Реализация Общего регламента ЕС по защите данных (GDPR) не привела к волне претензий по страхованию от утечки данных, но остаются вопросы о страховании штрафов, отмечают эксперты Marsh.
Спустя пять лет после вступления GDPR в силу новаторское законодательство изменило обработку данных в ЕС, создав значительные обязательства и риск крупных штрафов. Однако, согласно данным Marsh, финансовые последствия утечек данных в соответствии с GDPR и количество претензий по киберстрахованию оказались ниже, чем предполагалось ранее.
Утечки данных — это лишь небольшая часть зарегистрированных претензий брокера по киберстрахованию в Европе. Только 9,5% киберпретензий, обработанных Marsh Europe в период с 2018 по 2021 год, были связаны с предполагаемым нарушением GDPR и привели к действиям по страховому возмещению, таким как нормативные штрафы или претензии третьих лиц. Однако количество страховых случаев, связанных с GDPR, растет. В 2021 году Marsh обработал заявок почти вдвое больше, чем в 2020 году.
По словам Жана Байона де Ла Тура, главы отдела кибербезопасности Marsh в Европе, влияние GDPR на претензии отражает улучшения в области кибербезопасности за последние пять лет, обеспечение соблюдения правил и отсутствие культуры компенсации в Европе.
«Кибербезопасность улучшилась, и, хотя утечки данных все еще случаются, теперь финансовые последствия гораздо меньше. Главные сотрудники по информационной безопасности (CISO) и риск-менеджеры находятся на вершине этого, и мы видим хорошее взаимодействие с клиентами с точки зрения уведомления властей, в то время как регулирующие органы также понимают риски, с которыми сталкиваются клиенты», — сказал он.
По словам Байон де Ла Тура, инвестиции компаний в соблюдение требований помогли смягчить влияние GDPR.
«Мы увидели много улучшений и инвестиций со стороны европейских компаний для соблюдения GDPR. С финансовой точки зрения, влияние остается низким, потому что организации теперь более безопасны, и у нас нет групповых исков в Европе, что является важным фактором для исков об утечке данных в таких спорных странах, как США и Австралия», — сказал он.
Хотя утечки данных случаются, обычно они не приводят к крупным штрафам или претензиям со стороны третьих лиц, пояснил Байон де Ла Тур. Согласно недавнему руководству Marsh GDPR, на данный момент в соответствии с GDPR было наложено около 1700 штрафов на общую сумму 2,5 млрд евро. При этом только 71 штраф превысил 1 миллион евро.
Самый крупный разовый штраф составил 746 млн евро в Люксембурге. Самый большой штраф Ирландии составил 405 миллионов евро, а самый высокий штраф, выписанный Францией, — 50 миллионов евро. С 594 штрафами Испания лидирует по количеству наложенных штрафов, что более чем в два раза превышает сумму штрафов в Италии, занявшей второе место.
По словам Байон де Ла Тура, соблюдение GDPR органами по защите данных (DPA) было пропорциональным. Штрафы за утечку данных отражают усилия по смягчению последствий нарушения. Там, где были большие штрафы, они были сосредоточены на неправомерном использовании данных технологическими и телекоммуникационными компаниями.
«Было несколько крупных штрафов, но это исключение. Как правило, мы видим только небольшие штрафы, а некоторые регуляторы не налагают штрафы. Таким образом, утечка данных не является большой проблемой в Европе с точки зрения киберстрахования, потому что кибербезопасность улучшилась, а групповые иски еще не являются проблемой», — сказал Байон де Ла Тур.
Хотя обязательства по защите данных в соответствии с GDPR увеличились, остаются вопросы о возмещении штрафов по страховым полисам. Существуют явные запреты на страховое покрытие штрафов и пени на рынках ЕС, но возможность их страхования еще предстоит проверить в судах государств-членов.
Даже в тех случаях, когда страховые полисы предусматривают покрытие штрафов, формулировки, как правило, остаются расплывчатыми и обычно указывают, что штрафы застрахованы «в той мере, в какой они могут быть застрахованы по закону». Однако эти формулировки создают потенциальные вопросы для покупателей страховых услуг. Например: по какому закону они должны оцениваться: по закону страны, где наложено наказание? Или применимое право договора?
«Если Европейский суд будет следовать толкованию статьи 83 GDPR (о штрафах), применяемому в настоящее время органами надзора за защитой данных, штрафы GDPR могут быть наложены на организацию практически за любое несоблюдение GDPR со стороны сотрудников, а также варианты защиты от таких жалоб были бы сильно ограничены. Этот риск сделал бы страховое покрытие очень сложным для каждой организации, работающей с персональными данными», - отметил Marsh в своем руководстве по GDPR.
«Независимо от того, готовы ли страховщики подписаться на такой трудно поддающийся расчету риск или нет, вопрос о возможности страхования выходит за рамки национальной государственной политики и effet utile в соответствии с законодательством Европейского Союза, поскольку наложение штрафа GDPR потенциально может подорвать его эффективность и сдерживание», — говорится в руководстве.
Подготовлено порталом Allinsurance.kz