Hlavní navigace

Pojišťování rizik vyplývajících z provozu a správy IS/IT

Bohumír Štědroň

Oblast informačních systémů je relativně mladý obor, který dnes ovlivňuje v podstatě všechny podnikatelské subjekty. Pojišťování rizik všech podnikatelských činností je dnes již samozřejmostí. Nabídka pojistných produktů se neustále rozšiřuje v souvislosti se vznikem nových rizik, nebo se vznikem nových legislativních norem.

Doba čtení: 4 minuty

Rozvoj informačních technologií a systémů (IS/IT) v praxi obvykle znamená obrovské zvýšení efektivity subjektů, které si tyto systémy dokázaly vybudovat a IS/IT využívají. Tento klad je ovšem negován fatálními následky v případě dlouhodobějšího výpadku systému či ztrátě dat. Přestože existují různé systémy ochrany, ukládání či zálohování dat, žádný není dokonalý a stále existuje riziko, které může vážně ohrozit postižený subjekt.

O co rychleji jde kupředu vývoj v této oblasti, o to agresivnější je konkurenční prostředí, a o to kratší selhání může způsobit nenahraditelné škody. Společnosti přicházejí o velké finanční prostředky ať už v důsledku nahodilých výpadků IS/IT, ztráty dat či jiných incidentů. Nezanedbatelné jsou také škody v důsledku úmyslného jednání zaměstnanců či třetích osob za účelem poškodit IS/IT či získat vlastní profit. Jakkoliv stoprocentně zabezpečit IS/IT a chod informačních technologií je nemožné, přiblížit se k vysoké bezpečnosti je neúměrně finančně náročné.

V kombinaci s vhodným pojištěním je ale možno rizika optimálně eliminovat.

V čem je možno spatřovat rizika škod v případě nefunkčnosti IS/IT:

  • řízení celých výrobních, ekonomických a logistických procesů v podniku i mezi podnikateli prostřednictvím IS/IT,
  • zrychlování výrobních procesů, kdy sebekratší přerušení provozu způsobuje škodu jak provozovateli, tak jeho partnerům,
  • obrovská konkurence, kdy v důsledku výpadku přijde společnost o klienty,
  • elektronická výměna dat – možnost zneužití nebo odcizení během přenosu,
  • odborná a technická vybavenost potenciálních škůdců,
  • předávání části svých činností a tím pádem i informací jiným podnikatelům (outsourcing),
  • a jistě i mnoho dalších rizik.

Toto je moment, kdy je třeba nabídnout pojistné produkty pro eliminaci těchto rizik. Přestože v Americe má pojišťování těchto rizik dlouholetou historii, v Evropě jsou zkušenosti minimální. Pojišťovny v ČR nemají historii škodovosti potřebnou pro posouzení rizika. Velkou překážkou je také absence rizikových inženýrů a likvidátorů pojistných událostí.

V praxi zjistit nějaká čísla je velmi obtížné, neboť poškozené společnosti z pochopitelných důvodů nejsou ochotny sdělovat, že ke škodě vůbec došlo, natož jak vysoká ztráta vznikla. Je možno se opřít pouze o průzkumy renomovaných a nezávislých institucí, které říkají, že jak počet incidentů, tak finanční ztráty z nich plynoucí se neustále zvyšují.

Potenciální zájemci o pojištění těchto rizik jsou

  1. Uživatelé IS/IT
    • ztráty vzniklé přerušením provozu, náklady na znovupořízení dat atd.
  2. Poskytovatelé služeb
    • softwarové firmy,
    • systémoví integrátoři,
    • servisní organizace,
    • outsourcingové firmy,
    • škody způsobené obchodním partnerům a klientům z titulu odpovědnosti za poskytované služby.
  3. Poskytovatelé služeb na vlastních IS/IT (serverech)
    • škody jak na vlastní ekonomice, tak u třetích osob (klientů) z titulu odpovědnosti.

Pohled právníka

Většina subjektů provozující nebo využívající IS/IT podléhá zejména zákonu č. 101/2000 Sb., o ochraně osobních údajů, včetně sankčním ustanovením zákona, a to až do výše 10.000.000 korun, příp. 20.000.000 korun, pokud zpracovatel nebo správce osobních údajů poruší ustanovení zákona. Zaměstnavatel je navíc ve vztahu k zákonu povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů a její nesplnění může být zase ze strany zákona spojeno s peněžitou, popř. trestněprávní sankcí.

Content 2018 tip Kajnar

Stejně tak např. provozovatelé serverů, kde jsou poskytovány zdarma emaily (freemailové služby) nebo webhostingové služby, zatím svoji odpovědnost často řeší různými prohlášeními, kde se odpovědnosti vzdávají. V jiném případě je využití služby spojeno s automatickým souhlasem se smluvními podmínkami, kde je opět jasně deklarováno zřeknutí se odpovědnosti pro dané případy. Nutno ale podotknout, že takováto prohlášení a smluvní podmínky jsou právně často mimořádně sporná, popř. přímo neplatná. Především zákon neumožňuje se vzdát práv, která ještě nevznikla. Jinými slovy se lze vzdát pouze těch práv, která existují v době uzavření dohody – souhlasu se smluvními provozními podmínkami. V žádném případě se nelze tedy platně vzdát majetkových práv, o kterých není známo, zda v budoucnu nastanou (typicky právě právo na náhradu škody). Právě proto je právně mimořádně problematické uzavřít např. se zákazníkem, který využívá informační systém, byť zdarma, dohodu, že v případě vzniklé škody tuto nebude uplatňovat vůči společnosti. Nejrůznější právní vady bychom ale bohužel našli v textech smluvních podmínek v podstatě všech velkých poskytovatelů freemailových služeb i provozovatelů jiných IS/IT. Navíc společnosti si tyto rizika často vůbec neuvědomují až do okamžiku, kdy dojde ke soudnímu sporu, kdy už je samozřejmě pozdě. Pojištění se jeví jako ideální možnost (prevence), jak se v případě poruchy IS/IT krýt.

Rizika, která mohou být předmětem pojištění:

  • jakákoliv nahodilá škoda na IS/IT pojištěného a z toho vyplývající finanční ztráta,
  • úmyslná škoda způsobená třetí osobou pojištěnému,
  • úmyslná škoda způsobená vlastním zaměstnancem pojištěnému,
  • odpovědnost za škodu způsobenou třetí osobě opomenutím, zanedbáním, porušením povinnosti, výpadkem vlastního systému.

Anketa

Považujete pojištění za vhodný doplněk ochrany informačních systémů?

Našli jste v článku chybu?