Számos előadás és tájékoztató előzte meg a május 25-én életbe lépő új Európai Uniós szabályozást, amely szigorítja a vállalatok ügyfél adatainak tárolását és felhasználását. Az új általános adatvédelmi rendelet mindenkire vonatkozik, aki személyes adatokat kezel, és ezt a tevékenységet Európán belül végzi. Ennek értelmében a GDPR mindenkit érint, a biztosítási szektorra pedig különösen nagy hatással van, hiszen a piaci szereplők jelentős adatvagyonnal rendelkeznek. A szabályozási rendszer felépítése igen összetett, a rendelet be nem tartása ugyanakkor komoly anyagi következményekkel is járhat. Az európai biztosítók legfontosabb képviseleti szervezete, az Insurance Europe néhány pontban összefoglalta a biztosítóknak az új szabályozással kapcsolatos legfőbb kötelezettségeit, amelyek némelyikével az ügyfeleknek sem árt tisztában lenniük. (A részletes angol nyelvű tájékoztatás ezen a linken érhető el. A magyar nyelvű piktogramos infografika pedig megtalálható a MABISZ Facebook oldalán.)

A GDPR érvénybe lépésével a biztosítóknak a szabályozásban foglalt elvárások szerint kell kezelniük az ügyféladatokat, amelyek között bizonyos személyes adatok (pl. az ügyfél egészségi állapota) különleges adatnak számítnak. Ezek kezeléséhez az ügyfél előzetes hozzájárulása szükséges. Ugyanakkor a hazai gyakorlatban ez nem jelent lényegi változást, mivel ezt a magyar szabályozás már eddig is előírta a biztosítók számára.

A GDPR erősebb jogosítványokat ad az ügyfeleknek az adataikkal való rendelkezés vonatkozásában is. Ez azt jelenti, hogy például az ügyfél a hozzájárulásával kezelt adatairól tájékoztatást kérhet biztosítójától, és jogosult kérni azok más társaság részére való továbbítását is.

Ugyancsak elengedhetetlen megvizsgálni, hogy egy tevékenység során a biztosító által igénybe vett megbízott (adatfeldolgozó) megfelelően alkalmazza-e az ügyféladatok kezelésére vonatkozó szabályozást, a rendelet erre vonatkozóan is számos garanciát tartalmaz.

A biztosítók fő tevékenységük kapcsán jellemző módon nyomon követik magánszemélyek adatait, illetve bizonyos termékek esetében szükségszerű a különleges személyes adatok tömeges kezelése is. Ilyen esetben jogszabályi elvárás egy adatvédelmi tisztviselő kijelölése, aki hivatalból biztosítja a jogszabályoknak megfelelő adatkezelést.

A GDPR előírja azt is, hogy ha ügyfelek személyes adatai törvénytelen módon vagy más okból illetéktelen kezekbe kerülnek, esetleg átmenetileg nem elérhetőek vagy megváltoztak a tárolás során, úgy 72 órán belül értesíteni kell a felügyeleti hatóságot. A rendelet ezen kívül szigorú előírásokat tartalmaz az EU-n kívülre, harmadik országokba történő adattovábbításokra vonatkozóan is.

Amint azt dr. Rumi Tamás, a MABISZ belső adatvédelmi felelőse elmondta, a szövetség is készen áll az átállásra, és az ezzel kapcsolatos tájékoztatások már a héten az ügyfelek számára is elérhetőek lesznek a MABISZ honlapján.