RODO już nie przeraża, ale wciąż straszy

opublikowano: 14-11-2019, 22:00

Polisy od postępowań sądowych i kar związanych z brakiem ochrony danych oferuje niewielu ubezpieczycieli — tymczasem firmy coraz częściej o nie pytają

Najświeższa kara finansowa nałożona przez Urząd Ochrony Danych Osobowych (UODO) za nieprzestrzeganie przepisów RODO, które weszły w życie w maju 2018 r., nie wstrząsnęła rynkiem w takim stopniu jak poprzednie. Za lekceważenie prawa do wycofania zgody na przetwarzanie danych i prawa do bycia zapomnianym spółka ClickQuickNow ma zapłacić 201 tys. zł. Zaledwie kilka tygodni wcześniej po raz pierwszy karę otrzymał włodarz gminy — burmistrz Aleksandrowa Kujawskiego (40 tys. zł). Natomiast najwyższą do tej pory karę od UODO dostała firma Morele.net — 2,8 mln zł (za niedochowanie należytej staranności, żeby zapobiec cyberatakowi, w wyniku którego wyciekły dane osobowe klientów). Jeszcze wcześniej UODO ukarał spółkę Bisnode i Wrocławski Związek Piłki Nożnej. Pięć kar w półtora roku od zainaugurowania działalności UODO — zdaniem ekspertów — to niewiele. Za każdym razem tego typu wydarzenia budzą na rynku popłoch, jednak większość firm, samorządów i instytucji po ubiegłorocznej gorączce związanej z RODO obecnie podchodzi do tematu ze znacznie większym spokojem.

Większość firm, samorządów i instytucji po ubiegłorocznej gorączce
związanej z RODO obecnie do tematu podchodzi ze znacznie większym spokojem —
mówi Marcin Serafin, partner w kancelarii Maruta Wachta.
Zobacz więcej

SPOKÓJ PO BURZY:

Większość firm, samorządów i instytucji po ubiegłorocznej gorączce związanej z RODO obecnie do tematu podchodzi ze znacznie większym spokojem — mówi Marcin Serafin, partner w kancelarii Maruta Wachta. Fot. ARC

— Biorąc pod uwagę liczbę wszystkich podmiotów prawnych, które są zobowiązane do dostosowania procedur ochrony danych osobowych do przepisów RODO — a jest ich w całym kraju prawdopodobnie, luźno szacując, około miliona — kilka kar to niedużo. W związku z tym firmy zakładają, że ryzyko potencjalnej kary jest stosunkowo niskie i raczej nie czują dzisiaj presji inwestowania w poprawę swoich systemów czy ubezpieczenia się od ewentualnych konsekwencji finansowychzwiązanych z odpowiedzialnością wobec przepisów RODO — mówi Marcin Serafin, partner w kancelarii prawnej Maruta Wachta.

Dodaje, że w przyszłości UODO może zwiększyć liczbę kontroli i zakres kar. Ostanie dwie były nałożone w ciągu dwóch tygodni.

Wątpliwości

Kancelaria Maruta Wachta nawiązała niedawno współpracę z ubezpieczycielem Colonnade Insurance. W ramach umowy będzie świadczyć darmowe szkolenia z zakresu przepisów RODO dla klientów ubezpieczyciela, którzy wykupią tzw. polisy cybernetyczne (ubezpieczenie od odpowiedzialności za niewłaściwe postępowanie z informacją) oraz jego szczególny wariant — dotyczący ryzyka stricte związanego z RODO. W kwestii edukacji związanej z danymi osobowymi — zdaniem prawników — wciąż jest dużo do zrobienia. Z badań wynika, że niemal 1,5 roku od wejścia w życie nowelizacji przepisów o ochronie danych osobowych aż 54 proc. przedsiębiorców ma wątpliwości, czy ich firmy są przygotowane na ewentualną kontrolę dotyczącą ochrony danych.

— Z naszych obserwacji wynika jednak, że na ogół nic z tym nie robią, a w momencie pojawienia się kontroli UODO, cyberataku lub pozwu od osoby cywilnej koszty z tym związane mogą znacznie przewyższyć poziom inwestycji związanych z dostosowaniem się do RODO lub wydatkami na ubezpieczenie — przekonuje Marcin Serafin.

Tymczasem oferta ubezpieczeń od ryzyka związanego z RODO i szerzej rozumianego tzw. ryzyka cybernetycznego na polskim rynku wciąż nie jest szeroka. Z naszych informacji wynika, że takie ubezpieczenia oferuje zaledwie kilka spośród kilkudziesięciu towarzystw ubezpieczeniowych działających w Polsce. Jednocześnie polisy są na ogół częścią większych ubezpieczeń cybernetycznych, które czasem są bardzo rozbudowane. Każda oferta ma inny zakres, ale najczęściej gwarantuje firmie pomoc prawną (w tym pokrycie kosztów wynajęcia prawników w przypadku ewentualnych pozwów sądowych) i techniczną (informatyków) w sytuacji zaistnienia incydentu, czyli np. wycieku danych osobowych, a także pokrycie wydatków związanych z odpowiedzialnością wobec osób trzecich.

Niektórzy ubezpieczyciele gwarantują nawet pokrycie kosztów ewentualnych kar administracyjnych i opiekę agencji public relations w kryzysowej sytuacji. W przypadku przedsiębiorstw produkcyjnych w zakres ubezpieczenia może wchodzić też pokrycie kosztów przychodów utraconych w efekcie cyberataku. Jednym z ubezpieczycieli, który od dawna oferuje taki produkt, jest Ergo Hestia.

— Zakres ubezpieczenia związany z RODO jest traktowany obecnie przez pośredników i klientów na równi z zakresem efektów incydentu ataku komputerowego, który może doprowadzić do paraliżu przedsiębiorstwa. Zainteresowanie ubezpieczeniem od ryzyka cybernetycznego stale rośnie, a z naszej oferty korzystają głównie firmy z branż produkcyjnej, usługowej, administracji samorządowej i ochrony zdrowia — podkreśla Maciej Kleina, specjalista ds. ubezpieczeń w Ergo Hestia.

1cae78be-dad3-11e9-8a34-2a2ae2dbcce4
Polityka gospodarcza
Nie uciekniesz przed skutkami polityki gospodarczej. Zapisz się na nasz newsletter, by nie przegapić newsów, analiz i komentarzy. Zamieniamy słowa polityków na pieniądze
ZAPISZ MNIE
Polityka gospodarcza
autor: Marcin Goralewski
Wysyłany raz w tygodniu
Marcin Goralewski
Nie uciekniesz przed skutkami polityki gospodarczej. Zapisz się na nasz newsletter, by nie przegapić newsów, analiz i komentarzy. Zamieniamy słowa polityków na pieniądze
ZAPISZ MNIE

Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa.

Kliknij w link w wiadomości, aby potwierdzić subskrypcję newslettera.
Jeżeli nie otrzymasz wiadomości w ciągu kilku minut, prosimy o sprawdzenie folderu SPAM.

W Colonnade Insurance coraz więcej klientów pyta o ubezpieczenie cybernetyczne.

— Za każdym razem gdy UODO nakłada kolejna karę, zainteresowanie firm naszą polisą rośnie wręcz lawinowo — mówi Monika Rychlik z Colonnade Insurance.

Ryzyko

— To, że wciąż niewiele towarzystw ubezpieczeniowych ma ofertę związaną z RODO, może wynikać z faktu, że w obecnej sytuacji oszacowanie ryzyka związanego z naruszeniem przepisów RODO i konsekwencji finansowych jest bardzo trudne. Trudno jest bowiem przewidzieć dalsze działania i intensywność kontroli UODO, podobnie jak to, w którym kierunku pójdzie orzecznictwo sądowe związane z ewentualnymi pozwami o naruszenie przepisów RODO — tłumaczy Marcin Serafin.

Kamil Cieplicki, pośrednik ubezpieczeniowy, podkreśla, że dużą barierą dla firm, które potencjalnie mogą być zainteresowane polisami od RODO, są koszty takich ubezpieczeń. Natomiast dla ubezpieczycieli szczególnie trudne jest oszacowanie ryzyka szkód związanych z cyberatakami. Podkreśla jednak, że nie można go bagatelizować.

— W tym przypadku nie jest to ryzyko ograniczone geograficznie, jak np. w przypadku powodzi. Ubezpieczenie cybernetyczne cechuje się tym, że jest nieograniczone geograficznie — jeden atak może spowodować szkody na całym świecie — mówi Kamil Cieplicki.

Dodaje, że oferta ubezpieczeń od ryzyka związanego z RODO wymaga współpracy z ekspertami — głównie z firmami, które zajmują się informatyką śledczą, a nie wszyscy ubezpieczyciele mają podpisane stałe umowy z takimi firmami.

— Z punktu widzenia każdego przedsiębiorcy działającego na rynku w przypadku cyberataku kluczowa jest reakcja w ciągu pierwszych czterech godzin, żeby ograniczyć potencjalne szkody, dlatego oferty ubezpieczeniowe powinny gwarantować szybką interwencję wyspecjalizowanych informatyków — mówi Kamil Cieplicki.

OKIEM EKSPERTA

Kar od UODO będzie więcej

MICHAŁ PĘKAŁA, adwokat Linklaters Warsaw

JAKUB KOWAL, radca prawny Linklaters Warsaw

Prezes UODO nałożył jak dotąd pięć kar administracyjnych na podmioty przetwarzające dane osobowe prowadzące działalność w Polsce. Patrząc jedynie przez pryzmat Polski, można by wnioskować, że jest to liczba niewielka. Takie wnioskowanie byłoby jednak daleko idącym uproszczeniem. Porównując tę liczbę z liczbą kar nałożonych przez pozostałe organy ochrony danych osobowych z pozostałych państw członkowskich, widać, że Polska plasuje się mniej więcej w środku stawki. Przykładowo francuski CNIL, który uważany jest w Europie za organ wyróżniający się aktywnością, nałożył do tej pory cztery kary administracyjne. Z drugiej strony organy ochrony danych osobowych w Niemczech nałożyły łącznie trzynaście takich kar. Liczba kar w tzw. starych krajach członkowskich w większości jest bliższa francuskiemu CNIL niż organom niemieckim (Włochy — 1 kara, Belgia — 2, Wielka Brytania — 2, Szwecja — 1). Natomiast „młodsze” kraje członkowskie zdają się bardziej aktywne na tym polu (Słowacja — 5, Czechy — 9, Bułgaria — 8, Rumunia — 7). Od powyższych reguł istnieją oczywiście odstępstwa, jak na przykład Austria, która nałożyła 8 kar, lub Hiszpania — 11 kar. Ocena tego, czy powyższe wartości można rozpatrywać w kategoriach dużo/mało, jest trudna. Z naszych obserwacji rynku wynika, że tempo i liczba kar nakładanych przez organy nie jest zaskoczeniem. Od momentu rozpoczęcia stosowania RODO organy — po zakończeniu tzw. okresu przejściowego, w którym celowo nie prowadziły wzmożonych kontroli — zabrały się do pracy i zaczynamy teraz widzieć efekty tych prac. W związku z tym należy raczej założyć, że liczba kar będzie rosła.

Sprawdź program konferencji "RODO w marketingu", 29 stycznia 2020, Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Aleksandra Rogala

Polecane

Inspiracje Pulsu Biznesu

Tematy