Wejście w życie nowych uregulowań prawnych w zakresie ochrony danych osobowych powoduje duże zainteresowanie możliwością wykupienia polis ubezpieczeniowych chroniących przed skutkami błędów zawodowych powstających przy wykonywaniu czynności ABI/IOD.
Beneficjentami takich polis mogą być zarówno Administratorzy Bezpieczeństwa Informacji, jak i przyszli Inspektorzy Danych Osobowych. Administratorzy Danych Osobowych coraz częściej oczekują od osób świadczących usługi Administratorów Bezpieczeństwa Informacji posiadania odpowiedniej polisy, której zakres i sumy gwarancyjne pozwolą dochodzić ewentualnych roszczeń. Głównym wyznacznikiem odpowiedzialności Administratorów Bezpieczeństwa Informacji w stosunku do Administratorów Danych Osobowych jest to, na podstawie jakiej umowy wykonywane są czynności. Jeśli Administrator Bezpieczeństwa Informacji wykonuje czynności na podstawie umowy o pracę, odpowiedzialność w stosunku do Administratora Danych Osobowych będzie ograniczona do trzykrotności miesięcznego wynagrodzenia. W przypadku wykonywania czynności na podstawie umowy cywilno-prawnej roszczenia nie mają kodeksowych ograniczeń. W praktyce może występować jeszcze wariant mieszany, czyli wykonywanie czynności zarówno na podstawie umowy o pracę, jak i na podstawie umowy cywilnoprawnej - wówczas odpowiedzialność w stosunku do ADO uwarunkowana jest analogicznie charakterem umowy.
Polisa Odpowiedzialności Cywilnej Zawodowej dla ABI i IOD
Obecnie na rynku dostępna jest polisa Odpowiedzialności Cywilnej Zawodowej dla Administratorów Bezpieczeństwa Informacji i Inspektorów Ochrony Danych, której podstawowym zadaniem jest ubezpieczenie szkód powstałych na skutek uchybień powstałych w wyniku wykonywania czynności zawodowych.
Dla kogo jest ubezpieczenie? Kto jest objęty ochroną?
Ochroną od odpowiedzialności cywilnej może być objęta każda osoba pełniąca funkcję ABI – Administratora Bezpieczeństwa Informacji (w obecnym stanie prawnym) lub IOD – Inspektora Ochrony Danych (po wejściu w życie ogólnego rozporządzenia o ochronie danych osobowych; dalej: RODO), niezależnie od tego, czy została zatrudniona na umowę o pracę, czy wykonuje ww. funkcję na innej podstawie, np. umowy cywilnoprawnej.
Kto może wykupić ubezpieczenie?
Ubezpieczenie od odpowiedzialności cywilnej może wykupić każdy ABI (przyszły IOD) dla siebie lub administrator danych (pracodawca lub zleceniodawca) dla swojego ABI (w przyszłości IOD). Dotyczy to także tych ABI, którzy są powołani i zgłoszeni przez więcej niż jednego administratora danych, niezależnie od rodzaju zawartej umowy na wykonywanie funkcji ABI.
Co jest przedmiotem ochrony?
Ochroną objęte są zadania bieżące i realizowane:
1) w przypadku Administratora Bezpieczeństwa Informacji – ustawowe wynikające z art. 36a ust. 2 ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.;
2) w przypadku Inspektora Ochrony Danych – zadania określone w art. 39 RODO.
Co nie jest objęte ochroną?
Ochroną ubezpieczeniową nie są objęte m.in. inne zadania, które Administrator Bezpieczeństwa Informacji lub Inspektor Ochrony Danych wykonuje dodatkowo i nie wynikają one z ww. ustawy lub rozporządzenia, a ponadto rodzaje szkód/odpowiedzialności enumeratywnie wymienione w warunkach umowy ubezpieczenia jako wyłączenia.
Przez jaki czas ewentualne roszczenia objęte są polisą?
Ochrona ubezpieczenia działa w trakcie zawartej umowy ubezpieczenia – ochroną ubezpieczeniową objęte są roszczenia zgłoszone w okresie ubezpieczenia, o ile wynikają z uchybień popełnionych w okresie ubezpieczenia. Ochrona ubezpieczeniowa, za dodatkową składką, może zostać rozszerzona o roszczenia wynikłe z uchybień popełnionych w okresie 12 miesięcy poprzedzających okres ubezpieczenia wynikający z zawieranej umowy ubezpieczenia.
W razie zakończenia wykonywania funkcji ABI/IOD lub decyzji o nieprzedłużaniu ubezpieczenia - za dodatkową składką - okres zgłaszania roszczeń do polisy można wydłużyć do 36 miesięcy od zakończenia umowy ubezpieczenia.
Jakie ryzyka są związane z wykonywaniem zadań Administratora Bezpieczeństwa Informacji lub Inspektora Ochrony Danych?
Wobec ABI mogą być kierowane roszczenia, np. administratora danych, na rzecz którego ABI wykonuje swoje funkcje, jeżeli administrator poniósł szkodę wskutek uchybień ABI, gdy ten:
1) nie wykonuje zadań zgodnie z ustawą o ochronie danych osobowych;
2) wykonuje zadania ABI (np. sprawdzenia) niezgodnie z przepisami;
3) w prowadzonym przez niego rejestrze zbiorów danych osobowych nie ma wszystkich wymaganych informacji;
4) nie poinformuje administratora danych o stwierdzonej sytuacji niezgodności z przepisami;
5) nie poinformuje administratora danych o nieaktualności dokumentacji przetwarzania danych (np. polityki bezpieczeństwa, instrukcji zarządzania systemem służącym do przetwarzania danych osobowych).
W razie zaistnienia szkody po stronie administratora w przypadku uchybień IOD w zakresie:
1) niepoinformowania lub wprowadzenia w błąd administratora danych, podmiotu przetwarzającego lub pracowników o obowiązkach spoczywających na nich na mocy RODO;
2) braku lub niewłaściwego wykonywania funkcji monitorowania zgodności przepisów przy przetwarzaniu danych;
3) udzielania błędnych zaleceń dotyczących skutków działań dla ochrony danych;
4) braku współpracy lub niewłaściwego wykonywania funkcji punktu kontaktowego dla organu nadzorczego;
5) nienależytego wypełniania zadań uwzględniających ryzyko związane z operacjami przetwarzania;
6) błędnego doradzania administratorowi danych;
7) niezachowania tajemnicy lub poufności.
Ze względu na zmiany w przepisach wprowadzających IOD w miejsce ABI wraz z uregulowaniem obowiązków IOD proponowane ubezpieczenie uwzględnia ww. zmiany, zapewniając ochronę nie tylko dla obecnych czynności ABI, ale również dla zadań IOD pod rządami nowych uregulowań prawnych obowiązujących od 25.5.2018 r.
Maciej Kokot
W branży ubezpieczeniowej od 1999 r. Współtwórca ubezpieczenia dla ABI. Specjalizuję się w pomocy Administratorom Danych Osobowych i ABI w przygotowaniu odpowiednich warunków ubezpieczenia, uwzględniających specyfikę odpowiedzialności maciej.kokot@rodoinsurance.pl
