Drahomír Kubáň: Využití a sdílení zákaznických databází vícerými subjekty

481 views

Published on

• Jsou soukromé údaje zákazníka obchodní záležitostí?
• Základní a související pojmy
• Trendy v pojišťovnictví
• Transfer dat v rámci EU a třetích zemí
• Tzv. křížový prodej (Cross-selling)
• Specifika v pojištění
• Principy a kriteria, které je nutno respektovat

Published in: Economy & Finance
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
481
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Drahomír Kubáň: Využití a sdílení zákaznických databází vícerými subjekty

  1. 1. Využití a sdílenízákaznických databázívícerými subjektyKonference o ochraněosobních údajů ve finančníchslužbách28.února 2013Drahomír KubáňAllianz pojišťovna, a.s.
  2. 2. Obsah 1. Jsou soukromé údaje zákazníka obchodní záležitostí? 2. Základní a související pojmy 3. Transfer osobních údajů 4. Distribuce prostřednictvím třetí osoby 5. Trendy a zvláštnosti v pojišťovnictví 6. Principy a kriteria, které je nutno respektovat 7. ZávěrÚsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 2
  3. 3. Jsou soukromé údaje obchodní záležitostí? #1 Good privacy is good business ( AICPA a CICA 2009*). Soukromí to jsou práva a povinnosti člověka a organizace při shromažďování, užití, uchovávání, rozkrývání a zničení osobních údajů. Práce s osobními údaji je součástí corporate governance. Zachování důvěrnosti se zacházením s osobními údaji je klíčové. Stále rostoucí rizika ztráty, zneužití, neautorizovaného přístupu nebo rozkrytí osobních údajů. Vytvoření rovnováhy mezi sběrem a využitím osobních údajů. Spotřebitel očekává, že s jeho údaji se bude zacházet důvěrně a nebudou zneužity. _______ * American Institute of Certified Public Accountants, Inc. a Canadian Institute of Chartered AccountantsÚsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 3
  4. 4. Jsou soukromé údaje obchodní záležitostí? #1 Sběr osobních údajů je otázkou pro řízení rizik. Jaká mohou být rizika? - reputační; - odpovědnost za škodu, případně trestní odpovědnost, pokuty a jiné sankce dohledu; - změny v obchodní politice a dodatečné náklady s tím spojené; - ztráta důvěry zákazníků, zaměstnanců, akcionářů a obchodních partnerů. - odepírání souhlasu se zpracováním osobních údajů a tím ztráty obchodu, zisku, trhu Požadavek na nastavení správné politiky a vytvoření směrnic.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 4
  5. 5. Základní a související pojmy #2 Právo být sám (the right to be left alone), soudce nejvyššího soudu USA Luis Brandeis 1890. Právo být sám je nejkomplexnější z práv a toto právo musí být ctěno svobodnými lidmi, Luis Brandeis v Olmstead vs. United States (1928). Greta Garbo nakonec dosáhla soukromí, po kterém vždy toužila (she wanted to be alone) psal po její smrti The Spokesman – Review Spokane Chronicle, Washington 17.4.1990. 28. 1. je datum Dne ochrany soukromí v Evropské unii. V roce 1981 byla schválena Radou Evropy Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 5
  6. 6. Základní a související pojmy #2 Soukromí a důvěrnost. Je nutno rozlišovat mezi osobními údaji a důvěrností či obchodním tajemstvím. Osobní údaje jsou definované právními předpisy a zacházení s nimi podléhá přísné regulaci. Důvěrné informace jsou takové, za které je považuje subjekt těchto údajů. Je nutno odlišit od povinnosti mlčenlivosti stanovené právními předpisy.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 6
  7. 7. Základní a související pojmy #2 Vymezení pojmů § 4 písm. zákona č. 101/2000 Sb. Legální titul zpracování osobních údajů Podle § 5 odst. 2 zákona č. 101/2000 Sb. má správce povinnosti zpracovávat osobní údaje pouze se souhlasem subjektu údajů, bez tohoto souhlasu je může zpracovávat při naplnění některé z výjimek uvedených v § 5 odst. 2 písm. a) až g). V tomto případě se jedná o jeden ze základních principů zákonnosti každého zpracování osobních údajů, tzn., že každé zpracování musí mít svůj legální titul. Základním právním titulem zpracování je nepochybně souhlas subjektu údajů. Není-li správce schopen zpracovávat osobní údaje na základě souhlasu subjektu údajů, musí jím prováděné zpracování být v souladu s některým z právních titulů vyjádřených v § 5 odst. 2 písm. a) až g) zákona č. 101/2000 Sb. Samotná objektivní nemožnost získat souhlas subjektu údajů ještě neznamená, že by bylo možné vyloučit aplikaci zbývajících částí tohoto ustanovení, neboť v tomto případě by zpracování jeho právní titul scházel. Proto pokud správce nesplní ani jednu z těchto nabízených možností pro zpracování osobních údajů bez souhlasu subjektu údajů, je nepochybné a zjevné, že takové zpracování je v rozporu s povinností uloženou mu celým zněním § 5 odst. 2 zákona č. 101/2000 Sb. (čj. SPR- 6070/09).Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 7
  8. 8. Základní a související pojmy #2 Odepření souhlasu Člověk (fyzická osoba) musí být informována o možnosti a důsledcích odmítnutí souhlasu poskytnout osobní údaje nebo o odepření či odvolání souhlasu užít osobní údaje k účelu uvedenému v souhlasu. Souhlasy?! Výslovný nebo neurčitý souhlas. Souhlas pro nový účel zpracování. Souhlas s poskytnutím citlivých informací. Souhlas s on-line transferem osobních údajů. Sdílení osobních údajů vícero subjekty k témuž účelu není možné.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 8
  9. 9. Základní a související pojmy #2 Osobní údaj Osobním údajem se dle § 4 písm. a) zákona č. 101/2000 Sb. rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Správní orgán k tomu dodává, že subjekt údajů může být podle iniciál a adresy trvalého bydliště v případě, že na uvedené adrese bydlí pouze jedna osoba s takovými iniciálami, přesně určen. (čj. SPR-2904/08-3) nebo (čj. VER-3280/08-34).Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 9
  10. 10. Základní a související pojmy #2 Sdílení databází osobních údajů. Je to poskytnutí osobních údajů jednou nebo více organizacemi třetí straně nebo sdílení osobních údajů různými částmi jedné organizace. Sdílení osobních údajů může mít formu: - reciproční výměny osobních údajů; - organizace poskytuje osobní údaje třetí straně nebo stranám; - několik organizací sdílí vzájemně informace (pool); - několik organizací sdílí informace poskytuje je třetí osobě; - jednorázové poskytnutí informaci v neočekávaných nebo výjimečných situacích; - různé části jedné organizace si navzájem poskytují osobní data; - fúze; - prodej databází. (Data Sharing Code of Practice)Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 10
  11. 11. Základní a související pojmy #2 Sběr osobních údajů. Sběr osobních údajů je možný pouze k účelům uvedeným v souhlasu subjektu údajů. Použití, uchování nakládání s informacemi. Organizace je oprávněna používat osobní údaje k účelům uvedeným v prohlášení a k němuž dal člověk výslovný souhlas. Uchovávat informace je možné pouze po dobu nezbytně nutnou k naplnění účelu nebo požadovaném právními předpisy a náležitě vzhledem k účelu jejich zpracování s nimi nakládat.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 11
  12. 12. Základní a související pojmy #2 Předávání osobních údajů třetím stranám. Organizace může předávat osobní údaje třetím osobám pouze pro účely uvedené v prohlášení a s výslovným souhlasem občana. Ze souhlasu musí jednoznačně vyplývat identifikace subjektu a účel zpracování. Text souhlasu musí správce označit běžnými identifikačními údaji, aby každý člověk mohl další (třetí) subjekt ztotožnit a uplatnit svá práva. Obecná formulace např. osobám sdruženým ve skupině, osobám spolupracujícím, osobám, se kterými má správce uzavřeny smlouvy apod. je nedostatečná. Podmínkou předání osobních údajů třetímu subjektu je získání souhlasu s předáním a souhlasu s účelem předání. (Stanovisko ÚOOÚ 2/2011)Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 12
  13. 13. Základní a související pojmy #2 Osobní údaje v oblasti marketingu a zákaznických vztahů. Narušování spotřebitelova soukromí vytváří napětí mezi mezi spotřebitelem a marketingem, protože marketing chce vědět více a více o spotřebiteli a spotřebitel chce více a více chránit své soukromí. Marketing založený na databázi zákazníků vycházející z vlastních datových zdrojů nebo veřejných seznamů, např. § 5 odst.6 zákona. Vztahový marketing, tzv. 1: 1, kdy společnost získává údaje o zákaznících, kteří nejsou jejími klienty nebo dodatečných informací o svých zákaznících. Marketing s povolením, kdy společnost získává souhlas klienta a informace o něm i za úplatu.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 13
  14. 14. Základní a související pojmy #2 Plnění povinností správce nebo zpracovatele při zabezpečení osobních údajů Ustanovení § 13 odst.1 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, je nutno vykládat tak, že vyhodnotit rizika a přijmout jim odpovídající opatření je povinen jak správce, tak i zpracovatel osobních údajů. Pokud tedy potřebná opatření nepřijme správce osobních údajů, případně je nepřijme v dostatečné míře, je v tomto rozsahu povinen přijmout potřebná bezpečností opatření zpracovatel osobních údajů. (čj. 35/04/SŘ-OSR ). Správce osobních údajů svým jednáním poruší povinnosti stanovené v § 13 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, pokud nepřijme odpovídající pravidla bezpečnostní politiky týkající se informačních systémů, která by zabránila neoprávněnému zpracování předmětných osobních údajů, a to zejména z toho důvodu, že správně nevyhodnotí rizika, která hrozí osobním údajům zpracovávaným prostřednictvím informačního systému, a jím přijímaná opatření proti neoprávněnému a nahodilému přístupu k osobním údajům nejsou dostatečně razantní a komplexní. (čj. 1/04/SŘ-OSR ) nebo (čj. 7/04/SŘ-OSR ).Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 14
  15. 15. Základní a související pojmy #2 Má zákazník nějakou obranu? Nové technologie ovlivňují nakládání spotřebitelů se svými informacemi: anonymizace, cookies, e-mail filtr, anonymní platební mechanismus. Zákazník může získat mnohem více informací o své činnosti, než jednotlivé společnosti. Info zprostředkovatel (Infomediary) pracuje jako osobní agent jménem spotřebitel, aby jim nappomáhal kontrolovat informace shromáždění o nich pro účely marketingu a nabídek. (McKinsey)Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 15
  16. 16. Transfer osobních údajů #3 Transfer osobních údajů do třetích zemí. Při transferu osobních údajů do zemí, které nejsou členy EU je třeba učinit zvláštní opatření: - v případě, že ochrana osobních údajů ve třetí zemi je nekonsistentní s ochranou poskytovanou právem EU; - mít povolení regulátora (§ 27 zákona); - princip úpravy spočívá na garanci adekvátní ochrany (např. země OECD); - kde třetí země nezajišťuje adekvátní úroveň ochrany, nelze bez povolení osobní údaje poskytovat. Příklad Foreign Account Tax Compliance Act jako administrativní nástroj US Internal Revenue Service (IRS) identifikovat US osoby, které obdržely nehlášené příjmy mino území USA. Transfer osobních údajů v rámci EU je dovolen za předpokladu informovaného souhlasu a zákonného důvodu transferu.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 16
  17. 17. Transfer osobních údajů v rámci skupiny #3 Transfer osobních údajů v rámci společností ve skupině podléhá stejným pravidlům jako sdílení dat obecně nebo se použijí Binding Corporate Rules v rámci EU: - pravidla platná pro společnosti ve skupině; - musí být odsouhlasena všemi příslušnými evropskými úřady na ochanu osobních údajů. Umožňují občanům hájit svá práva před úřady na ochranu osobních údajů a soudy, ukládají povinnosti společnostem ve skupině v ochraně osobních údajů při jejich výměně. Obsahují písemnou smlouvu, popis transferu dat, účel sdílení osobních údajů, práva a povinnosti subjektů dohody a subjektu osobních údajů.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 17
  18. 18. Transfer osobních údajů #3 Smlouvy o sdílení osobních údajů by měly obsahovat: - účel sdílení; - potenciální adresáty nebo typ adresáta a okolnosti, za kterých budou mít k údajům přístup; - data nebo osobní údaje, které budou sdíleny; - požadavky na kvalitu dat a zvláště osobních údajů – přesnost, relevance, použitelnost atd.; - bezpečnost dat; - práva občana – postupu upravující žádost o přístup,otázky a stížnosti; - kontrolu efektivity,možnost smlouvu ukončit; - sankce za porušení smlouvy. (Data Sharing Code of Practice)Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 18
  19. 19. Distribuce prostřednictvím třetí osoby #4 Kdo je správce osobní údajů a kdo je zpracovatel osobních údajů? Může být zpracovatel správcem? Analýza, kdo je principál ve vztahu spolupráce a získávání osobních údajů je nezbytná. Sdílení osobních údajů a dalších dat je nezbytné pro distribuci. Zvláštnosti spolupráci s poskytovateli finančních služeb, operátory, cestovními kancelářemi apod. Zákonné náležitosti jako notifikace zpracování úřadu na ochranu osobních údajů, výslovný souhlas se zpracováním osobních údajů pro účely v prohlášení uvedené, povinnosti při správě a ukončení správy osobních údajů. Je-li pro jiné účely zpracovatele též správcem povinnosti platí povinnosti obdobně. Ukončení spolupráce znamená ukončení zpracovávání těch údajů, které jsou vázány na účel spolupráce. Smlouva upravující zpracování, ochranu a likvidaci osobních údajů, mlčenlivost.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 19
  20. 20. Trendy a zvláštnosti v pojišťovnictví #5 Nové podněty v řízení ochrany osobních údajů na místní, regionální a mezinárodní úrovni. Organizace čelí přísné regulaci a požadavkům na správu osobních údajů. Je nutné se vypořádat s novými technologie jako cloud computing, sociální sítě, mobilní spojení, cookies, … Silný tlak na compliance. Správa citlivých osobních údajů. Novém prodejní spolupráce jako bankopojištění, produktové balíčky, komplexita nabídky finančních služeb. Spolupráce na mezinárodních trzích si vynucuje transfer osobních údajů.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 20
  21. 21. Trendy a zvláštnosti v pojišťovnictví #5 Outsourcing zpracování dat včetně nebo jen osobních údajů. Boj o zákazníka a jeho osobní údaje. Rizika neautorizovaného přístupu, rozkrytí, zneužití a ztráty. Spotřebitelé si uvědomují stále více hodnotu svých osobních údajů. Zvláštnosti soupojištění. Zvláštnosti zajištění. Povinnost mlčenlivosti v pojišťovnictví.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 21
  22. 22. Principy a kriteria, které je nutno respektovat #6 Než se učiní rozhodnutí o sdílení osobních údajů je třeba si odpovědět… Co se sdílením docílí? Jaké informace mají být sdíleny? Kdo požaduje přístup ke sdíleným osobním údajům? Kdy budou osobní údaje sdíleny? Jak budou osobní údaje sdíleny? Jak zjistíme, že bylo sdílením dosaženo sledovaného cíle? Jaké rizika může sdílení osobních údajů přinést? Může být sledovaného cíle dosaženo bez sdílení osobních údajů nebo jejich anonymizací? Musím se ptát svého klienta, zda souhlasí se sdílením jeho údajů? Budou některé osobní údaje transferovány mimo Evropská hospodářský prostor? (Data Sharing Code of Practice)Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 22
  23. 23. Principy a kriteria, které je nutno respektovat #6 Soubor hodnot ovládajících ochranu osobních údajů zpracovávaných v informačních systémech podle ISO/IEC 29100 1. Souhlas a volba. 2. Určení účelu. 3. Omezení sběru osobních údajů. 4. Minimalizace sběru dat. 5. Omezení v užití, uchovávání a poskytování. 6. Správnost a kvalita. 7. Otevřenost, transparentnost a prohlášení. 8. Individualizovaná účast a přístup. 9. Odpovědnost. 10. Informační bezpečnost. 11. Compliance v ochraně osobních údajů.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 23
  24. 24. Použitá literatura Zákon č. 101/200 Sb., o ochraně osobních údajů; Stanovisko ÚOOÚ č. 2/2011, Příručka ÚOOÚ „Osobní údaje jako předmět podnikatelské činnosti“. Rozhodnutí ÚOOÚ k plnění informační povinnosti, náležitostem souhlasu, obsahu povinnosti mlčenlivosti, anonymizaci údajů, plnění povinností správce nebo zpracovatele viz www.uoou.cz,; Generally Accepted Privacy Principles, August 2009, American Institute of Certified Public Accountants, Inc, and Canadian Institute of Chartered Accountants; Data Sharing Code of Practice, Information Commissioners Office . May 2011, www.ico.gov.uk; Intenational Standard ISO/IEC 29100, Information Technology- Security Techniques-Privacy Framework, 2011; Data Protection in the European Union, http://europa.eu.int/citizens/business Private Lives, J. Hagel III, M. Singer, McKinsey Quarterly February 1999; Wikipedia.Úsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 24
  25. 25. Děkuji za pozornostÚsek právní a compliance © Copyright Allianz Česká republika 20.3.2013 25

×