Про затвердження Положення про порядок обліку страховиком договорів, повязаних зі здійсненням діяльності із страхування, та вимоги до захисту інформації страховика

Відповідно до статей 7, 15, 55-1, 56 Закону України "Про Національний банк України", статей 18, 22, 23, пункту 30 розділу VII Закону України "Про фінансові послуги та фінансові компанії", статей 45, 47, 109, 114, пункту 25 розділу XV Закону України від 18 листопада 2021 року № 1909-IX "Про страхування" та з метою встановлення вимог до обліку договорів страхування (перестрахування) та інших договорів, пов’язаних зі здійсненням страховиком діяльності із страхування, правил обліку технічних резервів, ведення страховиком реєстру активів для покриття технічних резервів, а також вимог щодо захисту інформації страховика Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про порядок обліку страховиком договорів, пов’язаних зі здійсненням діяльності із страхування, та вимоги до захисту інформації страховика (далі - Положення), що додається.

2. Страховик, який мав статус страховика станом на 01 січня 2024 року, зобов’язаний до 30 червня 2024 року включно привести свою діяльність у відповідність до вимог Положення та надіслати до Національного банку України (далі - Національний банк) письмове запевнення в довільній формі про приведення своєї діяльності у відповідність до вимог Положення, крім випадку, зазначеного в пункті 3 цієї постанови.

3. Національний банк до 31 грудня 2024 року не застосовує заходів впливу за порушення вимог Положення, включаючи вимоги щодо приведення у відповідність до вимог Положення програмного та/або технічного забезпечення інформаційних систем страховика, до страховика, який мав статус страховика станом на 01 січня 2024 року та не привів свою діяльність у відповідність до вимог Положення в строк, зазначений в пункті 2 цієї постанови, за умови надання цим страховиком Національному банку не пізніше 30 червня 2024 року включно інформації про неможливість приведення ним своєї діяльності у відповідність до вимог Положення у визначений в пункті 2 цієї постанови строк із обґрунтуванням причин, описом заходів (етапів), спрямованих на таке приведення, та зазначенням строку, протягом якого діяльність страховика буде приведена у відповідність до вимог Положення.

4. Національний банк з метою здійснення контролю за станом приведення страховиками своєї діяльності у відповідність до вимог Положення має право письмово вимагати від страховиків, які надали Національному банку інформацію, зазначену в пункті 3 цієї постанови, документи та їх копії, інформацію, а також письмові пояснення про стан такого приведення та про заходи, що вживаються страховиком.

5. Департаменту методології регулювання діяльності небанківських фінансових установ (Сергій Савчук) після офіційного опублікування довести до відома страховиків інформацію про прийняття цієї постанови.

6. Постанова набирає чинності з 01 січня 2024 року.

1. Це Положення розроблено відповідно до Закону України "Про Національний банк України", Закону України "Про фінансові послуги та фінансові компанії" та Закону України "Про страхування" (далі - Закон про страхування).

2. Терміни в цьому Положенні вживаються в таких значеннях:

1) автентифікація в інформаційних системах страховика (автентифікація) - процедура підтвердження інформації про користувача, що міститься в інформаційних системах страховика, шляхом його ідентифікації;

2) авторизація в інформаційних системах страховика (авторизація) - процедура надання користувачам авторизованого доступу до інформаційних систем страховика після їх автентифікації;

3) авторизований користувач в інформаційних системах страховика (авторизований користувач) - фізична або юридична особа, яка в установленому страховиком порядку отримала право авторизованого доступу до інформаційних систем страховика;

4) аудиторський слід - функція фіксації усіх подій в інформаційних системах страховика, що забезпечує хронологічний запис, набір записів та/або місце призначення, джерело записів, які надають документальне підтвердження послідовності дій, які в певний момент вплинули на конкретну операцію, процедуру, подію або пристрій в інформаційних системах страховика;

5) бізнес-процес - сукупність взаємопов’язаних або взаємозалежних дій страховика, спрямованих на створення, управління та/або супроводження надання страхової, перестрахової та/або супровідної послуги (реалізацію страхового/перестрахового продукту), включаючи операції, пов’язані з укладанням, обслуговуванням і виконанням договорів страхування (перестрахування) та інших дій (операцій) страховика;

6) виконання договору страхування (перестрахування) - реалізація стороною договору страхування (перестрахування) та/або іншою особою відповідно до умов договору страхування (перестрахування) прав та обов’язків, визначених щодо неї таким договором, включаючи реалізацію прав та обов’язків щодо внесення змін до договору страхування (перестрахування), виконання грошових зобов’язань сторін за таким договором, дострокове припинення договору страхування (перестрахування);

7) захист інформації страховика - сукупність організаційних та інших заходів страховика, що забезпечують збереження, обробку та цілісність інформації, захист інформації в інформаційних системах страховика, виконання вимог законодавства України у сфері обробки персональних даних відповідно до Конституції України, Закону України "Про захист персональних даних", інших законів та нормативно-правових актів, міжнародних договорів України, згода на обов’язковість яких надана Верховною Радою України;

8) інформаційні системи страховика - сукупність інформаційно-комунікаційних, інформаційних (автоматизованих) систем та інших систем страховика, які забезпечують реєстрацію та облік договорів страхування (перестрахування), заявлених вимог на здійснення страхової виплати, сформованих технічних резервів, активів для покриття технічних резервів, облік інших договорів та операцій, пов’язаних зі здійсненням страховиком діяльності із страхування, а також обробку інформації з використанням програмного та/або технічного забезпечення страховика;

9) критичний бізнес-процес - бізнес-процес у діяльності страховика, включаючи процеси, що виконуються надавачами супровідних послуг та/або особами, які надають послуги на умовах аутсорсингу, під час якого здійснюється реєстрація та/або обробка інформації з обмеженим доступом;

10) обробка інформації в інформаційних системах страховика - виконання однієї або кількох дій (операцій) страховика в інформаційних системах страховика, уключаючи збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрацію, приймання, отримання, передавання даних та/або інформації, внесення змін до такої інформації, що здійснюються за допомогою технічних і програмних засобів;

11) оператор інформаційних систем страховика - працівник страховика, який є авторизованим користувачем інформаційних систем страховика та здійснює обробку інформації в інформаційних системах страховика;

12) операція зі страхування - окрема дія або комплекс взаємопов’язаних дій страховика, які забезпечують в електронній формі ведення обліку та реєстрацію операцій, що виникають під час здійснення ним діяльності із страхування під час укладання, обслуговування та виконання договорів страхування (перестрахування), обліку технічних резервів за укладеними договорами страхування (перестрахування), управління активами та іншої діяльності із страхування, визначеної цим Положенням, Законом про страхування, спеціальними законами з регулювання діяльності із страхування та надання фінансових послуг, а також нормативно-правовими актами Національного банку України (далі - Національний банк), розробленими для реалізації положень зазначених законів;

13) персоніфікований (індивідуальний) облік договорів страхування життя - система заходів страховика, що забезпечують реєстрацію, обробку, систематизацію, накопичення та зберігання інформації (відомостей) за кожною застрахованою особою за договорами, укладеними за класами страхування життя, включаючи договори пенсійного страхування, укладені за класом страхування 23 "Пенсійне страхування";

14) реєстр активів для покриття технічних резервів - сукупність даних та/або інформації, що містяться в інформаційних системах страховика та відображають актуальну інформацію про активи для покриття технічних резервів страховика на будь-яку дату, на яку здійснюється формування такого реєстру.

Інші терміни, що використовуються в цьому Положенні, вживаються в значеннях, наведених у Законі про страхування, Законах України "Про фінансові послуги та фінансові компанії", "Про бухгалтерський облік і фінансову звітність в Україні", "Про інформацію", "Про захист інформації в інформаційно-телекомунікаційних системах" та інших нормативно-правових актах, включаючи нормативно-правові акти Національного банку.

3. Це Положення встановлює:

1) вимоги до порядку ведення обліку договорів страхування (перестрахування), включаючи персоніфікований (індивідуальний) облік договорів страхування життя, інших договорів, пов’язаних зі здійсненням страховиком діяльності із страхування, та заявлених вимог на здійснення страхової (перестрахової) виплати за такими договорами;

2) правила обліку технічних резервів;

3) вимоги до забезпечення обліку операцій зі страхування під час реєстрації інформації, внесення її до інформаційних систем страховика, накопичення, узагальнення, зберігання інформації про такі операції в цих системах;

4) вимоги щодо захисту інформації в інформаційних системах страховика;

5) порядок ведення реєстру активів для покриття технічних резервів за договорами страхування (перестрахування);

6) порядок здійснення Національним банком контролю за дотриманням вимог цього Положення.

4. Вимоги цього Положення не поширюються на:

1) питання захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки;

2) правила зберігання, захисту, використання та розкриття таємниці фінансової послуги, включаючи таємницю страхування;

3) правовідносини у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення;

4) порядок обліку господарських операцій відповідно до Закону України "Про бухгалтерський облік та фінансову звітність в Україні" та законодавства України про форми організації бухгалтерського обліку.

5. Виконавчий орган страховика з метою здійснення контролю за виконанням страховиком зобов’язань за договорами страхування (перестрахування) та виявлення у діяльності страховика можливих порушень законодавства:

1) забезпечує відповідність створення та функціонування інформаційних систем страховика відповідно до цього Положення та інших законодавчих актів, що регулюють питання у сфері інформації та інформаційного забезпечення;

2) забезпечує організацію контролю за веденням обліку операцій зі страхування під час здійснення страховиком діяльності на ринку страхування та дотриманням вимог щодо діяльності страховика, установлених цим Положенням;

3) інформує наглядову раду страховика щодо виявлених недоліків у функціонуванні інформаційних систем та/або обліку операцій зі страхування, щодо рівня пов’язаних із цим ризиків, що можуть призвести до несвоєчасного або неналежного виконання страховиком зобов’язань за договорами страхування (перестрахування).

6. Національний банк під час державного регулювання та нагляду за страховою (перестраховою) діяльністю здійснює контроль за дотриманням страховиком вимог цього Положення під час здійснення діяльності на ринку страхування відповідно до законодавства України.

7. Страховик зобов’язаний надавати Національному банку на його вимогу (запит) інформацію, документи та їх копії, а також письмові пояснення з питань функціонування інформаційних систем страховика, обліку у таких системах договорів страхування (перестрахування), включаючи облік технічних резервів за укладеними договорами страхування (перестрахування) та інших операцій, пов’язаних зі здійсненням страховиком діяльності на ринку страхування.

8. Страховик зобов’язаний надавати на письмову вимогу (запит) Національного банку інформацію, що зберігається в інформаційних системах страховика, у встановлений Національним банком у такій вимозі (такому запиті) строк.

9. Керівники страховика зобов’язані забезпечити безоплатне надання уповноваженим Національним банком особам доступу в режимі перегляду до всіх інформаційних систем страховика, необхідних для проведення перевірок, у порядку, встановленому нормативно-правовим актом Національного банку з питань організації та проведення інспекційних перевірок.

10. Національний банк має право застосувати до страховика заходи впливу в разі порушення ним вимог цього Положення відповідно до нормативно-правового акта Національного банку про застосування заходів впливу у сфері державного регулювання діяльності на ринках небанківських фінансових послуг.

11. Страховик зобов’язаний забезпечити ведення обліку договорів, пов’язаних зі здійсненням діяльності із страхування, та інших операцій зі страхування, що виникають під час здійснення страховиком такої діяльності, в інформаційних системах страховика відповідно до вимог цього Положення та законодавства України, що регулює діяльність на ринку страхування.

12. Ведення обліку договорів, пов’язаних зі здійсненням діяльності із страхування, та інших операцій зі страхування здійснюється страховиком на постійній основі за допомогою програмного та/або технічного забезпечення інформаційних систем із дотриманням таких вимог:

1) забезпечення своєчасного, повного, систематичного та хронологічного відображення всіх операцій зі страхування, які здійснює страховик та його відокремлені підрозділи (у разі наявності), на підставі первинних документів, даних та/або інформації відповідно до внутрішніх документів страховика, включаючи облікову політику страховика та вимоги законодавства України з бухгалтерського обліку та фінансової звітності;

2) ведення обліку операцій зі страхування в електронній формі (незалежно від форми первинних документів, даних та/або інформації, що вноситься до інформаційних систем страховика) у вигляді електронних даних, що відображають визначені законодавством України та нормативно-правовими актами Національного банку реквізити та/або параметри таких операцій в інформаційних системах страховика;

3) забезпечення реєстрації та обліку всіх операцій зі страхування в інформаційних системах страховика, включаючи облік договорів страхування (перестрахування), облік інформації про розмір сформованих технічних резервів, облік інших документів, даних та/або інформації, пов’язаних зі здійсненням страховиком діяльності із страхування, не пізніше ніж протягом трьох робочих днів із дня здійснення страховиком такої операції чи з дня виникнення підстав для її здійснення відповідно до вимог підпункту 1 пункту 12 розділу III цього Положення;

4) здійснення актуалізації інформації, що міститься в інформаційних системах страховика та на яку впливають внесені до договорів страхування (перестрахування) зміни, включаючи зміну грошових зобов’язань сторін за такими договорами, не пізніше ніж протягом трьох робочих днів із дня виникнення таких змін на підставі вимог підпункту 1 пункту 12 розділу III цього Положення;

5) забезпечення ведення реєстру активів для покриття технічних резервів в інформаційних системах страховика та відображення інформації про зміни у відомостях, визначених у пункті 75 розділу XII цього Положення, включаючи зміни в складі активів у результаті здійснення страховиком господарських операцій чи реєстраційних дій з відповідними активами, які повинні бути внесені до інформаційних систем страховика не пізніше ніж протягом трьох робочих днів із дня виникнення таких змін у відомостях;

6) здійснення накопичення та систематизації інформації про операції зі страхування в розрізі параметрів та/або некласифікованих реквізитів показників, потрібних для формування та подання звітності страховика (фінансової, регуляторної та іншої звітності відповідно до вимог законодавства України), інших звітів та/або інформації відповідно до вимог законодавства України, включаючи вимоги нормативно-правових актів Національного банку;

7) забезпечення структуризації даних та/або інформації в інформаційних системах страховика за окремими показниками, визначеними законодавством України у сфері страхування та/або надання фінансових послуг, включаючи дані та/або інформацію за показниками звітності, що подається до Національного банку в порядку, визначеному нормативно-правовими актами Національного банку, та можливості вивантаження таких даних та/або інформації, що містяться в інформаційних системах страховика, для проведення аналізу в обсязі, потрібному для здійснення Національним банком наглядової діяльності та відповідних наглядових заходів;

8) забезпечення можливості вибірки і вивантаження даних та/або інформації з інформаційних систем страховика, включаючи:

формування на будь-яку дату відповідного звіту в разі надходження запиту на отримання інформації, що міститься в таких системах, включаючи вибірку інформації на вимоги та запити Національного банку, державних і правоохоронних органів у межах їх компетенції;

формування інформації з реєстрів (баз даних) обліку договорів страхування (перестрахування) страховика відповідно до вимог нормативно-правового акта Національного банку про вихід страховика з ринку та передачу страхового портфеля;

вивантаження інформації у форматах (з урахуванням вимог пункту 13 розділу III цього Положення) та відповідно до вимог нормативно-правових актів Національного банку, якими визначено подання документів, даних та/або інформації до Національного банку, та/або у форматі та обсязі, що визначені в письмовій вимозі (запиті) Національного банку;

9) забезпечення автоматизації роботи з архівними частинами інформаційних систем страховика, що дає змогу здійснити заходи з перегляду, пошуку та формування документів, даних та/або інформації на основі інформації з таких архівних частин протягом строку її зберігання в інформаційних системах страховика.

13. Страховик зобов’язаний забезпечити можливість вивантаження документів, даних та/або інформації з інформаційних систем страховика у форматах та відповідно до вимог нормативно-правових актів Національного банку, якими визначено подання документів, даних та/або інформації до Національного банку, включаючи електронні документи та/або електронні копії документів із можливістю накладення кваліфікованого електронного підпису, та/або файли у форматі xml, pdf, xlsx, docx, rtf, а також у форматі, що зазначений у вимозі (запиті) Національного банку щодо надання необхідних документів, пояснень, даних та/або інформації.

14. Страховик повинен забезпечити функціонування інформаційних систем, в яких здійснюється облік договорів, пов’язаних зі здійсненням діяльності із страхування, та інших операцій зі страхування з урахуванням вимог щодо:

1) відповідності інформаційних систем страховика вимогам цього Положення та нормативно-правового акта Національного банку з питань авторизації надавачів фінансових послуг та умов здійснення ними діяльності;

2) забезпечення мінімізації негативного впливу збоїв чи перерв у роботі всіх інформаційних систем страховика, включаючи інформаційні системи страховика, що управляються та/або обслуговуються іншими суб’єктами господарювання, а також інформаційно-комунікаційні системи страховика, за допомогою яких укладаються договори страхування (перестрахування) у формі електронного документа;

3) збереження цілісності та достовірності інформації, що зберігається з використанням інформаційних систем страховика, створення системи контролю за повнотою та достовірністю внесених в інформаційні системи страховика даних та/або інформації;

4) здійснення взаємодії (інтегрованості), обміну (оновлення, синхронізації) інформацією між окремими інформаційними системами страховика, а також взаємодії інформаційних систем страховика з іншими інформаційними системами та/або електронними інформаційними ресурсами, включаючи державні інформаційні ресурси, у випадках, визначених законодавством України;

5) забезпечення створення, зберігання та можливості оперативного відновлення з резервних копій даних інформаційних систем страховика.

15. Страховик зобов’язаний забезпечити обмін (оновлення, синхронізацію) інформацією між окремими інформаційними системами страховика в плановому порядку не рідше ніж один раз на три робочих дні від дати останнього обміну (оновлення, синхронізації) та/або в позаплановому порядку в разі отримання вимоги (запиту) Національного банку про надання даних та/або інформації на визначену в такій вимозі (такому запиті) дату.

16. Інформація в інформаційних системах страховика повинна бути:

1) актуальною, що забезпечується шляхом унесення змін до інформації про операції зі страхування протягом строку, визначеного у внутрішніх документах страховика, з урахуванням вимог цього Положення та інших вимог, визначених законодавством України;

2) коректною, достовірною та повною;

3) цілісною, захищеною від викривлення, пошкодження, втрати або знищення;

4) збереженою протягом усього строку її використання, визначеного законодавством України та/або внутрішніми документами страховика для зберігання відповідної інформації;

5) доступною для авторизованого користувача в обсязі, встановленому відповідно до законодавства України або залежно від повноважень на обробку визначеної інформації таким користувачем, включаючи інформацію з обмеженим доступом;

6) конфіденційною, що не може бути надана чи поширена особам, у яких немає права щодо її отримання;

7) достатньою, що передбачає відповідний рівень деталізації інформації з метою дотримання вимог нормативно-правових актів Національного банку.

17. Дані та/або інформація в інформаційних системах страховика повинні бути повними та несуперечливими між собою, а також відповідати вимогам, визначеним у пункті 16 розділу III цього Положення.

18. Внутрішні документи страховика, що регламентують роботу його інформаційних систем, включаючи дії авторизованих користувачів під час внесення та обробки інформації про операції зі страхування в інформаційних системах страховика, та внутрішні бізнес-процеси страховика щодо функціонування таких систем повинні відповідати вимогам цього Положення та законодавства України, а також повинні містити положення щодо:

1) вимог, визначених у пункті 12 розділу III цього Положення;

2) регламентації усіх критичних бізнес-процесів та процедур роботи з первинними документами та інформацією, що вноситься до інформаційних систем страховика;

3) правил зберігання інформації в інформаційних системах страховика, включаючи зберігання інформації за договорами страхування (перестрахування) та іншими договорами, пов’язаними зі здійсненням страховиком діяльності із страхування, протягом визначеного законодавством України у сфері архівної справи і діловодства строку архівного зберігання документів, на підставі яких до інформаційних систем вноситься відповідна інформація, та порядку відновлення такої інформації;

4) контролю за якістю даних та/або інформації в інформаційних системах страховика після внесення інформації про всі операції зі страхування, включаючи інформацію за договорами страхування (перестрахування), запровадження функцій перехресної перевірки внесення даних та/або інформації до інформаційних систем страховика;

5) порядку проведення коригування показників та/або даних за результатами виявлених фактів некоректного, помилкового, несвоєчасного внесення та/або невнесення інформації до інформаційних систем страховика і визначення страховиком відповідальних за проведення такого коригування осіб;

6) реєстрації користувачів в інформаційних системах страховика, включаючи реєстрацію з використанням засобів електронної ідентифікації, управління правами доступу авторизованих користувачів до всіх інформаційних систем страховика, включаючи віддалений доступ таких користувачів;

7) забезпечення електронної ідентифікації та автентифікації фізичних осіб, які проходять таку ідентифікацію в інформаційно-комунікаційній системі страховика для укладання договорів страхування у формі електронного документа, сумісності та інтеграції схем електронної ідентифікації з інформаційно-комунікаційною системою і забезпечення захисту інформації та персональних даних із використанням єдиних вимог, форматів, протоколів відповідно до законодавства України;

8) застосування організаційно-технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації в інформаційних системах страховика;

9) використання під час взаємодії із зовнішніми неавторизованими користувачами інформаційних систем страховика визначених законодавством України засобів і методів захисту інформації для забезпечення безпечного та захищеного обміну даними та/або інформацією з такими користувачами;

10) забезпечення моніторингу доступу, реєстрації подій, що відбуваються в інформаційних системах страховика та стосуються безпеки таких систем.

19. Внутрішні документи страховика, зазначені в пункті 18 розділу III цього Положення, затверджуються органом управління страховика та повинні містити порядок і періодичність їх перегляду.

20. Перегляд внутрішніх документів страховика, зазначених у пункті 18 розділу III цього Положення, повинен здійснюватися страховиком не рідше ніж один раз на календарний рік.

21. Страховик зобов’язаний зберігати у своїх інформаційних системах інформацію та/або відомості, що дасть змогу сформувати електронний файл із визначенням послідовних дій страховика та клієнта з чіткою фіксацією хронології дій під час укладення в інформаційно-комунікаційній системі страховика договору страхування у формі електронного документа з використанням клієнтом електронного підпису одноразовим ідентифікатором (від початку ініціювання процесу укладення договору страхування до завершення його укладення) відповідно до законодавства України про електронну комерцію.

22. Страховик під час зберігання в інформаційних системах страховика електронних даних та/або інформації щодо договорів страхування (перестрахування), укладених у формі електронного документа, зобов’язаний забезпечити зберігання оригіналу електронного примірника договору страхування (перестрахування), який містить істотні умови такого договору, з обов’язковими реквізитами, включаючи електронний підпис або підпис, прирівняний до власноручного підпису, електронну печатку (за наявності).

23. Інформація, що міститься в електронних документах щодо договорів страхування (перестрахування), повинна бути доступною для її подальшого використання засобами інформаційних систем страховика, вивантаження/завантаження даних та/або інформації із/до цих систем, а також страховик повинен забезпечити можливість відновлення електронного документа в тому форматі, в якому він був створений, відправлений або одержаний в цих інформаційних системах. У разі укладання договорів страхування (перестрахування) за участю страхових посередників можливість відновлення електронного документа у тому форматі, в якому він був створений, відправлений або одержаний в обліково-реєстраційних (інформаційних) системах таких посередників, забезпечується особами, які уклали такі договори, з можливістю передавання такої інформації страховику.

24. Строк зберігання в інформаційних системах страховика електронних даних щодо договорів страхування (перестрахування), укладених у формі електронного документа за допомогою інформаційно-комунікаційної системи страховика, що використовується для укладання таких договорів відповідно до вимог законодавства України у сфері електронної комерції, повинен бути не меншим, ніж строк зберігання, встановлений законодавством України у сфері архівної справи і діловодства для відповідних документів на папері.

25. Страховик зобов’язаний здійснювати постійний моніторинг функціонування своїх інформаційних систем і процесів внутрішнього контролю за функціонуванням таких систем для забезпечення безперервності ведення обліку договорів, пов’язаних зі здійсненням діяльності із страхування, та інших операцій зі страхування, контролювати відповідність таких систем вимогам цього Положення.

26. Дані та/або інформація з інформаційних систем страховика, яка відповідно до законодавства України з питань інформації та захисту персональних даних є інформацією з обмеженим доступом та/або щодо якої встановлено обмеження на її поширення (розповсюдження, реалізацію, передавання) третім особам, надаються за згодою суб’єкта персональних даних або відповідно до законодавства України.

27. Страховик зобов’язаний запровадити у своїх інформаційних системах функцію фіксації усіх подій (ведення аудиторського сліду), що дає змогу ідентифікувати та встановити події щодо:

1) модифікації повноважень операторів інформаційних систем страховика;

2) встановлення оновлень та/або змін програмного забезпечення в інформаційних системах страховика;

3) зміни (модифікації) збережених даних та/або інформації в облікових записах щодо операцій зі страхування в інформаційних системах страховика, а також інформації про авторизованого користувача, який здійснив такий запис;

4) здійснення операцій в надзвичайний період та/або в разі настання форс-мажорних обставин.

28. Записи в інформаційних системах страховика щодо обліку операцій зі страхування, визначених цим Положенням, ведуться українською мовою.

29. Інформація, визначена цим Положенням, в інформаційних системах страховика може зазначатися іноземною мовою у випадках, визначених законодавством України, включаючи укладання страховиком договорів із нерезидентами, та/або якщо дія договору поширюється на іноземну територію, та/або якщо в документах, наданих для ідентифікації об’єкта страхування, здійснення операцій зі страхування, інформація зазначена іноземною мовою.

30. Страховик для забезпечення захисту інформації в своїх інформаційних системах зобов’язаний визначити критичні бізнес-процеси у своїй діяльності, за якими здійснюється формування, оброблення, передавання та зберігання електронних документів.

31. Страховик зобов’язаний розробити та підтримувати в актуальному стані відповідні внутрішні документи щодо процедур та/або заходів захисту інформації, що вноситься до його інформаційних систем відповідно до вимог цього Положення та законодавства України, та порядку контролю страховиком за такими процедурами та/або заходами, що повинні містити положення щодо:

1) порядку контролю за дотриманням вимог нормативно-правових актів Національного банку з питань кіберзахисту та інформаційної безпеки під час вибору, розробки, тестування і впровадження своїх інформаційних систем;

2) порядку застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;

3) процедур налаштування засобів захисту інформації та інформаційних систем страховика;

4) порядку використання технічних та криптографічних засобів захисту інформації;

5) порядку моніторингу інцидентів інформаційної безпеки, які ставлять під загрозу конфіденційність, цілісність, доступність та зберігання інформації в інформаційних системах страховика, і план реагування на такі інциденти;

6) порядку відновлення функціонування інформаційних систем страховика після збоїв унаслідок інцидентів інформаційної безпеки;

7) строків збереження інформації з обмеженим доступом в інформаційних системах страховика.

32. Під час експлуатації своїх інформаційних систем страховик повинен виконувати такі вимоги щодо захисту інформації в таких системах:

1) забезпечити захист електронних документів, даних та/або інформації від несанкціонованого доступу, знищення або модифікації;

2) здійснювати безперервний технологічний контроль за забезпеченням цілісності інформації в електронних документах, що фіксують проведення операцій зі страхування на всіх етапах збору, зберігання та оброблення інформації;

3) забезпечити обробку інформації з обмеженим доступом та персональних даних у своїх інформаційних системах відповідно до вимог законодавства України у сфері захисту інформації та персональних даних;

4) здійснювати регулярне резервне копіювання даних та/або інформації щодо операцій зі страхування на окремому носії інформації, іншому серверному обладнанні або в хмарних сховищах з урахуванням вимог законодавства України щодо надання хмарних послуг та із забезпеченням конфіденційності цієї інформації;

5) забезпечити доступ до інформаційних систем з метою адміністрування, створення звітів, виконання технологічних робіт обмеженому колу осіб;

6) здійснювати збереження інформації під час укладання договорів страхування у формі електронного документа в порядку, визначеному законодавством України про електронну комерцію, та в обсязі, достатньому для підтвердження підписання таких договорів одноразовим ідентифікатором;

7) забезпечити авторизацію та фіксацію дій в інформаційних системах страховика всіх авторизованих користувачів, а також операторів інформаційних систем страховика;

8) забезпечити дотримання порядку, строків зберігання, режиму доступу до персональних даних та іншої інформації з обмеженим доступом, порядку надання такої інформації, методів її знищення на змінних носіях перед їх передаванням у користування іншому працівникові страховика, третім особам у випадках, визначених законодавством України, та/або переміщення між різними інформаційними системами страховика або до іншого суб’єкта господарювання, який управляє та/або обслуговує такі системи, у випадках, визначених законодавством України, та/або виведення з експлуатації таких систем.

33. Страховик зобов’язаний забезпечити здійснення заходів внутрішнього контролю щодо зберігання та захисту інформації в інформаційних системах страховика згідно з вимогами нормативно-правових актів Національного банку та відповідно до внутрішніх документів страховика, включаючи заходи контролю щодо:

1) дотримання порядку налаштувань безпеки інформаційних систем страховика;

2) дотримання страховиком вимог щодо інформаційної безпеки та кіберзахисту відповідно до вимог нормативно-правових актів Національного банку;

3) виконання заходів із забезпечення безпеки та захисту інформації на всіх стадіях здійснення обліку операцій зі страхування за допомогою своїх інформаційних систем;

4) розслідування та фіксації усіх інцидентів інформаційної безпеки в інформаційних системах страховика.

34. Облік договорів страхування (перестрахування) здійснюється страховиком в електронній формі в інформаційних системах страховика шляхом реєстрації та обліку всіх операцій зі страхування, які виникають під час укладення, обслуговування та/або виконання таких договорів, відповідно до цього Положення, облікової політики та інших внутрішніх документів страховика, що регламентують ведення обліку договорів страхування (перестрахування) під час здійснення страховиком діяльності із страхування.

35. Облік договорів страхування (перестрахування) здійснюється на підставі первинних та/або інших документів, даних та/або інформації, визначених внутрішніми документами страховика.

36. Страховик повинен забезпечити облік та зберігання всіх документів, на підставі яких здійснюються операції зі страхування за договорами страхування (перестрахування) та вноситься інформація (відомості) до інформаційних систем страховика, протягом строку, визначеного законодавством України у сфері архівної справи і діловодства.

37. Відомості про здійснені страховиком операції зі страхування за договором страхування (перестрахування) та інформація, визначені в пункті 42 розділу VI, пунктах 45, 46 розділу VII, пунктах 50, 51 розділу VIII, пунктах 55, 57-59 розділу IX, пунктах 62-64 розділу X та в додатку до цього Положення, повинні зберігатися в інформаційних системах страховика протягом усього строку дії договору страхування (перестрахування), а також протягом п’яти років після закінчення строку дії чи припинення договору страхування (перестрахування), а в разі здійснення страхових виплат - після повного виконання таких зобов’язань за договорами страхування (перестрахування), після чого відомості виводяться до архівної частини інформаційних систем із забезпеченням можливості їх подальшого використання протягом строку, визначеного законодавством України щодо архівного зберігання документів, на підставі яких до інформаційних систем вноситься відповідна інформація.

38. Облік договорів страхування сільськогосподарської продукції з державною підтримкою та договорів обов’язкового страхування цивільно-правової відповідальності власників наземних транспортних засобів здійснюється страховиком з урахуванням вимог, установлених спеціальними законами з регулювання зазначених правовідносин та/або нормативно-правовими актами, що регулюють укладання таких договорів.

39. Страховик здійснює облік укладених договорів страхування з урахуванням вимог та із зазначенням в інформаційних системах страховика інформації, визначених у пунктах 3, 10-17 додатка до цього Положення, за кожним окремим класом страхування (ризиком у межах класу страхування), якщо такий договір страхування укладено за кількома класами страхування (ризиками в межах класів страхування).

Інформація (відомості) за договором страхування, визначена в пунктах 6, 10, 13-16 додатка до цього Положення, вноситься до інформаційних систем страховика за окремим об’єктом страхування (за договором страхування життя за кожною застрахованою особою) та/або групою об’єктів страхування відповідно до внутрішніх документів страховика і вимог законодавства України, крім випадків, коли визначення в договорі страхування розміру, строку та періодичності сплати страхової премії, розміру страхової суми (страхових виплат за договором страхування життя), розміру страхового тарифу не є обов’язковим відповідно до законодавства України.

40. Інформація та відомості за договорами страхування, які відповідно до цього Положення вносяться в інформаційні системи страховика та які є однаковими для групи договорів страхування [відомості щодо страхових ризиків, страхових продуктів, заявлених вимог (на здійснення страхової виплати або про дострокове припинення дії договору) чи інших окремих відомостей та/або інформації за договором страхування], можуть бути організовані (згруповані) для зберігання єдиним (спільним) записом за умови забезпечення доступу до такої інформації з кожного окремого договору страхування (страхового ризику, страхового продукту, заявленої вимоги чи інших окремих відомостей договору страхування) та можливості формування звітів (запитів) на отримання такої інформації з урахуванням вимог внутрішніх документів страховика та законодавства України.

41. Інформаційні системи страховика повинні містити інформацію (відомості) про умови кожного договору страхування та всіх операцій зі страхування, які здійснювалися за таким договором страхування, відповідно до визначеного в додатку до цього Положення переліку інформації (відомостей) щодо договору страхування з урахуванням вимог пункту 40 розділу VI цього Положення.

42. Інформаційні системи страховика, який укладає договори співстрахування, повинні містити інформацію, визначену в додатку до цього Положення, а також:

1) розмір власної пропорції (частки) участі страховика (як співстраховика) за договором співстрахування;

2) інформацію про співстраховиків і страховика-лідера, якщо такий визначений договором співстрахування;

3) інформацію, визначену в пункті 45 розділу VII цього Положення, а також з урахуванням вимог пунктів 43, 47, 48 розділу VII цього Положення - у разі укладення договору співстрахування за класами страхування життя.

43. Страховик, який отримав ліцензію на здійснення діяльності з прямого страхування за класами страхування життя, зобов’язаний вести персоніфікований (індивідуальний) облік договорів страхування життя та в межах кожного такого договору персоніфікований (індивідуальний) облік за кожною застрахованою особою в порядку та на умовах, визначених у розділі VII цього Положення.

44. Вимоги до персоніфікованого (індивідуального) обліку договорів страхування життя поширюються на договори страхування, укладені за визначеними Законом про страхування класами страхування 19, 20, 23.

45. Інформаційні системи страховика з метою ведення персоніфікованого (індивідуального) обліку договорів страхування життя повинні містити інформацію щодо договору страхування життя, визначену в додатку до цього Положення, а також:

1) відомості про кожну застраховану особу за договором страхування життя:

прізвище, власне (власні) ім’я (імена), по батькові (за наявності);

дату народження;

стать;

реєстраційний номер облікової картки платника податків (за наявності);

іншу інформацію для ідентифікації застрахованої особи, визначену вимогами внутрішніх документів страховика та/або законодавством України;

2) розмір (величину) інвестиційного доходу, що застосовується для розрахунку страхового тарифу (розмір гарантованого інвестиційного доходу) за кожним страховим ризиком та/або групою страхових ризиків, та/або за договором страхування життя в цілому (крім випадків, коли визначення в договорі страхування життя розміру гарантованого інвестиційного доходу або страхового тарифу не є обов’язковим відповідно до законодавства України);

3) відомості про сформований резерв премій на кожну попередню звітну дату відповідно до вимог, визначених у пункті 63 розділу X цього Положення;

4) розмір розподілених бонусів від розміщення та управління активами, що покривають відповідні технічні резерви за договором страхування життя (розподілений додатковий інвестиційний дохід), та/або результатів участі в прибутках страховика;

5) мінімальний (гарантований) розмір викупної суми на кожну страхову річницю (або на коротший регулярний період) в абсолютній величині та/або у відсотках від страхової суми за ризиком дожиття чи від сплачених страхових премій за договором страхування життя за класом страхування 23, а також за класами страхування 19, 20, що містить накопичувальну складову (крім універсальних страхових продуктів та договорів страхування життя, за яким застраховано дві чи більше особи, відповідно до нормативно-правових актів Національного банку, що визначають особливості укладання договорів за класами страхування).

46. Інформаційні системи страховика в разі надання страхувальнику - фізичній особі кредиту під заставу викупної суми за договором страхування життя з накопичувальною складовою, що укладаються за класами страхування 19, 20, повинні містити відомості про умови надання такого кредиту, включаючи:

1) номер та дату укладення кредитного договору;

2) строк дії кредитного договору;

3) розмір кредиту і процентної ставки;

4) графік повернення кредиту та процентів за користування кредитом (розмір платежів, строк та періодичність їх сплати відповідно до умов кредитного договору, а також розмір та дати фактично сплачених платежів).

47. Страховик повинен забезпечити ведення окремого персоніфікованого (індивідуального) обліку договорів пенсійного страхування, укладених за класом страхування 23 "Пенсійне страхування".

48. Облік укладених договорів пенсійного страхування в разі страхування довічної пенсії учасника недержавного пенсійного фонду здійснюється страховиком з урахуванням вимог законодавства України у сфері недержавного пенсійного забезпечення.

49. Страховик забезпечує ведення обліку всіх укладених договорів вхідного перестрахування відповідно до вимог пунктів 39, 40 розділу VI, пунктів 43, 44 розділу VII цього Положення щодо обліку договорів страхування та вимог пунктів 55 і 58 розділу IX цього Положення щодо обліку операцій, пов’язаних з унесенням змін до договору вхідного перестрахування, дострокового припинення дії договору вхідного перестрахування, та з урахуванням вимог пунктів 62, 63 розділу X цього Положення [крім випадків, коли умовами договору перестрахування не передбачено визначення окремого об’єкта або переліку об’єктів (груп об’єктів) перестрахування].

50. Інформаційні системи страховика повинні містити відомості за договорами вхідного перестрахування, що визначені для договорів страхування у пунктах 5 - 7, 10 - 12 додатка до цього Положення, а також:

1) відомості про перестрахувальника - юридичну особу:

повне найменування;

місцезнаходження;

ідентифікаційний код згідно з ЄДР (за наявності), реєстраційний код (за наявності) та країну реєстрації юридичної особи-нерезидента;

іншу інформацію для ідентифікації перестрахувальника, визначену внутрішніми документами страховика та/або вимогами законодавства України;

2) номер та дату договору перестрахування;

3) відомості про об’єкт (групу об’єктів) страхування, крім випадків, коли умовами договору перестрахування не передбачено визначення окремого об’єкта або переліку об’єктів (груп об’єктів) перестрахування;

4) розмір перестрахової премії за окремим об’єктом та/або групою об’єктів перестрахування за кожним класом страхування (ризиком у межах класу страхування) та/або окремим документом, що підтверджує зобов’язання сторін та/або взаєморозрахунки за договором перестрахування, строк та періодичність сплати перестрахової премії відповідно до умов договору перестрахування, розмір та дати фактично сплачених перестрахових премій, крім випадків, коли умовами договору перестрахування не передбачено визначення окремого об’єкта або переліку об’єктів (груп об’єктів) перестрахування;

5) розмір суми відповідальності перестраховика за договором перестрахування, включаючи ліміти відповідальності (у разі їх встановлення в цілому та/або за окремим об’єктом, та/або групою об’єктів перестрахування), відповідно до умов договору перестрахування або обсяг відповідальності перестраховика, якщо умовами договору перестрахування не передбачено визначення суми відповідальності перестраховика щодо кожного окремого об’єкта (групи об’єктів) перестрахування;

6) розмір суми відповідальності або іншим чином визначений обсяг відповідальності, у межах якої перестрахувальник залишає за собою ризик виконання частини своїх зобов’язань за договором страхування (власне утримання);

7) назву, номер, дату документів (включаючи сліп, бордеро премій, бордеро збитків), якими перестраховик та перестрахувальник врегульовують взаємовідносини за договором перестрахування та/або підтверджують зобов’язання сторін та/або їх взаєморозрахунки за договором перестрахування;

8) іншу інформацію за рішенням страховика.

51. Інформаційні системи страховика повинні містити відомості за договорами вихідного перестрахування, що визначені для договорів страхування у пунктах 5 - 7, 10 - 12 додатка до цього Положення, а також для договорів вхідного перестрахування, визначених у підпунктах 2 - 7 пункту 50 розділу VIII цього Положення, включаючи:

1) відомості про перестраховика - юридичну особу:

повне найменування;

місцезнаходження;

ідентифікаційний код згідно з ЄДР (за наявності) юридичної особи-резидента, реєстраційний код (за наявності) та країну реєстрації юридичної особи-нерезидента;

рейтинг фінансової надійності (стійкості) страховика (перестраховика)-нерезидента (за наявності), встановлений міжнародним рейтинговим агентством, у разі встановлення таких вимог до страховиків (перестраховиків)-нерезидентів відповідно до нормативно-правових актів Національного банку;

2) іншу інформацію за рішенням страховика.

52. Облік заявлених вимог на здійснення перестрахової виплати за договорами вхідного перестрахування здійснюється з урахуванням інформації, потрібної для обліку вимог на здійснення страхової виплати за договором страхування та визначеної в пунктах 56, 57 розділу IX цього Положення.

53. Вимоги до обліку операцій за договорами вихідного перестрахування поширюються на договори перестрахування, за якими повністю або частково прийнятий страховиком у перестрахування ризик передано іншому перестраховику (ретроцесія).

54. Страховик в інформаційних системах зобов’язаний забезпечити облік заявлених вимог на здійснення страхової (перестрахової) виплати за договорами страхування (перестрахування) та операцій, пов’язаних з виконанням договору страхування, визначених у підпунктах 1, 3 пункту 17 додатка до цього Положення, шляхом унесення до інформаційних систем інформації, визначеної в пунктах 55 - 59 розділу IX цього Положення.