Страховая компания Великобритании выплатит самый крупный штраф в истории за утерю персональных данных клиентов

Как стало известно аналитическому центру InfoWatch, управление по финансовым услугам Великобритании обязало страховую компанию Zurich Insurance выплатить штраф в размере £2,3 миллиона за утечку персональной информации граждан Великобритании.

Резервная копия данных, записанная на диск, содержала 46.000 клиентских записей британцев, в том числе и информацию об их банковских счетах. Носитель был утерян в Южной Африке еще в 2009. Но об утечке Zurich UK узнала только через год после инцидента.

Следует отметить тот факт, что компания Zurich не имела и не имеет должной системы защиты данных. Система управления рисками безопасности данных клиентов основывается на договоренности с аутсорсинговыми компаниями. Соответственно, утерянная информация не была зашифрована, однако, как утверждают в Управлении по финансовому надзору и регулированию Великобритании (FSA), данные до сих пор не скомпрометированы и не использованы в мошеннических целях.

Первоначально FSA установило штраф за допущенный инцидент в размере £3,25 миллиона, но поскольку компания Zurich согласилась выплатить его сразу, FSA уменьшило эту сумму на треть, до £2,3 миллионов.

По данным FSA, компания Zurich Insurance выплатит самый высокий штраф за всю историю существования законодательства о защите данных (Data Protection Act – прим. InfoWatch). Ранее штраф за утерю персональных данных в размере £2 миллиона был наложен Управлением на некоторые подразделения банка HSBC. В 2007 году штраф в размере £998,000 выплатила компания Nationwide.

Компания Zurich Insurance дала обещание Комиссариату по информационной безопасности шифровать конфиденциальную информацию и в будущем не допускать подобных инцидентов.

Помимо данных британцев на носителе были записаны данные, принадлежащие полумиллиону южноафриканских клиентов Zurich и 40.000 жителей Республики Ботсвана.

Главный аналитик InfoWatch Николай Федотов комментирует ситуацию: «Было бы интересно сопоставить данную историю с российским законодательством. В нашей стране также предусмотрены штрафы, но не за сам инцидент с персональными данными, а за нарушение порядка их защиты. Штрафы (пусть и не столь крупные) регулярно накладываются на операторов, но не за утечку как таковую, а за несоблюдение предписанного порядка. Утечки же персональных данных в РФ (на которые каждый может полюбоваться лично, посетив на рынке прилавок с компакт-дисками), как правило, наказания не влекут. Поэтому и усилия российских операторов направлены на "достижение соответствия", а не на предотвращение утечек. В Британии же, узнав о подобных штрафах, фирмы-операторы озаботятся не столько процессом, сколько результатом».