Как застраховка Кибер отговорност ще помогне на бизнеса при проблеми със сигурността на лични данни
Ако има едно нещо, което всички компании вече знаят за промените в законодателството за защита на личните данни, които влизат в сила от 25 май 2018, то е размерът на глобите. И най-вече ужасяващите числа 20 милиона евро или 4 % от световния годишен оборот – което от двете е по-голямо. Детайлите масово се оказват непонятни за много бизнеси, особено по-малки, и готовността на компаниите в ЕС според проучване от януари 2018 е едва 20 %. Абревиатурата GDPR, с която е известен новият регламент, днес е кошмарът на малки, средни и големи компании из целия ЕС, включително в България. А един от най-честите въпроси, които изникват, е можем ли да сключим застраховка на лични данни и какво представлява тя.
Основните неща, които трябва да знаем за GDPR
Права на гражданите
Регламентът засилва съществуващите права, предвижда нови права и осигурява по-голям контрол на гражданите върху техните лични данни.
- улеснен достъп до техните данни — включително предоставяне на повече информация за обработването на данните и гарантиране, че тази информация е налична по ясен и разбираем начин;
- ново право за преносимост на данните — което улеснява преноса на лични данни между доставчици на услуги;
- поясняване на правото на изтриване („право на забравяне“) — когато дадено лице вече не желае данните му да се обработват и не съществува законна причина те да се съхраняват
- правото да се знае кога личните данни са били обект на външно проникване
Правила за предприятия
- единен набор от общи за ЕС правила — общото европейско законодателство ще спести над 2 милиарда евро на година
- Назначаване на длъжностно лице за защита на данните – задължително за всички предприятия и институции, които обработват лични данни в големи мащаби – над 10 000 души
- обслужване на едно гише — предприятията ще контактуват само с един-единствен надзорен орган
- правила за насърчаване на иновациите — гаранция, че предпазните мерки за защита на данните се вграждат в продукти и услуги от най-ранния етап на разработването им
- техники за насърчаване на поверителността, като например псевдонимизация и криптиране
- премахване на уведомленията — новите правила за защита на данните ще отхвърлят повечето задължения за уведомления и разходите, свързани с тях. Една от целите на регламента е да се премахнат пречките пред свободното движение на лични данни в рамките на ЕС.
- оценки на въздействието — предприятията ще трябва да извършват оценки на въздействието, когато обработването на данни може да доведе до висок риск за правата и свободите на индивидите;
Какви са наказанията за неспазване на регламента?
Това е най-горещата тема, която е способна да създаде паника у всеки собственик и мениджър. Едно от основните положения в новия регламент са строгите наказания, които се предвиждат за неспазването му. 20 милиона евро или 4 % от световния годишен оборот – това е, което масово се разпространява по телевизията и останалите медии и хвърля в ужас всеки бизнес.
Но каква е истината?
Определеният лимит е абсолютният максимум на глобите и в никакъв случай с него не се цели бързо напълване на хазната от неуспешното прилагане на регламента, нито пък фалита на голям брой малки и средни компании, които не могат да се съобразят с всички правила. Целта е да се стимулират масово компаниите да спазват регламента и да правят всичко възможно за опазването на личните данни, които събират и обработват. Истината е, че много европейски специалисти споделят, че пълното спазване на GDPR е утопия. Все пак, всички са длъжни да положат максимални усилия за защита на личните данни.
А наказанията за неспазването на регламента могат да са разнообразни и ще се определят от местния орган за защита на личните данни в държавата, в която е базирано дружеството. Те могат да са не само под формата на глоби. Например възможни наказания са временно прекъсване на трансфера на лични данни към друга държава, порицание за компанията или временно/постоянно прекъсване на разрешението за обработване на лични данни.
По отношение на глобите, те ще се определят в зависимост от много фактори – природата на нарушението, ефекта, което то има, обема на изтеклата информация, дали е изтекла чувствителна информация или по-обща, колко души са засегнати и какви са потенциалните последващи ефекти. Няма таблица с нарушения и съответстващите им глоби – всеки регулаторен орган ще разглежда всяко нарушение индивидуално. Така че чудовищните числа, цитирани по-горе, ще касаят единствено много сериозни нарушения в огромни мащаби, които никоя компания, независимо от мащаба си, не би била готова да понесе.
Какви ще са последиците за бизнеса от неспазването на регламента и пробив в сигурността на личните данни?
Възможните глоби далеч не са единствените и най-сериозните щети от възможносто нарушаване на сигурността на личните данни. Напротив – те са само видимият връх на айсберга, под който се крие огромен масив от проблеми, които могат да възникнат в резултат от подобно нарушение.
Искове от трети лица
Неспазването на регламента може дори да не е забелязано от властите, ако няма някакъв сериозен пробив в сигурността, но да предизвика искове от лица, чиито данни се събират, съхраняват и обработват – по най-разнообразни причини. Разходите по справяне с тези ситуации са в широк спектър – съдебни разноски, наложени обезщетения и не на последно място, рискът за репутацията на компанията и разходите, които трябва да бъдат направени по нейното опазване.
Пробиви в сигурността
В случай на пробив в сигурността и изтичане на данни, възможните негативни сценарии нарастват лавинообразно и разходите, които ще възникнат около тях, стават безброй много. Разходи за разследвания, съдебни разходи, обезщетения на засегнатите и пострадалите, разходи свързани са уведомяване на всички засегнати, както и регулаторните органи. Не на последно място – изтичане на корпоративна информация, щети върху техническата инфраструктура и сигурността на мрежата. Щетите върху репутацията и разходите по нейното възстановяване са трети вид разходи, които обикновено се правят във времето, а не еднократно. Щетите върху компютърната система са отделно звено и също могат да са разнообразни – от кражба на имущество до цялостен срив в компютърните мрежи. В последните години много сериозен е и рискът от хакерски атаки и изнудвания за откуп.
При липса на адекватна подготовка, всички изброени хипотези могат да доведат до фалита на компанията или поне много сериозна загуба на позиции на пазара. Целта на GDPR е до голяма степен да намали риска от подобни сценарии като накара бизнесите да полагат по-сериозни усилия за опазване на данните, с които оперират. Въпреки това, стриктното прилагане на регламента не може да гарантира на 100 % сигурността на данните, а и GDPR се отнася единствено до защитата на личните данни. Затова, едно от най-необходимите неща в антикризисната подготовка на всяка компания е кибер застраховката.
Кибер застраховката – какво покрива и как ни предпазва?
Застраховка Кибер отговорност е един от най-търсените продукти на българския застрахователен пазар през последните месеци и това е напълно логично. Тя покрива много голяма част от рисковете, свързани със сигурността на данните в една компания, и в частност сигурността на личните данни. Кибер застраховките покриват широк спектър от рискове и сценарии, свързани не само с личните данни, но и с изтичане на друга информация, хакерски атаки, сигурност на информационните системи и т.н. Дори компанията да не събира и управлява големи масиви от лични данни, тя със сигурност използва активно компютърни системи и мрежи и сигурността им е от съществена важност за сигурността на компанията. Затова застраховка Кибер отговорност е важна, независимо дали става въпрос за банка, която управлява данни на милиони хора, или логистичен център, който оперира основно с информация за неодушевени стоки.
Какво покрива застраховка Кибер отговорност
Покритията и лимитите за застраховане на кибер отговорност и лични данни могат да варират в различните застрахователни компании, но ето няколко общи категории, в които повечето компании осигуряват покритие.
Отвоговорност за нарушаване на сигурността на данни.
В това се включва отговорността на компанията, оперираща с лични данни, към лицата, чиито данни се събират и обработват. Застраховката покрива нанесени щети и необходимите разходи за защита на потърпевшия, възникнали при нарушаване на сигурността на неговите данни. Покрититето важи и за загуба на корпоративна информация. В покритието се включват и претенции, вследствие на повреждане на данните на лицата вследствие на компютърни вируси или повреди, отказ на достъп на лицата до техните данни, повреждане или подправяне на лични данни, разкриване на лични данни на лицата от служители на компанията.
Административни разходи
В застраховката обикновено са включени и административните разходи и разходи за разследване на пробиви в сигурността на данните. Необходимите разходи за възстановяване на репутацията както на застрахованата компания, така и на физически лица на отговорни позиции в компанията, също могат да бъдат покрити.
Мултимедийни дейности
Покритие, което все повече застрахователи предлагат, е и срещу рискове при мултимедийни дейности. За мултимедийни дейности се признават публикуването или разпространяването на каквото и да било съдържание на цифров носител. Покриват се претенции от трети лица срещу застрахования за уронване на престижа на лицето, неумишлено посегателство върху авторско право и интелектуална собственост, плагиатство, нелоялна конкуренция и др.
Кибер изнудване и искане на откуп
Друго особено актуално покритие и за кибер изнудване и хакерски атаки, свързани с кражба на лични данни. Могат да бъдат застраховани както случаите на изнудване и необходимите разходи, които трябва да бъдат направени за прекратяване на изнудването, така и случаите на кражби на данни и искане на откуп. Някои застрахователни компании са готови да застраховат риска от откуп и да платят искания откуп, в случай, че застрахованото лице може да докаже тези плащания.
Покрива ли застраховка Кибер отговорност глоби към институциите?
Покритието на глобите е един от най-неясните въпроси, свързани със застраховането на данни. Няма ясна тенденция в предлаганите на пазара продукти – в някои случаи общите условия на застраховките категорично изключват глобите и административните наказания, в други случаи те могат да се покриват. Важно е да отбележим, както споменахме по-горе, че глобите далеч не са най-сериозният разход, който една компания ще трябва да направи, ако се установи пробив в сигурността на личните данни и загуба на лични данни. Дори в случай на мащабно нарушение, в който да бъде наложена максималната глоба, останалите разходи вероятно отново ще надвишат размера на самата глоба. Затова застраховка Кибер отговорност е необходима и полезна, независимо дали покрива самите глоби към регулаторите или не.
Как да изберем застраховка Кибер отговорност?
Застраховките Кибер отговорност са изключително сложни продукти с многобройни клаузи и условия, затова е задължителна консултацията със застрахователен брокер. Единствено специалистите застрахователни брокери могат да разграничат и анализират особеностите между полиците, предлагани от различните застрахователи, и да ви посъветват коя от тях е най-подходяща за вашия бизнес. Застрахователният брокер е и специалистът, който най-правилно може да определи кибер рисковете, пред които е изправена вашата компания, и да ви предложи адекватен продукт. Затова най-доброто, което можете да направите за бизнеса си, ако още нямате застраховка Кибер отговорност, е да се свържете със застрахователен брокер по най-бързия начин.
Инстрейд Застрахователен брокер е компания с над 20-годишно присъствие на пазара и солиден опит в обслужването на корпоративни клиенти. Свържете се с нас, за да научите повече за кибер застраховките и как те могат да бъдат полезни за вашия бизнес.