Страховая компания Великобритании выплатит рекордный штраф за утечку данных клиентов
Как стало известно аналитическому центру InfoWatch, управление по финансовым услугам Великобритании обязало страховую компанию Zurich Insurance выплатить штраф в размере £2,3 млн за утечку персональной информации граждан Великобритании.
Резервная копия данных, записанная на диск, содержала 46 тыс. клиентских записей британцев, в том числе и информацию об их банковских счетах. Носитель был утерян в Южной Африке еще в 2009 г. Однако об утечке Zurich UK узнала только через год после инцидента, передаёт InfoWatch.
Примечательно, что в Zurich отсутствует должная система защиты данных. Как отмечается, система управления рисками безопасности данных клиентов основывается на договоренности с аутсорсинговыми компаниями. Соответственно, утерянная информация не была зашифрована, однако, как утверждают в Управлении по финансовому надзору и регулированию Великобритании (FSA), данные до сих пор не скомпрометированы и не использованы в мошеннических целях.
Первоначально FSA установило штраф за допущенный инцидент в размере £3,25 млн, но, поскольку компания Zurich согласилась выплатить его сразу, FSA уменьшило эту сумму на треть, до £2,3 млн.
По данным FSA, Zurich Insurance выплатит самый высокий штраф за всю историю существования законодательства о защите данных (Data Protection Act – прим. InfoWatch). Ранее штраф за утерю персональных данных в размере £2 млн был наложен Управлением на некоторые подразделения банка HSBC. В 2007 г. штраф в размере £998 тыс. выплатила компания Nationwide.
Компания Zurich Insurance дала обещание Комиссариату по информационной безопасности шифровать конфиденциальную информацию и в будущем не допускать подобных инцидентов.
Помимо данных британцев, на носителе были записаны данные, принадлежащие полумиллиону южноафриканских клиентов Zurich и 40 тыс. жителей республики Ботсвана.
«Было бы интересно сопоставить данную историю с российским законодательством. В нашей стране также предусмотрены штрафы, но не за сам инцидент с персональными данными, а за нарушение порядка их защиты. Штрафы (пусть и не столь крупные) регулярно накладываются на операторов, но не за утечку как таковую, а за несоблюдение предписанного порядка, — прокомментировал ситуацию главный аналитик InfoWatch Николай Федотов. — Утечки же персональных данных в РФ (на которые каждый может полюбоваться лично, посетив на рынке прилавок с компакт-дисками), как правило, наказания не влекут. Поэтому и усилия российских операторов направлены на "достижение соответствия", а не на предотвращение утечек. В Британии же, узнав о подобных штрафах, фирмы-операторы озаботятся не столько процессом, сколько результатом».