19
Вт, нояб

Евгений Уфимцев: возмещение ущерба от утечек персональных данных – нормотворчество и страхование

Ufimtsev BCCО том, что думают страховщики о перспективе введения обязательного финансового обеспечения ответственности операторов за утечку персональных данных порталу "Страхование сегодня" рассказал Евгений Уфимцев, Президент Всероссийского союза страховщиков (ВСС), Российского союза автостраховщиков (РСА), Национального союза страховщиков ответственности (НССО).

В наше время информация становится стратегическим товаром, и утечка этой информации для человека, давшего согласие на ее использование только в конкретных целях, становится очень чувствительной. Нас беспокоит проблема сохранности персональных данных и компенсации убытков в случае их утечки. Нужна ясность – и для организаций, которые распоряжаются информацией, за что именно они несут ответственность, и для потребителей, за что, в случае утечки, они получат компенсацию ущерба. Страхование, безусловно, должно быть одной из форм финансового обеспечения возмещения ущерба при наступлении подобных случаев.

В ходе обсуждения поправок в закон 152-ФЗ «О персональных данных» мы от ВСС высказывали свои предложения. В аналогичном законе по страхованию опасных объектов очень четко классифицированы объекты с различной степенью риска: есть электростанции, есть угольные разрезы, а есть просто лифты в жилом доме. И здесь тоже необходимо классифицировать предприятия и организации, на которые распространяются требования Роскомнадзора, их нужно разделить на 4-5 классов по хранению персональных данных, и определить лимиты в зависимости от степени риска, поставив наибольшие для крупных организаций с большим количеством потребителей и высокой чувствительностью информации. Тогда небольшие организации с низкой степенью риска будут иметь небольшие лимиты и суммы. В законе 152-ФЗ уже есть 4 категории – градации владельцев персональных данных, на это можно опираться.

Еще одна важная проблема, как мне кажется, связана с тем, что человеку, потребителю должно быть понятно, сколько он может потребовать с той или иной организации при наступлении страхового случая (утечки его данных или какой-то иной проблемы). Это надо четко установить, чтобы с одной стороны не было злоупотреблений со стороны потребителей, и с другой стороны, пострадавшему не приходилось идти в суд, а было бы достаточно подать заявление в страховую компанию.

В настоящее время в России осуществляется добровольное страхование киберрисков. ВСС создал рабочую группу, в которую вошли десять страховых компаний. Мы разработали стандарты и правила для этого вида, и ряд страховщиков сейчас активно его развивает. Но так как это пока добровольное страхование, то на его предложение откликнулись в первую очередь наиболее ответственные и защищенные компании-страхователи, которые выполнили требования закона и Роскомнадзора, а дополнительно еще и купили такой полис. А будущий закон заставит не только таких социально ответственных, но и всех других участников рынка, которые хранят персональные данные, иметь финансовое обеспечение (банковскую гарантию, страховой полис или другие предусмотренные законом способы) на случай ущерба и понимать, что чем лучше у них организована безопасность, тем меньше они потратят на приобретение таких гарантий. Это будет финансовый инструмент, стимулирующий организации улучшать защиту и сохранность персональных данных.

К настоящему времени по добровольному страхованию по данному направлению (оно несколько шире, чем только страхование киберрисков) собрано немногим менее 1 млрд рублей страховой премии. Страхуют свои риски, в основном, средние компании. Крупные компании больше сил направляют на поддержание своей инфраструктуры по отражению кибератак и прочих угроз силами самой организации.

Предполагаемый закон вычленяет из всего массива страхования, связанного с киберугрозами, то что связано с защитой интересов потребителей – людей, давших согласие определенной организации на использование своих данных. Заглядывая вперед, мы понимаем, насколько это станет важно в будущем, и было бы недальновидно не подготовиться к этому сейчас, пока все еще только формируется. Пока были только первые прецеденты, когда люди добивались судебных решений о выплате компенсаций по таким случаям. Для этих граждан, даже в случае небольших сумм, получение этих выплат становилось настоящим квестом – как и куда обращаться, как получить подтверждение, как доказать произошедшее. Особенность и ценность новой редакции закона, как мне кажется, в том, что получение компенсаций перестанет быть таким сложным. Часть документов после принятия закона будет разрабатываться Банком России в контакте со страховым сообществом. Как и по другим законам об обязательном страховании, в нормативных актах будет определено, куда обращаться, какова форма обращения, какие документы необходимо представить и какая максимальная сумма может быть получена.

Потенциальный объем нового рынка сейчас можно оценить примерно в 10 млрд рублей страховой премии. Закон не предусматривает обязательного страхования, страховой полис – это одна из форм финансового обеспечения, наряду с другими инструментами (банковской гарантией, созданием собственного гарантийного фонда) по выбору компании. Возможности страхового рынка сейчас достаточно ограничены в части того, что могут принять страховые компании, исходя из своих активов и обязательств, поэтому потребуется развитая система перестрахования таких рисков.

Обсуждался также вопрос, не получится ли так, что сейчас организации, работающие с персональными данными, вынуждены серьезно вкладываться в обеспечение безопасности, а при наличии страхового полиса или банковской гарантии они перестанут этим заниматься. В этом смысле, чем хорошо именно страхование – это инструмент не только урегулирования убытков, но и профилактики, потому что оценка и принятие рисков, определение страховой стоимости и тарифа позволяют страховщику учесть продвинутость страхователя в сфере обеспечения сохранности данных в стоимости его страховки, качество его программного обеспечения и защиты. Если в ходе экспертизы будет установлено, что необходимых мер по защите не предпринимается, страховщик не возьмет объект на страхование, а банк не выдаст банковской гарантии. Тем самым страховые компании или банки станут тем дополнительным экспертом, который будет определять, в какой мере можно доверять той или иной организации работу с персональной информацией.

В общем, на наш взгляд, законопроект – правильный, нацеленный на будущее и очень человекоцентричный. Человека не будут гонять по кругам ада за справками и выплачивать небольшие суммы за утерянную очень чувствительную информацию, а будут быстро и оперативно, возможно, даже через электронное урегулирование, через портал Госуслуг, выплачивать страховое возмещение. Для предприятий такое страхование станет не единственным инструментом, а дополнительным контуром защиты, наряду с информационными системами, программным обеспечением и другими мерами безопасности. А в выигрыше, в конечном счёте, окажется рядовой гражданин России.

Источник: «Страхование сегодня»