Objęcie ochroną ubezpieczeniową ryzyka OC z tytułu naruszenia przepisów dotyczących ochrony danych osobowych, w tym odpowiedzialność za wyciek lub utratę danych jest możliwe na podstawie odpowiednio zredagowanych warunków ubezpieczenia.
Obowiązujące od 25 maja 2018 roku przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO) stworzyły nową rzeczywistość prawną w odniesieniu do zagadnień związanych z przetwarzaniem danych osobowych w całej Unii Europejskiej. Dla osób stosujących to prawo, w tym dla przedsiębiorców i działających w ich imieniu zarządów, poszerzeniu uległ zakres odpowiedzialności prawnej, obejmując wdrożenie i stosowanie nowych przepisów. W ślad za tym pojawiło się pytanie o ryzyko z tym związane i możliwość jego ubezpieczenia.
W konsekwencji objęcie ochroną ubezpieczeniową ryzyka OC z tytułu naruszenia przepisów dotyczących ochrony danych osobowych, w tym odpowiedzialność za wyciek lub utratę danych, jest możliwe na podstawie odpowiednio zredagowanych warunków ubezpieczenia – powszechnie nazywane ubezpieczeniem cyber. Ubezpieczenie to obejmuje odpowiedzialność cywilną wobec osób trzecich, a także koszty wynikające lub związane z odpowiedzialnością regulacyjną administratora lub podmiotu przetwarzającego – niezależnie od tego, w jakiej formie prowadzi działalność. Zależnie od definicji podmiotu ubezpieczonego ochrona w ramach polisy cyber może obejmować także członków władz i inne osoby sprawujące funkcje kierownicze, wspólników lub pracowników administratora lub podmiotu przetwarzającego w zakresie wykonywania przez nich obowiązków pracowniczych. W związku z tym nawet jeżeli roszczenia odszkodowawcze lub postępowania administracyjne związane z naruszeniem przepisów dotyczących ochrony danych osobowych byłyby kierowane do tych osób, korzystają od z ochrony ubezpieczeniowej na podstawie polisy cyber. Jak w ramach takiej polisy samo roszczenie administratora lub podmiotu przetwarzającego do osoby sprawującej funkcje kierownicze u niego nie jest objęte ochroną ubezpieczeniową – tak z uwagi na stosowane wyłączenia w warunkach, jak i konstrukcję umowy, gdzie byłoby to roszczenie do osoby współubezpieczonej.
Roszczenie administratora lub podmiotu przetwarzającego do członków jego kierownictwa może być ubezpieczone polisą D&O czyli ubezpieczenia odpowiedzialności za zarządzanie.
Warunki ubezpieczenia D&O powinny obejmować ochroną m.in. odpowiedzialność menedżerów za uchybienia w zakresie zapewnienia bezpieczeństwa danych osobowych, a także pokryć koszty ewentualnych postępowań administracyjnych lub karnych, gdy zarzuty są kierowane bezpośrednio przeciwko członkom władz.
Z perspektywy inspektora ochrony danych osobowych, jeżeli jest on członkiem władz i wykonuje zadania w ramach powierzonej im funkcji, powinna obejmować go ochroną polisa D&O. Nawet jeśli nie jest członkiem zarządu lub innego organu zarządzanego podmiotu, ale można uznać, że sprawuje funkcję kierowniczą, analogicznie powinna go obejmować ochrona w ramach polisy D&O.
Inspektora chronić będzie także polisa cyber, jeżeli definicja ubezpieczonego jest odpowiednio szeroko skonstruowana. W przypadku gdy inspektor jest powołany z zewnątrz na podstawie umowy zlecenia, wówczas taka osoba może rozważyć poza polisą cyber także ubezpieczenie swojej osobistej odpowiedzialności polisą OC zawodowej.
Najnowsze komentarze