„Ha a cégünk biztonsága habos sütemény, a GDPR-biztosítás a cseresznye a hab tetején!”

Napjaink legtöbbet emlegetett értéke az adat – az ingatlan és az autó mellett épp ezt ne akarnánk szerződéssel védeni? A GDPR-biztosítás megkötéséhez természetesen fontos feltétel, hogy  megfeleljünk a jogszabálynak. De mégis hogyan biztosítsuk ezt, hogy ne érjen kellemetlen(ül drága) meglepetés? Batizi Lászlótól, a Forbi-Plus Biztosítási Alkusz Kft. szakmai vezetőjétől praktikus válaszokat kaptunk.

– Kezdjük a startvonalnál: kire vonatkozik a GDPR? Kinek van szüksége biztosításra?

Erről az az eset jut eszembe, amikor Péterfalvi Attilától (a Nemzeti Adatvédelmi és Információszabadság Hatóság NAIH elnöke) megkérdezték: aki a tehenészetben a tejet gyűjti be, annak kell-e foglalkoznia a GDPR-ral? A kérdésre kérdés volt a válasz: kezel-e adatokat? Mindjárt előjöttek a beszállítók kontaktjai, és így tovább…

A GDPR teljesítése alól tehát nincs kivétel. Ebből adódik, hogy biztosításra is szükség van!

Több biztosító is kínál biztosítási védelmet az adatkezelésből adódó kockázatokra, véleményem szerint a legszélesebb fedezetet jelenleg a Colonnade Biztosító adja. Az általuk kínált GDPR biztosítási csomag pedig, a tévhitekkel ellentétben, nem azért van, hogy felmentést adjon az előzetes megfelelés alól!

Inkább azért hasznos, és szükséges, mert ha még meg is feleltünk a jogszabály elvárásainak, akkor is előfordulhat pl. adatlopás – elég egy rosszindulatú alkalmazott vagy egy külső hackertámadás. A biztosítás  –többek között – ilyen esetekre nyújt védelmet. De vigyázat! Ha biztosítási szerződést kötünk a házunkra, ám minden ajtónk tárva-nyitva van, ne várjuk, hogy a biztosító szóba áll velünk. Na, az adatvédelemmel ugyanez a helyzet!

–  Elég, ha azt állítom a cégemről, hogy minden követelményt teljesítettem? Mi alapján dönt ilyenkor egy biztosító?

Előzetes kockázat elbíráláson esik át a biztosítási fedezet kérő cég, a biztosítónak erre a témakörre részletes, több pontos kérdőíve van – ha ezeknek megfelel, ezekkel összhangban van a cég, akkor megköthető a szerződés. Erről azonban a cégvezetőnek kell nyilatkoznia. „De honnan tudom én biztosan, hogy ennek mind megfelelünk?” – , amikor ez a kérdés felmerül, már jó az irány.

Ha felelőtlenül, „majd-lesz-valahogy” alapon nyilatkozunk, egy káreset után jó eséllyel kiderülhet, hogy mégsem teljesítettük a szerződésben foglaltakat. A bizonytalanságot egy szakmai átvilágítás tudja eloszlatni, ami után szakértők tanúsítják, hogy a vállalat a GDPR elvárásainak megfelelően működik, nincs akadálya a biztosításnak.

–  Hogyan kell elképzelni egy ilyen átvilágítást?

A CertUnion összeállított egy olyan, az ISO-nál enyhébb, kifejezetten GDPR-ra vonatkozó tanúsítási formát, ami lehetővé teszi a biztosítást.

Lépésről lépésre, a biztosító irányelvei alapján megvizsgálják a vállalkozás folyamatait, dokumentációját – nemcsak közvetlenül az anyacégre, de a leányvállalatokra és alvállalkozókra vonatkozólag is.

A CertUnion ellenőrzi, hogy az adatkezelők és adattovábbítók gyakorlatai jogszerűek legyenek.

–  Pontosítsuk, ebben az esetben mit értünk jogszerűség, megfelelőség alatt?

Két fontos kérdésre kell választ adnunk: 1. az adatok kezeléséhez kaptunk-e felhatalmazást az ügyféltől; 2. a munkánk elvégzéséhez szükség van-e ezekre az adatokra. Csak olyan adatot tárolhatunk, ami bizonyítottan nélkülözhetetlen a tevékenységünkhöz, és ezeket is csak addig, amíg szükségünk van rá.

Ha holnap felhív az ügyfél, hogy holnaputánra tételes listát kér arról, hogy milyen adatait kezeljük, azonnal el kell tudnunk küldeni neki. Mint ahogy ahhoz is joga van az ügyfélnek, hogy az összes adata törlését kérje a rendszerünkből. Kivéve persze, ha ezt más jogszabály nem korlátozza – bármilyen sokan szeretnék, az áramszolgáltatótól nem kérhetik, hogy töröljék a lakcímet, amire a villanyszámlát postázzák.

–  Ha ezeknek megfeleltünk, jöhet a GDPR-biztosítás?

 Amikor megtörtént az előzetes hatásvizsgálat, és – ahol szükséges – adatvédelmi tisztviselőt is kineveztek, akkor már az előszobában vagyunk. A szerződés előtti kaput az az audit nyitja meg, amit a CertUnion kínál. Ha cégen belül már átnéztük, amit lehet, nagyon fontos, hogy külső szakértő is alátámassza mindezt! Ez azért komolyabb dolog a „több szem többet lát” elvnél.

Hogy megfeleljünk a biztosító részletes elvárásainak, egyedül az jelenthet garanciát, ha elismert, neves auditor csapat világítja át a cégünket, majd adja a nevét (és a tanúsítását) ehhez.

Ezután kérhetünk ajánlatot a biztosításra, ami – bizonyos tevékenységek esetén – egy egyszerűsített űrlap kitöltésével is megtehető.

–  Cégtulajdonosként miért éri meg nekem mindez?

Az adatvédelmi (cyber)  felelősségbiztosítás már sok éve a piacon  van, és ez nem véletlen! A GDPR- biztosítás ennek egy specifikus verziója az adatvédelem szigorodásával helye van a cégek öngondoskodásában. Ha bárki téved, mulaszt, nem megfelelően kezel személyes vagy vállalati információkat, olyan adatszivárgás, incidens történik amelyben a cég  és vezetőjének felelőssége  fennáll, bírságot is kaphat a cég.

Továbbá  személyt ért  jogsérelem is felmerül, komoly összegekre is perelhetik a mulasztót. Nem beszélve az ügy felderítésére fordított ügyvédi  és szakértői díjakról.  Mindez az ún. GDPR biztosítással lefedhető.

Ezeken kívül külső támadás is érheti az adatparkot, az adatvagyon egésze vagy egy része a szivárgás során megsemmisülhet.

Az adatok helyreállítására fordított munkaerő és  szakértői költségek, az IT üzemszünet idejére eső üzemszüneti veszteség, a céget ért reputációs és média költségek, esetenként zsarolási kísérlet költségei az ún. Cyber adatvédelmi biztosításra térülhetnek.

A biztosító által vállalt biztosítási fedezeteket a leendő szerződőnek átadott feltételek pontosan körbehatárolják.

Ezen kívül még nagyon sok a kockázati tényező. Ha a cégünk biztonsága habos sütemény, a GDPR a cseresznye a tetején! Kihagyható, de a rendszer nem lesz teljes. A CertUnion szolgáltatása azt biztosítja nekünk, hogy olyan szerződést kössünk, amellyel a kellemetlen esetek minél hamarabb megoldódnak. A fent említett lakásbiztosításos példánál maradva: a CertUnion egy igazolást állít ki a biztosítónak arról – maradva a fenti, a házunk biztonságára vonatkozó példánál –, hogy a mi ajtónk bizony gondosan kulcsra van zárva.