Μόνο σε δύο χώρες ασφαλίζονται τα πρόστιμα του GDPR
Η Aon και η DLA Piper έχουν ετοιμάσει έναν ενημερωτικό οδηγό με τίτλο «Η τιμή της ασφάλειας των δεδομένων», λίγο πριν την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), που τίθεται σε ισχύ από τις 25 Μαΐου 2018.
Ο οδηγός αξιολογεί την ασφαλισιμότητα των προστίμων του GDPR σε ολόκληρη την Ευρώπη, τα οποία μπορούν να φτάσουν μέχρι και τα 20 εκατομμύρια ευρώ ή, αν είναι υψηλότερα, έως και το 4% του ετήσιου παγκόσμιου κύκλου εργασιών ενός ομίλου.
Εξετάζει επίσης, την ασφαλισιμότητα των δαπανών που συνδέονται με τη μη συμμόρφωση με τον GDPR (π.χ. δικαστικές, διερεύνησης και αποζημιώσεις), καθώς και την ασφαλισιμότητα των ρυθμιστικών προστίμων που δεν συνδέονται με τον GDPR.
Ο οδηγός υπογραμμίζει ότι στην παρούσα φάση, υπάρχουν λίγα κράτη στην Ευρώπη όπου τα αστικά πρόστιμα μπορούν να καλυφθούν από ασφάλιση και, ακόμη και τότε, δεν πρέπει να υπάρχει σκοπιμότητα ή βαριά αμέλεια εκ μέρους του ασφαλισμένου.
Οι ποινικές κυρώσεις δεν είναι σχεδόν ποτέ ασφαλίσιμες. Τα διοικητικά πρόστιμα του GDPR είναι αστικού χαρακτήρα, αλλά ο GDPR επιτρέπει επίσης στα κράτη μέλη να επιβάλλουν τις δικές τους κυρώσεις για παραβιάσεις προσωπικών δεδομένων.
Τα βασικά ευρήματα είναι:
- Τα πρόστιμα του GDPR βρέθηκαν να είναι ασφαλίσιμα σε μόνο δύο από τις χώρες που αξιολογήθηκαν, την Φινλανδία και την Νορβηγία.
- Σε 20 από τις 30 χώρες, τα πρόστιμα του GDPR δεν θα θεωρούνται γενικά ασφαλίσιμα, συμπεριλαμβανομένου του Ηνωμένου Βασιλείου, της Γαλλίας, της Ιταλίας και της Ισπανίας.
- Σε οκτώ χώρες, συμπεριλαμβανομένης της Ελλάδας, δεν είναι σαφές εάν τα πρόστιμα του GDPR θα είναι ασφαλίσιμα. Σε αυτές τις χώρες θα πρέπει να εξεταστούν οι λεπτομέρειες σχετικά με συγκεκριμένες περιπτώσεις, για παράδειγμα η συμπεριφορά των ασφαλισμένων και το αν το πρόστιμο χαρακτηρίζεται ως ποινικό.
Ενώ η ασφαλισιμότητα των προστίμων του GDPR μπορεί να είναι περιορισμένη, η ασφάλιση αποτελεί το βασικό στοιχείο στην στρατηγική διαχείρισης κινδύνων μιας επιχείρησης, ώστε να είναι σε θέση να διαχειριστεί τις δαπάνες που σχετίζονται με τη μη συμμόρφωση με τον GDPR και τις επακόλουθες απώλειες από ενδεχόμενη διακοπή εργασιών.
Τέτοιου είδους δαπάνες θα μπορούσαν να περιλαμβάνουν τις νομικές αμοιβές, τα δικαστικά έξοδα και τα κόστη που σχετίζονται με έρευνες συμμόρφωσης και αποκατάσταση, καθώς και τα κόστη που συνδέονται με την αποζημίωση και την ενημέρωση των υποκειμένων, των οποίων τα δεδομένα έχουν παραβιαστεί.
Η Vanessa Leemans, Chief Commercial Officer, Aon Cyber Solutions EMEA σχολίασε:
«Ο GDPR θα εκθέσει τις επιχειρήσεις σε σημαντικά υψηλότερους κινδύνους που σχετίζονται με τον τρόπο διαχείρισης και αποθήκευσης προσωπικών δεδομένων. Οι παραβιάσεις δεδομένων και άλλα περιστατικά στον κυβερνοχώρο, μπορούν να φέρουν τις επιχειρήσεις αντιμέτωπες με μεγάλα πρόστιμα και εκτεταμένες δαπάνες. Είναι επομένως απαραίτητο, οι επιχειρήσεις να κατανοήσουν πλήρως το βαθμό έκθεσής τους. Θα πρέπει να συνεργαστούν στενά με τους ασφαλιστικούς τους συνεργάτες, για να εξασφαλίσουν την ενδεδειγμένη λύση μετακύλισης κινδύνου και το κατάλληλο σχέδιο αντιμετώπισης περιστατικών».
Οι επιχειρήσεις ενδέχεται επίσης να υποστούν ζημιά τόσο στη φήμη τους όσο και στη θέση τους στην αγορά, εάν επηρεαστούν από μια σημαντική παραβίαση δεδομένων.
Ο Prakash (PK) Paran, Partner και Co-Chair, Global Insurance Sector στην DLA Piper συμπλήρωσε:
«Ενώ υπάρχουν μόνο λίγες χώρες όπου τα πρόστιμα GDPR είναι ασφαλίσιμα, η ασφάλιση έναντι των νομικών εξόδων και των υποχρεώσεων μετά από παραβίαση δεδομένων, είναι ευρέως διαθέσιμη σε ολόκληρη την Ευρώπη και μπορεί να προσφέρει πολύτιμη κάλυψη σε επιχειρήσεις. Παρόλα αυτά, οι επιχειρηματικοί όμιλοι θα πρέπει να λάβουν υπόψη, τη ζημιά στην εταιρική τους φήμη και τον αντίκτυπο σε υφιστάμενους πελάτες, την ευρύτερη αγορά και τις σχέσεις τους με τις ρυθμιστικές αρχές, οι οποίες μπορεί να υπερβούν τις ποσοτικοποιημένες οικονομικές απώλειες. Η πρόληψη είναι καλύτερη από τη θεραπεία».
Ο Γιάννης Παπαγεωργίου, Senior Risk Consultant, Aon Greece σχολίασε:
«Με βάση την έκθεση, στην Ελλάδα η κάλυψη των προστίμων του GDPR μπορεί να καλυφθεί υπό προϋποθέσεις και κυρίως εάν το πρόστιμο δεν αφορά την περίπτωση δόλου, βαρείας αμέλειας ή εγκληματικών πράξεων. Είναι πολύ σημαντικό για τις επιχειρήσεις να κατανοήσουν τη σημασία ενός ασφαλιστηρίου συμβολαίου Cyber, ως εργαλείου που βοηθά τη διαχείριση των δαπανών που προκύπτουν, σε περίπτωση παραβίασης προσωπικών δεδομένων. Οι δαπάνες αυτές μπορεί να επεκταθούν πέραν των προστίμων, ενώ μπορούν να ενσωματωθούν στις καλύψεις ενός ασφαλιστηρίου συμβολαίου Cyber. Στην πλειοψηφία των ευρωπαϊκών χωρών, η κάλυψη των προστίμων που μπορεί να επιβληθούν στο πλαίσιο του GDPR, φαίνεται πως δεν είναι δυνατή. Σε ορισμένες χώρες η κάλυψη φαίνεται αβέβαιη προς το παρόν και δυνατή κάτω από ορισμένες συνθήκες».