Удар по всем. Почему бизнес не готов к страхованию рисков утечки персональных данных
Страхование утечки персональных данных может стать обязательным для российских компаний. Такое предложение появилось в плане мероприятий программы «Цифровая экономика» по направлению «Информационная безопасность». К июлю Минфин, Минкомсвязи и Роскомнадзор должны проработать этот вопрос и решить, должны ли операторы персональных данных (то есть компании) оформлять такую страховку.
Возможные изменения могут коснуться практически всех предприятий — от спортклубов и интернет-магазинов до банков.
Критерии, по которым компания будет относиться к субъекту обязательного страхования, должны быть определены законодателем. Причем их необходимо четко прописать в законопроекте, чтобы исключить возможность вольной трактовки.
Также в законе должно быть прописано, что будет являться страховым случаем. По идее, наступлением страхового случая должно считаться возникновение убытков у застрахованного лица при выплате возмещения, связанного с утечкой персональных данных. Сейчас никакой правовой основы для определения правомерности таких требований, их оценки, квалификации, основании возникновения, а также документов, необходимых для выплаты такого возмещения, просто-напросто нет, отсутствует и аналогичная практика.
Есть случаи обращения физических лиц к банкам о краже денежных средств с банковских карт, но даже здесь нет однозначной практики, которая позволила бы определить, кто должен возместить потери и каким образом. В подобных случаях крайне трудно выявить, были ли похищены деньги из-за утечки персональных данных и кто в это виноват — сам клиент, операторы платежей или кто-то еще.
Возникают также случаи передачи баз данных с личными контактами клиентов в чужие руки. Компании начинают обзванивать людей из списка, зачастую вызывая у последних недовольство. Будет ли такой обзвон считаться основанием для возмещения ущерба за утечку персональных данных, и как этот ущерб можно оценить — пока непонятно.
Наконец, должен быть определен порядок доказательства правоты оператора в случае отказа возмещения. Но тогда каждая компания должна иметь в штате IT-специалиста, деятельность которого будет полностью посвящена предотвращению и расследованию утечек, что также ведет к увеличению расходов.
А излишние расходы бизнес, как известно, всегда стремится переложить на плечи потребителя, что означает рост цен на товары и услуги. Более того, поскольку компании и так считают себя чересчур обремененным требованиями к охране персональных данных, обязательное страхование или банковская гарантия может стать для них сигналом к прекращению деятельности.
Но самое главное — изменения могут так и не привести к желаемому результату: предотвращению утечки персональных данных и выплате компенсаций пострадавшим от таких утечек.
Автор: Диана Маклозян