Συστάσεις Επιτρόπου προς ασφαλιστικές εταιρείες που παρέχουν ασφάλειες ζωής και γενικού κλάδου
Α. Οι ασφαλιστικές εταιρείες θα πρέπει να λαμβάνουν χωριστή συγκατάθεση από τους πελάτες/ασφαλιζόμενους όταν η επεξεργασία των προσωπικών τους δεδομένων έχει πολλαπλούς σκοπούς.
Η συγκατάθεση που θα λαμβάνεται πρέπει να είναι ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας τους υπέρ της επεξεργασίας των δεδομένων που τους αφορούν. Συνεπώς:
(i) οι πελάτες/ασφαλιζόμενοι πρέπει να έχουν το δικαίωμα ελεύθερης επιλογής κατά πόσο ενδιαφέρονται για τις συγκεκριμένες υπηρεσίες που προσφέρονται από την ασφαλιστική εταιρεία στην οποία είναι πελάτες.
(ii) οι πελάτες/ασφαλιζόμενοι πρέπει να έχουν τη δυνατότητα να την αποσύρουν ανά πάσα στιγμή χωρίς αυτή τους η ενέργεια να έχει οποιεσδήποτε δυσμενείς επιπτώσεις, όπως για παράδειγμα οποιοδήποτε οικονομικό κόστος.
Να σημειωθεί επίσης ότι, ακόμα και στην περίπτωση που έχει ληφθεί η συγκατάθεση των πελατών/ασφαλιζόμενων, αν η συλλογή και η επεξεργασία των προσωπικών τους δεδομένων προσκρούει σε μία από τις βασικές αρχές επεξεργασίας προσωπικών δεδομένων τότε η τυχόν ληφθείσα συγκατάθεση δεν αίρει την παρανομία αυτή και, ως εκ τούτου, η επεξεργασία προσωπικών δεδομένων δεν είναι νόμιμη.
Από τα ανωτέρω, εξυπακούεται ότι, τυχόν «συγκατάθεση» των πελατών/ασφαλιζόμενων στο ασφαλιστήριο συμβόλαιο υπό τη μορφή προσχώρησης στους γενικούς του όρους, δεν αποτελεί «ελεύθερη, ρητή και ειδική δήλωση βουλήσεως».
Β. Σύµφωνα µε την αρχή της αναλογικότητας, οι ασφαλιστικές εταιρείες:
1. Κατά το στάδιο εξέτασης της αίτησης για ασφάλιση, θα πρέπει να συλλέγουν προσωπικά δεδομένα από τους ίδιους τους πελάτες/προτιθέμενους πελάτες τους. Μόνο σε εξαιρετικές περιπτώσεις και μετά από συγκατάθεση τους, επιτρέπεται να λαμβάνουν πληροφορίες από τρίτους (ιατρούς, άλλη ασφαλιστική εταιρεία κ.λ.π.). Η εν λόγω συγκατάθεση θα πρέπει να λαμβάνεται κατά περίπτωση, όπου κρίνεται απολύτως αναγκαίο. Όπως αναφέρεται στη Σύσταση Α πιο πάνω, τυχόν «συγκατάθεση» τους στο ασφαλιστήριο συμβόλαιο υπό τη μορφή προσχώρησης στους γενικούς του όρους, δεν αποτελεί «ελεύθερη, ρητή και ειδική δήλωση βουλήσεως».
2. Οφείλουν να συλλέγουν και γενικά να επεξεργάζονται µόνο όσα δεδομένα είναι απολύτως απαραίτητα για την πραγματοποίηση του σκοπού της επεξεργασίας, δηλαδή τη διαχείριση ασφαλειών και συγκεκριμένα την εξέταση της αίτησης για ασφάλιση και/ή την εξέταση/αξιολόγηση απαίτησης για καταβολή αποζημίωσης.
Γ. Σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας, οι ασφαλιστικές εταιρείες έχουν υποχρέωση όπως:
1. Συνάπτουν γραπτή σύμβαση με όλους όσοι εκτελούν εργασίες για λογαριασμό τους, όπως για παράδειγμα με τους ασφαλιστικούς σύμβουλους. Η σύμβαση θα πρέπει να αναφέρει ρητά τις διατάξεις του άρθρου 10 του Νόμου και ότι τα προσωπικά δεδομένα δεν θα χρησιμοποιούνται για άλλους σκοπούς.
2.Λαμβάνουν τα απαραίτητα μέτρα ώστε:
(i) να υπάρχουν διαφορετικά επίπεδα πρόσβασης στα προσωπικά δεδομένα των πελατών/ασφαλιζόμενων για τη διασφάλιση της ασφάλειας των δεδομένων,
(ii) η πρόσβαση να είναι ελεγχόμενη, δηλαδή η πρόσβαση να επιτρέπεται μόνο σε εξουσιοδοτημένα πρόσωπα με τη χρήση κωδικών πρόσβασης,
(iii) η πρόσβαση να καταγράφεται ούτως ώστε να είναι δυνατός ο μεταγενέστερος έλεγχος της πρόσβασης,
(iv) οι ενέργειες των χρηστών στα αυτοματοποιημένα συστήματα να ανιχνεύονται ανά πάσα στιγμή,
(v) οι κωδικοί πρόσβασης να διαθέτουν ικανοποιητικό βαθμό ασφάλειας ώστε να μην είναι εύκολη η αναπαραγωγή τους από μη εξουσιοδοτημένα πρόσωπα και
(vi) να μην είναι δυνατή η αλλοίωση των δεδομένων από μη εξουσιοδοτημένα πρόσωπα.
3. Οι ασφαλιστικές εταιρείες έχουν υποχρέωση όπως διασφαλίζουν ότι, το προσωπικό τους καθώς και οι εκτελούντες την επεξεργασία δεσμεύονται από ρήτρες εμπιστευτικότητας. Για το σκοπό αυτό, θα πρέπει να καταρτίσουν ειδικό Κώδικα Δεοντολογίας του προσωπικού και των εκτελούντων την επεξεργασία.
Δ. Έχοντας υπόψη τις διατάξεις των άρθρων 2 και 68(1)(α) του περί της Παρεμπόδισης και Καταπολέμησης της Νομιμοποίησης Εσόδων από Παράνομες Δραστηριότητες Νόμου του 2007 (188(I)/2007), μόνο οι ασφαλιστικές εταιρείες που παρέχουν ασφαλιστικές εργασίες κλάδου ζωής και εργασίες διαμεσολάβησης για σύναψη ασφαλειών ζωής, δικαιούνται να λαμβάνουν αντίγραφο του Δελτίου Πολιτικής Ταυτότητας των πελατών/ασφαλιζόμενων τους. Από την άλλη, οι ασφαλιστικές εταιρείες που παρέχουν ασφαλιστικές εργασίες κλάδου γενικής φύσεως, μπορούν να ζητούν από τους προτιθέμενους πελάτες τους να επιδεικνύουν το Δελτίο Πολιτικής Ταυτότητας τους με σκοπό την επαλήθευση/επιβεβαίωση της ορθότητας των στοιχείων που δηλώθηκαν από αυτούς στην Αίτηση για Ασφάλιση.
Ε. Οι ασφαλιστικές εταιρείες πρέπει να σέβονται το δικαίωμα στη φορητότητα των δεδομένων που μπορούν οι πελάτες/ασφαλιζόμενοι να ασκήσουν στα προσωπικά δεδομένα που τους αφορούν και διατηρούνται σε αρχείο αυτοματοποιημένης μορφής.
ΣΤ. Οι ασφαλιστικές εταιρείες πρέπει να σέβονται το δικαίωμα πρόσβασης που μπορούν οι πελάτες/ασφαλιζόμενοι να ασκήσουν στα προσωπικά δεδομένα που τους αφορούν και διατηρούνται σε αρχείο αυτοματοποιημένης, μερικώς αυτοματοποιημένης ή μη αυτοματοποιημένης μορφής.
Ολόκληρο το έγγραφο των συστάσεων είναι διαθέσιμο σε μορφή pdf πιο κάτω.