Odpowiedzialność dyrektora zarządzającego za bezpieczeństwo informacji w spółce

W dzisiejszych czasach trudno wyobrazić sobie firmę bez IT i cyfrowych procesów biznesowych. Jednak oprócz wielu zalet cyfryzacji, niesie ona ze sobą również duże zagrożenia: Jeśli każdy pracownik uczestniczy w cyfrowym świecie w firmie, wzrasta prawdopodobieństwo wystąpienia incydentu związanego z bezpieczeństwem informacji (np. incydenty wywołane przez wirusy, phishing, hacking itp.

Praca w sieci może szybko wpłynąć na całą infrastrukturę informatyczną firmy. Może to skutkować ogromnymi stratami. Dla firmy zagrożone są nie tylko interesy finansowe, ale także uszczerbek na reputacji firmy po naruszeniu danych oraz konsekwencje prawne, które mogą grozić.

W końcu, w razie wątpliwości, konsekwencje zawsze dotykają osobiście dyrektora zarządzającego. O tym, jak konkretnie wygląda odpowiedzialność dyrektora zarządzającego i jak ewentualnie można zminimalizować to ryzyko, traktuje poniższy tekst.

Możliwy zakres odszkodowania

Jeśli cyberatak spowoduje szkody w firmie, nie należy zapominać o kosztach własnych przedsiębiorstwa: Kosztach przywrócenia danych i systemów, utracie obrotów, kosztach ustalenia przyczyny, np. poprzez badania kryminalistyczne a wyspecjalizowany usługodawca, utratę zaufania klientów, utratę produkcji, utratę wartości firmy itp.

Ponadto możliwe jest wypłacenie odszkodowania osobom trzecim. Opierają się one nie tylko na art. 82 GDPR, ale także na § 280 niemieckiego kodeksu cywilnego (BGB) poza prawem ochrony danych.

Odszkodowania zgodnie z § 280 BGB można dochodzić tylko od osób trzecich, z którymi przedsiębiorstwo pozostaje w stosunku prawnym i których zobowiązania zostały naruszone przez naruszenie danych i jego konsekwencje. Ponadto w ramach tej podstawy roszczenia to dane przedsiębiorstwo musi udowodnić, że nie jest odpowiedzialne za incydent, czyli np. że podjęło odpowiednie środki. Środki ochronne podjęła. Dlatego kierownictwo powinno zawsze starannie wdrażać i dokumentować bezpieczeństwo informatyczne firmy, aby móc udowodnić, że informatyka jest zabezpieczona przy użyciu najnowocześniejszych technologii.

Ponadto odszkodowanie za szkody zgodnie z art. 82 GDPR może wystąpić, jeśli dane osobowe są przetwarzane przez firmę. W takim przypadku poszkodowani muszą otrzymać odszkodowanie za szkody materialne i niematerialne. Można tego uniknąć tylko poprzez udowodnienie, że firma nie jest w żaden sposób odpowiedzialna za czynnik, który spowodował szkodę.

Ponadto może zostać nałożona grzywna zgodnie z art. 83 GDPR.

Wymieniona tu odpowiedzialność nie może być również wyłączona przez ogólne warunki handlowe (OWU).

Czy możliwa jest rekompensata?

Nawet jeśli przyczyną ewentualnego cyberataku jest najczęściej błąd użytkownika popełniony przez pracownika, to podejmowanie działań przeciwko własnym pracownikom jest mało obiecujące. Z jednej strony odpowiedzialność pracowników jest bardzo ograniczona, a z drugiej strony w dotychczasowym orzecznictwie ograniczono ją do rocznego wynagrodzenia, więc nie można tym zrekompensować poniesionych szkód. Co do zasady zarząd lub spółka odpowiada za przewinienia własnych pracowników.

Odwołanie się do dostawców usług informatycznych też zwykle nie jest zbyt obiecujące. Ich głównym obowiązkiem jest jedynie świadczenie usług uzgodnionych w umowie z zarządem. Zgodnie z art. 24 I i II GDPR konieczne jest, aby przedsiębiorstwo prowadziło IT zgodnie ze stanem techniki. Jeśli uzgodniona usługa usługodawcy nie odpowiada stanowi techniki, to odpowiedzialność za to ponosi firma, która chciała, aby tak było.

W grę wchodzi tu co najwyżej naruszenie zobowiązania wtórnego (wskazanie, że wymagana usługa nie odpowiada stanowi techniki) (§ 280 BGB). Jednak pokrycie tych kwot przez dostawcę usług IT będzie raczej niemożliwe, zwłaszcza że regularnie uzgadnia on z góry limit odpowiedzialności, przynajmniej w przypadku większych umów.

Odpowiedzialność kierownictwa

Ostatecznie w celu naprawienia szkody majątkowej spółce pozostaje jedynie regres do zarządu, do czego jest on również zobowiązany.

W tym przypadku niewielkie zaniedbania ze strony zarządu są zwykle wystarczające dla uzasadnienia odpowiedzialności. Zarząd ma obowiązek zapewnić, że spółka nie narusza żadnych przepisów prawa. W zależności od formy prawnej spółki i prowadzonej działalności, prawo może zawierać także bardziej szczegółowe obowiązki, których naruszenie stanowi punkt wyjścia dla odpowiedzialności.

Minimalizacja ryzyka odpowiedzialności

W celu zminimalizowania ryzyka odpowiedzialności, kierownictwo powinno regularnie omawiać z Konsultanci ds. bezpieczeństwa informacji konsultować, przeprowadzać oceny ryzyka i je dokumentować. Przeprowadzają również testy penetracyjne i analizy podatności poprzez Zewnętrzni wyspecjalizowani dostawcy usług pomagają w ocenie ryzyka i powinny być również udokumentowane. W przypadku naruszenia danych, dokumentacja i środki mogą w razie potrzeby doprowadzić do uniewinnienia.

Wyniki mogą być następnie wykorzystane również do oceny, czy ubezpieczenie cybernetyczne jest konieczne. Kontrowersje budzi to, czy zawarcie takiego ubezpieczenia jest wręcz obowiązkowe dla zarządu. Przynajmniej jeśli cyberzagrożenia stanowią dla firmy ryzyko egzystencjalne, to należy to w każdym przypadku potwierdzić. W tym kontekście należy również zwrócić szczególną uwagę na prawidłowy dobór ubezpieczenia, a po jego zawarciu na ciągłe porównywanie, czy nadal jest ono najbardziej odpowiednie.

Z drugiej strony zarząd może być również zwolniony z obowiązku wykupienia ubezpieczenia cybernetycznego uchwałą wspólników. W ten sposób zarząd nie ponosi już ryzyka odpowiedzialności, ale spółka nadal jest zagrożona w takim samym stopniu.

W każdym przypadku zaleca się opracowanie planu awaryjnego na wypadek cyberataku, a także planu backupu danych. Muszą one być znane w firmie.

Aby dodatkowo zabezpieczyć się jako dyrektor zarządzający, warto w razie wątpliwości wykupić ubezpieczenie D&O.

W poszczególnych przypadkach decyzje dotyczące konkretnych środków powinny być zawsze podejmowane po zasięgnięciu opinii ekspertów. Brak wiedzy fachowej ze strony dyrektora zarządzającego w zakresie odpowiedzialności nigdy nie prowadzi do uniewinnienia.