Fedezi-e a kiberbiztosítás a GDPR-bírságot?

Fedezi-e a kiberbiztosítás a GDPR-bírságot?

Lehet-e biztosítást kötni a komplex és meglehetősen homályos uniós adatvédelmi jogszabályok, az általános adatvédelmi rendelet (GDPR) megsértéséért járó bírságok fedezetére?

Nemrégiben hazánkban is kiszabta az adatvédelmi szabályok megsértése miatti első bírságot a Nemzeti Adatvédelmi és Információszabadság Hatóság. Egy biztonsági kamerarendszert üzemeltetető, nem kisvállalati szférában tevékenykedő szerveztet büntettek meg 1 millió forintra, mert nem adta át egy állampolgárnak a róla készült képfelvételek másolatát. A rendelet szerint a legmagasabb kiszabható közigazgatási bírság 20 millió euró, illetve az előző pénzügyi év teljes világpiaci forgalmának 4 százaléka közül a magasabb. Ekkora összeg esetén nem elhanyagolható kérdés, hogy lehet-e biztosítással fedezni egy esetleges bírságot. 

Persze ki kell hangsúlyozni, hogy ha egy cég köt GDPR-biztosítást, az nem mentesíti az alól, hogy mindent megtegyen annak érdekében, hogy megfeleljen az adatjogi és adatbiztonsági elvárásoknak. Azonban a nem tervezhető, nem várt eseményekre érdemes biztosítást kötni. 

Közel száz magyarországi cég már kötött biztosítást

Hazánkban a Fairfax Financial Holdings tulajdonában lévő, a QBE és AIG fióktelepeinek átvételével létrejött Colonnade biztosító kínál a vállalatok számára cyber adatvédelmi felelősségbiztosítást, illetve tavaly májustól GDPR adatvédelmi felelősségbiztosítást. A biztosítás fedezetet nyújt azon szakértői és jogi költségekre, illetve az esetleges kártérítési kötelezettségekre, melyek a társaság által kezelt adatokkal kapcsolatos jogsértésekkel összefüggésben merülnek fel. 

Megkeresésünkre a Colonnade elmondta, hogy Kelet-Európára fokuszáló biztosítóként, a 6 országukban (Lengyelország, Szlovákia, Csehország, Bulgária, Románia és Magyarország) már 500-hoz közelít a GDPR adatvédelmi felelősségbiztosítási kötvények száma. Az 500 ügyfél között közel 100 magyar cég is van már. A biztosítás díja elsősorban a biztosított cég tevékenységének, éves bevételének és a megvásárolt kártérítési limitnek a függvénye. Az önrész is változik ezektől függően. A legalacsonyabb kategóriába eső ügyfelekre vonatkozóan az éves díj 80.000-85.000 forintról indul, 10%, de minimum 500.000 Ft-os önrésszel.

Mivel a GDPR valamennyi cégre vonatkozik, ez a Colonnade ügyfélkörének összetételén is visszatükröződik: a spektrum 10 millió forint éves árbevételnél kezdődik és több tíz milliárdos éves árbevételnél zárul. Arra a kérdésünkre, hogy történt-e már káresemény, kifizetés, a társaság elmondta, hogy eddig még nem kaptak konkrét GDPR-ral kapcsolatos kárbejelentést. 

A biztosítottak körére vonatkozóan több megkötés is létezik. Fontos, hogy az ügyfél néhány minimális kritériumnak megfeleljen, kármegelőzés kapcsán néhány minimálisan elvárható, ésszerű intézkedést megtegyen a szerződés megkötése előtt. A biztosítás maga nem helyettesítheti a GDPR-ra való felkészülést – hangsúlyozza a Colonnade: „olyan cégekkel nem tudunk szerződést kötni, akik nem mentek végig a GDPR-ra való felkészülés folyamatán. Ha mindezt megtették, még akkor is jelentős kockázataik maradtak, amelyeket a GDPR biztosítás megkötésével tudnak kezelni”.

Megkérdeztük azt is, hogy a biztosítás fedezi-e a GDPR-bírságot. Válaszul megtudtuk, hogy az egész Európai Unióban kérdés, hogy a GDPR bírság milyen mértékben biztosítható a vonatkozó jogszabályok alapján. Ez országonként változó, de a Colonnade szándéka szerint a biztosítás fedezetet nyújt a bírságra is, amire szintén vonatkozik az önrészesedés.

Mi a helyzet Európában?

A világ egyik vezető jogi tanácsadója, a DLA Piper valamint az Aon tavaly nyáron végzett közös felmérése szerint 30 európai ország, köztük Magyarország közül mindössze két országban – Norvégiában és Finnországban – lehet olyan biztosítást kötni, amely fedezi a GDPR bírságokat is. A vizsgált országok közül húszban nem lehet a bírságokat biztosítással fedezni. További nyolc országban nem egyértelmű a szabályozás: a biztosíthatóságot befolyásolja, hogy bűncselekményhez kapcsolódik-e a bírság. Összefoglalva tehát a tagországok jogszabályaitól, és az azt követő bírósági határozatoktól függ, hogy biztosítással fedezhető-e a GDPR-bírság. (A felmérésben nem azt vizsgálták meg, hogy rendelkezésre áll-e ilyen biztosítási fedezet, hanem hogy elvileg lehetséges-e ilyen biztosítást nyújtani az adott országban.)

A kiberbiztosításokkal foglalkozó Marsh szerint az Egyesült Államokban a legtöbb kiberbiztosítás fedezetet nyújt a jogi tanácsadás, az igazságügyi szakértői költségekre, valamint az érintettek értesítésével járó kiadásokat is fedezi, azonban a GDPR bírságokat általában nem. Egyes biztosítók eseti alapon biztosítják a bírságokat is, mások további kiegészítő információkat kérnek cserébe a biztosítottaktól. 

A brit adatvédelmi hatóság (Information Commissioner's Office – ICO) szóvivőjétől is megkérdezték nemrégiben újságírók, hogy lehet-e biztosítással fedezni az általuk kiszabott bírságokat, amire válaszul azt mondta: „semmi nem tiltja, vagy engedélyezi a GDPR-rendeletben a bírságok biztosítását, de nem is ez a lényeg. A szervezeteknek inkább arra kellene összpontosítaniuk, hogy a megfelelő adatvédelmi gyakorlatukat hatékonyságuk, hírnevük és versenyelőnyük növelésére fordítsák.”

DLA Piper becslései és Európai Bizottság hivatalos statisztikái szerint a GDPR rendelet hatálybalépése, vagyis 2018. május 25 és 2019. január vége között összesen mintegy 41 502 adatkezeléssel kapcsolatos incidenst jelentettek, de csupán 91 esetben szabtak ki bírságot az illetékes hatóságok. Az adatok a 28 tagot számláló Európai Unió 21 országából származnak. A legtöbb esetet Hollandiában, Németországban és az Egyesült Királyságban regisztrálták (5400, 12600 és 10600), ezekben az országokban történt az összes incidens közel kétharmada.

A Deloitte a GDPR első félévének tapasztalatairól egy 11 országra kiterjedő, vállalati képviselőket és fogyasztókat egyaránt kérdező kutatást is végzett. A megkérdezett cégek 33 százaléka nem rendelkezik elegendő erőforrással, hogy teljes mértékben megfeleljen a GDPR elvárásainak, és mindössze 15 százalékuk véli úgy, hogy sikerült befejeznie a GDPR felkészülési programját.

Fotó: Pexels

Biztosítók