Глава НСИС предлагает новый подход к страхованию утечек персональных данных

На данный момент в ответ на запрос НСИС на страховом рынке не обнаружено предложений с достаточным покрытием и лимитами, сообщил Николай Галушин.

Страхование должно быть добровольным, оператор информационной системы должен иметь средства возмещения ущерба в связи с требованиями о возмещении ущерба со стороны третьих лиц (владельцев персональных данных), к которым может относиться и договор страхования при достаточном уровне покрытия и по страховой сумме, и набору рисков, считает глава НСИС.

По его мнению, основным условием наступления ответственности информационной системы является доказательство самого факта утечки персональных данных, учитывая объем данных, которые уже находятся в открытом доступе, включая информацию, которую сами владельцы персональных данных выкладывают в интернет.

После подтверждения факта утечки персональных данных из конкретной системы должна быть доказана причинно-следственная связь между фактом утечки персональных данных и понесенным ущербом (материальным, физическим, моральным) у конкретного владельца персональных данных, чьи данные утекли. Ущерб должен быть только в отношении конкретного пострадавшего лица (владельца персональных данных), а не по самому факту утечки данных.

Глава НСИС считает, что должно быть освобождение от ответственности в случае соблюдения информационной системой всех требований регулирующих и надзорных органов (приняты все необходимые меры для защиты персональных данных).

В случае действия страхового покрытия по договору страхования должно быть предусмотрено только одно исключение: при умышленных действиях оператора информационной системы не будет производиться страховая выплата при ущербе конкретному лицу в результате утечки персональных данных.

Страхование должно быть на сумму максимально возможного реального ущерба, который может быть нанесен владельцем персональных данных. При отсутствии достаточной емкости на страховом рынке должна быть предусмотрена предельная сумма емкости, причем ущерб сверх этой суммы не возмещается оператором информационной системы.

Также должна быть предусмотрена субсидиарная ответственность подрядчиков, которые работали на инфраструктуре и программном обеспечении в области информационной безопасности с одинаковым набором рисков и исключений, утверждает Николай Галушин.

В условиях ограниченного рынка перестрахования возможно потребуется внутренняя пуловая емкость российских страховщиков кибер-рисков помимо емкости РНПК. Важно, чтобы условия страхования были согласованы между страховыми компаниями, заключил глава НСИС.