Ilmselt on kõik meist vähemalt korra elus puutunud kokku kindlustusega - näiteks reisikindlustuse, kaskokindlustuse, kodukindlustuse või muud liiki kindlustusega. Kuid kas olete kunagi mõelnud sellele, kui palju infot kindlustusandjatel teie kohta tegelikult on? Ja veelgi enam – milline on selle info- või andmehulga seos isikuandmete kaitse ja juba peaaegu kolm aastat tagasi kohalduma hakanud isikuandmete kaitse üldmäärusega?
Kindlustusandjad kuuluvad kahtlemata nende ettevõtete hulka, mille ärimudeli lahutamatuks osaks on suure hulga isikuandmete töötlemine. Erinevad uuringud on näidanud, et kindlustusandjad analüüsivad nii olemasolevaid kui ka potentsiaalseid kliente, et saada aru, millistest toodetest nad võiksid huvitatud olla või milline peaks olema konkreetne kindlustussumma, mida isikule lubatakse. Näiteks kui klient soovib sõlmida liikluskindlustust, analüüsivad kindlustusandjad seda, kui riskantse kliendiga on neil konkreetsel juhul tegu ning hindamine ise toimub teatud parameetrite alusel. On uuritud ja leitud, et selle protsessi käigus analüüsivad kindlustusandjad ulatuslikult ka isikuandmeid - näiteks vaatab kindlustusandja isiku vanust, kui vana on kindlustatav sõiduk, samuti seda, kas isikul on varasemaid kindlustusjuhtumeid. Mõnedes riikides vaadatakse ka seda, kas isikul on olnud varasemaid liiklusrikkumisi. On leitud, et kindlustusandjad vaatavad ka seda, kas isik on mees või naine, sest mõned uuringud on näidanud, et naised on ettevaatlikumad autojuhid ning neil juhtub vähem liiklusõnnetusi.
Isikuandmete kaitse üldmääruse tähenduses on kindlustusandja tegevus käsitletav „profileerimisena“. „Profileerimine“ on igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud konkreetse füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega. Profileerimine kujutab endast andmesubjekti jaoks väga riskantset isikuandmete töötlemise toimingut, kuna see hõlmab hinnangute andmist või prognooside tegemist andmesubjekti kohta ja on väga tõenäoline, et see toimub andmesubjekti jaoks varjatult. Lisaks on oht, et profileerimise tulemusena jõutakse andmesubjekti suhtes ebaõigetele järeldustele.
Juba 2018. aastal kohalduma hakanud isikuandmete kaitse üldmääruse peamiseks eesmärgiks oli see, et isikuandmete töötlemine muutub inimeste jaoks läbipaistvamaks. Sellepärast on üldmääruses näiteks öeldud, et ettevõtted peavad andma isikutele teavet selle kohta, mida nende isikuandmetega tehakse. Kuna profileerimine kujutab endast tavalisest riivavamat isikuandmete töötlemise toimingut, on üldmääruses profileerimise jaoks ette nähtud teatud erireeglid. Näiteks on tõenäoline, et ettevõte, kus teostaks profileerimisi, peab läbi viima andmekaitsealase mõjuhinnangu – spetsiaalse riskianalüüsi, et ära hoida isikute põhiõiguste ja -vabaduste kahjustamist liialt riivava andmetöötluse kaudu. Üldmääruses on mitmes kohas rõhutatud seda, et profileerimine on riskantne töötlemise toiming – näiteks on üldmääruse ühes põhjenduspunktis rõhutatud, et erilist tähelepanu ja hoolt tuleb rakendada laste profileerimise puhul.
Kas kõik need nõuded on aidanud muuta kindlustusandjate poolset andmetöötlust läbipaistvamaks? Kui vaadata Eestis tegutsevate kindlustusandjate isikuandmete töötlemise praktikat, on näha, et samme suurema läbipaistvuse saavutamiseks on kindlasti tehtud. Üldmääruse artikkel 13 nõuab, et vastutav töötleja ütleks selgelt, et andmesubjekti suhtes teostatakse profileerimist. Kui vaadata näiteks Eestis tegutsevate kindlustusandjate veebilehtedelt leitavaid privaatsusteavitusi, näeme, et mitmed neist selgitavad andmesubjektidele, et nad teostavad profileerimist. Mitmel juhul nimetatakse ka profileerimise eesmärke - näiteks profileeritakse kliente selleks, et pakkuda teenuseid, mis nende eelistustele vastaksid. Paljudel juhtudel jäävad aga nimetatud eesmärgid üsna abstraktseks. Näiteks – mida täpsemalt tähendab, kui kindlustusandja profileerib klienti selleks, et määrata teenuste hindu või hinnata konkreetse kindlustusandja juurest lahkumise tõenäosust? Milliseid isikuandmeid sel puhul tegelikult töödeldakse, jääb andmesubjekti jaoks siiski pigem arusaamatuks.
Kindlustussektoris toimuva andmetöötluse läbipaistvamaks muutmiseks oleks vaja, et Euroopa Andmekaitsenõukogu või Eesti Andmekaitse Inspektsioon annaks kindlustusettevõtjatele välja isikuandmete töötlemise juhise. Üldmääruse artikkel 40 lubab ka konkreetse sektori ettevõtteid koondaval ühendusel endal nn toimimisjuhendeid välja anda. Ka seda võiks kaaluda, et kindlustusettevõtted saaksid läbipaistvama andmetöötluse tagamiseks paremini ühtset praktikat kujundada. Eestis on selliseks ühenduseks Eesti Kindlustusseltside Liit.