- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (31)
- CRM (52)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (87)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (37)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (63)
- Informační bezpečnost (43)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | ||
Jaká je odpovědnost (a případná vymahatelnost náhrad) za škody způsobené kybernetickým incidentem?
Jelikož v důsledků narůstajícího uchovávání a zpracovávání citlivých informací a dat v elektronické podobě čím dál tím více přibývá kybernetických incidentů, ať už se jedná o incidenty spočívající v neúmyslných únicích způsobených lidskou chybou nebo incidenty způsobené úmyslným útokem na informační systémy, je nedílnou součástí tohoto problému i otázka odpovědnosti za škody a následky vzniklé v důsledku kybernetického incidentu. Především z toho důvodu, že škody způsobené kybernetickým incidentem se mohou vyšplhat do závratných výšin. Zejména, spočívají-li v úniku citlivých dat například o klientech banky, zdravotní pojišťovny nebo o pacientech určitého lékařského zařízení.
V tomto článku bychom se věnovali výhradně soukromoprávní odpovědnosti za kybernetický incident a vynechali bychom tak případnou trestně-právní či správně-právní odpovědnost. Vznik případné soukromoprávní odpovědnosti za škodu způsobenou kybernetickým incidentem by se primárně posuzoval podle ustanovení § 2894 a násl. zákona č. 89/2012 Sb., občanského zákoníku, v platném znění (dále jen „občanský zákoník“), upravující deliktní odpovědnost škůdce nahradit poškozenému vzniklou újmu. V otázce případné vymahatelnosti vzniklé škody je třeba se na problematiku podívat jednak z pohledu osoby škůdce, která by měla mít povinnost škodu v konečném důsledku hradit, jakož i z pohledu prokazatelnosti výše vzniklé škody a příčinné souvislosti mezi protiprávním jednáním škůdce a vzniklou škodou. Reálně se totiž bude vymahatelnost náhrady škody zásadně lišit v případech, kdy osobou škůdce bude neznámý hacker, zaměstnanec nadnárodní společnosti či nadnárodní společnost jako taková.
Odpovědnost za škodu vzniklou porušením smluvní povinnosti
Podle občanského zákoníku se lze domáhat náhrady škody po škůdci, který poruší svou povinnost z uzavřené smlouvy. Jako modelový příklad můžeme uvést ztrátou citlivých údajů o kreditních kartách klientů bankou, která měla podle smlouvy povinnost takovéto údaje patřičně zabezpečit a chránit před únikem či zneužitím a tuto povinnost porušila. V takovém případě by klientům s největší pravděpodobností vzniklo právo domáhat se vůči bance náhrady škody. Klienti by v řízení před soudem samozřejmě museli unést důkazní břemeno, a to především k prokázání výše vzniklé újmy a příčinné souvislosti mezi jejím vznikem a porušením smluvní povinnosti bankou, což by bezesporu nebylo jednoduché. Na bance by se však plnění v konečném důsledku mohli domoci, zejména pokud by klientům vznikla škoda spočívající ve ztrátě či krádeži finančních prostředků.
Povinnosti k náhradě škody by se v uvedeném modelovém případě banka zprostila pouze v případě, kdy by prokázala, že ji ve splnění smluvní povinnosti dočasně nebo trvale zabránila mimořádná nepředvídatelná a nepřekonatelná překážka vzniklá nezávisle na její vůli (např. živelní pohroma, válka nebo generální stávka). Tento liberační důvod však nebude v praxi moc použitelný. Nadto pokud by ke kybernetickému incidentu došlo např. pochybením konkrétního zaměstnance banky, který zneužití citlivých dat zavinil v důsledku porušení bezpečnostních pravidel banky, odpovídala by za škodu vůči svým klientům stále banka, a nikoliv dotyčný zaměstnanec. Banka by se následně sice mohla v rámci regresní odpovědnosti domáhat náhrady škody po takovémto zaměstnanci, který porušil bezpečnostní pravidla stanovená vnitřními předpisy (např. vynesl citlivá data klientů mimo pracoviště nebo použil nezabezpečené internetové připojení), pouze však ve velmi omezeném rozsahu – a to maximálně do výše čtyřapůlnásobku jeho průměrného výdělku před porušením povinnosti. Primární odpovědnost za škody vzniklou kybernetickým incidentem by tak v uvedeném případě stejně nesla banka.
Odpovědnost za škodu vzniklou porušením zákona
V případě kybernetického incidentu by mohla vzniknout i odpovědnost za škodu způsobenou porušením zákona. Občanský zákoník v této souvislosti stanoví, že škůdce, který vlastním zaviněním poruší povinnost stanovenou zákonem a zasáhne tak do absolutního práva poškozeného, nahradí poškozenému, co tím způsobil. Hlavní rozdíl oproti vzniku odpovědnosti za škodu v důsledku porušení smlouvy zde spočívá v tom, že odpovědnost za škodu v důsledku porušení zákona vzniká jen tomu, kdo zákonnou povinnost porušil zaviněně (u odpovědnosti za škodu v důsledku porušení smlouvy se obecně zavinění nevyžaduje). Občanský zákoník však při porušení zákona automaticky presumuje zavinění z nedbalosti.
Odpovědnost za kybernetický incident v důsledku porušení zákona může v praxi být navázána například na povinnosti povinných osob stanovené v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti, v platném znění (dále jen „zákon o kybernetické bezpečnosti“). V případě porušení povinností stanovených zákonem o kybernetické bezpečnosti by v teoretické rovině bylo možné po dotyčném subjektu požadovat náhradu škody – musela by však být před soudem i v tomto případě dostatečně prokázána její výše a příčinná souvislost mezi vznikem škody a porušením zákona. Za porušení povinností plynoucích ze zákona o kybernetické bezpečnosti by nadto mohly povinnému subjektu hrozit i nemalé správní pokuty a sankce.
Závěr
Odpovědnost za škodu způsobenou kybernetickým incidentem může zcela reálně vzniknout, a to bez ohledu na to, zda půjde o odpovědnost vzniklou porušením smlouvy nebo porušením zákona. Zásadní otázkou je však vymahatelnost takové škody, která bude záviset na mnoha faktorech. Pomineme-li problematiku dokazování výše škody a příčinné souvislosti, která u žalob na náhradu škody nebývá vždy jednoduchá, může se vymahatelnost vzniklých škod zkomplikovat i s ohledem na osobu žalovaného. Pokud totiž bude žalovaným například zaměstnanec, který kybernetický incident způsobil, nelze očekávat, že bude vzniklá škoda nahrazena v plné výši, jelikož zákoník práce v tomto směru odpovědnost zaměstnanců drasticky omezuje. Obdobná situace může nastat i v případě, kdy bude škůdcem „neznámý hacker“, kterého nebude možné v žalobě patřičně identifikovat a náhradu škody po něm tudíž ani vymáhat. V ostatních případech však efektivní vymahatelnost náhrady škody nelze vyloučit, jakkoliv vždy bude záviset na konkrétních okolnostech daného případu.
JUDr. Jiří Matzner, Ph.D., LLM. Autor článku je zakladatelem advokátní kanceláře MATZNER et al. |
prosinec - 2024 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 | 1 | 2 | 3 | 4 | 5 |
23.1. | Odborný webinář Zabezpečení digitální identity zaměstnanců... |
24.1. | CyberEdu NIS2 Academy - druhý běh |
31.3. | HANNOVER MESSE 2025 |
Formulář pro přidání akce
9.4. | Digital Trust |