος νομικός εμπειρογνώμονας για την προστασία δεδομένων (CEPE L PS) στο Γερμανικό φορέα πιστοποίησης European Privacy Seal GmbH (EuroPriSe)

Η παρούσα μελέτη αποσκοπεί στην πληρέστερη κατανόηση των υποχρεώσεων των ασφαλιστικών εταιρειών έναντι του Γενικού Κανονισμού Προστασίας Δεδομένων επί τη βάσει συγκεκριμένων παραδειγμάτων, κυρίως από τον κλάδο αυτοκινήτου.

Εισαγωγικές παρατηρήσεις

Η εφαρμογή των ρυθμίσεων του Γενικού Κανονισμού Προστασίας Δεδομένων[1] (εφεξής και «ΓΚΠΔ») από τις ασφαλιστικές επιχειρήσεις αποτελεί χαρακτηριστικό παράδειγμα της απόστασης που χωρίζει πολλές φορές τη θεωρία από την πράξη. Ενάμιση έτος από την θέση σε ισχύ του ΓΚΠΔ και τα ερωτήματα που απασχολούν στην πράξη τις ασφαλιστικές επιχειρήσεις παραμένουν επίκαιρα: Πώς και πότε ενημερώνει η ασφαλιστική τους τρίτους παθόντες- ζημιωθέντες σε περίπτωση ατυχήματος; Ποιες είναι οι υποχρεώσεις της ασφαλιστικής σε σχέση με την ενημέρωση και/ή τη λήψη συγκατάθεσης των υποκειμένων των δεδομένων σε περίπτωση ατυχήματος; Απαιτείται η ενημέρωση και η λήψη συγκατάθεσης των πελατών/ασφαλισμένων κάθε φορά που ανανεώνεται ένα ασφαλιστήριο συμβόλαιο; Τι ισχύει σε σχέση με την ενημέρωση των ασφαλιζόμενων κατά τη διεξαγωγή ερευνών αγοράς, αναλύσεων και ενεργειών marketing;

Αυτά, και πολλά άλλα ερωτήματα αποτυπώνουν τη δύσκολη κατάσταση, που βιώνουν το τελευταίο διάστημα οι ασφαλιστικές επιχειρήσεις κατά την ενσωμάτωση και εφαρμογή στην καθημερινή τους λειτουργία του νέου νομοθετικού πλαισίου για τα προσωπικά δεδομένα. Η ανάγκη δε έγκαιρης και ορθής προσαρμογής τους στο νέο νομοθετικό πλαίσιο παρίσταται ακόμη μεγαλύτερη, αν αναλογιστεί κανείς ότι στις βασικές δραστηριότητες των ασφαλιστικών εταιριών ανήκει, μεταξύ άλλων, η επεξεργασία ευαίσθητων δεδομένων σε μεγάλη κλίμακα (όπως λ.χ. δεδομένων υγείας), η συστηματική και εκτενής αξιολόγηση των υποκειμένων των δεδομένων, καθώς και η αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, για τα οποία ο Γενικός Κανονισμός Προστασίας Δεδομένων διαλαμβάνει ειδικές ρυθμίσεις, ενώ γεννά και ειδικές υποχρεώσεις, όπως την υποχρέωση εκπόνησης εκτίμησης αντικτύπου (άρθρα 35 και 36) και τον υποχρεωτικό ορισμό υπευθύνου προστασίας δεδομένων (άρθρα 37- 39).

Η παρούσα μελέτη αποσκοπεί στην πληρέστερη κατανόηση των υποχρεώσεων των ασφαλιστικών εταιριών έναντι του Γενικού Κανονισμού Προστασίας Δεδομένων επί τη βάσει συγκεκριμένων παραδειγμάτων, κυρίως από τον κλάδο του αυτοκινήτου. Χρήσιμο ερμηνευτικό εργαλείο για την αποσαφήνιση αόριστων εννοιών είναι οι επιμέρους κατευθυντήριες οδηγίες της Ομάδας Εργασίας του άρθρου 29[2], καθώς και η πρακτική της ελληνικής αλλά και άλλων εθνικών εποπτικών αρχών κατά την προσέγγιση των εκάστοτε εξεταζόμενων ζητημάτων.

1. Αρχή της διαφάνειας και υποχρέωση ενημέρωσης της ασφαλιστικής εταιρίας προς: (α) τους υφιστάμενους πελάτες της (β) τους νέους πελάτες της και (γ) τους τρίτους παθόντες – ζημιωθέντες (σε περίπτωση ατυχήματος)

1.1 Σύμφωνα με το άρθρο 12 παρ. 1 του ΓΚΠΔ, «ο υπεύθυνος επεξεργασίας [οφείλει να] λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση […]. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς». Περαιτέρω, στο κείμενο εργασίας 260 της Ομάδας του άρθρου 29 επισημαίνεται ότι απλή αναφορά/παραπομπή του Υπεύθυνου Επεξεργασίας στη δήλωση απορρήτου ή στην πολιτική προστασίας προσωπικών δεδομένων ότι το υποκείμενο των δεδομένων θα πρέπει να ελέγχει τακτικά για αλλαγές ή επικαιροποιήσεις θεωρείται ανεπαρκής και δεν συνάδει με το πνεύμα των εξεταζόμενων διατάξεων, ιδίως με τη διάταξη του άρθρου 5 παρ. 1 στοιχ. α΄ του ΓΚΠΔ (αρχή της νομιμότητας, της αντικειμενικότητας και της διαφάνειας)[3]. Τούτο σημαίνει ότι ο Υπεύθυνος Επεξεργασίας θα πρέπει πάντοτε να λαμβάνει υπόψη του τις εύλογες προσδοκίες των υποκειμένων των δεδομένων ή τον πιθανό αντίκτυπο αυτών των αλλαγών στα υποκείμενα.

1.1.1 Υπό το πρίσμα των παραπάνω διατάξεων, οι υφιστάμενοι και οι νέοι πελάτες μιας ασφαλιστικής εταιρίας θα πρέπει να αντιμετωπισθούν ομοιόμορφα, δεδομένου ότι τα στοιχεία της ενημέρωσης που πρέπει να λαμβάνει το υποκείμενο των δεδομένων έχουν αλλάξει. Πέραν δηλαδή της κλασσικής ενημέρωσης για την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας, τους σκοπούς επεξεργασίας και τους αποδέκτες των δεδομένων, θα πρέπει το υποκείμενο να ενημερώνεται επιπλέον και ως προς τον υπεύθυνο προστασίας δεδομένων, καθώς και τα στοιχεία επικοινωνίας του, αν τα προσωπικά δεδομένα πρόκειται να διαβιβασθούν στο εξωτερικό, το χρονικό διάστημα διατήρησης των δεδομένων, την ύπαρξη των δικαιωμάτων πρόσβασης και αντίρρησης, τη δυνατότητά του να ανακαλέσει τη συγκατάθεση, εφόσον η επεξεργασία βασίζεται σε αυτή ή κατά πόσο η παροχή δεδομένων αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης. Θα πρέπει επιπλέον να ενημερώνεται ως προς την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, καθώς και ως προς το δικαίωμά του να υποβάλει καταγγελία στην εποπτική αρχή.

1.1.2 Το περιεχόμενο της ενημέρωσης πρέπει να περιέχει τα ως άνω στοιχεία του άρθρου 13 του ΓΚΠΔ, που σημαίνει ότι θα πρέπει να προηγείται εκ μέρους της ασφαλιστικής εταιρίας καλή καταγραφή των επεξεργασιών ανάλογα με την κατηγορία της ασφάλισης και, ακολούθως, επανεξέταση όλων των πληροφοριών που παρέχονται –ή έχουν παρασχεθεί- στα υποκείμενα των δεδομένων σχετικά με την επεξεργασία των προσωπικών δεδομένων τους, προκειμένου να διασφαλιστεί ότι τηρούνται οι απαιτήσεις του άρθρου 5 παρ. 1 στοιχ. α΄ του ΓΚΠΔ[4].

1.1.3 Η ενημέρωση θα πρέπει να είναι ατομική και όχι δια του τύπου [σποραδικά εμφανιζόμενες περιπτώσεις, όπου η ενημέρωση γίνεται δια του τύπου (όπως στις τράπεζες), κινούνται στα όρια της νομιμότητας, ιδίως αν λάβει κανείς υπόψη τις πρόσφατες (υπ’ αριθμ. 87/2017, 134/2017 και 23/2018) αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) (εκτός κι αν η παροχή των πληροφοριών αποδεικνύεται στην πράξη αδύνατη)]. Αυτό σημαίνει ότι η ασφαλιστική εταιρία θα πρέπει να ενημερώσει τα υποκείμενα –υφιστάμενους και νέους πελάτες της- με σχετικό (έγγραφο ή ηλεκτρονικό) έντυπο, που θα περιέχει όλα τα στοιχεία του άρθρου 13 του ΓΚΠΔ.

1.2 Τα παραπάνω ισχύουν και σε σχέση με την ενημέρωση των τρίτων παθόντων/ζημιωθέντων, πλην όμως το περιεχόμενο της ενημέρωσης θα πρέπει να προσαρμόζεται στην εκάστοτε εξεταζόμενη ειδική κατηγορία. Ο χρόνος της ενημέρωσης ορίζεται από το εάν τα στοιχεία συλλέγονται από τους ίδιους τους παθόντες ή από τρίτους, όπως ασφαλισμένους ή άλλη ασφαλιστική εταιρία.

1.2.1 Αν μεν τα στοιχεία συλλέγονται από τους ίδιους τους παθόντες (τρίτους εμπλεκόμενους), λ.χ. μέσω εταιρίας οδικής βοήθειας, θα πρέπει η σχετική ενημέρωση να δοθεί άμεσα σε αυτούς με έντυπο που θα περιέχει όλα τα στοιχεία του άρθρου 13 του ΓΚΠΔ, κατά τα ανωτέρω αναφερόμενα.

1.2.2 Σε περίπτωση που ο ασφαλιζόμενος της εταιρίας δώσει σε αυτήν προσωπικά στοιχεία εμπλεκόμενου τρίτου (παθόντα- ζημιωθέντα – μάρτυρα), η ασφαλιστική εταιρία θα πρέπει να ενεργήσει σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 14 παρ. 3 στοιχ. α΄ έως γ΄ του ΓΚΠΔ, να ενημερώσει δηλαδή τον εμπλεκόμενο τρίτο σε εύλογο χρονικό διάστημα από τη συλλογή των προσωπικών του δεδομένων, αλλά το αργότερο μέσα σε ένα μήνα, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία. Η προθεσμία αυτή, ωστόσο, θα μπορούσε να παρεκταθεί υπό την προϋπόθεση ότι, στο πλαίσιο των αρχών της νομιμότητας και της λογοδοσίας, η ασφαλιστική εταιρία θα είναι σε θέση να αποδείξει –και ακολούθως να αιτιολογήσει την απόφασή της- ότι τέτοια παρέκταση ήταν αναγκαία[5]. Οι εύλογες προσδοκίες των υποκειμένων των δεδομένων, η επίδραση που μπορεί να έχουν οι επεξεργασίες στα υποκείμενα, καθώς και η δυνατότητα των υποκειμένων να ασκούν τα δικαιώματά τους σε σχέση με μια δεδομένη επεξεργασία πρέπει να λαμβάνονται πάντοτε υπόψη. Υπ’ αυτήν την έννοια, τυχόν παρέκταση της προθεσμίας για αόριστο χρονικό διάστημα, με μοναδικό κριτήριο να ωριμάσουν οι συνθήκες για να γίνει «το πρώτον» η επαφή της ασφαλιστικής εταιρίας με τον τρίτο παθόντα/ζημιωθέντα, δεν φαίνεται να συνάδει με το γράμμα και το πνεύμα των διατάξεων του ΓΚΠΔ.

2. Επεξεργασία δεδομένων υγείας σε περίπτωση δυστυχήματος – Υποχρεώσεις ενημέρωσης και/ή συγκατάθεσης

2.1 Για την επεξεργασία δεδομένων υγείας σε περίπτωση τροχαίου δυστυχήματος με σωματική βλάβη θα πρέπει να λαμβάνεται η συγκατάθεση του υποκειμένου των δεδομένων (ασφαλιζόμενου της εταιρίας ή τρίτου παθόντος).

2.2 Επισημαίνεται εκ προοιμίου ότι η συγκατάθεση θα πρέπει να είναι καταρχήν ελεύθερη για να έχει ισχύ. Σύμφωνα με το άρθρο 7 παρ. 4 του ΓΚΠΔ και τις αιτιολογικές σκέψεις 32 και 43, η συγκατάθεση τεκμαίρεται ότι δεν χορηγείται ελεύθερα εάν η διαδικασία για τη λήψη της δεν επιτρέπει στα υποκείμενα των δεδομένων να δίνουν χωριστή συγκατάθεση για χωριστές/διαφορετικές πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα (π.χ. μόνο για ορισμένες επεξεργασίες και όχι για άλλες)[6]. Επιπλέον, σύμφωνα με τη διάταξη του άρθρου 7 παρ. 2 του ΓΚΠΔ «η συγκατάθεση του υποκειμένου των δεδομένων [όταν] παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το [σχετικό] αίτημα για συγκατάθεση [θα πρέπει να] υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση».

2.2.1 Επισημαίνεται επίσης ότι η ενημέρωση ως προϋπόθεση της συγκατάθεσης αναφέρεται σε διαφορετικά στοιχεία –σε σχέση με την ενημέρωση των άρθρων 13 και 14 του ΓΚΠΔ- και ως γενικός κανόνας ισχύει ότι η ενημέρωση οφείλεται όταν ζητείται η συγκατάθεση και προηγείται αυτής. Η ενημέρωση αυτή (για τη λήψη συγκατάθεσης) θα πρέπει να διακρίνεται από την ενημέρωση που παρέχεται στις περιπτώσεις, στις οποίες νομική βάση είναι η σύμβαση ή ο νόμος, που προβλέπει την υποχρεωτική ασφάλιση των οχημάτων και, ακολούθως, την επεξεργασία.

2.2.2 Στις ειδικές κατηγορίες δεδομένων (ευαίσθητα δεδομένα) η σύμβαση από μόνη της δεν αποτελεί νόμιμο λόγο επεξεργασίας. Εφόσον νόμος ορίζει την ασφάλιση και την επεξεργασία, η νομική βάση είναι η συμμόρφωση σε έννομη υποχρέωση. Διαφορετικά θα πρέπει να αναζητηθεί ως βάση της επεξεργασίας η συγκατάθεση.

2.3 Υπό το πρίσμα των ανωτέρω παρατηρήσεων, έχω τη γνώμη ότι, σε περίπτωση επεξεργασίας ειδικών κατηγοριών δεδομένων (π.χ. δεδομένα υγείας σε περίπτωση δυστυχήματος με σωματικές βλάβες), θα πρέπει να διακριθούν οι εξής δύο περιπτώσεις:

α) Αν μεν η επεξεργασία των ειδικών κατηγοριών προβλέπεται στο εκάστοτε ισχύον νομοθετικό ή κανονιστικό πλαίσιο [βλ. επί παραδείγματι άρθρο 6 παρ. 6, σε συνδυασμό με άρθρα 9 και 10 του ΠΔ 237/1986, καθώς και άρθρο 3 παρ. 4 σε συνδυασμό με τα άρθρα 7 παρ. 1 (βλ. και Παράρτημα/αίτηση αποζημίωσης, όπου καταχωρίζονται τα προσωπικά στοιχεία πιθανών μαρτύρων και τραυματιών) και 8 της υπ’ αριθμ. 87/2016 Π.Ε.Ε. της Τράπεζας της Ελλάδος], τότε η νομική βάση της επεξεργασίας είναι η συμμόρφωση σε έννομη υποχρέωση.

β) Σε διαφορετική περίπτωση, όταν δηλαδή δεν υπάρχει νομοθετική πρόβλεψη για τη συγκεκριμένη επεξεργασία, απαιτείται η λήψη συγκατάθεσης.

Ευπρόσωπα βεβαίως θα μπορούσε να υποστηριχθεί και η άποψη ότι ακόμη κι αν θεωρηθεί ότι η νομική βάση της επεξεργασίας είναι η συμμόρφωση σε έννομη υποχρέωση (ορθότερη άποψη), θα πρέπει, παρ’ όλ’ αυτά, να ζητηθεί η συγκατάθεση του υποκειμένου των δεδομένων (ζημιωθέντος προσώπου). Με τη συγκατάθεσή του –που θα απευθύνεται προς τον ιατρό και/ή το νοσοκομείο- το ζημιωθέν πρόσωπο (ασθενής/ασφαλισμένος της τρίτης ασφαλιστικής εταιρίας) θα συναινεί στην άρση του ιατρικού απορρήτου (άρθρο 13 του Ν 3418/2005) και στη χορήγηση στην ασφαλιστική εταιρία του ζημιώσαντος των δεδομένων υγείας του που αφορούν στη σωματική βλάβη, που υπέστη, συνεπεία συγκεκριμένου τροχαίου συμβάντος (ιατρική εκτίμηση, ιατρική πραγματογνωμοσύνη, σχετικές αποδείξεις περίθαλψης).

2.3.1 Στην περίπτωση αυτή (συγκατάθεση), η ασφαλιστική εταιρία θα πρέπει να παράσχει την ειδική ενημέρωση του άρθρου 7, όπως αυτό ερμηνεύθηκε κατά περιεχόμενο από το κείμενο εργασίας WP 259 της Ομάδας του άρθρου 29. Τούτο δε ισχύει ανεξαρτήτως αν το υποκείμενο των δεδομένων είναι ο ασφαλισμένος της εταιρίας ή τρίτος παθών.

2.3.2 Ως προς το χρόνο ενημέρωσης σημειώνεται ότι, εφόσον τα στοιχεία είναι τρίτου, του παθόντος/τραυματισμένου, τότε η ενημέρωση (και η λήψη της συγκατάθεσης) μπορεί να υπάρχει στο έντυπο της δήλωσης ατυχήματος. Σε κάθε περίπτωση, η ενημέρωση πρέπει να γίνει πριν η εταιρία προχωρήσει στη συλλογή των δεδομένων (π.χ. στο νοσοκομείο). Εφόσον τα στοιχεία αφορούν στον ίδιο τον ασφαλισμένο της εταιρίας, μπορεί να γίνει πριν την κατάρτιση της σύμβασης ασφάλισης, υπό την προϋπόθεση ότι καλύπτει τις περιπτώσεις που σχετίζονται με τη μεταγενέστερη συλλογή και την επεξεργασία των δεδομένων για τον εν λόγω σκοπό (εκτίμηση της σωματικής βλάβης του ζημιωθέντος προσώπου). Ωστόσο θεωρείται καλή πρακτική η εκ νέου ενημέρωση του υποκειμένου των δεδομένων (ασφαλισμένου) στη δήλωση ατυχήματος.

3. Υφίσταται υποχρέωση ενημέρωσης και λήψης νέας συγκατάθεσης κατά την ανανέωση ασφαλιστηρίου συμβολαίου;

3.1 Καθόσον αφορά στο χρονικό διάστημα ισχύος της συγκατάθεσης, σημειώνεται ότι στον Γενικό Κανονισμό δεν αναφέρεται συγκεκριμένο χρονικό πλαίσιο. Αντιθέτως, ο χρόνος ισχύος της συγκατάθεσης εξαρτάται από το πλαίσιο στο οποίο δόθηκε, το πεδίο εφαρμογής της αρχικής συγκατάθεσης και τις προσδοκίες του υποκειμένου των δεδομένων[7].

3.2 Ωστόσο, η Ομάδα Εργασίας του Άρθρου 29 συνιστά, ως βέλτιστη πρακτική, την ανανέωση της συγκατάθεσης σε κατάλληλα χρονικά διαστήματα, καθώς η παροχή όλων των πληροφοριών εκ νέου διασφαλίζει ότι το υποκείμενο των δεδομένων παραμένει καλά ενημερωμένο σε σχέση με τον τρόπο που θα χρησιμοποιηθούν τα δεδομένα του, καθώς και τον τρόπο που θα μπορεί να ασκήσει τα δικαιώματά του. Την ίδια άποψη υποστηρίζει και η εποπτική αρχή της Μεγάλης Βρετανίας (Information Commissioner’s Office/ICO)[8].

3.3 Για τους λόγους αυτούς, έχω τη γνώμη ότι δεν είναι καταρχήν αναγκαία η επανάληψη της ενημέρωσης/συγκατάθεσης, εφόσον φυσικά δεν έχει αλλάξει η επεξεργασία –οπότε, στην περίπτωση αυτή, απαιτείται οπωσδήποτε ενημέρωση/συγκατάθεση[9]– και η ανανέωση της σύμβασης παραπέμπει στην ενημέρωση και συγκατάθεση που δόθηκε με την αρχική σύμβαση. Ωστόσο, ως καλή πρακτική, προτείνεται –για λόγους συμμόρφωσης προς τις αρχές της αντικειμενικότητας και της διαφάνειας (άρθρο 5 παρ. 1 στοιχ. α΄ του ΓΚΠΔ)- να παρέχεται εκ νέου ενημέρωση (ακολούθως, να λαμβάνεται, όπου είναι αναγκαίο, εκ νέου συγκατάθεση) κατά την ανανέωση της σύμβασης, με τη σκέψη ότι είναι πολύ πιθανό οι πελάτες/ασφαλισμένοι της ασφαλιστικής εταιρίας να μην είναι σε θέση να θυμούνται όλες τις πληροφορίες που τους δόθηκαν κατά τη σύναψη του αρχικού συμβολαίου τους, γεγονός που δεν αποκλείεται, σε ορισμένες περιπτώσεις, να έχει συμβεί αρκετά χρόνια νωρίτερα. Αν μάλιστα η ανανέωση θεωρηθεί νέα σύμβαση, και μπορεί να αλλάξουν οι όροι της ασφάλισης, τότε συνιστούμε την εκ νέου ενημέρωση ή/και συγκατάθεση των ασφαλισμένων.

4. Διεξαγωγή ερευνών αγοράς, αναλύσεων και ενεργειών marketing – Νομική βάση και υποχρεώσεις ενημέρωσης

Καθόσον αφορά στη διεξαγωγή ερευνών αγοράς και ενεργειών marketing για υφιστάμενους πελάτες και πρόσωπα, με τα οποία υπάρχει συναλλακτική σχέση, θα μπορούσε ως νομική βάση της επεξεργασίας να θεωρηθεί το «έννομο συμφέρον» (άρθρο 6 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ). Σύμφωνα με την αιτιολογική σκέψη 47 του ΓΚΠΔ, το έννομο συμφέρον του Υπεύθυνου Επεξεργασίας θα μπορούσε να χρησιμοποιηθεί ως νομική βάση της επεξεργασίας σε περιπτώσεις κατά τις οποίες «… υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του». Στις περιπτώσεις αυτές χρειάζεται προσεκτική αξιολόγηση, μεταξύ άλλων, ως προς το κατά πόσον το υποκείμενο των δεδομένων (ασφαλισμένος), κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, αναμένει ευλόγως να πραγματοποιηθεί επεξεργασία για το σκοπό της έρευνας αγοράς και της εμπορικής προώθησης ασφαλιστικών προϊόντων (κάτι που από μια πρώτη ανάγνωση φαίνεται να ισχύει). Αντιθέτως, στην περίπτωση των «αναλύσεων» και εφόσον η εν λόγω έννοια έχει διαφορετικό περιεχόμενο από αυτήν της «έρευνας αγοράς» -αν ενέχει επί παραδείγματι την «κατάρτιση προφίλ»- τότε για την εν λόγω επεξεργασία θα απαιτείτο η λήψη συγκατάθεσης. Το ίδιο ισχύει και α) στην περίπτωση διεξαγωγής ερευνών αγοράς και ενεργειών marketing σε σχέση με τρίτους και β) σε περίπτωση που τα στοιχεία των πελατών διαβιβάζονται σε τρίτους για προωθητικές ενέργειες των τρίτων, οπότε στις περιπτώσεις αυτές θα απαιτείτο επίσης η λήψη συγκατάθεσης.

Αντί επιλόγου

Η σύντομη ως άνω ανάλυση ορισμένων ζητημάτων από την καθημερινή πράξη των ασφαλιστικών εταιριών σε σχέση με την ενσωμάτωση και εφαρμογή των απαιτήσεων του ΓΚΠΔ αποσκοπούσε στο να καταδείξει την ανάγκη ορθής προσαρμογής των επιχειρήσεων που δραστηριοποιούνται στον τομέα της ιδιωτικής ασφάλισης στο νέο κανονιστικό περιβάλλον των προσωπικών δεδομένων. Θα πρέπει δε να γίνει δεκτό ότι η αντιμετώπιση των ασφαλιζόμενων -και εν γένει των συναλλασσομένων με την ασφαλιστική επιχείρηση- με όρους διαφάνειας και σεβασμού των προσωπικών δεδομένων που τους αφορούν -πέραν του ότι θα αποβεί εις όφελος των φυσικών προσώπων – θα βοηθήσει και τις ίδιες τις επιχειρήσεις να «κτίσουν» -ή να αποκαταστήσουν- μία σχέση εμπιστοσύνης με τους πελάτες τους, προσφέροντάς τους παράλληλα ένα συγκριτικό πλεονέκτημα στην αγορά. Παράλληλα, η συμμόρφωση των ασφαλιστικών επιχειρήσεων με τις υψηλές απαιτήσεις του ΓΚΠΔ θα τις βοηθήσει να αποτρέψουν πιθανές παραβιάσεις της οικείας νομοθεσίας και, ακολούθως, να υποστούν τις αυστηρές –οικονομικής κυρίως φύσεως- κυρώσεις, που προβλέπει ο ΓΚΠΔ σε περίπτωση παραβίασης των διατάξεών του.

Επισημαίνεται δε ότι οι συνέπειες ενδεχόμενης παραβίασης του Κανονισμού δεν περιορίζονται μόνον στο ζήτημα των υψηλών προστίμων, καθότι τις περισσότερες φορές η ζημία που υφίσταται μια εταιρία από τη δημοσιοποίηση τέτοιων περιστατικών είναι πολύ υψηλότερη του προστίμου που τυχόν της επιβληθεί από την εποπτική αρχή λόγω του άμεσου και σοβαρού αντικτύπου που έχει η δημοσιοποίηση αυτή στην αξιοπιστία και την εμπορική της φήμη. Για όλους αυτούς τους λόγους, δεν καταλείπεται περιθώριο αμφιβολίας για το γεγονός ότι η ανάγκη συμμόρφωσης επιχειρήσεων και οργανισμών με τον Γενικό Κανονισμό αποκτά ιδιαίτερη σημασία τόσο για αυτές όσο, προφανώς, και για όλους εμάς, που –είμαστε πολλές φορές αναγκασμένοι να- τους εμπιστευόμαστε τα δεδομένα που μας αφορούν.


[1]. Γενικός Κανονισμός (EE) 2016/679 της 27ης Απριλίου 2016 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)», ΕΕ L 119, σελ. 1 επ.

[2]. Ως Ομάδα Εργασίας του άρθρου 29 ορίζεται η «Ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα», που συστήθηκε με το άρθρο 29 της Οδηγίας 95/46/ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Η Ομάδα έχει συμβουλευτικό χαρακτήρα ως προς την Ευρωπαϊκή Επιτροπή, είναι ανεξάρτητη ως προς αυτήν και απαρτίζεται από έναν εκπρόσωπο της αρχής ή των αρχών Προστασίας Δεδομένων κάθε κράτους-μέλους.

[3]. Βλ. Ομάδα Εργασίας (ΟΕ) του Άρθρου 29, WP260 “Guidelines on transparency under Regulation 2016/679” παρ. 22.

[4]. Βλ. Ομάδα Εργασίας (ΟΕ) του Άρθρου 29, WP260 “Guidelines on transparency under Regulation 2016/679” παρ. 2.

[5]. Βλ. Ομάδα Εργασίας (ΟΕ) του Άρθρου 29, WP260 “Guidelines on transparency under Regulation 2016/679” παρ. 25.

[6]. Βλ. Ομάδα Εργασίας (ΟΕ) του Άρθρου 29, WP259 “Guidelines on Consent under Regulation 2016/679 adopted on 28 November 2017”, Κεφ. 3.2.

[7]. Βλ. Ομάδα Εργασίας (ΟΕ) του Άρθρου 29, WP259 “Guidelines on Consent under Regulation 2016/679 adopted on 28 November 2017”, Κεφ. 5.1.

[8]. Information Commissioner’s Office, “Consultation: GDPR consent guidance”, σελ. 25-26 που βρίσκεται διαθέσιμο στον ιστότοπο https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf (ημ/νια τελευταίας πρόσβασης 21.6.2018).

[9]. Βλ. Ομάδα Εργασίας (ΟΕ) του Άρθρου 29, WP259 “Guidelines on Consent under Regulation 2016/679 adopted on 28 November 2017”, Κεφ. 5.1.

Πηγή: ΔΕΕ, 2019, σελ. 1246

Leave a Reply

Your email address will not be published. Required fields are marked *

https://pierrouattorneys.eu/wp-content/uploads/2021/07/PIERROU_small-copy.png
Εμμανούηλ Μπενάκη 8, Αθήνα, Τ.Κ. 10564
Λαγκαδά 2, Θεσσαλονίκη, T.K. 546 30
Παπαδήμα Αντωνίου 1, Κομοτηνή, T.K. 69132
210 321 9797-8

Ακολουθήστε μας:

ΕΠΙΚΟΙΝΩΝΙΑ

Προσαρμογή & Φιλοξενία από την Impulse, Web Design, Web Hosting

Copyright © Pierrou Attorneys 2021

error: Content is protected !!
Αρέσει σε %d bloggers: