На прошлой неделе писали о privacy-ОСАГО. Все потому что руководство РКН говорило, что у бизнеса должна быть возможность уплаты оборотных штрафов без банкротства компании.
Сперва напомним, что регуляторный фреймворк в этой части достаточно скудный и от того является объектом вожделения законодателя. Уже сейчас в Думе на рассмотрении законопроекты: об оборотных штрафах и уголовной ответственности за утечку ПД. Правительство поддержало инициативу внедрения компенсаций пострадавшим от утечек. Совет Федерации трудится над законопроектом о страховании киберрисков. Компаниям предложат или создавать обязательный денежный фонд для компенсации вреда гражданам или страховать этот риск.
Итак, система вмененного страхования сможет сократить количество утечек? Очевидно, нет. Но все же плюсы инициативы имеются:
НО это все конечно при условии, что регуляторы и бизнес-ассоциации разработают стандарты (обязательные или рекомендуемые) с учетом масштаба и специфики различных компаний – белые книги и практики для операторов. Они будут развивать логику риск-ориентированного подхода как к выстраиванию комплаенса и защиты данных, так и к контролю за операторами.
Минусы тоже имеются:
Возможно ли такое? Да. Необходимо разработать и внедрить в практику судов и контролирующих органов перечень смягчающих обстоятельств для бизнеса при расчете штрафов за утечки ПД или скоринговую модель. Ведь полностью исключить риск утечки нельзя, НО можно добросовестно предпринимать меры для защиты данных и законных интересов субъектов ПД. И тогда максимальный штраф мог бы быть назначен только в исключительных случаях, когда оператор не предпринимал никаких мер защиты данных. Вероятно, это исключительный случай, и такую privacy-бессовестную компанию необоснованно защищать от банкротства. В свою очередь privacy-совестливые компании, предпринимающие существенные усилия, не получали бы максимальный штраф.
Вот такой подход подтолкнет операторов вкладываться в защиту данных, когда будет прямая корреляцию между размером штрафа и предпринятыми мерами по защите данных. И на это не повлияют механизмы страхования или компенсаций субъектам. А пока компаниям остается готовиться к доказыванию своей privacy-совестливости – об этом поговорим отдельно.
Что еще почитать: статья в RSpectr.
Сперва напомним, что регуляторный фреймворк в этой части достаточно скудный и от того является объектом вожделения законодателя. Уже сейчас в Думе на рассмотрении законопроекты: об оборотных штрафах и уголовной ответственности за утечку ПД. Правительство поддержало инициативу внедрения компенсаций пострадавшим от утечек. Совет Федерации трудится над законопроектом о страховании киберрисков. Компаниям предложат или создавать обязательный денежный фонд для компенсации вреда гражданам или страховать этот риск.
Итак, система вмененного страхования сможет сократить количество утечек? Очевидно, нет. Но все же плюсы инициативы имеются:
- Развитие культуры работы с данными и в целом повышение privacy-зрелости бизнеса.
- Страхование обеспечит определенную предсказуемость для бизнеса даже в случае инцидентов. А значит, даст (или хотя бы не погасит существующий) импульс развития технологий и увеличение инвестиций в них.
- Страховые компании/экспертные организации в каком-то смысле будут ограниченно выполнять роль РКН по комплаенс-контролю и оценке степени внедряемых мер защиты данных – не для того, чтобы наказать, но чтобы определить условия страхования конкретного оператора или вовсе отказать ему в страховании.
- Если предположить, что аккредитация будет категоризировать требования в части работы с данными к компаниям разного масштаба / отраслей / категорий, это тоже будет положительным аспектом.
НО это все конечно при условии, что регуляторы и бизнес-ассоциации разработают стандарты (обязательные или рекомендуемые) с учетом масштаба и специфики различных компаний – белые книги и практики для операторов. Они будут развивать логику риск-ориентированного подхода как к выстраиванию комплаенса и защиты данных, так и к контролю за операторами.
Минусы тоже имеются:
- Инициатива страхования вместе с финансовыми рисками бизнеса из утечек ПД, стоимость усиленной защиты данных бизнесом в итоге лягут на наши (потребителей) плечи в виде увеличенной стоимости дата- и иных сервисов.
- Риски кратной ответственности бизнеса за одно нарушение. Когда заплатить придется и штраф, и компенсацию пострадавшим от утечки субъектам, а страховка покрывает только один элемент ответственности.
- Однако важно другое: privacy-ОСАГО и аккредитацию бизнеса рассматривают как защиту бизнеса от банкротства из-за грядущих повышенных штрафов за утечки ПД. Но, как кажется, от банкротства бизнес может и должна защищать не страхование, а прозрачная и справедливая модель применения штрафов.
Возможно ли такое? Да. Необходимо разработать и внедрить в практику судов и контролирующих органов перечень смягчающих обстоятельств для бизнеса при расчете штрафов за утечки ПД или скоринговую модель. Ведь полностью исключить риск утечки нельзя, НО можно добросовестно предпринимать меры для защиты данных и законных интересов субъектов ПД. И тогда максимальный штраф мог бы быть назначен только в исключительных случаях, когда оператор не предпринимал никаких мер защиты данных. Вероятно, это исключительный случай, и такую privacy-бессовестную компанию необоснованно защищать от банкротства. В свою очередь privacy-совестливые компании, предпринимающие существенные усилия, не получали бы максимальный штраф.
Вот такой подход подтолкнет операторов вкладываться в защиту данных, когда будет прямая корреляцию между размером штрафа и предпринятыми мерами по защите данных. И на это не повлияют механизмы страхования или компенсаций субъектам. А пока компаниям остается готовиться к доказыванию своей privacy-совестливости – об этом поговорим отдельно.
Что еще почитать: статья в RSpectr.