του Βάιου Κρόκου
Στο αχανές πεδίο του κυβερνοχώρου και των νέων αναδυόμενων απειλών που ελλοχεύουν οι εταιρείες καλούνται να προστατευθούν για να διαφυλάξουν την ομαλή λειτουργία τους και φυσικά την φήμη τους.
Με αιχμή του δόρατος τον νόμο GDPR είναι γεγονός πως υπήρξε μαζική νομοθετική παραγωγή σε Ελλάδα και Ευρώπη ενώ πληθαίνουν οι υποθέσεις που βάσει νομοθεσίας απαιτείται η γνωστοποίηση υποθέσεων που αφορά την ασφάλεια/προσωπικά δεδομένα.
Οι κυρώσεις και τα διοικητικά πρόστιμα είναι αυστηρά και λειτουργούν σε ένα βαθμό ώστε να υπάρξει συμμόρφωση μέσω της εκπαίδευσης, των επενδύσεων σε υποδομών κλπ. Θα καλύψει όμως μια ασφαλιστική την επιβολή προστίμου;
Για την ώρα το πλαίσιο είναι ασαφές: Από την μια πλευρά αρκετές ασφαλιστικές στην Ελλάδα τονίζουν πως παρέχουν αυτήν την κάλυψη ενώ στον αντίποδα άλλοι μπορούν να επικαλεστούν το ασφαλιστικό δίκαιο κατά το οποίο “δε μπορεί να ασφαλιστεί κίνδυνος που έχει προκαλέσει ο ασφαλισμένος ή με τις ενέργειες του έχει επιτείνει το τελικό αποτέλεσμα”.
Είναι γεγονός πως στο παρελθόν αρκετές εταιρείες θεωρούσαν πως με την κάλυψη γενικής αστικής ευθύνης θα μπορούσαν να αποζημιωθούν και από cyber κινδύνους. Όπως εξηγούν οι ειδικοί, το θετικό που έφερε το νέο πλαίσιο κανονιστικής συμμόρφωσης είναι η ενεργοποίηση των διοικήσεων ώστε να αυξήσουν το μπάτζετ για τέτοια ζητήματα ασφαλείας.
Από την άλλη πλευρά η Αρχή Προστασίας Προσωπικών Δεδομένων θα επιβάλει πρόστιμο αν πράγματι εντοπίσει πως δεν είχαν ληφθεί τα απαιτούμενα μέτρα για την ασφάλεια των υποδομών.
Η τάση πάντως στην Ευρώπη είναι η επιβολή όλο και πιο τσουχτερών προστίμων ειδικά για ζητήματα παραβίασης προσωπικών δεδομένων, κάτι που αναμένεται να συμβεί και στην Ελλάδα.
Σε κάθε περίπτωση οι αντιδράσεις μιας εταιρείας πρέπει να είναι άμεσες και στοχευμένες και η ενημέρωση στην ασφαλιστική είναι εύλογο να γίνει είτε υπάρχει cyber security κάλυψη είτε όχι, καθώς σε αρκετά συμβόλαια υπάρχουν οι επιμέρους καλύψεις.
Σε ειδικό πάνελ του χθεσινού 1ου Cyber Insurance & Incident Response Conference της Ethos Events αναλύθηκαν ζητήματα νομοθεσίας και συμμόρφωσης από την κα Αφροδίτη Κουσουνή, Δ.Ν, Δικηγόρος, LLM, Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ), την κα Αριάννα Σέκερη, CIPP/E, CIPM, FIP, DPO, Junior Partner, ALG Manousakis Law Firm και η κα Μαίρη Δεληγιάννη, Επικεφαλής της ομάδας Data Protection & Cybersecurity, Ζέπος & Γιαννόπουλος.
Επί τάπητος τέθηκαν τεχνικά νομικά θέματα, ο απαιτούμενος χρόνος απόκρισης μετά από ένα περιστατικό, οι φορείς που πρέπει να γνωστοποιηθεί και οι επιμέρους κινήσεις, ενώ στο επίκεντρο βρέθηκαν ο GDPR, o NIS Directive και e – privacy regulation ο οποίος αναμένεται.
Για την ώρα, όσον αφορά τα πρόστιμα και τις διοικητικές κυρώσεις, για τον GDPR προβλέπεται πρόστιμο ως και 10 εκ. ευρώ ή 2% επί του παγκόσμιου τζίρου. Για την NIS Directive πρόστιμο 15,000 ευρώ ανά περιστατικό και 200,000 ευρώ σε περίπτωση υποτροπής.
GDPR – τι έγινε στον πρώτο χρόνο εφαρμογής
500.000 Data Protection Officers
64.000 περιστατικά παραβίασης ασφαλείας
56 εκ. ευρώ πρόστιμα
94.0000 παράπονα πελατών
200.000 καταγγελίες
Ελλάδα
930 καταγγελίες
136 περιστατικά