Осторожно, GDPR: как застраховаться от штрафа в 20 млн евро
Почему новые правила защиты персональных данных ЕС могут ударить по украинским компаниям
25 мая в Европе вступил в силу Общий регламент о защите персональных данных (General Data Protection Regulation, GDPR), который заменил ранее существующую аналогичную Директиву 1995 года, и стал ее более «жесткой» версией. В тот же день Facebook, Google, Instagram и WhatsApp получили первые многомиллиардные иски за невыполнение новых правил. В подобной щекотливой ситуации могут оказаться и многие украинские компании. Тем более что СМИ регулярно сообщают об утечке персональных данных клиентов из крупных отечественных предприятий. Как им застраховаться от рисков? Об этом Mind рассказала соучредитель, CEO страхового брокера «Инсарт» Александра Гладышевская.
На кого распространяются правила GDPR? Главная особенность нового регламента – его трансграничность. Это значит, что под действие GDPR подпадают не только компании, являющиеся резидентами ЕС, но и любые другие предприятия, независимо от их локации, которые запускают таргетированную рекламу; реализуют товары и услуги гражданам ЕС; принимают оплату в евро; мониторят предпочтения потенциальных покупателей из ЕС.
В связи с этим GDPR прочат роль закона, который изменит глобальный подход к сохранности персональных данных во всем мире и так или иначе повлияет на принципы ведения бизнеса в части кибербезопасности.
Какие санкции грозят украинским компаниям? В нашей стране до сих пор ведутся ожесточенные споры между юристами, владельцами бизнеса и специалистами в сфере кибербезопасности о том, как же все-таки регламент может повлиять на местные компании, и имеет ли GDPR реальное регуляторное влияние на украинский бизнес.
Естественно, самый главный вопрос, который возникает, будет ли вынуждена украинская компания оплатить штраф в размере 20 млн евро, или 4% от годового глобального оборота, в случае несоблюдения GDPR и утечки персональных данных?
Этот вопрос продиктован очевидной боязнью потерять существенную часть финансовых ресурсов, ведь в большинстве случаев для украинского бизнеса это будет означать полный уход с рынка и закрытие компании. Для специалистов ответ на этот вопрос очевиден, так как абсолютно однозначно прописан в самом регламенте.
Да, украинский бизнес подпадает под действие GDPR. Однако сам механизм предъявления иска к украинской компании и взыскания штрафа пока не до конца ясен.
Как избежать штрафов? Защитить бизнес от возможных санкций GDPR могут внедрение решений по кибербезопасности и профессиональная юридическая поддержка. Еще одним инструментом защиты становится киберстрахование, которое покрывает и государственные штрафы.
На данный момент большинство страховых компаний, провайдеров продукта страхования от киберрисков подтверждают, что в случае наличия покрытия штрафных санкций по полису киберстрахования клиент получит возмещение размера штрафа, предъявленного согласно GDPR. В этом случае полис страхования может быть заключен на максимальный размер выплаты до уже упомянутых 20 млн евро, или на сумму, которая может быть предварительно рассчитана на основе бухгалтерской документации и составит около 4% глобального оборота компании.
Какие убытки и расходы компенсируют страховщики? Страховая компания оплатит размер предъявленного штрафа в случае, если утечка персональных данных произошла в результате кибератаки – как внешней (созданной хакерами, не связанными с предприятием), так и внутренней (при содействии сотрудника компании).
При таком развитии событий, если будет необходимо, страховая компания возьмет на себя оплату стоимости услуг юристов для защиты в суде, включая судебное разбирательство с целью оспаривания вынесенного решения по размеру штрафных санкций. Кроме того, страховому возмещению подлежат расходы на восстановление данных, если произошла не только их утечка, но и уничтожение.
О тарифах страховщиков. Стоимость такого полиса страхования определяется индивидуально и зависит от многих факторов: сфера деятельности компании, объема обрабатываемых персональных данных, оборота компании, существующих систем кибербезопасности и прочего. Как правило, страховой тариф находится в диапазоне от 1,5% до 2,5%.
Могут ли застраховать «дырявую» компанию? При заключении договора страхования от штрафных санкций по GDPR, страховая компания будет принимать во внимание ряд базовых и необходимых подходов к компьютерной системе на предприятии. В их числе – наличие лицензионного программного обеспечения, правил и политик по части использования персональных данных, плана действий на случай кибератаки, обязательное резервное копирование данных. Список базовых требований может быть расширен.
Какие компании пытаются застраховаться? Сейчас наблюдается интенсивный рост запроса от украинских компаний на страхование от киберрисков с покрытием штрафов по GDPR. Это, в первую очередь, банковский, телеком и e-commerce секторы, а также различные службы доставки, у которых есть опция отправки посылок в страны ЕС.
С уверенностью можно сказать, что независимо от того, занимает ли руководство предприятия позицию «скептиков» или «оптимистов» в отношении нового регламента, его внедрение изменит подходы к сохранности персональных данных как на уровне отдельных компаний, так и на уровне целых государств. Будем надеяться, что и в Украине в скором будущем мы будем избавлены от навязчивых SMS о новых службах такси и о скидках в магазинах, в которых даже ни разу не бывали.
Введение регламента стало не менее сильным толчком, чем вирус Petya.A в июне 2017 года, на пути к формированию зрелости местных компаний в вопросах кибербезопасности и сохранности данных своих клиентов.
Авторы материалов OpenMind, как правило, внешние эксперты и специалисты, которые готовят материал по заказу редакции. Но их точка зрения может не совпадать с точкой зрения редакции Mind.
В то же время редакция несёт ответственность за достоверность и соответствие реальности изложенной мысли, в частности, осуществляет факт-чекинг приведенных утверждений и первичную проверку автора.
Mind также тщательно выбирает темы и колонки, которые могут быть опубликованы в разделе OpenMind, и обрабатывает их в соответствии со стандартами редакции.
