Персональные данные в страховании

Ксения Шудрова

Независимый эксперт

С начала года мы наблюдаем масштабные утечки в сфере страхования по всему миру. Так, в начале года в Японии украли базу данных клиентов крупной страховой компании, с аналогичной ситуацией столкнулся швейцарский страховщик. В обоих случаях речь идет о миллионах записей, касающихся держателей страховых полисов, персональные данные похищали из информационных систем аутсорсинговых ИТ-компаний. Также в январе произошла крупная утечка у отечественного страховщика. Слитая в даркнет база данных насчитывает около 700 тысяч записей о клиентах. И это явно не последний случай, угрозы информационной безопасности как никогда актуальны для всей отрасли. Для персональных данных в сфере страхования характерны все типы угроз:

  • Конфиденциальности (информация о страхователях, застрахованных лицах и выгодоприобретателях в базе страховщика весьма обширна, включая данные о здоровье и имуществе).
  • Целостности (при искажении или устаревании информации в полисе застрахованному лицу откажут в услуге, например, пациенту невозможно будет записаться к врачу).
  • Доступности (отсутствие доступа к базе данных также приведет к проблемам у клиента).

 

Законодательство

Найти информацию об организации обработки и защиты персональных данных в сфере страхования довольно проблематично. Сказывается специфика отрасли: страховщик работает с информацией о здоровье, но не является медицинским учреждением, с персональными данными несовершеннолетних, но это не школа, подчиняется Банку России, но не является кредитной организацией. Для страховщиков нет отдельных указаний и методических рекомендаций по вопросам, касающимся персональных данных, поэтому всю нужную информацию приходится собирать по крупицам из упоминаний в федеральных законах.

В статье 944 части 2 Гражданского кодекса РФ указано, что «страхователь обязан сообщить страховщику известные страхователю обстоятельства, имеющие существенное значение для определения вероятности наступления страхового случая и размера возможных убытков от его наступления (страхового риска), если эти обстоятельства не известны и не должны быть известны страховщику». К вышеуказанным обстоятельствам относятся и персональные данные, которые страховщик получает от страхователя. Они могут относиться как непосредственно к лицу, заключающему договор, так и к третьему лицу (когда страхуют кого-то, в том числе ребенка).

Согласно статье 946 части 2 Гражданского кодекса РФ указано, что «страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц». Административная ответственность за нарушение тайны страхования предусмотрена статьей 150 Гражданского кодекса.

Согласно статье 8 Закона Российской Федерации от 27.11.1992 N 4015-1 «Об организации страхового дела в Российской Федерации» «Страховой агент, страховой брокер несут ответственность за неисполнение или ненадлежащее исполнение обязательств, вытекающих из осуществления ими своей деятельности, в том числе за разглашение сведений, составляющих коммерческую тайну страховщика, персональных данных страхователей (застрахованных лиц, выгодоприобретателей), за достоверность, объективность, полноту и своевременность предоставления сведений и документов, подтверждающих исполнение ими своих полномочий».

Для пенсионного страхования есть отдельные требования. Согласно статье 16 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» органы Фонда пенсионного и социального страхования Российской Федерации обязаны предоставлять Федеральной службе государственной статистики сведения индивидуального (персонифицированного) учета и иные персональные данные в обезличенном виде. Также согласно статье 17 Федерального закона от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» «руководители, а также другие должностные лица органов Фонда пенсионного и социального страхования Российской Федерации и иных государственных внебюджетных фондов, федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, страхователей, участвующих в сборе, хранении, передаче и использовании сведений, содержащихся в индивидуальных лицевых счетах, обязаны обеспечить соблюдение законодательства Российской Федерации по вопросам защиты информации, в отношении персональных данных. Ответственность за нарушения определяется уголовным, гражданским законодательством и законодательством об административных правонарушениях».

Про страхование ответственности владельцев транспортных средств указано в Федеральном законе от 25.04.2002 N 40-ФЗ  «Об обязательном страховании гражданской ответственности владельцев транспортных средств». В статье 25 «Профессиональное объединение страховщиков вправе: создавать и использовать информационные системы, содержащие сведения об обязательном страховании, о страховании в рамках международных систем страхования, в том числе сведения о договорах обязательного страхования и страховых случаях, персональные данные о страхователях и потерпевших, с обеспечением установленных законодательством Российской Федерации требований о защите информации ограниченного доступа». Также согласно статье 30 «Об обязательном страховании гражданской ответственности владельцев транспортных средств» Оператор автоматизированной информационной системы обязательного страхования осуществляет следующие полномочия: организует и осуществляет обработку персональных данных, а также принимает необходимые организационные и технические меры для защиты персональных данных. Состав персональных данных определяется требованиями законодательства и принятыми в соответствии с ними формами. Страховщик не вправе требовать предоставления персональных данных сверх объема, предусмотренного действующим законодательством. Страхователь в свою очередь обязан предоставить необходимые для заключения договора или получения страхового возмещения свои или чужие персональные данные. Согласие субъекта персональных данных на их обработку оператором автоматизированной информационной системы обязательного страхования не требуется.

В дополнение к требованиям законодательства Управление Роскомнадзора по Сибирскому Федеральному округу разместило памятку по обработке персональных данных при осуществлении страховой деятельности. В качестве специфических целей обработки в памятке указаны заключение и исполнение договоров страхования, урегулирование вопросов, касающихся убытков при наступлении страховых случаев и взаимодействие со страховыми посредниками. Данная памятка может пригодиться для разработки локальных нормативных актов организации.

 

Что делать?

В страховых организациях обрабатываются персональные данные двух категорий субъектов: работников и лиц, не являющихся работниками (кроме клиентов в эту категорию входят потерпевшие и виновные стороны страховых случаев, выгодоприобретатели, контрагенты и пр.). В отношении работников все более-менее понятно, здесь не много отличий от других организаций, поэтому необходимо руководствоваться Федеральным законом «О персональных данных» и трудовым законодательством. С остальными субъектами всё сложнее, в первую очередь необходимо выполнять требования законодательства в сфере страхования. Особое внимание следует уделить проработке следующих вопросов:

  • Определить необходимый минимум персональных данных. Сбор избыточных данных запрещен Федеральным законом «О персональных данных».
  • Определить полный перечень лиц, которым передаются персональные данные: медицинские учреждения, другие страховые организации, банки, ИТ на аутсорсинге и др.
  • Разместить на сайте организации Политику обработки персональных данных и форму согласия на обработку персональных данных.
  • Подать уведомление об обработке персональных данных. Следует помнить, что информация из уведомления будет доступна всем интересующимся на сайте Роскомнадзора. Достаточно ввести в поиске по реестру название организации.
  • Определить порядок взаимодействия с субъектами персональных данных, в том числе с теми, чьи данные были получены от третьих лиц. Если персональные данные получены оператором не от субъекта, но на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект, то оповещать его перед обработкой не требуется (ст. 18 ФЗ «О персональных данных»).
  • Определить порядок обработки персональных данных несовершеннолетних (через законного представителя). Согласно статье 6 Федерального закона «О персональных данных» заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации.
  • Особое внимание стоит уделить обработке специальных категорий персональных данных. Страховщиками зачастую обрабатываются персональные данные, касающиеся состояния здоровья. Согласно статье 10 Федерального закона «О персональных данных» обработка таких данных может производиться без согласия субъекта в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Запросить медиа-кит и прайс