GDPR & IDD: Δύο Διαφορετικοί Κόσμοι (myIDD: Διευκρίνιση)

💡Το myIDD καλύπτει την ανάγκη για τον ηλεκτρονικό τρόπο ενημέρωσης που μπορεί να επιλέξει ο πελάτης σας.

Συνεπώς, υπάρχουν δύο διακριτά βήματα σχετικά με την επικοινωνία και την ενημέρωση:
1. Καταγραφή προτιμήσεων επικοινωνίας: Αρχικά, είναι απαραίτητο να έχετε ένα οργανωμένο σύστημα για να καταγράφετε αν κάθε πελάτης επιθυμεί ή αποδέχεται διαφορετικά μέσα επικοινωνίας.
2. Ηλεκτρονική ενημέρωση για δικαιώματα: Εάν ο πελάτης επιλέξει την ηλεκτρονική επικοινωνία, τότε μέσω του myIDD τον ενημερώνετε για τα δικαιώματά του. Και στην συνέχεια προβαίνετε σε εντύπου διερευνήσεις αναγκών και αιτιολογημένη συμβουλής.
Αξιοποιώ την ευκαιρία της ηλεκτρονικής διαδικασίας για να τον ενημερώσω και για την Προ-συμβατική Ενημέρωση, όπως απαιτείται από την Τράπεζα της Ελλάδος (ΤτΕ).

Ο GDPR (Γενικός Κανονισμός για την Προστασία Δεδομένων) και η IDD (Insurance Distribution Directive – Οδηγία για τη Διανομή Ασφαλιστικών Προϊόντων) είναι δύο διαφορετικά θέματα, αν και μπορεί να αλληλοεπικαλύπτονται σε ορισμένες περιπτώσεις.
GDPR (Γενικός Κανονισμός για την Προστασία Δεδομένων):
• Είναι ένας κανονισμός της Ευρωπαϊκής Ένωσης που αφορά την προστασία των προσωπικών δεδομένων και την ιδιωτικότητα όλων των ατόμων εντός της ΕΕ και του Ευρωπαϊκού Οικονομικού Χώρου.
• Ρυθμίζει τον τρόπο με τον οποίο συλλέγονται, χρησιμοποιούνται και αποθηκεύονται τα προσωπικά δεδομένα.
• Εφαρμόζεται σε ένα ευρύ φάσμα οργανισμών και βιομηχανιών που επεξεργάζονται προσωπικά δεδομένα.
IDD (Insurance Distribution Directive – Οδηγία για τη Διανομή Ασφαλιστικών Προϊόντων):
• Είναι μια οδηγία της Ευρωπαϊκής Ένωσης που ρυθμίζει τον τρόπο με τον οποίο διανέμονται τα ασφαλιστικά προϊόντα.
• Στόχος της είναι η ενίσχυση της προστασίας των καταναλωτών στην αγορά ασφαλίσεων, διασφαλίζοντας ότι λαμβάνουν επαρκείς πληροφορίες και ότι τα προϊόντα που τους προσφέρονται είναι κατάλληλα για τις ανάγκες τους.
• Εστιάζει στη συμπεριφορά των διανομέων ασφαλιστικών προϊόντων (π.χ., ασφαλιστικοί πράκτορες, μεσίτες, ασφαλιστικές εταιρείες). (ΟΔΗΓΙΕΣ ΕΦΑΡΜΟΓΗΣ ΕΠΙ ΣΥΓΚΕΚΡΙΜΕΝΩΝ ΖΗΤΗΜΑΤΩΝ ΤΟΥ Ν. 4583/2018, 18/05/2023)

Η σχέση τους:
Ενώ είναι διαφορετικές νομοθεσίες με διαφορετικούς κύριους στόχους, μπορεί να υπάρξει αλληλεπίδραση. Για παράδειγμα, κατά τη διανομή ασφαλιστικών προϊόντων, οι διανομείς συλλέγουν και επεξεργάζονται προσωπικά δεδομένα των πελατών. Σε αυτή την περίπτωση, πρέπει να συμμορφώνονται τόσο με τις απαιτήσεις του IDD σχετικά με την παροχή πληροφοριών και την καταλληλότητα των προϊόντων, όσο και με τις απαιτήσεις του GDPR σχετικά με την προστασία των προσωπικών δεδομένων αυτών.Συνοπτικά, ο GDPR αφορά την προστασία των προσωπικών δεδομένων γενικά, ενώ η IDD αφορά τη ρύθμιση της διανομής ασφαλιστικών προϊόντων και την προστασία των καταναλωτών στον συγκεκριμένο τομέα.

Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), δεν είναι απαραίτητο να λάβετε υπογραφή από τους πελάτες σας για να τους ενημερώσετε σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Μπορείτε να λάβετε τη συγκατάθεσή τους και μέσω ηλεκτρονικών μέσων, αρκεί η συγκατάθεση αυτή να είναι:
• Ελεύθερη: Ο πελάτης πρέπει να έχει τη δυνατότητα να επιλέξει εάν θα δώσει τη συγκατάθεσή του χωρίς καμία πίεση ή συνέπεια σε περίπτωση άρνησης (εκτός αν η επεξεργασία είναι απαραίτητη για την παροχή της υπηρεσίας).
• Συγκεκριμένη: Η συγκατάθεση πρέπει να αφορά συγκεκριμένους σκοπούς επεξεργασίας.
• Ενημερωμένη: Ο πελάτης πρέπει να έχει λάβει σαφείς και κατανοητές πληροφορίες σχετικά με την επεξεργασία των δεδομένων του (ποιος είναι ο υπεύθυνος επεξεργασίας, για ποιους σκοπούς θα χρησιμοποιηθούν τα δεδομένα, ποιοι είναι οι αποδέκτες των δεδομένων, τα δικαιώματα του υποκειμένου των δεδομένων κ.λπ.).
• Ρητή: Η συγκατάθεση πρέπει να δίνεται με μια σαφή θετική ενέργεια (π.χ. τσεκάρισμα ενός κουτιού σε μια ιστοσελίδα, επιλογή μιας ρύθμισης, γραπτή ή προφορική δήλωση). Η σιωπή, η αδράνεια ή τα προσυμπληρωμένα κουτιά δεν θεωρούνται έγκυρη συγκατάθεση.
Ηλεκτρονικά μέσα για τη λήψη συγκατάθεσης μπορεί να είναι:
• Φόρμες σε ιστοσελίδες με κουτάκια επιλογής (checkboxes).
• Μηνύματα ηλεκτρονικού ταχυδρομείου με σύνδεσμο για επιβεβαίωση.
• Pop-up παράθυρα σε ιστοσελίδες που ζητούν συγκατάθεση.
• Ρυθμίσεις σε εφαρμογές.
Συνοψίζοντας: Δεν είναι υποχρεωτική η υπογραφή για την ενημέρωση GDPR. Μπορείτε να λάβετε έγκυρη συγκατάθεση και μέσω ηλεκτρονικών μέσων, εφόσον πληρούνται οι προϋποθέσεις του GDPR για τη συγκατάθεση.

Αυτά που σας ανέφερα καθορίζονται κυρίως από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ), γνωστό και ως GDPR. (https://www.dpa.gr/index.php/el/polites/gkpd)
Συγκεκριμένα, οι απαιτήσεις για την έγκυρη συγκατάθεση ορίζονται στο Άρθρο 4 (11) και το Άρθρο 7 του GDPR. Επιπλέον, οι Αιτιολογικές Σκέψεις του κανονισμού παρέχουν περαιτέρω διευκρινίσεις σχετικά με την ερμηνεία αυτών των άρθρων.
Ο GDPR είναι ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ

Τα ελάχιστα εργαλεία που χρειάζεστε για να μπορέσετε να πληροφορήσετε τον πελάτη σας σχετικά με την επεξεργασία των προσωπικών του δεδομένων σύμφωνα με τον GDPR είναι τα εξής:
1. Ένα μέσο επικοινωνίας: Αυτό μπορεί να είναι:
o Προφορικά: Κατά τη διάρκεια μιας προσωπικής συνάντησης ή τηλεφωνικής κλήσης.
o Γραπτά:
 Ένα φυσικό έγγραφο (έντυπο).
 Ένα ηλεκτρονικό έγγραφο (π.χ., PDF που αποστέλλεται μέσω email ή είναι διαθέσιμο στην ιστοσελίδα σας).
2. Μια σαφής και κατανοητή ενημέρωση: Αυτό είναι το πιο σημαντικό. Η ενημέρωση πρέπει να περιλαμβάνει τουλάχιστον τις πληροφορίες που αναφέρονται στο Άρθρο 13 (https://www.dpa.gr/el/syndesi/polites/list13) (όταν τα δεδομένα συλλέγονται απευθείας από το υποκείμενο) ή στο Άρθρο 14 (όταν τα δεδομένα δεν συλλέγονται απευθείας από το υποκείμενο) του GDPR. Αυτές οι πληροφορίες περιλαμβάνουν συνήθως:
o Την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας.
o Τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα.
o Τις νομικές βάσεις της επεξεργασίας (π.χ., συγκατάθεση, εκτέλεση σύμβασης, έννομο συμφέρον).
o Τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα.
o Εάν ισχύει, την πρόθεση διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό.
o Το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό δεν είναι δυνατό, τα κριτήρια που καθορίζουν το εν λόγω διάστημα.
o Την ύπαρξη του δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση, διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων, καθώς και του δικαιώματος εναντίωσης στην επεξεργασία και του δικαιώματος στη φορητότητα των δεδομένων.
o Όταν η επεξεργασία βασίζεται στη συγκατάθεση, την ύπαρξη του δικαιώματος ανάκλησης της συγκατάθεσης ανά πάσα στιγμή, χωρίς να θίγεται η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της.
o Το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή.
o Εάν η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί συμβατική ή κανονιστική υποχρέωση και ποιες είναι οι πιθανές συνέπειες της μη παροχής των δεδομένων αυτών.
o Την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ, και, τουλάχιστον στις περιπτώσεις αυτές, ουσιαστικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων.

Συνεπώς, το ελάχιστο που χρειάζεστε είναι ένα μέσο για να επικοινωνήσετε με τον πελάτη και ένα περιεχόμενο ενημέρωσης που να καλύπτει τα απαιτούμενα από τον GDPR.

Με εκτίμηση,
Αλέξανδρος Πατσός