Opća uredba o zaštiti podataka (GDPR – General Data Protection Regulation), sudeći po rezultatima provedenih istraživanja u svibnju i rujnu, (objavljenim u Zborniku radova se međunarodne znanstveno-stručne konferencije Hrvatski dani osiguranja 2017., pod naslovom
Utjecaj GDPR uredbe na poslovanje osiguravajućih društava, a dostupno putem linka
http://www.dani-osiguranja.huo.hr/wp-content/uploads/2017/11/Zbornik-2017.pdf) nije do rujna 2017. među osiguravateljima naišla na veliki odjek, ukoliko izuzmemo ona osiguravajuća društva u stranom vlasništvu koja su iz svojih centrala dobila direktive o pokretanju takvih projekata. No, kako je vidljivo bilo na posljednjoj konferenciji, održanoj u Hrvatskoj gospodarskoj komori 24. studenoga 2017., na kojoj su djelatnici Agencije za zaštitu osobnih podataka održali Savjetovanje za financijske institucije na temu Opće uredbe o zaštiti podataka i gdje se tražila stolica više, predstavnici osiguratelja kojih je bilo u najvećem broju od oko 150 prisutnih, počeli su intenzivno sagledavati aspekte Uredbe i hvatati se u koštac s njom, kako bi napravili čim više posla na usklađenju, u vremenu koje im je preostalo do stupanja na snagu ove regulative, 25. svibnja 2018. godine.
Ova Uredba, koja je izglasana 27.04.2016., sveobuhvatna je Europska Uredba koja, iako ne predstavlja revoluciju u opsegu zaštite osobnih podataka jer se nastavlja na prethodnu Direktivu o zaštiti podataka iz 1995. godine, svojom kompleksnošću i sveobuhvatnošću, na svojevrstan način predstavlja ogroman zaokret na polju zaštite osobnih podataka, te je prethodnica i ostalih najavljenih regulativa na području privatnosti i zaštite podataka. Tome zaokretu zasigurno najviše doprinose i drakonske kazne koje su predviđene za nepoštivanje članaka Uredbe.
Iako je činjenica kako veliki dio operativnog posla oko usklađenja s GDPR-om pada na teret IT sektora/odjela unutar osiguravajućih društava, ipak bi bilo potpuno pogrešno, a i opasno, vjerovati kako je usklađenje isključivi posao informatičara. IT tvrtke su među prvima prepoznale potencijal GDPR-a u razvoju svog poslovanja, te su odmah po donošenju GDPR-a njihovi predstavnici počeli obilaziti potencijalne korisnike nudeći im usluge usklađenja s Uredbom po principu „ključ u ruke“. Takav pristup uglavnom nije polučio uspjeh, poglavito iz razloga što većina korisnika nije niti znala što GDPR jest i koje promjene donosi, a samim tim niti koje su im potrebe. Upravo zbog takvog inicijalnog fokusa dobavljača na IT odjele osiguravatelja, ostali odjeli, a poglavito Uprave društava, nisu posvetili dovoljnu pažnju GDPR-u, te su zahtjeve i upite koji su išli prema njima, uglavnom prosljeđivali prema IT odjelima, smatrajući ih odgovornima za provedbu. U tom prebacivanju loptice na žalost je izgubljeno dragocjeno vrijeme potrebo za usklađenje. Situacija sve do nedavno nije bila nešto drugačija, no svjedoci smo kako se stvari mijenjaju na bolje.
Brojnim edukacijama i prezentacijama AZOP-a kao sadašnjeg, a vjerojatno i budućeg regulatora, te savjetovanjima konzultanata i ostalih zainteresiranih strana koje se bave ovom Uredbom, polako je rasla svijest osiguravatelja o GDPR-u, pa se na osnovu posjećenosti i pitanja na navedenom savjetovanju od 24. studenog može gotovo sa sigurnošću reći kako i osiguratelji počinju obavljati značajnije poslove na usklađenju s Uredbom.
No, što je to toliko posebno u ovoj Uredbi da bi ona izazvala toliku pažnju?
Uredba se, naravno, odnosi na sve oblike poslovnih subjekata, neovisno o veličini, koji obrađuju osobne podatke isto kao i na državne tvrtke i agencije. Pogrešno je uvriježeno mišljenje kako kažnjavanje državnih tvrtki ili jedinica lokalne samouprava za neusklađenost s Uredbom nema smisla, i kako će se novac prelijevati iz jednog u drugi džep. U konačnici lokalna samouprava može ostati bez tog novca, pa bi onda i njima bilo značajno uskladiti se. Isto tako, postoji mišljenje kako se male tvrtke ne trebaju usklađivati. To također nije istina jer i one mogu obrađivati osobne podatke u velikoj mjeri, a to je kriterij za usklađenost. Isto tako, male tvrtke mogu poslovati s velikim tvrtkama koje od njih mogu zahtijevati usklađenost s Uredbom, zbog eventualnih pristupa osobnih podacima i sl., te i u tom slučaju moraju biti usklađene. Možemo zaključiti kako realno postoji malo poslovnih subjekata koji se neće morati uskladiti s Uredbom.
Kada pogledamo osiguravatelje, jasno je kako će se svi koji posluju u Republici Hrvatskoj morati uskladiti s Uredbom, iz jednostavnog razloga jer obrađuju velike količine osobnih podataka.
Posebnost Uredbe ogleda se i u činjenici što sama usklađenost kao takva nije propisana posebnom procedurom, odnosno nije propisano koje sve pojedinačne operativne korake mora poduzeti osiguravatelj kako bi bio usklađen. To je dijelom zbog činjenice što svaki osiguravatelj ima svoje poslovne procese, svoj način i organizaciju poslovanja, te je usklađenje odnosno proces usklađenja jedinstven za svaku tvrtku i nije ga moguće u potpunosti i do kraja definirati kroz procedure, a također regulator ne želi utjecati na tehnološki dio usklađenja. Stoga je tijekom samog projekta nužno kontaktirati AZOP, te se posavjetovati s njima oko eventualnih nedoumica koje mogu postojati, a također pratiti smjernice i ostalu dokumentaciju koje objavljuje Radna skupina jer su tamo pobliže pojašnjeni pojedini članci Uredbe.
Tumačenje pojedinih pravnih odredbi Uredbe i njihovo „pretvaranje“ u informatički jezik i operativne zadatke nije nimalo jednostavno i zahtjeva detaljno poznavanje same Uredbe, lokalnih zakona ali i poslovnih procesa te IT sustava osiguravatelja. Sve to podiže razinu kompleksnosti usklađenja jer projektni timovi zaduženi za GDPR sadržavaju uglavnom heterogenu strukturu eksperata iz svih područja djelovanja, koji svi naravno pričaju svojim jezikom, imaju svoje potrebe, zahtjeve i interese, a to na kraju sve treba spustiti prema IT-u, u vidu operativnih zadataka sa svrhom automatizacije čitavog procesa usklađenja. Sudjelovanje u ovakvim projektima, za klasičan IT može biti prilično nerazumljivo, što proizlazi dijelom iz nerazumijevanja pravnih odredbi, odnosno jezika kojim im se objašnjava nešto što trebaju napraviti, a dijelom zbog toga što sa raznih strana dobivaju informacije koje su međusobno suprotstavljene. Stoga je, sudjelovanje IT-a nužno od samog početka projekta, no, voditelji projekta moraju biti svjesni kako je iluzorno očekivati od IT-a rješenje u vidu čarobnog štapića s kojima će IT u prvom redu razumjeti sve što je potrebno napraviti, a onda na osnovu toga razumijevanja definirati prioritete za implementaciju i usklađenje. To bi bio pogrešan pristup i projekt GDPR se mora voditi multidisciplinarno, a IT je jedna od poluga koja u konačnici mora implementirati potrebno za usklađenje, no nije IT taj koji može i smije odrediti što je to što se treba napraviti.
Temeljni zadatak Uredbe je uvođenje reda na području zaštite osobnih podataka, te s tim u vezi Uredba puno pažnje posvećuje vlasniku osobnog podatka (kojeg se u Uredbi naziva ispitanikom), pa ispitanik ima neka nova prava koja do sada ili nije imao, ili je imao u manjoj mjeri. Tu se ističu pravo na zaborav, pravo na prigovor obrade, pravo na prenosivost podataka, transparentnost komunikacije, pravo na pristup informacijama, pravo na osnovnu informaciju (voditelj obrade mora obrađivati samo minimum podataka potrebnih za obradu), pravo na ispravak pogrešaka u podacima, ograničenje svrhe obrade podataka, pravo na prigovor za obradu u svrhu direktnog marketinga, pravo na isključenje iz obrade na osnovu automatskog procesa profiliranja, pravo na isključenje iz obrade u svrhu znanstvene, statističke ili povijesne svrhe. Sva ova prava kompliciraju i poskupljuju poslovanje osiguravajućih društava, te je potrebno napraviti detaljnu analizu kako bi se sagledali svi aspekti utjecaja Uredbe na poslovanje, a nakon te analize iznaći načine i alate za usklađenje, ali istovremeno i za zadržavanje i širenje poslovanja. Dosadašnja praksa osiguravatelja u dijelu prikupljanja podataka i obavljanja poslova direktnog marketinga, navodi nas na zaključak kao će pojedini osiguratelji morati promijeniti svoje poslovne procese i poslovne navike, te ih uskladiti s regulativom, ali i razmotriti sve ostale relevantne oblike stjecanja osobnih podataka koji bi im bili temelj za širenje portfelja.
Usklađenje s GDPR-om ne bi se smjelo gledati isključivo u smislu zadovoljenja forme i postizanja usklađenja, već ono može biti i prilika za postizanje poslovne kvalitete i izvrsnosti. Kako bi se to postiglo osiguravatelji bi trebali iskoristiti konzultante koji će im pomoći skratiti vrijeme za usklađenje. Istovremeno bi pri izboru trebalo voditi računa o konzultantovu znanju financijskog sektora, posebno sektora osiguranja. Na taj način bi se GDPR mogao iskoristiti i za postizanje poslovnih ciljeva.