A biztosítók és a GDPR
2018.05.25.
Május 25 után Magyarországon is kötelező lesz alkalmazni az Európai Unió új általános adatvédelmi rendeletét (GDPR), amely – tekintettel arra, hogy az adatkezelők többségét érinti – a biztosítási szférában is változásokat hoz. Az új szabályozás egész Európában erősebb jogosítványokat ad az ügyfeleknek, hogy maguk rendelkezzenek adataikkal, hívja fel a figyelmet a nemzetközi képviseleti szervezet tájékoztatójával összhangban a Magyar Biztosítók Szövetsége (MABISZ).
Számos előadás és tájékoztató előzte meg a május 25-én életbe lépő új Európai Uniós szabályozást, amely szigorítja a vállalatok ügyfél adatainak tárolását és felhasználását. Az új általános adatvédelmi rendelet mindenkire vonatkozik, aki személyes adatokat kezel, és ezt a tevékenységet Európán belül végzi. Ennek értelmében a GDPR mindenkit érint, a biztosítási szektorra pedig különösen nagy hatással van, hiszen a piaci szereplők jelentős adatvagyonnal rendelkeznek. A szabályozási rendszer felépítése igen összetett, a rendelet be nem tartása ugyanakkor komoly anyagi következményekkel is járhat. Az európai biztosítók legfontosabb képviseleti szervezete, az Insurance Europe néhány pontban összefoglalta a biztosítóknak az új szabályozással kapcsolatos legfőbb kötelezettségeit, amelyek némelyikével az ügyfeleknek sem árt tisztában lenniük. (A részletes angol nyelvű tájékoztatás ezen a linken érhető el, a magyar nyelvű piktogramos infografika pedig megtalálható a MABISZ Facebook oldalán.)
A GDPR érvénybe lépésével a biztosítóknak a szabályozásban foglalt elvárások szerint kell kezelniük az ügyféladatokat, amelyek között bizonyos személyes adatok (pl. az ügyfél egészségi állapota) különleges adatnak számítanak. Ezek kezeléséhez az ügyfél előzetes hozzájárulása szükséges. Ugyanakkor a hazai gyakorlatban ez nem jelent lényegi változást, mivel ezt a magyar szabályozás már eddig is előírta a biztosítók számára.
A GDPR erősebb jogosítványokat ad az ügyfeleknek az adataikkal való rendelkezés vonatkozásában is. Ez azt jelenti, hogy például az ügyfél a hozzájárulásával kezelt adatairól tájékoztatást kérhet biztosítójától, és jogosult kérni azok más társaság részére való továbbítását is.
Ugyancsak elengedhetetlen megvizsgálni, hogy egy tevékenység során a biztosító által igénybe vett megbízott (adatfeldolgozó) megfelelően alkalmazza-e az ügyféladatok kezelésére vonatkozó szabályozást, a rendelet erre vonatkozóan is számos garanciát tartalmaz.
A biztosítók fő tevékenységük kapcsán jellemző módon nyomon követik magánszemélyek adatait, illetve bizonyos termékek esetében szükségszerű a különleges személyes adatok tömeges kezelése is. Ilyen esetben jogszabályi elvárás egy adatvédelmi tisztviselő kijelölése, aki hivatalból biztosítja a jogszabályoknak megfelelő adatkezelést.
A GDPR előírja azt is, hogy ha ügyfelek személyes adatai törvénytelen módon vagy más okból illetéktelen kezekbe kerülnek, esetleg átmenetileg nem elérhetőek vagy megváltoztak a tárolás során, úgy 72 órán belül értesíteni kell a felügyeleti hatóságot. A rendelet ezen kívül szigorú előírásokat tartalmaz az EU-n kívülre, harmadik országokba történő adattovábbításokra vonatkozóan is.