В январе широко обсуждался вопрос обязательного приобретения компаниями страховки на случай утери персональных данных сотрудников или клиентов. Ольга Крикунова, консультант по юридическим вопросам консультационного отдела ООО «ИК Ю-Софт», узнала, зачем компаниям может быть нужна такая страховка.
Вопрос появления страховки на случай утери персональных данных в последнее время стоит достаточно остро, в частности, это касается массовых случаев утечки персональных данных и использования их мошенниками.
Утрата персональных данных имеет серьезные последствия и для компании, они могут выражаться в значительном ущербе; к таким расходам можно отнести траты на восстановление утраченных данных, например, на покупку нового оборудования или повторное внесение в базы информации. Также связанными с утратой персональных данных выступают расходы, необходимые для продолжения функционирования без утраченных данных. Кроме того, траты придется понести и на информирование иных лиц о потере персональных данных. Все вышеуказанное может быть не только в денежном выражении.
Так, компания в связи с утечкой персональных данных может пострадать от потери своей деловой репутации. Кроме того, не стоит также забывать и о возникающей ответственности, если утраченные данные принадлежали другим людям.
Страховка стала на сегодняшний день актуальной для владельцев банковских карт, поскольку в последнее время участились случаи списания средств без согласия владельцев. Судебная практика по возврату списанных денег достаточно противоречива, а страховка стала бы надежным гарантом сохранности накоплений (Апелляционное определение Московского городского суда по делу № 33-5514/17, Апелляционное определение Московского городского суда по делу № 33-27157).
Слабое звено
У компаний, являющихся операторами обработки персональных данных, утрата личной информации сотрудников или клиентов происходит в результате потери или кражи материальных носителей, неправомерного доступа в помещения, предназначенные для хранения и обработки данных, несанкционированного доступа к рабочим местам уполномоченных на хранение работников, а также разглашения или неправомерной обработки персональных данных самими сотрудниками компании.
Как показывает практика, чаще всего утечка данных и платежной информации отмечается в государственных органах, банках, образовательных учреждениях и высокотехнологичных компаниях (Определение Верховного суда РФ от 1 августа 2017 г. № 78-КГ17-45, Апелляционное определение Санкт-Петербургского городского суда от 12 октября 2017 г. № 33-21816/2017).
Не следует оставлять без внимания тот факт, что субъекты персональных данных по-прежнему с легкостью предоставляют информацию о себе любому виду операторов, будь то банки или интернет-магазины. При этом пользователь остается уверенным, что данные не поступят в распоряжение третьих лиц.
Из норм части 1 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» следует, что оператором при обработке информации должны быть приняты необходимые правовые, организационные и технические меры или обеспечено их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Несмотря на законную гарантию конфиденциальности, существует гражданская ответственность операторов за нарушение тайны личной информации, предусмотренная статьей 24 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
С 1 июля 2017 года административные штрафы за нарушения при работе с персональными данными существенно повышены. Для организаций верхним пределом штрафа согласно КоАП РФ является 75 000 рублей против прошлых 10 000, а для руководителей – 20 000 рублей вместо 1000.
На сегодняшний день нет точной статистики взаимосвязи между потерями данных компаниями и рисками их обладателей. Однако часто встречается ситуация, когда в результате ошибки в настройках базы данных публикуются в открытом доступе имена, адреса, платежные реквизиты и данные банковских карт клиентов.
Читайте также «Кому выпишут штраф за нарушение Закона о персональных данных?»
Цена страховки
Вопрос о стоимости подобной страховки от потери данных может быть весьма спорным. С одной стороны, само появление такой страховки даст возможность дополнительного дохода для страховых компаний, с другой – велика вероятность наступления страховых рисков, среди которых –риск исполнения финансовых обязательств страховой компании перед потребителем такой услуги. В связи с этим страховые компании могут посчитать убыточным данный вид гарантий, поскольку риски мошенничества сейчас достаточно высоки. Возможно, решением проблемы станет законодательное нормирование стоимости и лимитов указанного вида страхования. Снижением рисков страховой компании также может стать согласование в договорах отдельных рисков наступления ответственности страховщика.
Обратите внимание
При решении вопроса об обязательности данной страховки законодателю необходимо будет учесть не только статистику массовости этой проблемы, но и степень разрешения, включая анализ информации о компенсации ущерба, методиках расчета, а также проценте и причинах отказов.
Чтобы ответить на вопрос о том, какие траты будет компенсировать такая страховка, нужно понять, как будет оцениваться сам ущерб. Будет ли это только возмещение причиненного имущественного вреда или же будет присутствовать какой-либо критерий возмещения нарушенного права, пока неизвестно. Вопрос возмещения ущерба также должен быть регламентирован и в части выявления лиц, причастных к утечке данных.
Таким образом, при решении вопроса об обязательности данной страховки законодателю необходимо будет учесть не только статистику массовости этой проблемы, но и степень разрешения, включая анализ информации о компенсации ущерба, методиках расчета, а также проценте и причинах отказов.
На сегодняшний день, несмотря на то, что законодатель желает услышать мотивированное изложение и экспертную оценку данной ситуации от бизнес-сообщества, некоторые компании уже практикуют возможность страхования отдельных рисков, например, от кибератак. Есть вероятность, что реализация такими компаниями указанных услуг поможет законодателю окончательно сформировать по этому поводу инфраструктуру компаний, занимающихся данным вопросом, а также выработать необходимые стандарты страхования.
Читайте также «Компании обяжут страховаться от кражи персональных данных?»