Операторов персональных данных могут обязать страховать риски утечки информации

Минцфиры России сейчас обсуждает варианты механизма возмещения вреда при утечке персональных данных. Один из них — это страхование операторов данных  от таких рисков, пишет «Коммерсантъ» со ссылкой на министерство. Будет ли страхование обязательным, в Минцфиры не пояснили, лишь указав, что речь идет о предложенных министерством поправках к КоАП, по которым компания, допустившая инцидент, может быть оштрафована на 1% от годового оборота.

Число кибератак в России значительно возросла с начала военных действий на Украине, участились и случаи утечек данных. По данным InfoWatch, за первую половину 2022 года были похищены как минимум 305 баз данных, что почти на 46% больше, чем годом ранее. 

Сейчас в России киберриски страхует не так много компаний после уход иностранных страховщиков: среди крупных — «АльфаСтрахование», «Согаз» и «СберСтрахование». По данным страхового брокера «Союз Страхование», спрос на страховое покрытие киберрисков со стороны российских компаний за последние два года вырос более чем на 20%, а в течение следующих трех-пяти лет сегмент может вырасти до 8–10 млрд рублей. По прогнозам брокера, в течение 5-7 лет страховать такого вида риски будут почти все крупные российские страховщики, так как это станет нормой для российских компаний. Уже сейчас страховщики отмечают возрастающий интерес к киберстрахованию. 

Однако не все участники рынка настроены оптимистично. Тренд на киберстрахование активно развивается за рубежом, особенно в США, но в России интерес к такому виду страхования пока все еще мал, отмечает источник «Коммерсанта» на IT-рынке. Неясен и правовой потенциал киберстрахования: основная проблема услуги в том, что сложно определить понятие «страховой случай», так как киберриски находятся на стыке с другими операционными рисками и ранее не входили в сам страховой пакет. 

Как сообщалось, в октябре Минцифры закончило доработку новой версии законопроекта об оборотных штрафах за утечку персональных данных, который обсуждается еще с весны. Согласно тексту документа, руководители компаний, которые допустили утечку информации от 10 тысяч до 100 тысяч субъектов, будут платить штраф в размере 200-400 тысяч рублей, тогда как индивидуальные предприниматели (ИП) и юрлица должны будут заплатить 0,02% от оборота, но не менее 1 млн рублей. 

В новой версии документа есть оговорка: оборотные штрафы взимаются, если при утечке в диапазоне от 10 тысяч до 100 тысяч записей можно установить принадлежность данных не менее чем 1000 субъектам, а при утечке от 100 тысяч записей — 10 тысяч субъектам. Если не удастся идентифицировать достаточное число записей — штрафы применяться не будут. На данный момент в КоАПе установлены штрафы за утечку данных только для юрлиц — 60-100 тысяч рублей, при повторном нарушении – до 500 тысяч рублей.