10:5616 апреля 201810:56
286просмотров
10:5616 апреля 2018
Через несколько недель, 25 мая 2018 года, вступит в силу новый закон Евросоюза — GDPR (General Data Privacy Regulations) по защите персональных данных. Его действие распространяется на все компании, которые обрабатывают персональные данные резидентов ЕС, вне зависимости от того, где зарегистрирована компания, имеет ли она представительство в странах ЕС и в какой стране осуществляется обработка. Среди российских компаний под действие GDPR подпадают транспортные и энергетические компании, интернет–магазины, банки, финансовые компании, туристические компании, медиа и телеком, фармацевтические компании.
GDPR вводит серьезные требования к обработчику персональных данных. Реализация этих требований может потребовать значительных затрат на модификацию бизнес–процессов и ИТ–систем. В случае инцидента с персональными данными обработчик обязан уведомить об утечке персональных данных как надзорный орган, так и владельца персональных данных. Если число скомпрометированных записей велико, это может привести к ощутимым расходам только на уведомления, не считая остальных видов убытков. Ответственность по GDPR может достигать 20 млн евро, или 4% годового оборота, причем выбирается большая сумма.
Принимая во внимание значительный размер штрафов, а также то, что даже самые надежные системы защиты не имеют стопроцентной гарантии, защита от рисков GDPR в виде полиса киберстрахования может оказаться очень полезной. В США подобное законодательство и, как следствие, страхование применяется уже более 5 лет. За этот период американский рынок киберстрахования демонстрировал ежегодный рост примерно на 30% и достиг сборов около $4 млрд. Европейские страховщики ожидают аналогичного роста рынка после введения GDPR. Главная особенность полисов киберстрахования — значительная сервисная составляющая. Перед заключением такого договора проводится предстраховая экспертиза. Она позволяет выявить уязвимости и существенно повысить текущий уровень защищенности компаний при обработке персональных данных. Помимо компенсации финансовых потерь страховое покрытие включает сервисную поддержку страхователя после наступления страхового случая. Это услуги специализированных ИТ–компаний по поиску причин события и восстановлению работоспособности ИТ–систем, а также услуги по уведомлению субъектов персональных данных.
Российский страховой рынок предлагает полисы, подходящие под условия GDPR. Но, поскольку по практике применения нового закона еще много вопросов, а условия страхования скопированы в основном с зарубежных аналогов, нужна адаптация к требованиям российского законодательства и рискам страхователей. Поэтому надежность страховой защиты компаний — обработчиков персональных данных будет во многом зависеть от их работы по проведению качественной предстраховой экспертизы: необходимо грамотно сформировать состав персональных данных, определить возможные риски, требования к страховщику и страховому покрытию.
Автор: генеральный директор ООО "Риск–профиль", член правления Ассоциации страховых
экспертов Лариса Саченко