1asig.ro
1asig.ro
federatia roaman de bowling

XPRIMM Time for Business - GDPR Provocarea Anului in Asigurari: Principalele declaratii!

XPRIMM Time for Business - "GDPR Provocarea Anului in Asigurari" - a reunit, luni, reprezentanti ai Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, ai companiilor de asigurari si de brokeraj, avocatura, consultanta si IT pentru a discuta cele mai practice aspecte ale implementarii prevederilor Regulamentului european pentru industria de profil din Romania. Cititi in continuare cele mai importante declaratii.

Astfel, evenimentul isi propune sa raspunda la cele mai actuale intrebari privind Regulamentul General pentru Protectia Datelor Personale: Cum adaptam prevederile GDPR in domeniul asigurarilor si care sunt etapele de parcurs? Cum optimizam procesele interne, managementul datelor, dar si costurile de implementare? Cum vad autoritatile de control in domeniu aceste realitati si care sunt recomandarile pentru actorii implicati?

Conferinta va cuprinde doua parti, prima fiind dedicata industriei de asigurari, iar cea de-a doua industriei de sport din Romania.

Evenimentul se desfasoara cu sprijinul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), iar Presedinta institutiei, doamna Ancuta Gianina OPRE, va deschide lucrarile conferintei. 

De asemenea, Compania NOD - Network One Distribution, liderul pietei de distributie electro-IT din Romania, sustine evenimentul in calitate de Partener Principal.

Amintim ca 25 mai 2018 este data implementarii GDPR (Regulamentul General pentru Protectia Datelor Personale), iar industria de asigurari din Romania trebuie sa se adapteze cat mai rapid la prevederile noului Regulament.

Alina SAVOIU, Sef Birou Juridic si Comunicare, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP):
  • Ce se va intampla din 25 mai este o modificare la ce se intampla acum, o completare a legislatiei, dar si un plus de responsabilizare din partea firmelor.
  • Ce aduce nou Regulamentul general privind protectia datelor? (a) Infiintarea functiei de responsabil cu protectia datelor; (b) Extinderea sferei de aplicabilitate teritoriala a RGDP asupra prelucrarilor efectuate de un operator sau imputernicit care nu e stabilit in UE, daca se ofera bunuri sau servicii catre persoane aflate in UE sau  se monitorizeaza comportamentul persoanelor din UE; (c) Modificarea sferei de aplicabilitate materiala - Directiva 2016/680; (d) Pastrarea evidentei prelucrarilor - cartografierea; (e) Evaluarea de impact - atunci cand prelucrati date sensibile, iar pe asigurari sunt astfel de date. Evaluarea de impact presupune si masuri suplimentare; (f) Noi drepturi - restrictionarea prelucrarii, portabilitatea, dreptul de a fi uitat - nu a existat inainte in legislatie; (g) Notificarea incalcarilor de securitate la ANSPDCP. Se poate face un control sau nu.
  • Ca aplicabilitate materiala, Regulamentul se aplica tuturor prelucrarilor de date, cu exceptia: celor efectuate de o persoana fizica in cadrul unei activitati exclusiv personale sau domestice; celor realizate de autoritatile competente in scopul prevenirii si combaterii infractiunilor - Directiva 2016/680; activitatilor care nu intra sub incidenta dreptului UE; activitatilor care intra sub incidenta cap. 2 titlul V din Tratatul UE.
  • Aveti obligatia de a numi o persoana responsabila de protectia datelor. Nerespectarea se poate amenda cu pana la 10 milioane de euro.
  • Aceste amenzi nu sunt un scop in sine pentru institutia noastra, ci sa va ajutam sa aplicati regulamentul.
  • Aveti doua posibilitati pentru stabilirea responsabilului de protectie a datelor: (1) din cadrul personalului operatorului/imputernicitului, raspundere directa fata de conducator - statut special; (2) pe baza de contract de prestari servicii - cu recomandarea ca in clipa in care alegeti o firma, o anumita persoana din acea firma sa fie desemnat responsabilul dumneavoastra.
  • Responsabilul de protectia datelor are o serie de sarcini: (a) de a informa si consilia operatorul/persoana imputernicita de operator, precum si angajatii care se ocupa de prelucrari de date; (b) de a monitoriza respectarea RGDP, a altor dispozitii de drept al Uniunii sau nationale referitoare la protectia datelor; (c) de a consilia operatorul in realizarea unei evaluari de impact asupra protectiei datelor si de a monitoriza executarea acesteia; (d) de a coopera cu Autoritatea de Supraveghere si de a reprezenta punctul de contact cu aceasta.
  • Datele responsabilului trebuie comunicate catre noi pana in 25 mai - nume, telefon, email. Si trebuie sa publicati si pe site-ul dumneavoastra cel putin un email si numar de telefon pentru cererile clientilor.
  • Incalcarea securitatii datelor trebuie anuntata la ANSPDCP in cel mult 72 de ore de la data luarii la cunostinta. Va fi pregatit un formular legat de aceste incalcari.
  • Ce nu se afla in responsabilitatea operatorului? Trebuie sa demonstrati indeplinirea sarcinilor din Regulament. Astfel, operatorul trebuie sa puna in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura  sa demonstreze ca prelucrarea respecta Regulamentul.
  • Aceeasi raspundere ii revine si imputernicitului. Din 25 mai, in functie de unde se depisteaza problema, poate fi responsabilitatea operatorului sau imputernicitului. Trebuie stabilita raspunderea fiecaruia in contractul pe care il incheiati.
  • Drepturile persoanelor fizice sunt: 1. dreptul de informare; 2. dreptul de acces; 3. dreptul la rectificarea datelor; 4. dreptul de a fi uitat; 5. dreptul la restrictionarea prelucrarii; 6. dreptul la portabilitatea datelor; 7. dreptul la opozitie; 8. dreptul de a nu fi supus unei decizii automate.
  • Regimul sanctionator s-a schimbat radical. Intervine mustrarea (avertismentul din prezent) - pentru faptele de mai mica relevanta. Totodata, amenda poate si de pana la 10 sau 20 mil. euro ori amenda de pana la 4% din cifra de afaceri mondiala totala anuala
Maria ILIN, Avocat, Jinaru, Mihai & Notingher, Law Offices & Tax Advisors:
  • In urma aparitiei Regulamentului au fost facute cateva studii. A rezultat ca din perspectiva clientilor, peste 92% dintre consumatorii online sunt ingrijorati de securitatea si confidentialitatea datelor lor. Ei nu au incredere ca datele lor sunt prelucrate in conditii de siguranta si securitate.
  • 57% dintre consumatori nu au incredere ca brand-urile le folosesc datele responsabil.
  • 90% dintre companii gasesc ca e foarte dificil sa stearga datele clientilor.
  • 41% dintre persoanele din marketing recunosc ca nu inteleg pe deplin legea si cele mai bune practici in utilizarea datelor personale ale clientilor
  • Din perspectiva marketingului, a rezultat ca specialistii vad 3 zone de impact in ceea ce priveste consimtamantul, datele strict necesare si accesul la date.
  • Ce recomandari avem? Sa verificam listele cu abonatii/ consimtamant afirmativ. Se considera ca pana la 75% din bazele de date de marketing devin inutilizabile incepand cu 25 mai 2018.
  • De asemenea, specialistii recomanda revizuirea felului in care datele sunt colectate. Achizitia de liste de mailuri nu mai este o optiune.
  • Alte recomandari: invitarea clientilor sa se inregistreze singuri; neutilizarea Excel si Google Docs - se recomanda un sistem CRM care sa le permita clientilor sa isi acceseze datele; si prelucrarea numai a datelor necesare.
  • Pentru cele mai multe din deciziile zilnice cautarea informatiilor online a devenit un comportament automat. Vor fi avantajati brokerii/asiguratorii care inteleg valoarea impresiilor clientilor exprimata online si efectele asupra reputatiei de partner de incredere. Sfaturile, experienta si componenta umana nu vor putea fi inlocuite insa ele vor fi cautate in mediul online. Provocarea nu vine din decizia unei prezente online ci din modul in care obtinem cat mai mult din aceasta prezenta. Protectia datelor personale este inclusa "by default".
Bogdan LUPU, Network One Distribution (NOD): 
  • NOD este jucatorul cel mai important din piata de distributie IT&Electro din Romania, punctul de vedere al cifrei de afaceri si market share.
  • Avem o retea de peste 3.000 de parteneri activi la nivel national.
  • Serviciile noastre vin in sustinerea obiectivului de azi. Am pregatit cu o gama de servicii dedicate subiectului GDPR, pe care le punem la dispozitia clientilor prin reteaua noastra de parteneri. Oferim astazi High Level Audit, IT & Cybersecurity Audit si Software Asset Management (inventariere mijloace software, optimizare modalitati licentiere si costuri cu software-ul si training-uri pentru utilizatori si administratori de solutie). Vor urma si alte servicii noi pe care le avem in acest moment in dezvoltare.
  • Noi ne focusam in a asista si completa eforturile partenerilor nostri, fie cu servicii complementare, fie cu specialisti acolo unde nu au, fie cu tehnica de calcul etc. Finantam o parte mare a business-ului partenerilor nostri si suntem cunoscuti in piata ca o banca pentru IT.
  • Avem o gama de servicii cuprinzatoare, o parte din servicii fiind deja pregatite pentru vanzare si o alta parte de servicii pe care o putem acoperi, la cererea clientului, conform nevoilor lui. Mai multe detalii pe portalul nostru www.nodacademy.ro
  • Am constatat, in urma discutiilor cu partenerii si clientii lor, ca suntem clar la inceput si fiecare client isi doreste sa stie despre GDPR si cum ii afecteaza in activitatea lor.
  • Ca atare, serviciul nostru de "GDPR Audit High-Level" are ca si prim pas un seminar dedicat normativelor si prevederilor GDPR, o analiza interna a clientului, dupa strangerea datelor despre acesta prin intermediul unui chestionar completat de responsabilii de proiect, iar apoi in final un raport ce se preda clientului intr-un seminar final de incheiere. Lucrurile nu se termina aici, incurajam clientii sa parcurgem impreuna si audit-ul complet, pus la punct tot ca si serviciu la cheie.
  • Pasii urmatori ai High Level Audit sunt: analiza detaliata, training-uri (pentru sensibilizarea personalului in legatura cu prevederile GDPR si utilizarea noilor procese tehnice, infrastructura si licente) si implementarea recomandarilor si a remedierilor referitoare la proceduri, procese tehnice, infrastructura si licente.
  • Un audit, pentru o firma medie, dureaza circa 25 de zile pana la predarea raportului final.
Tudor GALOS, Digital Transformation Consultant:
  • Astazi am sa va vorbesc despre ceea ce inseamna Factorul uman al GDPR. In experienta mea de consultanta de business, de cele mai multe ori ne-am lovit de zona umana. Tehnologia, procesele si masurile organizationale se identifica destul de rapid, sunt clare. Dar majoritatea problemelor vin din partea oamenilor, care uneori nu inteleg nevoia unei reglementari.
  • Datele personale au devenit, din pacate, o moneda, dar au devenit si o arma. Au denevit un mijloc de santaj uneori, dar si un mijloc puternic de manipulare.
  • Toate firmele din Romania care lucreaza cu date personale sunt impactate de GDPR.
  • Datele personale sunt proprietatea omului. Asta este schimbarea pe care mental trebuie sa o aduca GDPR.
  • Nicio organizatie nu va mai avea baza de date personale. Datele nu sunt ale organizatiei, sunt bunuri ale oamenilor. Organizatia va fi un custode al bunurilor unor oameni. Omul are dreptul sa isi ia bunul inapoi.
  • 25 mai nu este data la care se termina economia Europei si cu siguranta nici a Romaniei. Lucrurile vor merge inainte si de acum incolo.
Florina VIZINTEANU, Senior Consultant GDPR, DPO:
  • Foarte important este Consimtamantul in legislatia GDPR.
  • Definitia Consimtamantului, conform GDPR: "Orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate.
  • Astfel, Consimtamantul ar trebui dat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic sau verbal.
  • Scopul principal al consimtamantului este: De a oferi in mod liber persoanelor (subiectilor) posibilitatea; De a alege si de a controla prelucrarea datelor lor personale; De a da organizatiilor baza legala pentru prelucrare; De a ajuta la transparenta prelucrarii datelor.
  • Pentru ce vom lua consimtamantul? Pentru datele speciale (rasa, etnie, opinii politice, confesiune religioasa, convingeri filosofice, apartenenta sindicala, date genetice, biometrice, date privind sanatatea, orientarea sexuala); Cand transferam date catre tari in afara UE unde nu sunt decizii privind caracterul adecvat de protectie; Majoritatea activitatilor sau mesajelor de marketing; Cookie-uri de site; Pentru a instala aplicatii / software pe dispozitivele persoanelor vizate.
  • Consimtamantul trebuie sa furnizeze informatii clare despre orice terta parte implicata in prelucrarea datelor.
  • Consimtamantul ar trebui sa mentioneze explicit dreptul consumatorului de a-l retrage in orice moment cu o procedura clara de retragere.
  • Organizatiile ar trebui sa ofere consimtamant granular, astfel incat consumatorii sa poata consimti pentru diferite tipuri de prelucrare separat.
  • Organizatia de prelucrare ar trebui sa pastreze dovada consimtamantului, cum ar fi cine, cand, cum si ce ati spus.
Manuela GUIA si Bianca NAGHI, D&B DAVID si BAIAS:
  • Intr-adevar, GDPR este provocarea anului 2018.
  • Acest Regulament ofera o serie de principii, reguli generale, iar in practica apar unele dificultati. 
  • Constatam ca sectorul asigurarilor este unul dintre cele mai active sectoare din Romania in ceea ce inseamna implementarea GDPR. 
  • Am constatat ca nimeni nu sta foarte bine, ca GDPR vine repede si poate ca 25 mai va gasi multa lume intr-o situatie de nerespectare in totalitate a regulilor. Credem ca Autoritatea e constienta de acest lucru si va da dovata de intelegere, cel putin in primele luni.
Alis PATLAGEANU, Avocat, Portnoi si Asociatii:
  • Cred ca noul GDPR are si un efect pozitiv pentru asiguratori. Creste interesul pentru ceea ce inseamna asigurarea riscului cibernetic
  • Este foarte posibil ca polita de asigurare pentru riscul cibernetic sa devina mai interesanta apentru companii, avand in vedere ca GDPR este obligatoriu si mult mai mediatizat decat legislatia anterioara.
  • In cazul in care suspectam ca exista o incalcare a securitatii datelor cu caracter personal, avem obligatia de a raporta.
  • Se vor notifica catre Autoritate (ANSPDCP) acele incalcari care prezinta risc, nu neaparat ridicat. Daca riscul e mare, atunci suntem obligati sa informam si persoanele afectate.
  • Notificarile catre ANSPDCP se fac in 72 de ore.
  • Operatorul are obligatia de a face notificari si informari, chiar si in cazul in care prelucrarea datelor se face prin persoana imputernicita.
  • Amenzile pot ajunge pana la 10 milioane de euro sau pana la 2 % din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare.