Удар по всем. Почему бизнес не готов к страхованию рисков утечки персональных данных

Диана Маклозян Автор

На финансовом рынке может появиться новый тип страхования — от утечки персональных данных. Но создать для него правовую базу будет очень сложно

Страхование утечки персональных данных может стать обязательным для российских компаний. Такое предложение появилось в плане мероприятий программы «Цифровая экономика» по направлению «Информационная безопасность». К июлю Минфин, Минкомсвязи и Роскомнадзор должны проработать этот вопрос и решить, должны ли операторы персональных данных (то есть компании) оформлять такую страховку.

Возможные изменения могут коснуться практически всех предприятий — от спортклубов и интернет-магазинов до банков.

Критерии, по которым компания будет относиться к субъекту обязательного страхования, должны быть определены законодателем. Причем их необходимо четко прописать в законопроекте, чтобы исключить возможность вольной трактовки.

Также в законе должно быть прописано, что будет являться страховым случаем. По идее, наступлением страхового случая должно считаться возникновение убытков у застрахованного лица при выплате возмещения, связанного с утечкой персональных данных. Сейчас никакой правовой основы для определения правомерности таких требований, их оценки, квалификации, основании возникновения, а также документов, необходимых для выплаты такого возмещения, просто-напросто нет, отсутствует и аналогичная практика.

Есть случаи обращения физических лиц к банкам о краже денежных средств с банковских карт, но даже здесь нет однозначной практики, которая позволила бы определить, кто должен возместить потери и каким образом. В подобных случаях крайне трудно выявить, были ли похищены деньги из-за утечки персональных данных и кто в это виноват — сам клиент, операторы платежей или кто-то еще.

Возникают также случаи передачи баз данных с личными контактами клиентов в чужие руки. Компании начинают обзванивать людей из списка, зачастую вызывая у последних недовольство. Будет ли такой обзвон считаться основанием для возмещения ущерба за утечку персональных данных, и как этот ущерб можно оценить — пока непонятно.

Наконец, должен быть определен порядок доказательства правоты оператора в случае отказа возмещения. Но тогда каждая компания должна иметь в штате IT-специалиста, деятельность которого будет полностью посвящена предотвращению и расследованию утечек, что также ведет к увеличению расходов.

А излишние расходы бизнес, как известно, всегда стремится переложить на плечи потребителя, что означает рост цен на товары и услуги. Более того, поскольку компании и так считают себя чересчур обремененным требованиями к охране персональных данных, обязательное страхование или банковская гарантия может стать для них сигналом к прекращению деятельности.

Но самое главное — изменения могут так и не привести к желаемому результату: предотвращению утечки персональных данных и выплате компенсаций пострадавшим от таких утечек.