Zadzwoń do nas: +48 539 533 522
Social media:

Odpowiedzialność prawna informatyka, cz. 2

19 stycznia, 2021


Niezależnie od ryzyka odpowiedzialności za utratę powierzonych danych, usługi informatyczne mogą wiązać się z ryzykiem odpowiedzialności za treść danych. Dotyczy to w szczególności usług informatycznych, które polegają na udostępnianiu klientom lub osobom trzecim możliwości publikowania rozmaitych treści. – Michał Molęda

Ryzyko odpowiedzialności prawnej informatyka zależy przede wszystkim od podstawy jego zatrudnienia. Drugim czynnikiem determinującym odpowiedzialność jest sposób regulacji umowy zawieranej z docelowym odbiorcą usługi informatycznej, oprogramowania lub sprzętu. Ubezpieczenie odpowiedzialności prawnej informatyka (firmy informatycznej) jest możliwe na podstawie jednolitej umowy uwzględniającej w szeregu klauzul najważniejsze aspekty tego ryzyka.

UBEZPIECZENIE OC ZAWODOWEJ

Ubezpieczenie odpowiedzialności informatyka może opierać się o typowe warunki ubezpieczenia odpowiedzialności cywilnej z tytułu wykonywania zawodu. Przedmiot ubezpieczenia jest zdefiniowany wówczas w polisie w punkcie opisującym usługi zawodowe wskazane we wniosku. Usługi te mogą polegać przykładowo na projektowaniu, specyfikowaniu, modyfikacji lub instalacji oprogramowania na zlecenie klienta, dostawie oprogramowania firm trzecich, zarządzaniu projektami wdrożeń informatycznych, doradztwie lub szkoleniu w zakresie informatyki, usługach w zakresie zapewnienia bezpieczeństwa systemów informatycznych klienta itd.

TRIGGER CLAIMS MADE

Z uwagi na trudną do uchwycenia w czasie chwilę popełniania możliwego uchybienia w trakcie świadczenia usługi informatycznej, standardem rynkowym jest udzielnie ochrony ubezpieczeniowej na podstawie triggera claims made. Oznacza to, że ochrona jest udzielana dla roszczeń po raz pierwszy zgłoszonych ubezpieczonemu w okresie ubezpieczenia. Zgodnie ze standardem rynkowym przez roszczenie należy rozumieć żądanie zapłaty odszkodowania (lub innego zadośćuczynienia) z tytułu uchybień popełnionych w związku ze świadczeniem usług zawodowych. Zgodnie z warunkami ubezpieczenia ze zgłoszeniem roszczenia zrównane jest wszczęcie postępowania np. karnego, karnoskarbowego lub administracyjnego z związku z naruszeniem przepisów o ochronie danych osobowych lub innych przepisów regulujących świadczenie usług przez ubezpieczonego.

KRĄG OSÓB UBEZPIECZONYCH

Od strony podmiotowej ochrona ubezpieczeniowa obejmuje ubezpieczonego wskazanego w umowie, ale z reguły także pracowników ubezpieczonego oraz inne
osoby, które ubezpieczony zatrudnia w celu lub w związku ze świadczeniem przez siebie usług zawodowych, z zastrzeżeniem, że te osoby muszą podlegać jego poleceniom.

ODSZKODOWANIE I POMOC PRAWNA

Istotą ubezpieczenia odpowiedzialności zawodowej jest ochrona polegająca nie tylko na możliwości zaspokojenia przez ubezpieczyciela roszczeń odszkodowawczych kierowanych do ubezpieczonego w związku z uchybieniami popełnionymi przy wykonywaniu czynności zawodowych, ale w pierwszej kolejności zapewnienie finansowania ochrony prawnej przed takim roszczeniem (koszty pomocy prawników, doradców podatkowych, rzeczników patentowych itd.) oraz jego analizy faktycznej (koszty biegłych np. z dziedziny poszczególnych branż informatycznych, ekonomii, koszty detektywów itd.). Koszty te finansowane są w ramach zdefiniowanych w warunkach ubezpieczenia kosztów obrony. Niezależnie od tego ubezpieczony może liczyć na pokrycie kosztów pomocy w postępowaniach karnych, karnoskarbowych lub administracyjnych wszczętych w związku ze świadczonymi przez niego usługami. Szerzej ten zakres ochrony jest omawiany poniżej w zakresie klauzuli pokrycia „kosztów obrony w postępowaniu karnym, karnoskarbowym lub administracyjnym”.

INFORMACJE POUFNE

Informatyk, świadcząc swoje usługi, z reguły ma dostęp do informacji poufnych klienta, do zachowania których w tajemnicy jest zobowiązany na podstawie zawieranej umowy o świadczenie usług. Często obowiązek ten może wynikać także z powszechnie obowiązujących przepisów prawa (np. przepisów o ochro-
nie danych osobowych, w tym w szczególności danych wrażliwych). W związku z tym ponosi odpowiedzialność za ewentualne naruszenie obowiązku zachowania tajemnicy. Ochrona ubezpieczeniowa w odniesieniu do roszczeń z tym związanych jest potwierdzona w ramach klauzuli ubezpieczenia „naruszenia obowiązku
zachowania tajemnicy”.

PRAWA AUTORSKIE I WŁASNOŚCI PRZEMYSŁOWEJ

Usługi informatyczne, w szczególności te, które są związane z tworzeniem oprogramowania, z reguły wiążą się z wykorzystywaniem m.in. bibliotek programistycznych, czyli plików dostarczających podprogramy, dane lub typy danych wykorzystywanych z poziomu kodu źródłowego programu. Tworząc nowe oprogramowanie, często korzysta też z innych już wprowadzonych do obrotu programów komputerowych. W związku z tym informatyk, tworząc lub modyfkując oprogramowanie, musi liczyć się z ryzykiem naruszenia prawa autorskiego (program komputerowy jest uznawany za utwór w rozumieniu Prawa autorskiego), patentów lub innych praw własności przemysłowej. Ochrona ubezpieczeniowa w odniesieniu do roszczeń z tym związanych jest udzielana w ramach klauzuli ubezpieczenia „naruszenia praw własno ści przemysłowej”.

UTRATA DANYCH I DOKUMENTÓW

Kolejnym obszarem ryzyka, z którym musi liczyć się informatyk, to spowodowanie uszkodzenia lub utraty danych lub dokumentów, które powierza mu klient.
Czasem usługa informatyczna może wiązać się z koniecznością wykonania pewnych operacji na tych danych (np. ich migracji do nowego systemu informatycznego lub wykonania prac analitycznych na bazie danych klienta). Ochrona ubezpieczeniowa w odniesieniu do roszczeń związanych z utratą danych lub dokumentów jest potwierdzona w ramach klauzuli ubezpieczenia „utraty dokumentów i danych elektronicznych”.

ODPOWIEDZIALNOŚĆ ZA TREŚĆ (ZNIESŁAWIENIE)

Niezależnie od ryzyka odpowiedzialności za utratę powierzonych danych, usługi informatyczne mogą wiązać się z ryzykiem odpowiedzialności za treść danych. Dotyczy to w szczególności usług informatycznych, które polegają na udostępnianiu klientom lub osobom trzecim możliwości publikowania rozmaitych treści. Wprawdzie obecnie ustawa z dnia 18 lipca 2002 r. (tekst jednolity Dz.U. z 2020 r. poz. 344.) o świadczeniu usług drogą elektroniczną stanowi, że administratorzy danych przechowywanych na serwerach nie są zobowiązani do sprawdzania tych danych.

Należy jednak pamiętać, że nie każdy administrator może skorzystać z tego zwolnienia. Zgodnie z orzecznictwem o takiej możliwości może decydować przyjęty przez niego model biznesowy, tj. rola, jaką administrator odgrywa w przechowywaniu i udostępnianiu treści. Ponadto do dnia 7 czerwca 2021 r. państwa członkowskie UE mają czas na implementację przepisów Dyrektywy UE z dnia 17 kwietnia 2019 r. w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym. Nowe przepisy mogą zaostrzyć odpowiedzialność administratorów za treści publikowane na ich platformach internetowych. Ochrona ubezpieczeniowa w odniesieniu do roszczeń związanych z naruszeniem dóbr osobistych w związku ze świadczeniem usług zawodowych przez informatyków jest udzielana na podstawie klauzuli ubezpieczenia odpowiedzialności z tytułu „oszczerstw, zniesławienia i pomówień”.

ODPOWIEDZIALNOŚĆ ZA UDZIAŁ W KONSORCJUM

W branży informatycznej często spotyka się prowadzenie rozmaitych innowacyjnych projektów w formie konsorcjów. Umożliwia to postęp technologiczny przy jednoczesnej optymalizacji kosztów. Uczestnictwo w konsorcjum wiąże się jednak także z ryzykiem odpowiedzialności z tytułu prowadzenia działalności z innymi podmiotami. Ochrona ubezpieczeniowa w odniesieniu do roszczeń z tytułu uchybienia popełnionego w związku z prowadzeniem działalności w taki sposób jest udzielana na podstawie klauzuli „odpowiedzialności w ramach wspólnego przedsięwzięcia”.

KOSZTY W POSTĘPOWANIACH REGULACYJNYCH I KARNYCH

Oprócz ryzyka odpowiedzialności cywilnej związanej ze świadczeniem usług zawodowych w obszarze informatyki, trzeba się także liczyć z ryzykiem odpowiedzialności regulacyjnej, karnej lub karnoskarbowej. Dobry przykład to ryzyko naruszenia przepisów karnych regulujących przestępstwa przeciwko informacji, w szczególności art. 268 i nast. k.k. Inny przykład to ryzyko postępowań karnoskarbowych, które mogą zostać wszczęte przez organy skarbowe wobec informatyków zatrudnionych w oparciu o umowy B2B, które byłyby kwestionowane przez te organy jako umowy pozorne. Koszty obrony w takich postepowaniach wszczynanych wobec ubezpieczonego są objęte ochroną ubezpieczeniową w ramach klauzuli „pokrycia kosztów obrony w postępowaniu karnym, karnoskarbowym lub administracyjnym”.

KLAUZULA CYBER I RODO

Istotnym ryzykiem związanym nie tylko ze świadczeniem usług informatycznych, dostarczaniem oprogramowania, ale także ze zwykłym korzystaniem z systemów informatycznych lub udostępnianiem i publikowaniem stron internetowych są ataki hakerskie, które mogą prowadzić do ujawniania nieuprawnionym osobom danych, naruszania praw autorskich lub praw własności przemysłowej, zniesławiania lub innego naruszania dóbr osobistych osób trzecich, a także owodowania zagrożenia bezpieczeństwa systemów lub danych klientów, lub osób trzecich. Konsekwencją ataków hakerskich, naruszających prawa innych osób może być też zainteresowanie organów ścigania lub organów ochrony danych osobowych i w konsekwencji postępowania regulacyjne lub karne przeciwko informatykom, którym zarzucane mogą być uchybienia we właściwym zabezpieczeniu systemów i danych swoich klientów. Ten obszar ryzyka w ubezpieczeniu odpowiedzialności cywilnej zawodowej jest zaadresowany tzw. klauzulą ubezpieczenia „cyber”. Standardowo obejmuje ona ochroną odpowiedzialność z tytułu ataków hakerskich, do których negatywnych skutków doszło z winy informatyka, a także pokrycie kosztów pomocy prawnej w razie postępowania regulacyjnego lub karnego związanego
z naruszeniem bezpieczeństwa danych, do którego zapewnienia zobowiązany jest ubezpieczony informatyk.