Pojišťování rizik vyplývajících z provozu a správy IS/IT

Oblast informačních systémů je relativně mladý obor, který dnes ovlivňuje v podstatě všechny podnikatelské subjekty. Pojišťování rizik všech podnikatelských činností je dnes již samozřejmostí. Nabídka pojistných produktů se neustále rozšiřuje v souvislosti se vznikem nových rizik, nebo se vznikem nových legislativních norem.

Rozvoj informačních technologií a systémů (IS/IT) v praxi obvykle znamená obrovské zvýšení efektivity subjektů, které si tyto systémy dokázaly vybudovat a IS/IT využívají. Tento klad je ovšem negován fatálními následky v případě dlouhodobějšího výpadku systému či ztrátě dat. Přestože existují různé systémy ochrany, ukládání či zálohování dat, žádný není dokonalý a stále existuje riziko, které může vážně ohrozit postižený subjekt.

O co rychleji jde kupředu vývoj v této oblasti, o to agresivnější je konkurenční prostředí, a o to kratší selhání může způsobit nenahraditelné škody. Společnosti přicházejí o velké finanční prostředky ať už v důsledku nahodilých výpadků IS/IT, ztráty dat či jiných incidentů. Nezanedbatelné jsou také škody v důsledku úmyslného jednání zaměstnanců či třetích osob za účelem poškodit IS/IT či získat vlastní profit. Jakkoliv stoprocentně zabezpečit IS/IT a chod informačních technologií je nemožné, přiblížit se k vysoké bezpečnosti je neúměrně finančně náročné.

V kombinaci s vhodným pojištěním je ale možno rizika optimálně eliminovat.

V čem je možno spatřovat rizika škod v případě nefunkčnosti IS/IT:

  • řízení celých výrobních, ekonomických a logistických procesů v podniku i mezi podnikateli prostřednictvím IS/IT,
  • zrychlování výrobních procesů, kdy sebekratší přerušení provozu způsobuje škodu jak provozovateli, tak jeho partnerům,
  • obrovská konkurence, kdy v důsledku výpadku přijde společnost o klienty,
  • elektronická výměna dat – možnost zneužití nebo odcizení během přenosu,
  • odborná a technická vybavenost potenciálních škůdců,
  • předávání části svých činností a tím pádem i informací jiným podnikatelům (outsourcing),
  • a jistě i mnoho dalších rizik.

Toto je moment, kdy je třeba nabídnout pojistné produkty pro eliminaci těchto rizik. Přestože v Americe má pojišťování těchto rizik dlouholetou historii, v Evropě jsou zkušenosti minimální. Pojišťovny v ČR nemají historii škodovosti potřebnou pro posouzení rizika. Velkou překážkou je také absence rizikových inženýrů a likvidátorů pojistných událostí.

V praxi zjistit nějaká čísla je velmi obtížné, neboť poškozené společnosti z pochopitelných důvodů nejsou ochotny sdělovat, že ke škodě vůbec došlo, natož jak vysoká ztráta vznikla. Je možno se opřít pouze o průzkumy renomovaných a nezávislých institucí, které říkají, že jak počet incidentů, tak finanční ztráty z nich plynoucí se neustále zvyšují.

Potenciální zájemci o pojištění těchto rizik jsou

  1. Uživatelé IS/IT
    • ztráty vzniklé přerušením provozu, náklady na znovupořízení dat atd.
  2. Poskytovatelé služeb
    • softwarové firmy,
    • systémoví integrátoři,
    • servisní organizace,
    • outsourcingové firmy,
    • škody způsobené obchodním partnerům a klientům z titulu odpovědnosti za poskytované služby.
  3. Poskytovatelé služeb na vlastních IS/IT (serverech)
    • škody jak na vlastní ekonomice, tak u třetích osob (klientů) z titulu odpovědnosti.

Pohled právníka

Většina subjektů provozující nebo využívající IS/IT podléhá zejména zákonu č. 101/2000 Sb., o ochraně osobních údajů, včetně sankčním ustanovením zákona, a to až do výše 10.000.000 korun, příp. 20.000.000 korun, pokud zpracovatel nebo správce osobních údajů poruší ustanovení zákona. Zaměstnavatel je navíc ve vztahu k zákonu povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů a její nesplnění může být zase ze strany zákona spojeno s peněžitou, popř. trestněprávní sankcí.

UX16

Stejně tak např. provozovatelé serverů, kde jsou poskytovány zdarma emaily (freemailové služby) nebo webhostingové služby, zatím svoji odpovědnost často řeší různými prohlášeními, kde se odpovědnosti vzdávají. V jiném případě je využití služby spojeno s automatickým souhlasem se smluvními podmínkami, kde je opět jasně deklarováno zřeknutí se odpovědnosti pro dané případy. Nutno ale podotknout, že takováto prohlášení a smluvní podmínky jsou právně často mimořádně sporná, popř. přímo neplatná. Především zákon neumožňuje se vzdát práv, která ještě nevznikla. Jinými slovy se lze vzdát pouze těch práv, která existují v době uzavření dohody – souhlasu se smluvními provozními podmínkami. V žádném případě se nelze tedy platně vzdát majetkových práv, o kterých není známo, zda v budoucnu nastanou (typicky právě právo na náhradu škody). Právě proto je právně mimořádně problematické uzavřít např. se zákazníkem, který využívá informační systém, byť zdarma, dohodu, že v případě vzniklé škody tuto nebude uplatňovat vůči společnosti. Nejrůznější právní vady bychom ale bohužel našli v textech smluvních podmínek v podstatě všech velkých poskytovatelů freemailových služeb i provozovatelů jiných IS/IT. Navíc společnosti si tyto rizika často vůbec neuvědomují až do okamžiku, kdy dojde ke soudnímu sporu, kdy už je samozřejmě pozdě. Pojištění se jeví jako ideální možnost (prevence), jak se v případě poruchy IS/IT krýt.

Rizika, která mohou být předmětem pojištění:

  • jakákoliv nahodilá škoda na IS/IT pojištěného a z toho vyplývající finanční ztráta,
  • úmyslná škoda způsobená třetí osobou pojištěnému,
  • úmyslná škoda způsobená vlastním zaměstnancem pojištěnému,
  • odpovědnost za škodu způsobenou třetí osobě opomenutím, zanedbáním, porušením povinnosti, výpadkem vlastního systému.

Anketa

Považujete pojištění za vhodný doplněk ochrany informačních systémů?

7 názorů Vstoupit do diskuse
poslední názor přidán 7. 7. 2004 14:09
Zasílat nově přidané názory e-mailem

Školení: Právo pro e-shopy

  •  
    Jak provozovat e-shop v souladu se zákonem.
  • Jak přistupovat k vrácení zboží a spory se spotřebiteli.
  • Jak v souladu s právem marketovat e-shop.

Detailní informace o školení Právo pro e-shopy »