Af Eur Ing Mark Hawksworth, leder af praksisgruppen for global teknologispecialist og ledende MCL-reguleringsmand
Når der indføres nye databeskyttelseslove, opstår der også nye udfordringer.
Claim farming opstår, når parter indgiver krav for økonomisk vinding mod mål, der ikke er klar over datamisbrug, og er stigende i Storbritannien. Efter at have oplevet vanskeligheder i forbindelse med COVID-19 og det stigende antal cyberangreb, står britiske virksomheder nu over for en yderligere eksponering for claim farming ved hjælp af Regulation 6 i Privacy and Electronic Communications (EC Directive) Regulations 2003(PECR). I de krav, vi har modtaget indtil videre, var virksomhederne ikke klar over deres eksponering, og derfor er det så vigtigt for forsikringstagerne at skabe opmærksomhed og lægge en plan for at beskytte sig selv.
Bekymringer om overholdelse af regler
I nogle tilfælde er virksomheder måske ikke klar over, at de er ansvarlige for misbrug af persondata. Hvis en person besøger deres hjemmeside og opdager, at der er blevet downloadet sporingscookies, kan vedkommende fremsætte et krav om, at hjemmesiden ikke overholder reglerne. Udfordringen er at afgøre, om den person, der fremsætter kravet, bevidst opsøgte websiden for egen økonomisk vindings skyld.
Tredjepartskrav i forbindelse med vedvarende sporingscookies, der placeres på personlige enheder uden ejerens samtykke, bliver genereret i stor stil. Argumentet er, at sporingscookies er indgribende i strid med GDPR, og da der ikke blev givet samtykke til placering af sporingscookien, kan sagsøgeren søge økonomisk kompensation.
Serielle sagsøgeres korrespondance citerer normalt Regulation 2(1) i Regulation 6 i Privacy and Electronic Communications (EC Directive) Regulations 2003 (PECR), som henviser til, at "samtykke fra en bruger eller abonnent svarer til den registreredes samtykke i GDPR". Betragtning 32 i GDPR siger: "Samtykke bør gives ved en klar bekræftende handling, der udgør en frivillig, specifik, informeret og utvetydig tilkendegivelse af den registreredes accept".
Processen for forsikringstagere
Hvis der opdages en overtrædelse baseret på ovenstående retningslinjer, får forsikringstageren besked om, at der er installeret sporingscookies, og opfordres til at indsende et krav i henhold til den relevante forsikringsdækning, vedkommende har. Et krav sendes til forsikringsselskaberne og derefter til en sagsbehandler, som får bevis for både installationen og sporingscookies, normalt i form af en video, der er optaget fra forsikringstagerens enhed.
Kravet kan henvise til:
- beskyldninger/beviser
- den påståede webside, der installerer sporingscookies
- bevis for sporingscookies' vedholdenhed
- hvordan sporingscookies skaber en unik identifikator, som sporer internetadfærd i strid med forordning 6(1) i PECR
- undladelse af at give ansøgeren klare og fyldestgørende oplysninger om formålet med disse cookies i strid med forordning (6)(2)(a) i PECR
- manglende indhentning af samtykke til brug af cookies i strid med forordning 6(2)(b) i PECR;
- manglende behandling af personoplysninger på en rimelig, lovlig og gennemsigtig måde i strid med artikel 5 i GDPR
Under drøftelserne af kravet trues der med, at hvis problemet ikke løses til klagerens tilfredshed, vil oplysningerne blive videregivet til Information Commissioner Office (ICO). ICO kan udøve deres håndhævelsesfunktioner i henhold til forordning 32 i PECR, at der findes et personligt ansvar for overtrædelser af PECR i kraft af forordning 2(3) i The Privacy and Electronic Communications (Amendment) Regulations 2018. Korrespondancen afsluttes normalt med en anmodning om betaling i form af økonomisk kompensation for ovennævnte manglende samtykke, hvorefter der ikke vil blive foretaget anmeldelse til ICO.
For forsikringsselskaber, mæglere og forsikringstagere er det vigtigt at forstå konsekvenserne af ikke at have accept af cookie-samtykke på websider. Uanset om virksomheden er klar over det eller ej, kan den stadig have skylden og dermed være ansvarlig for at yde økonomisk kompensation til den skadelidte. Opbygning af bevidsthed omkring claim farming og udarbejdelse af en plan kan beskytte uskyldige parter mod tredjepartskrav som dette.
Tags: claim farming, Compliance, compliance-kompleksiteter, Cyberrisiko, Databeskyttelse, Datasikkerhed, Udviklende risici + respons, Finansiel risiko, GDPR, persondata, Privatliv, regulering, Regulatoriske ændringer + Compliance, tracking, tracking cookies, UK