Η δημιουργία μίας ενιαίας βάσης δεδομένων από τις ασφαλιστικές επιχειρήσεις είναι απαραίτητη για την πρόληψη και την καταπολέμηση της ασφαλιστικής απάτης. Αυτή ήταν μία από τις βασικές παραδοχές στην πρόσφατη εκδήλωση που διοργάνωσε η Ένωση Ασφαλιστικών Εταιριών, με θέμα την αντιμετώπιση της ασφαλιστικής απάτης.
Παρόλο που μία τέτοια βάση υπάρχει ήδη σε αρκετές ευρωπαϊκές χώρες, διευκολύνοντας σημαντικά το έργο των ασφαλιστικών επιχειρήσεων, αλλά και των αρχών, στη χώρα μας δεν έχει καταστεί ακόμη εφικτή η δημιουργία της και δεν προβλέπεται να καταστεί στο εγγύς μέλλον. Γιατί; Γιατί προσκρούει στον GDPR και γεννά προβληματισμούς για το πόσα και ποια δεδομένα μπορούν να περιλαμβάνονται, για την ορθή χρήση των δεδομένων, για το αν έχουν ή όχι τη δικαιοδοσία οι ασφαλιστικές επιχειρήσεις να ορίζουν αν μία συμπεριφορά είναι απατηλή ή όχι κ.ά.
Απαντήσεις στα κρίσιμα ερωτήματα έδωσε κατά τη διάρκεια της εκδήλωσης ο κ. Γρηγόρης Λαζαράκος, νομικός (L&L Law Firm), υπεύθυνος Προστασίας Δεδομένων στη Βουλή των Ελλήνων και πρώην αναπληρωματικό μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Πώς μπορούν να αξιοποιηθούν τα προσωπικά δεδομένα για την αντιμετώπιση της ασφαλιστικής απάτης;
Στη δημιουργία μίας ενιαίας βάσης δεδομένων μέσω της οποίας θα μπορούν να ανταλλάσσουν πληροφορίες οι ασφαλιστικές επιχειρήσεις, κάτι που ήδη έχει υλοποιηθεί σε άλλες χώρες εδώ και αρκετά χρόνια, όπως στη Γερμανία, την Ολλανδία κ.ά. Τα δεδομένα αυτά θα μπορούν να τα αξιοποιούν είτε κατά τη σύναψη της ασφαλιστικής σύμβασης είτε στη φάση της αποζημίωσης. Όσον αφορά τα δεδομένα που μπορούν να περιληφθούν σε αυτή τη βάση, ισχύει η αρχή της ελαχιστοποίησης (άρθρο 5.1 γ’), κοινώς μόνον αυτά που είναι απαραίτητα για τη διερεύνηση πιθανής διάπραξης ασφαλιστικής απάτης.
Η βάση αυτή δεδομένων μπορεί να έχει δύο μορφές:
1. Γκρι Λίστα: Περιέχει μόνον πληροφορίες που αποδεικνύουν ή παρέχουν σοβαρές ενδείξεις ότι ένα πρόσωπο έχει διαπράξει (σοβαρό) περιστατικό απάτης ή έχει μία ασυνήθιστη ιδιότητα (επαγγελματική) που δικαιολογεί διαφορετική αντιμετώπιση. Για παράδειγμα, όσον αφορά τον κλάδο αυτοκινήτου, μπορούν να περιλαμβάνονται στοιχεία για επαναλαμβανόμενες ζημιές ή ασύμβατες ζημιές ως προς τις συνθήκες του ατυχήματος. Η αποθήκευση και χρήση των πληροφοριών αυτών θα πρέπει να έχουν ένα συγκεκριμένο χρονικό όριο.
Στη δημιουργία Γκρι Λίστας μπαίνει ο προβληματισμός που έθεσε ο εκπρόσωπος της ΑΠΔΠΧ, κ. Κόντης, σχετικά με το ότι δεν έχει δικαιοδοσία ένας ιδιώτης (ασφαλιστική επιχείρηση) να κρίνει ποιος είναι και ποιος δεν είναι απατεώνας και να ορίσει ένα συμβάν ως απάτη, καθώς αυτό μπορεί να το αποφασίσει μόνον η ελληνική δικαιοσύνη.
2. Λευκή Λίστα: Περιέχει όσες πληροφορίες μπορούν να αναλυθούν και να παράσχουν ενδείξεις διάπραξης ασφαλιστικής απάτης, δηλαδή καταχωρούνται στη βάση:
– οι ζημιές όλων των ασφαλισμένων όλων των κλάδων, ανεξαρτήτως τυχόν ιδιαίτερων χαρακτηριστικών της ζημιάς,
– τα οχήματα που έχουν υποστεί ολική καταστροφή,
– οι ακυρώσεις συμβολαίων όλων των κλάδων που πραγματοποιήθηκαν λόγω μη εκτέλεσης των όρων του συμβολαίου από τον πελάτη ή μη πληρωμής των ασφαλίστρων,
– δεδομένα οδηγών ακατάλληλων προς οδήγηση, που τους έχει αφαιρεθεί το δίπλωμα οδήγησης προσωρινά ή οριστικά.
Σημειωτέον ότι στη Γερμανία το 2018 το Συμβούλιο Αρχών Προστασίας Δεδομένων αποφάσισε ότι απαγορεύεται η διαβίβαση πληροφοριών χωρίς έντονο αρνητικό πρόσημο σε ενιαία βάση δεδομένων, άρα η δημιουργία Λευκής Λίστας.
Τη βάση δεδομένων μπορεί να διαχειρίζεται μία ανεξάρτητη οντότητα/αρχή, η οποία και θα πραγματοποιεί την ανάλυση των διαθέσιμων δεδομένων και θα κρίνει εάν πρέπει να προχωρήσει στη διαβίβαση αυτών μετά από αίτημα κάποιας ασφαλιστικής επιχείρησης ή μπορούν να έχουν πρόσβαση σε αυτή απευθείας όλες οι ασφαλιστικές επιχειρήσεις, οι οποίες θα πραγματοποιούν και την ανάλυση των δεδομένων που τις ενδιαφέρουν
Στη χώρα μας έχουμε ήδη σε ισχύ από το 2017 μία αντίστοιχη βάση δεδομένων από τις εταιρίες τηλεφωνίας, οι οποίες δημιούργησαν μία «μαύρη λίστα συνδρομητών» με δεδομένα οικονομικής συμπεριφοράς και συγκεκριμένα τα στοιχεία (ονοματεπώνυμο, πατρώνυμο, ΑΦΜ ή ΑΔΤ) συνδρομητών που εμφανίζουν ληξιπρόθεσμη οφειλή ίση ή μεγαλύτερη των 200 ευρώ για διάστημα άνω των 90 ημερών. Η ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων ενέκρινε τη δημιουργία της βάσης αυτής, λόγω του μεγάλου οικονομικού κόστους (έννομο συμφέρον) με το οποίο επιβαρύνονταν οι επιχειρήσεις αυτές.
Επίσης λειτουργεί η Μαύρη Λίστα του Τειρεσία (ακάλυπτες επιταγές, απλήρωτες συναλλαγματικές, υποθήκες, προσημειώσεις, όπως και η Λευκή Λίστα του Τειρεσία (οφειλές από δάνεια, πιστώσεις, πιστωτικές κάρτες κ.ά.)
Μπορεί στη χώρα μας να δημιουργηθεί μία ενιαία βάση δεδομένων των ασφαλιστικών επιχειρήσεων για την πρόληψη και την καταπολέμηση της απάτης;
Ναι, κατά τον κ. Λαζαράκο, είναι εφικτή η δημιουργία μιας τέτοιας βάσης -κάτι που άλλωστε ήδη έχει συμβεί σε άλλες χώρες- δεδομένου ότι η πρόληψη και η καταπολέμηση της ασφαλιστικής απάτης συνιστά έννομο συμφέρον των ασφαλιστικών επιχειρήσεων. Ωστόσο θα πρέπει να γίνει πολύ προσεκτική και μεθοδική προετοιμασία από τις ασφαλιστικές επιχειρήσεις, σε συνεργασία πάντα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ώστε να τονίζεται με στοιχεία (τα οποία άλλωστε είναι διαθέσιμα) το υψηλό κόστος της ασφαλιστικής απάτης και να διευκρινίζεται το είδος των δεδομένων που είναι αναγκαίο να συμπεριληφθούν.
Για να ξεπεραστούν επιτυχώς όλα τα εμπόδια και οι παγίδες του GDPR, μοναδική λύση κατά γενική ομολογία είναι η δημιουργία ενός ξεκάθαρου νομοθετικού πλαισίου για τη δημιουργία μίας τέτοιας βάσης δεδομένων, στο οποίο θα αναφέρονται τα βασικά χαρακτηριστικά της επεξεργασίας, ο υπεύθυνος της επεξεργασίας, ο σκοπός, τα δεδομένα τα οποία θα τύχουν επεξεργασίας και ο χρόνος χρήσης τους, καθώς και οι αποδέκτες τους.
Όπως καταλαβαίνετε, η ψήφιση μίας τέτοιας νομοθετικής ρύθμισης -περιλαμβανομένης όλης της προετοιμασίας και των διαβουλεύσεων που θα πρέπει να προηγηθούν- τοποθετεί από μόνη της τη διευθέτηση του θέματος σε έναν μάλλον μακρινό χρονικό ορίζοντα, απογοητεύοντας τα επιτελεία των εταιριών, που αγωνίζονται καθημερινά για τον εντοπισμό των απατηλών απαιτήσεων και χαροποιώντας τους απατεώνες, που ανενόχλητοι συνεχίζουν να χτυπούν τη μία εταιρία μετά την άλλη, επαναλαμβάνοντας το ίδιο μοντέλο απάτης, καθώς εκμεταλλεύονται την αδυναμία των εταιριών να ανταλλάξουν δεδομένα.
Εφαρμόζεται ο GDPR σε περιπτώσεις διερεύνησης πιθανής απάτης;
Για την ανίχνευση ύποπτων περιστατικών απάτης, όπως (κλάδος αυτοκινήτου) για τον εντοπισμό ασύμβατων ζημιών ως προς τις συνθήκες του ατυχήματος, προϋπάρχουσες ζημιές, ζημιές χωρίς επαφή μεταξύ των εμπλεκόμενων οχημάτων, φιλική ή συγγενική ή άλλη σχέση (π.χ. συνάδελφοι, γείτονες) μεταξύ των εμπλεκόμενων, για επαναλαμβανόμενες ζημιές, απαιτείται η ανάλυση πληροφοριών, που αφορούν σε φυσικά πρόσωπα, άρα πραγματοποιείται επεξεργασία προσωπικών δεδομένων. Άρα στη διαδικασία εφαρμόζεται ο GDPR.
Πώς εφαρμόζονται οι βασικές αρχές επεξεργασίας του GDPR;
1. Αρχή του σκοπού: Τα προσωπικά δεδομένα που συλλέχθηκαν για έναν σκοπό δεν επιτρέπεται να υποβληθούν σε επεξεργασία κατά τρόπο ασύμβατο προς το σκοπό αυτόν. Στη συγκεκριμένη περίπτωση ο σκοπός είναι η πρόληψη και καταπολέμηση της απάτης, και για το σκοπό αυτό η χρήση προσωπικών δεδομένων είναι νόμιμη.
Παράδειγμα: Τα δεδομένα που βοηθούν στην πρόληψη της ασφαλιστικής απάτης δεν μπορούν να χρησιμοποιηθούν για σκοπούς marketing (αν υποθέσουμε ότι η ανάλυση των δεδομένων οδηγεί στη δημιουργία προφίλ ασφαλισμένου) ή για τον καθορισμό του ύψους των ασφαλίστρων ή για αποκλεισμό από την ιδιωτική ασφάλιση.
2. Αρχή της νομιμότητας της επεξεργασίας: Η επεξεργασία, σύμφωνα με το άρθρο 6.1 στ’ του GDPR, «είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων, που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα».
Στην προκειμένη περίπτωση η πρόληψη και καταπολέμηση της ασφαλιστικής απάτης συνιστά έννομο συμφέρον της ασφαλιστικής επιχείρησης. Όπως αναφέρεται στην αιτιολογική σκέψη 47 του GDPR «η επεξεργασία δεδομένων προσωπικού χαρακτήρα, στο βαθμό που είναι αυστηρά αναγκαία για τους σκοπούς πρόληψης της απάτης συνιστά επίσης έννομο συμφέρον του ενδιαφερόμενου υπεύθυνου επεξεργασίας». Επίσης, σύμφωνα με την ίδια αιτιολογική σκέψη, η επεξεργασία των προσωπικών δεδομένων πρέπει να είναι αυστηρά αναγκαία για το σκοπό της πρόληψης της ασφαλιστικής απάτης, που σημαίνει πως αν τα έννομα συμφέροντα μπορούν να ικανοποιηθούν -το ίδιο αποτελεσματικά- και με άλλο τρόπο, με τον οποίο μάλιστα επηρεάζονται λιγότερο τα δικαιώματα των υποκειμένων των δεδομένων, τότε η επεξεργασία δεν κρίνεται ως απαραίτητη.
Πώς στοιχειοθετείται το έννομο συμφέρον των ασφαλιστικών επιχειρήσεων και τυχόν τρίτων;
1. Η ασφαλιστική απάτη είναι επιβλαβής για τον ασφαλιστικό κλάδο, καθώς πλήττει την αξιοπιστία του και μειώνει την εμπιστοσύνη της κοινωνίας προς αυτόν, με αποτέλεσμα να ασφαλίζονται λιγότερα πρόσωπα. Επίσης συνεπάγεται δαπανηρές επιβαρύνσεις για τις ασφαλιστικές επιχειρήσεις.
2. Η ασφαλιστική απάτη είναι επιβλαβής για τους καλόπιστους ασφαλισμένους, καθώς εξαντλεί χωρίς νόμιμη αιτία τα κεφάλαια που καταβάλλουν, οδηγώντας σε επιβαρύνσεις στα ασφάλιστρα.
Για να γίνουμε πιο συγκεκριμένοι ως προς το υψηλό κόστος της ασφαλιστικής απάτης, σύμφωνα με τα στοιχεία που συλλέγει η Insurance Europe, το 10% των καταβληθεισών αποζημιώσεων στην Ευρώπη αφορά αποζημίωση απατηλών αξιώσεων. Εάν το ποσοστό αυτό αναχθεί στα δεδομένα της ελληνικής ασφαλιστικής αγοράς, ανεβάζει το κόστος της ασφαλιστικής απάτης στα 280 εκατομμύρια ευρώ σε ετήσια βάση.
Αξίζει να αναφερθεί ότι το έννομο συμφέρον της ασφαλιστικής επιχείρησης δε θα πρέπει να συγχέεται με το δημόσιο συμφέρον, το οποίο ισχύει εφόσον εμπλακούν οι ελληνικές αρχές, π.χ. αστυνομία, για τη διερεύνηση μίας πιθανής απάτης. Στην περίπτωση του δημοσίου συμφέροντος αίρονται οι όποιες δυσκολίες ισχύουν για την επεξεργασία προσωπικών δεδομένων (άρθρο 6.1 ε’). Οπότε εδώ ανακύπτει η ανάγκη για ειδική νομοθετική ρύθμιση, καθώς οι ασφαλιστικές επιχειρήσεις δεν εξουσιοδοτούνται από την ισχύουσα ελληνική νομοθεσία για την αντιμετώπιση της ασφαλιστικής απάτης, η οποία έγκειται στη δικαιοδοσία των κρατικών αρχών.
Πότε θα μπορούσε να υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων;
1. Όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα.
2. Όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και των ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα.
3. Όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν την υγεία, την αξιοπιστία ή τη συμπεριφορά, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ.
4. Όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.
Εδώ να τονίσουμε πως είναι απαραίτητο πριν από οποιαδήποτε επεξεργασία, εφόσον αυτή κριθεί απαραίτητη και θεμιτή με βάση τον GDPR, να ενημερώνεται σχετικά το υποκείμενο των δεδομένων.
ΚΠ
No comment yet, add your voice below!