RODO stało się pretekstem nie tylko do sprzedaży szaf, drukarek, niszczarek, szkoleń, ale też polis.
- Ochroną OC może być objęta każda osoba pełniąca funkcję Inspektora Ochrony Danych niezależnie od formy zatrudnienia – czytamy na stronie jednego z zakładu ubezpieczeń. Inny zachęca: Zabezpiecz również działania Inspektora Ochrony Danych IOD – wykup ubezpieczenie OC dla IOD!  Czy warto wydawać pieniądze na ubezpieczenie odpowiedzialności cywilnej dla Inspektora Ochrony Danych (IOD)?

-  Patrząc kim on jest w myśl unijnego Rozporządzenia o Ochronie Danych Osobowych*, to nie warto – zdecydowanie odpowiada Maciej Gawroński, radca prawny, partner zarządzający Gawroński & Partners. - IOD nie odpowiada za zgodność firmy z ochroną danych. A pozywanie IOD przez firmę, której IOD nie wytknął wszystkich niezgodności, byłoby sprzeczne z duchem RODO jak i z zasadą jego niezależności – uważa Maciej Gawroński.

Jakie roszczenia mogą być kierowane wobec IOD? Na przykład, gdy wprowadzi w błąd administratora danych, niepoinformuje go o czymś, o czym powinnien, niewłaściwie monitoruje zgodność przepisów przy przetwarzaniu danych czy niezachowa tajemnicy lub poufności.

Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński wziąłby pod uwagę zakup polisy OC dla inspektora ochrony danych, który świadczy usługi na podstawie umowy cywilnoprawneji. W takim przypadku jednak miesięczne stawki zwykle są znacznie wyższe.
Maciej Gawroński rozważyłby zakup polisy, gdyby obejmowała bezwarunkowo koszty obsługi prawnej w rozsądnej kwocie.

Uwaga na wyłączenia

Litwiński dodaje, że decyzja o zakupie konkretnego produktu powinna być poprzedzona bardzo uważną analizą warunków ubezpieczenia, a w szczególności wyłączeń odpowiedzialności zakładu ubezpieczeń. Generalny Inspektor Ochrony Danych Osobowych (GIODO, a od 25 maja prezes Urzędu Ochrony Danych Osobowych) również zaleca dokładną analizą oferty, umowy, i ogólnych warunków ubezpieczenia, które mogą wykluczać wypłatę środków w określonych sytuacjach. Tylko przenalizowanie OWU pozwoli bowiem dostrzec zapisy bezpieczniejsze dla towarzystwa niż ubezpieczonego. Jakie?



Na przykład taki, że ochroną ubezpieczeniową objęte są roszczenia zgłoszone w okresie ubezpieczenia, o ile wynikają z uchybień popełnionych w okresie ubezpieczenia. To oznacza, że jak prowadzący ma polisę do 23 maja, szkoda zdarzyła się 22 maja, a klient zgłosił roszczenie 24 maja 2019 r., to nie będzie odpowiedzialności. Można ją uzyskać dopiero za dodatkową składką.

Maciej Gawroński podkreśla też, że ubezpieczenie nie zastąpi ani zgodności z RODO ani bezpieczeństwa informacji w firmie. - To działa odwrotnie – warunkiem skuteczności ubezpieczenia jest pewna dojrzałość w tych obszarach. Z drugiej strony samo zapoznanie się z wnioskiem ubezpieczeniowym może być pouczające i pomóc lepiej się zabezpieczyć – podkreśla Gawroński.

Marek W., który od 25 maja zostanie IOD czas poświęcony na analizowanie Ogólnych Warunków Ubezpieczenia woli poświęcić na wdrożenie RODO. - Polisa nie pomoże w przypadku naruszenia czy kontroli z UODO, a dobre przygotowanie się i wdrożenie nowych przepisów tak - uważa.

Ubezpieczenie nie uchroni od kary

W wielu ofertach czytamy, że ubezpieczenie obejmuje również roszczenia regresowe za kary i postępowania administracyjne osób trzecich przed UODO. A te nie są niskie. Od 25 maja br. za naruszenie zasad dotyczących przetwarzania danych osobowych, warunków wyrażania zgody na przetwarzanie prezes UODO może nałożyć karę 20 mln euro lub do 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa.

Zdaniem Macieja Gawrońskiego, takie ubezpieczenie warto rozważyć. -  To nie jest środek karny, który trzeba przecierpieć osobiście – uważa Gawroński.

Paweł Litiwński zauważa jednak, że nie wiemy, jak będą działać kary, nie można  więc zbyt precyzyjnie zaprojektować produktu chroniącego przez nimi. - Poza tym trzeba pamiętać, że obowiązek zabezpieczenia danych osobowych to klasyczny obowiązek starannego działania - on nie ma charakteru absolutnego. Niezabezpieczenie się więc przed ryzykiem, którego nie dało się przewidzieć, albo któremu nie dało się zapobiec, nie będzie skutkować nałożeniem kary  – podkreśla Litwiński.

Agnieszka Świątek-Druś z biura GIODO dodaje, że każdy administrator musi zdawać sobie sprawę, że jeśli będzie naruszał przepisy RODO, to ubezpieczenie nie uchroni go ani przed nałożeniem administracyjnej kary finansowej, gdy będzie to konieczne, ani przed możliwymi roszczeniami odszkodowawczymi ze strony osób, które poniosą szkodę materialną lub niematerialną.


Cyberpolisa do rozważanie

Na rynku jest też kilka ofert ubezpieczenia od zagrożeń cybernetycznych. W niektórych przypadkach umogą one zminimalizować pewne koszty po stronie administratora, np. poniesione na odzyskanie danych.
Zdaniem ekspertów, taj jak w przypadku poolisy OC dla IOD trzeba doładnie przeczytać warunki oferoane przez ubezpieczycieli.
- Warto sięgnąć do brokerów oferujących ubezpieczenia zagraniczne, ale tez skorzystać z porady niezależnego eksperta –  prawnika od ochrony danych, czy specjalisty od cyberbezpieczeństwa i ochrony danych – podkreśla Gawroński. - Większosć ofert bowiem koncentruje się na ryzyku systemów informatycznych lub tak kształtuje warunki, np. zawiera wymóg szyfrowanie nośników przenośnych, że działanie firmy zgodne z procedurami nie powinno wywołać zdarzenia objętego polisą.
- A firmy raczej chcą się chronić też przed niezgodnością działania z procedurami, czyli przed realnym zagrożeniem – podsumowuje Gawroński.

-----------------------------------------------------------------------
 * Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.


  RODO. Przewodnik ze wzorami >>