Совет Федерации предложил обязать компании иметь резерв для выплаты компенсаций за утечки персональных данных россиян
О планируемых изменениях в ФЗ №152 "О персональных данных" заявил заместитель председателя совета по развитию цифровой экономики при Совете Федерации (СФ), член комитета СФ по конституционному законодательству и государственному строительству Артем Шейкин в ходе встречи с журналистами 20 марта.
"Основная идея инициативы в том, чтобы организации, которые обрабатывают персональные данные, имели финансовое обеспечение для возмещения вреда субъектам персональных данных. Это может быть полис у страховой компании, банковская гарантия либо документ, подтверждающий наличие резервного фонда внутри компании. Требование коснется как государственных и муниципальных организаций, так и бизнеса", - заявил Артем Шейкин.
По его словам, пока нет окончательного решения, будет ли мера распространяться на всех операторов персональных данных или только на тех, кто имеет более определенного количества записей в информационной системе. Также в Совете Федерации нет консенсуса по вопросу, что будет являться страховым случаем и каковы будут лимиты страховой суммы для выплат пострадавшим гражданам; предполагается, что размер выплаты будет зависеть от уровня персональных данных - чем чувствительнее утекшая информация, тем больше страховая сумма.
По мнению президента Всероссийского союза страховщиков (ВСС) Евгения Уфимцева, необходимо установить налоговые льготы для предприятий: расходы на страхование киберрисков должны быть отнесены на себестоимость, а не покрываться из их прибыли.
На вопрос корреспондента ComNews, не станет ли инициатива излишне отягощать бизнес, ведь на пороге стоит принятие закона об оборотных штрафах за утечку персональных данных, Евгений Уфимцев ответил, что закон, наоборот, определит лимиты компенсаций, что обезопасит компании от злоупотребления россиянами правом на получение компенсации и подстегнет организации к тому, чтобы развивать превентивные меры по обеспечению сохранности персональных данных.
https://www.comnews.ru/content/230849/2023-12-22/2023-w51/1008/gosudarstvo-uzhestochit-nakazanie-za-utechki-personalnykh-dannykh
"По нашим оценкам, пока страховые компании могут покрыть до 10 млрд руб. Поэтому нужна будет система перестрахования. Если посмотреть на развитие крупных организаций, маркетплейсов, то рынок может достичь 40 млрд руб. При этом не все страховые компании пока готовы страховать киберриски. Пока только 10 из 130 компаний, являющихся участниками ВСС, обладают нужными компетенциями, чтобы правильно заключить договор и оценить киберриски", - сообщил Евгений Уфимцев.
В международной практике, по словам Евгения Уфимцева, распространено киберстрахование самих предприятий - их софта и оборудования - на случай кибератак. Этот рынок составляет более $1 млрд и растет темпами 20-30% в год. При этом, по словам эксперта, особенность российского подхода в том, что за основу взята именно защита человека.
https://www.comnews.ru/content/231983/2024-03-12/2024-w11/1008/utechki-persdannykh-rossiyan-2023-g-kratno-vozrosli-i-2024-g-ne-planiruyut-snizhatsya
По мнению руководителя департамента аудита и консалтинга АО "Инфозащита" (iTPROTECT) Романа Писарева, инициатива Совета Федерации может развиться в эффективную редакцию закона, тем более что успешные примеры в страховании ответственности есть.
"Национальный союз страховщиков ответственности (НССО) помогает организациям застраховать ответственность на случай тех или иных инцидентов, а Российский союз автостраховщиков (РСА) делает ОСАГО для автомобилистов. Похожим образом можно поступить и в случае с утечками персональных данных, в том числе ввести повышенные коэффициенты, чтобы мотивировать операторов не нарушать нормы обработки и защиты данных. При расчете стоимости страхования можно учитывать, каким образом и с применением каких средств компании защищают персональные данные от киберугроз", - считает Роман Писарев.
"Любому человеку приятно получить выплату. Но в случае утечки это лишь легкая моральная компенсация, ведь данные уже оказались в открытом доступе и, возможно, в руках мошенников. И выплата никак это не изменит. Любая утечка - это сложно доказуемая вещь. Люди оставляют данные в десятках сервисов и организаций, поэтому понять, откуда данные утекли, не всегда возможно. Встает вопрос, с какой организации в таком случае требовать компенсацию и кто будет находить виновника?" - задается вопросом исполнительный директор ООО "ХФ Лабс" (ИТ-компания HFLabs) Константин Степанов.
https://www.comnews.ru/content/229287/2023-10-09/2023-w41/1013/sistemy-zaschity-esche-ne-vse-kak-kiberstrakhovanie-menyaet-otnoshenie-biznesa-k-cifrovym-ugrozam