A rendelet mindenkire vonatkozik, aki személyes adatokat kezel

Számos előadás és tájékoztató előzte meg a május 25-én életbe lépő új Európai Uniós szabályozást, amely szigorítja a vállalatok ügyfél adatainak tárolását és felhasználását.

• Az új általános adatvédelmi rendelet mindenkire vonatkozik, aki személyes adatokat kezel, és ezt a tevékenységet Európán belül végzi.
• Ennek értelmében a GDPR mindenkit érint, a biztosítási szektorra pedig különösen nagy hatással van, hiszen a piaci szereplők jelentős adatvagyonnal rendelkeznek.
• A szabályozási rendszer felépítése igen összetett, a rendelet be nem tartása ugyanakkor komoly anyagi következményekkel is járhat.

Az európai biztosítók legfontosabb képviseleti szervezete, az Insurance Europe néhány pontban összefoglalta a biztosítóknak az új szabályozással kapcsolatos legfőbb kötelezettségeit, amelyek némelyikével az ügyfeleknek sem árt tisztában lenniük. A részletes angol nyelvű tájékoztatás ezen a linken érhető el. 

Ügyféladat és különleges személyes adat

A GDPR érvénybe lépésével a biztosítóknak a szabályozásban foglalt elvárások szerint kell kezelniük az ügyféladatokat, amelyek között bizonyos személyes adatok (pl. az ügyfél egészségi állapota) különleges adatnak számítnak. Ezek kezeléséhez az ügyfél előzetes hozzájárulása szükséges.

A hazai gyakorlatban ez nem jelent lényegi változást, mivel ezt a magyar szabályozás már eddig is előírta a biztosítók számára.

Erősebb jogosítványok az ügyfeleknek

A GDPR erősebb jogosítványokat ad az ügyfeleknek az adataikkal való rendelkezés vonatkozásában is. Ez azt jelenti, hogy például az ügyfél a hozzájárulásával kezelt adatairól tájékoztatást kérhet biztosítójától, és jogosult kérni azok más társaság részére való továbbítását is.

A biztosító által igénybe vett adatfeldolgozó

Ugyancsak elengedhetetlen megvizsgálni, hogy egy tevékenység során a biztosító által igénybe vett megbízott (adatfeldolgozó) megfelelően alkalmazza-e az ügyféladatok kezelésére vonatkozó szabályozást, a rendelet erre vonatkozóan is számos garanciát tartalmaz.

Különleges személyes adatok tömeges kezelése

A biztosítók fő tevékenységük kapcsán jellemző módon nyomon követik magánszemélyek adatait, illetve bizonyos termékek esetében szükségszerű a különleges személyes adatok tömeges kezelése is. Ilyen esetben jogszabályi elvárás egy adatvédelmi tisztviselő kijelölése, aki hivatalból biztosítja a jogszabályoknak megfelelő adatkezelést.

Ha illetéktelen kezekbe kerülnének az adatok

A GDPR előírja azt is, hogy ha ügyfelek személyes adatai törvénytelen módon vagy más okból illetéktelen kezekbe kerülnek, esetleg átmenetileg nem elérhetőek vagy megváltoztak a tárolás során, úgy 72 órán belül értesíteni kell a felügyeleti hatóságot. A rendelet ezen kívül szigorú előírásokat tartalmaz az EU-n kívülre, harmadik országokba történő adattovábbításokra vonatkozóan is.

A MABISZ készen áll az átállásra

Amint azt dr. Rumi Tamás, a MABISZ belső adatvédelmi felelőse elmondta, a szövetség is készen áll az átállásra, és az ezzel kapcsolatos tájékoztatások már a héten az ügyfelek számára is elérhetőek lesznek a MABISZ honlapján.