25 травня в Європі набрав чинності Загальний регламент про захист персональних даних (General Data Protection Regulation, GDPR), який замінив аналогічну Директиву 1995 року і став її більш жорсткою версією. Того ж дня Facebook, Google, Instagram і WhatsApp отримали перші багатомільярдні позови за невиконання нових правил. У подібній делікатній ситуації можуть опинитися і багато українських компанії. Тим паче що ЗМІ регулярно повідомляють про витік персональних даних клієнтів із великих вітчизняних підприємств. Як їм застрахуватися від ризиків? Про це Mind розповіла співзасновник та CEO страхового брокера «Інсарт» Олександра Гладишевська.
На кого поширюються правила GDPR? Головна особливість нового регламенту – його транскордонність. Це означає, що під дію GDPR підпадають не тільки компанії, що є резидентами ЄС, а й будь-які інші підприємства, незалежно від їхньої локації, які запускають таргетовану рекламу; реалізують товари і послуги громадянам ЄС; приймають оплату в євро; моніторять переваги потенційних покупців з ЄС.
У зв'язку з цим GDPR пророкують роль закону, який змінить глобальний підхід до гарантування безпеки персональних даних у всьому світі і так чи інакше вплине на принципи ведення бізнесу в частині кібербезпеки.
Які санкції загрожують українським компаніям? У нашій країні досі точаться запеклі суперечки між юристами, власниками бізнесу і фахівцями у сфері кібербезпеки щодо того, як же все-таки регламент може вплинути на місцеві компанії, і чи має GDPR реальний регуляторний вплив на український бізнес.
Природно, найголовніше питання, яке виникає: чи буде змушена українська компанія оплатити штраф у розмірі 20 млн євро, або 4% від річного глобального обігу, в разі недотримання GDPR і витоку персональних даних?
Це питання продиктоване очевидним страхом втратити істотну частину фінансових ресурсів, адже у більшості випадків для українського бізнесу це означатиме повний відхід з ринку і закриття компанії. Для фахівців відповідь на це питання очевидна, оскільки абсолютно однозначно прописана у самому регламенті.
Так, український бізнес підпадає під дію GDPR. Однак сам механізм пред'явлення позову до української компанії та стягнення штрафу поки не до кінця зрозумілий.
Як уникнути штрафів? Захистити бізнес від можливих санкцій GDPR можуть впровадження рішень з кібербезпеки і професійна юридична підтримка. Ще одним інструментом захисту стає кіберстрахування, яке покриває й державні штрафи.
На даний момент більшість страхових компаній, провайдерів продукту страхування від кіберризиків підтверджують, що у разі наявності покриття штрафних санкцій за полісом кіберстрахування клієнт отримає відшкодування розміру штрафу, пред'явленого згідно GDPR. У цьому випадку поліс страхування може бути укладений на максимальний розмір виплати до вже згаданих 20 млн євро, або на суму, яка може бути попередньо розрахована на основі бухгалтерської документації і складе близько 4% глобального обігу компанії.
Які збитки і витрати компенсують страховики? Страхова компанія оплатить розмір пред'явленого штрафу в разі, якщо витік персональних даних стався в результаті кібератаки – як зовнішньої (створеної хакерами, не пов'язаними з підприємством), так і внутрішньої (за сприяння співробітника компанії).
При такому розвитку подій, якщо буде необхідно, страхова компанія візьме на себе оплату вартості послуг юристів для захисту в суді, включаючи судовий розгляд з метою оскарження винесеного рішення за розміром штрафних санкцій. Крім того, страховому відшкодуванню підлягають витрати на відновлення даних, якщо відбувся не тільки їхній витік, але й знищення.
Щодо тарифів страховиків. Вартість такого поліса страхування визначається індивідуально і залежить від багатьох факторів: сфери діяльності компанії, обсягу оброблюваних персональних даних, обігу компанії, існуючих систем кібербезпеки тощо. Як правило, страховий тариф перебуває у діапазоні від 1,5 до 2,5%.
Чи можуть застрахувати «діряву» компанію? Під час укладання договору страхування від штрафних санкцій за GDPR страхова компанія братиме до уваги низку базових і необхідних підходів до комп'ютерної системи на підприємстві. У їх числі – наявність ліцензійного програмного забезпечення, правил та політик у частині використання персональних даних, плану дій на випадок кібератаки, обов'язкове резервне копіювання даних. Список базових вимог може бути розширений.
Які компанії намагаються застрахуватися? Зараз спостерігається інтенсивне зростання запиту від українських компаній на страхування від кіберризиків із покриттям штрафів за GDPR. Це, в першу чергу, банківський, телеком і e-commerce сектори, а також різні служби доставки, у яких є опція відправлення посилок до країн ЄС.
З упевненістю можна сказати: незалежно від того, чи займає керівництво підприємства позицію «скептиків» або «оптимістів» щодо нового регламенту, його впровадження змінить підходи до збереження персональних даних як на рівні окремих компаній, так і на рівні цілих держав. Будемо сподіватися, що і в Україні у недалекому майбутньому ми будемо позбавлені від нав'язливих SMS про нові служби таксі та про знижки в магазинах, де навіть жодного разу не бували.
Введення регламенту стало не менш сильним поштовхом, аніж вірус Petya.A в червні 2017 року, на шляху до формування зрілості місцевих компаній у питаннях кібербезпеки і збереження даних своїх клієнтів.