Przedsiębiorcy po wprowadzeniu RODO mają obawy przed ewentualnymi sankcjami i poszukują ochrony. Jakie produkty cieszą się większym powodzeniem, jaki zakres ochrony odpowiada ich potrzebom? Już teraz możemy spodziewać się pierwszych postępowań w wyniku skarg zgłaszanych do UODO. Wkrótce pojawią się także pierwsze kary i pierwsze wypłaty odszkodowań.

Wnioski na temat produktów cyber przedstawia Agata Grygorowicz, Dyrektor Działu Ubezpieczeń Finansowych oraz Odpowiedzialności Cywilnej w Colonnade Insurance S.A.

Rewolucja RODO

25 maja 2018 r. w Polsce weszły w życie przepisy RODO ujednolicające prawa ochrony danych osobowych w całej Unii Europejskiej. Regulacje zmieniły zasady przetwarzania danych osobowych w każdym sektorze: od szkolnictwa, przez przemysł wytwórczy i zakłady produkcyjne, po szeroko rozumiany sektor usługowy. Wymogły ponowną ocenę ryzyka związanego z przetwarzaniem danych.

Przedsiębiorcy, obawiając się ewentualnych sankcji, poszukiwali ochrony ubezpieczeniowej z dużym wyprzedzeniem. Wielu z nich wybrało ochronę w ramach produktów cyber. Taka decyzja wynikała
z powszechnego przeświadczenia, że to właśnie tego typu produkty są odpowiedzią na RODO. To prawda, ale ubezpieczenie cyber obejmuje dużo szerszy zakres ryzyk.

Naturalny wybór – ubezpieczenie cyber

Ubezpieczenie cyber w Colonnade to ubezpieczenie hybrydowe o bardzo szerokim zakresie ochrony – obejmuje zarówno odpowiedzialność wobec osób trzecich, jak również szereg kosztów własnych ubezpieczonego (np. okup za dane, ochronę reputacji spółki i osób fizycznych, koszty odzyskania danych elektronicznych, koszty przerwy w działalności). Odpowiedzialność wobec osób trzecich to nie tylko klasyczny rodzaj roszczenia znany z ubezpieczenia odpowiedzialności cywilnej. Obejmuje także postępowania administracyjne, kary administracyjne i usługi śledcze zmierzające do identyfikacji rodzaju incydentu i jego źródła. Ze względu na szerokie spektrum odpowiedzialności za nieprawidłowe postępowanie z informacją, ocena ryzyka w ubezpieczeniu cyber wymaga szczegółowej analizy, która ma na celu zobrazowanie całego procesu zarządzania danymi, jaki funkcjonuje w firmie.

Zawężenie ochrony do RODO

Z doświadczenia Colonnade wynika, że ilość i szczegółowość danych, które okazywały się niezbędne do prawidłowej oceny, zdecydowanie wydłużały proces oceny ryzyka. Przy tym wielu klientów sygnalizowało, że wcale nie potrzebuje tak szerokiego zakresu ochrony. Z tego powodu, wsłuchując się w zgłaszane potrzeby, postanowiliśmy na ubezpieczenie ryzyk cybernetycznych spojrzeć inaczej – 25 maja 2018 r. wprowadziliśmy ofertę ochrony ubezpieczeniowej w dwóch wariantach:

• węższym – obejmującym ryzyka związane z RODO,
• szerszym – obejmującym pełny katalog ryzyk cybernetycznych.

Ubezpieczenie CYBER GUARD RODO obejmuje koszty:

• zawiadomienia osób, których dane dotyczą,
• postępowań administracyjnych,
• kar administracyjnych.

Zwracamy uwagę na potencjalną wysokość kosztów notyfikacji – oszacowaliśmy, że te w razie wycieku danych w średniej wielkości firmie mogą sięgnąć 500 000 PLN.

Duże zainteresowanie CYBER GUARD RODO potwierdza słuszność wybranego podejścia. W niespełna półtora miesiąca przedstawiliśmy ponad 7500 propozycji i mamy już kilka tysięcy ubezpieczonych. Z analizy naszego portfela wynika, że polityka zarządzania ryzykiem cybernetycznym zależy od wielkości przedsiębiorstwa. Większe podmioty skłaniają się ku ubezpieczeniu CYBER GUARD w pełnym zakresie, mniejsze raczej w kierunku CYBER GUARD RODO, które okazuje się dla nich zupełnie wystarczające.

Ocena tendencji i prognozy

Analiza tendencji w Europie po wprowadzeniu RODO wskazuje, że zainteresowanie ochroną ubezpieczeniową powinno rosnąć.

Po wprowadzeniu rozporządzenia największy wyciek danych miał miejsce w Wielkiej Brytanii, gdzie ujawniono dane prawie 6 milionów kart kredytowych. Sprawa dotyczyła sieci sklepów z elektroniką należącej do firmy Dixons Carphone. Obecnie okoliczności zdarzenia bada Information Commissioner’s Office (brytyjski odpowiednik UODO).

Ponadto już 25 maja 2018 r. wpłynęły pierwsze pozwy przeciwko Facebook, Google, WhatsApp i Instagram. Wspomniane firmy zostały oskarżone o wymuszanie zgody na przetwarzanie danych. Max Schrems, austriacki aktywista, domaga się 3,9 mld euro od Facebooka i 3,7 mld euro od Google. Łączna kwota roszczeń to 7,6 mld euro, czyli dokładnie 4% rocznego przychodu obu podmiotów. Na stronie austriackiej organizacji noyb.eu umieszczono nawet linki do konkretnych pozwów.

źródło: https://noyb.eu/

CNIL – Commission Nationale de l’Informatique et des Libertés, francuski odpowiednik UODO, nałożył karę 250 000 euro na Optical Center – sprzedawcę okularów przeciwsłonecznych, ponieważ ten nie zabezpieczył danych klientów zamawiających produkty za pośrednictwem sklepu internetowego. Możliwe było także uzyskanie dostępu do krajowego numeru identyfikacyjnego, numeru ubezpieczenia społecznego i danych zdrowotnych.

W Polsce urzędnicy są zasypywani skargami. Rzecznik Urzędu Ochrony Danych Osobowych potwierdza, że odnotowano stuprocentowy wzrost skarg w stosunku do roku ubiegłego.

Zadając pytania UODO i obserwując tendencje w krajach pod jurysdykcją GDPR, można założyć, że pierwsze postępowania w Polsce mogą zostać wszczęte jeszcze we wrześniu. Z kolei pierwszych kar, a więc także wypłat pierwszych odszkodowań, można się spodziewać najpóźniej do końca trzeciego kwartału 2018 roku.