Компания Experian проанализировала возможные потери юрлиц при введении новых нормативных положений ЕС о защите данных. В основу исследований была положена экспертная информация агентства ComRes , которое провело интернет-опрос 400 средних и крупных британских предприятий в период с 22 декабря 2014 г. по 3 января 2015 г. Все респонденты были специально отобраны и участвовали в разработке политики своей компании в области защиты данных либо были информированы о такой политике. Это любопытно для россиян, которым тоже не избежать изменений в правилах о персональных данных и которые уже страдают от нарушений их прав и вторжения в их частную жизнь.
Были опрошены 2056 совершеннолетних граждан Великобритании в период с 9 по 11 января 2015 г. Данные были «взвешены», с тем чтобы они считались репрезентативными для всех граждан Объединенного Королевства в возрасте от 18 лет и старше.
Подтверждено, что новые стандарты значительно повысят значимость отчетности и финансовой информации для компаний. 2/3 опрошенных клиентов заявили, что прекратят вести дела с организацией, допустившей утечку данных.
В то же время, как показывают результаты опросов, средние и крупные предприятия могут быть оштрафованы на общую сумму 20 млрд фунтов стерлингов, если не обеспечат своим клиентам защиту от утечки данных. Эта сумма рассчитана следующим образом: в Великобритании зарегистрировано 38 000 средних и крупных предприятий (данные BIS http://www.parliament.uk/briefing-papers/sn06152.pdf). Согласно первичным данным Experian, 17% компаний сообщили о произошедшей у них в последние два года утечке (то есть утрате или краже) более 1000 записей, содержавших секретную или конфиденциальную информацию. 17% от 38 000 = 6460 предприятий, которые могут быть оштрафованы в соответствии с новым законодательством. Средний оборот таких предприятий составляет 61 868 421 фунт стерлингов, а средний штраф — 5% от этой суммы, то есть 3 093 421. Соответственно, 6460 средних и крупных британских предприятий умножаем на средний штраф 3 093 421 фунт стерлингов и получаем 19 983 499 660 фунтов стерлингов.
Компании, страдающие от утечки данных, могут столкнуться с серьезными финансовыми последствиями после полного введения в действие новых нормативных документов о защите данных во всех государствах — членах ЕС.
Согласно исследованию, британские предприятия совершенно не готовы противодействовать таким нарушениям. За последние два года почти пятая часть (17%) компаний как минимум один раз теряла конфиденциальную информацию, а 57% из них страдали от утечки данных многократно. На вопрос о возможных мерах в случае утечки информации были получены следующие ответы:
-
менее половины опрошенных организаций (47%) уведомят клиентов о случившемся с максимальной возможной скоростью;
-
43% для успокоения клиентов создадут специализированную группу поддержки;
-
только 16% заявили о готовности выплатить финансовую компенсацию пострадавшим от утечки данных.
«Введение в действие нормативных положений ЕС о защите данных в ближайшие три года коренным образом изменит ситуацию с утечкой данных. Хотя на данный момент закон об обязательном уведомлении компетентного органа еще не вступил в силу, компании заинтересованы в том, чтобы уже сейчас принимать профилактические меры и составлять планы на будущее. Лидерами рынка станут те компании, которые сосредоточат внимание на защите своих клиентов», — отметил Стивен Гилдерт, управляющий директор Experian в России и странах СНГ.
При этом проблемы не ограничиваются одной лишь угрозой крупного штрафа: почти две трети (63%) опрошенных физических лиц заявили, что прекратят работать с организацией, подвергшей риску их персональные данные. Действительно, на карту поставлены доверие и лояльность клиентов — восемь из десяти британцев отметили, что в такой ситуации их доверие к пострадавшей компании снизится (80%) и мнение о ней ухудшится (79%). Более двух третей (67%) сказали, что будут отговаривать своих друзей и родственников от сотрудничества с такой организацией.
Основная сложность состоит в том, что Великобритания, вероятно, повторит путь, пройденный США за последние пять лет. Это значит, что риск утечки данных будет стремительно расти, и, соответственно, ожидаются более серьезные последствия в виде убытков из-за потери клиентов, более широкой огласки и репутационного ущерба.
О масштабе проблемы свидетельствуют следующие факты:
-
почти каждая пятая из опрошенных организаций (17%) за последние два года пострадала от утечки данных, в процессе которой было утрачено более 1000 записей. В США эта цифра значительно выше — 43%;
-
почти три пятых (57%) пострадавших компаний становились жертвой кражи данных неоднократно. Более всего пострадали средние предприятия: почти две трети (61%), как сообщается, подвергались атакам от двух до пяти раз, тогда как в сегменте крупных компаний объектом нападения были две пятых (40%);
-
почти половина компаний (46%) считают защиту персональных данных своей обязанностью, 27% полагают, что несут эту обязанность наравне с клиентами, а почти треть (28%) возлагают ответственность за безопасность данных исключительно на клиента;
-
организации, пострадавшие от утечки данных в последние два года, гораздо чаще заявляют о том, что защита персональных данных является обязанностью клиентов (55%), по сравнению с компаниями, не подвергавшимися краже данных в последние два года (21%).
Стандарты ЕС по защите данных включают в себя целый ряд положений. Среди основных:
-
всеобщее обязательное уведомление: все операторы персональных данных должны в обязательном порядке информировать орган по надзору за соблюдением законодательства о защите персональных данных обо всех утечках персональных данных в течение 72 часов;
-
штрафы в Великобритании вырастут с действующего на данный момент максимума в 500 000 фунтов стерлингов до 71 727 114 фунтов стерлингов (100 млн евро), или до 5% от годового оборота.