152-ФЗ для страховой компании: документы по защите ПДн

Страховые компании — одни из крупнейших операторов персональных данных. При оформлении полисов (ОСАГО, КАСКО, ДМС, страхование жизни) собираются: ФИО, паспортные данные, ИНН, СНИЛС, водительское удостоверение, адрес регистрации, контактные данные.

При медицинском страховании (ДМС, страхование жизни) обрабатываются **специальные категории ПДн** — сведения о состоянии здоровья: анамнез, хронические заболевания, результаты медосмотров. Это требует **письменного согласия** по ст. 10 закона 152-ФЗ и повышенного уровня защищённости.

Страховые компании также получают данные выгодоприобретателей — третьих лиц, которые сами не подписывают договор, но чьи данные обрабатываются. Для этого требуется отдельное правовое основание.

Страховые компании обрабатывают данные в больших объёмах, часто более 100 000 субъектов, что определяет повышенные требования:

- **Согласие на обработку ПДн** — для страхователей, застрахованных и выгодоприобретателей; - **Согласие на обработку спецкатегорий** — при ДМС и страховании здоровья/жизни; - **Политика обработки ПДн** — публичная и внутренняя версии; - **Модель угроз безопасности ПДн** — с учётом всех ИСПДн компании; - **Акт определения уровня защищённости** — для каждой ИСПДн (CRM, АБС, портал); - **Положение о порядке обработки ПДн** — с разделами по каждой категории субъектов; - **Регламент реагирования на инциденты** — обязателен для крупных операторов; - **Уведомление в Роскомнадзор** — с полным перечнем категорий данных и целей.

Для страховых агентов, работающих от имени компании, заключается **поручение на обработку ПДн** с регламентацией объёма допустимой обработки.

При добровольном медицинском страховании компания обрабатывает сведения о здоровье — **специальную категорию ПДн** (ст. 10 закона 152-ФЗ). Для этого необходимо:

- **Письменное согласие** застрахованного с указанием конкретных данных о здоровье; - **Повышенный уровень защищённости** ИСПДн (УЗ-2 или выше); - **Ограничение доступа** — данные о здоровье доступны только андеррайтерам и медицинским экспертам; - **Передача в ЛПУ** — при направлении на лечение данные передаются клиникам, что требует поручения.

Страхование жизни включает анкету здоровья с вопросами о хронических заболеваниях, операциях, вредных привычках. Вся эта информация — спецкатегория с максимальными требованиями к защите.

При корпоративном ДМС работодатель передаёт данные сотрудников страховой. Необходимо согласие каждого сотрудника на передачу данных конкретной страховой компании.

Страховые агенты (физлица и юрлица) обрабатывают данные клиентов от имени страховой компании. По **ст. 6 закона 152-ФЗ** это обработка по поручению, требующая:

- Договора поручения с указанием перечня данных, целей и обязанностей; - Обязательства агента по конфиденциальности; - Контроля со стороны страховой за выполнением требований 152-ФЗ; - Уничтожения данных агентом после завершения действия поручения.

Агенты, использующие личные устройства (ноутбуки, телефоны) для обработки данных клиентов, создают дополнительные риски утечки. Компания обязана обеспечить средства защиты или ограничить обработку корпоративными системами.

При оформлении ОСАГО и КАСКО обрабатываются: данные паспорта, водительского удостоверения, ПТС, свидетельства о регистрации ТС. Данные передаются в РСА (Российский союз автостраховщиков) и АИС ОСАГО.

Передача данных в РСА и государственные системы (АИС ОСАГО) является обязательной по закону и не требует отдельного согласия. Но в политике конфиденциальности необходимо указать таких получателей.

При урегулировании страховых случаев компания получает дополнительные данные: фотографии повреждений, протоколы ГИБДД, медицинские документы (при страховании от несчастных случаев). Каждый тип данных требует правового основания для обработки.

Страховые компании находятся под усиленным контролем — и Роскомнадзора (152-ФЗ), и ЦБ РФ (требования к информационной безопасности). Ключевые риски:

- Обработка данных о здоровье без письменного согласия — до 150 000 ₽; - Утечка базы клиентов — оборотные штрафы до 500 млн ₽ (420-ФЗ); - Нет модели угроз и акта УЗ — нарушение ПП-1119; - Агенты обрабатывают данные без поручения — ответственность на страховой; - Хранение данных сверх установленных сроков — нарушение ст. 5 ч. 7 закона 152-ФЗ.

Для крупных страховых компаний с базами более 100 000 клиентов утечка = максимальные санкции. Инвестиции в защиту ПДн окупаются предотвращением одного штрафа.