ubezpieczenie cyber ryzyko zarządzanie ryzykiem cyber przestępstwo RODO utrata danych osobowych

Cyber ryzyko w Twojej firmie

O ryzyku i ochronie bezpieczeństwa informacji

Na początek zadajmy sobie kilka pytań:
1. Czy Twoja firma przechowuje dane osobowe albo dane „wrażliwe”, które trzeba chronić?
2. Czy ich ujawnienie mogłoby narazić kogoś na szkodę lub stanowiłoby naruszenie prawa?
3. Czy dane te tworzą wartość Twojej firmy, a ich utrata lub ujawnienie może stanowić szkodę?
4. Czy Twoja firma wykorzystuje system informatyczny, do którego brak dostępu lub którego utrata wiarygodności może spowodować przestój lub znacząco utrudnić funkcjonowanie firmy?
5. Czy wiarygodność Twojej firmy jest ważna dla Twoich klientów?
6. Czy do promocji swoich usług lub produktów wykorzystujesz nowe technologie (np. media społecznościowe, stronę internetową, mailing)?

Odpowiedź TAK na którekolwiek z wyżej postawionych pytań powinna skłonić Cię do przemyślenia zakupu ubezpieczenia Cyber.
Nawet wtedy, gdy na stałe zatrudniasz specjalistę w zakresie informatyki śledczej.

Zarządzanie ryzykiem

Jak ważnym zagadnieniem jest bezpieczeństwo informatyczne przedsiębiorstw, łatwo się zorientować nie tylko z bieżących doniesień prasowych, ale także z analizy tego, w jakim stopniu procesy w firmie są zależne od IT – od komunikacji, przez dostęp do zasobów cyfrowych, po organizację procesów biznesowych. Ile danych osób trzecich w związku z prowadzoną działalnością przyjmujemy, stając się za nie odpowiedzialnymi – od danych osobowych po poufne informacje handlowe.
Ubezpieczenie cyber nie zastąpi kompleksowego zarządzania bezpieczeństwem informacji, stanowi jednak jego istotny element.

Hybrydowy charakter polisy cyber

Ubezpieczenie Cyber jest dzisiaj najszybciej rozwijającą się gałęzią ubezpieczeń na świecie, pokrywającą w jednej polisie:

– odpowiedzialność cywilną za wyciek lub utratę danych,
– odpowiedzialność cywilną za naruszenie dóbr osobistych i praw własności intelektualnej w przekazie cyfrowym,
– odpowiedzialność cywilną i koszty reakcji w razie naruszenia bezpieczeństwa własnych komputerów, skutkujące usunięciem lub zmianą danych, wysyłaniem szkodliwego wirusa, odmową wykonania należnej komuś usługi itp.,
– koszty obrony oraz kary w przypadku naruszenia prawa do prywatności,
– koszt odtworzenia danych i zysk utracony przez ubezpieczonego na skutek przerwy w działalności spowodowanej awarią systemu IT.

Jest to zatem ubezpieczenie o charakterze hybrydowym, zawierające w sobie elementy pokrycia third party loss i first party loss. To ubezpieczenie uwzględniające ryzyko odpowiedzialności cywilnej, ubezpieczenie niektórych kosztów własnych, ubezpieczenie odpowiedzialności z tytułu kar o charakterze administracyjnym, ubezpieczenie kosztów odtworzenia danych, a także utracony zysk wynikający z awarii systemu informatycznego ubezpieczonego, uniemożliwiającej prowadzenie działalności w określonym okresie.

Termin cyber kojarzy się z zagrożeniem wyłącznie ‘elektronicznym’ lub ‘internetowym’, dotyczącym danych cyfrowych i systemów IT. W rzeczywistości ubezpieczenie dawać powinno znacznie szerszą ochronę, obejmując ujawnienie lub utratę danych poufnych, korespondencji i dokumentów w innych formatach – na papierze i nośnikach analogowych. Ubezpieczenie cyber ma za zadanie zapewnić dostęp ubezpieczonemu do specjalistycznego know-how agencji public relations, ekspertów ds. ochrony danych oraz systemów IT i kryminalistyki informatycznej (cyber forensics), prawników z zakresu prawa medialnego, prawa pracy, prawa telekomunikacyjnego oraz ochrony danych osobowych.

Elementy ochrony

W typowym ubezpieczeniu cyber spotykamy z reguły następujące elementy ochrony ubezpieczeniowej:

Ubezpieczenie odpowiedzialności cywilnej i kosztów obrony w sprawach o naruszenie prywatności
obejmujące nie tylko odpowiedzialność za nielegalny wyciek danych osobowych (w tym danych wrażliwych) oraz firmowych danych poufnych, lecz także odpowiedzialność wynikającą z wszelkiego naruszenia prawa do prywatności, prawa do wizerunku, itp.

Kary administracyjne za naruszenie prywatności

ubezpieczenie umożliwia zwrot kosztów poniesionych w związku z nałożeniem kar i grzywien administracyjnych lub cywilnych, będących konsekwencją postępowań regulacyjnych o naruszenie prywatności. Dotyczy to także pogwałcenia prawa dotyczącego ochrony danych, w szczególności Ustawy o ochronie danych osobowych – w tym kar nałożonych przez GIODO. Pokryte powinny być także koszty obrony w takich postępowaniach.

Koszty naruszenia bezpieczeństwa informacji

W tym zakresie ubezpieczenie cyber umożliwia zwrot wydatków poniesionych na skutek naruszenia bezpieczeństwa danych osobowych – tak klientów, jak i pracowników ubezpieczonego. Naruszenie danych może polegać na ich utracie, ujawnieniu, uszkodzeniu, kradzieży, wycieku itd.
Z reguły powinien być pokryty zwrot kosztów poniesionych na:

– agencję PR wynajętą do zapobieżenia lub ograniczenia szkód w wizerunku,
– badania z zakres

u kryminalistyki informatycznej oraz obsługę prawną służącą ustaleniu obowiązków ubezpieczonego wynikających z przepisów o ochronie danych,
– wymagane prawem powiadomienie dotkniętych zagrożeniem klientów, a także monitorowanie i podtrzymanie poziomu ich zaufania.

Odpowiedzialność cywilna i koszty obrony w sprawach o naruszenie bezpieczeństwa informacji
Zakres ten obejmuje odpowiedzialność za:

– brak możliwości korzystania z systemu IT ubezpieczonego przez klientów i inne uprawnione osoby trzecie,
– bezprawny dostęp do tego systemu, jego wykorzystanie lub dopuszczenie do fałszywej z niego komunikacji (np. phishing), umożliwiające zainfekowanie, kradzież, wykasowanie lub uszkodzenie danych bądź umożliwiające atak na system lub usługę sieciową osoby trzeciej w celu uniemożliwienia ich działania,
– dopuszczenie do rozsyłania wirusa z systemu IT ubezpieczonego.

Odpowiedzialność multimedialna

Zakres ten z reguły obejmuje ochronę w przypadku zarzutów o:

– zniesławienie, znieważenie i oszczerstwo,
– pogwałcenie prawa do prywatności, naruszenie praw autorskich i innych praw własności intelektualnej (z wyłączeniem jednak naruszenia praw patentowych) podczas publikowania treści w formie elektronicznej (przez strony internetowe, media społecznościowe, e-mailing, newslettery itp.) oraz nieelektronicznej. Można powiedzieć, że w tym zakresie jest to ubezpieczenie OC zawodowej wydawcy, gdyż obecnie prawie każdy publikuje i udostępnia osobom trzecim rozmaite treści, narażając się przy tym na ryzyko.

Cyber wymuszenie

Jest to element zakresu ochrony ubezpieczeniowej podobny do ubezpieczenia kidnap & ransom (K&R), ale w zakresie bezpieczeństwa informacji. Zakres ten powinien zapewnić środki finansowe na przeciwdziałanie celowemu:

– wprowadzeniu szkodliwego wirusa do systemu IT ubezpieczonego,
– przerwaniu pracy tego systemu,
– zniekształcaniu, niszczeniu lub rozpowszechnianiu danych osobowych lub poufnych informacji firmowych przez działającą umyślnie osobę trzecią.

Zakres ten obejmuje:

– koszty oceny tego zagrożenia i adekwatnej reakcji na nie (honoraria specjalistów ds. zarządzania kryzysowego),
– refundację wymuszonej oraz uzasadnionej ekonomicznie płatności na rzecz osoby faktycznie mogącej dokonać powyższych czynów.

Utracony zysk i koszty odtworzenia danych

Ochrona ubezpieczeniowa dotyczy utraconego zysku i kosztów poniesionych na skutek naruszenia bezpieczeństwa prowadzącego do:

– zakłócenia pracy systemu IT lub jego awarii,
– braku możliwości dostępu i korzystania z niego przez uprawnione osoby trzecie. Pokrywa także koszty przywrócenia lub odtworzenia zasobów cyfrowych do stanu bezpośrednio sprzed szkody.

NASTĘPNY

ubezpieczenie dla biura rachunkowego

Suma gwarancyjna

Suma gwarancyjna to określona w umowie ubezpieczenia odpowiedzialności cywilnej górna granica, do jakiej Ubezpieczyciel ponosi odpowiedzialność, czyli maksymalna wysokość odszkodowania, która może zostać wypłacona w przypadku szkody z danego ubezpieczenia.

To be or not to be that is the question – z polisy OC czy z własnej kieszeni, oto jest pytanie… czyli jak się ubezpieczyć, aby spać spokojnie i nie musieć płacić odszkodowania z własnych środków.

Nie brak osób przekonanych o tym, że ubezpieczenie OC nie jest im potrzebne i, że wieloletnia bezszkodowa praktyka zawodowa jest najlepszą gwarancją bezszkodowości również na przyszłe lata. Z roku na rok ich liczba zdecydowanie spada.

Bądźmy zatem, na przekór Kochanowskiemu – mądrzy przed szkodą.

Nie istnieje żaden gotowy wzór ani algorytm do wyliczenia właściwej sumy gwarancyjnej. Dynamika ryzyka, jakie jest związane z wykonywaniem czynności zawodowych wynika ze zmian i stałego rozwoju sytuacji w obszarze jego klientów (w tym również ich otoczenia), zmian i funkcjonowania prawa i wielu, wielu innych. Czynniki, jakie powinny być brane pod uwagę mają charakter raczej wyniku pracy wyobraźni tworzącej scenariusze niekorzystnego rozwoju sytuacji powstałej w wyniku założonego błędu.

Czerpmy z doświadczeń innych.

NASTĘPNY

Czy mogę zrezygnować/odstąpić z polisy OC biura rachunkowego?

Czy mogę zrezygnować/odstąpić z polisy OC biura rachunkowego? Jeśli tak, to w jaki sposób?

Odstąpić od polisy można w przypadku osób fizycznych w ciągu 30 dni, a w przypadku przedsiębiorstw w ciągu 7 dni od daty zawarcia umowy (daty wysłania wniosku online).

W przypadku zawieszenia działalności przedsiębiorstwa lub zamknięcia działalności można złożyć pisemny wniosek o skrócenie okresu ochrony wraz z prośbą o zwrot niewykorzystanej składki.

Oc po deregulacji

Czego nie obejmuje obowiązkowe ubezpieczenie OC biura rachunkowego po deregulacji?

Większość czynności wykonywanych przez biuro rachunkowe nie jest objętych polisą obowiązkową.

Art. 76a. ustawy z dnia 29 września 1994 r. o rachunkowości mówi, iż “Usługowe prowadzenie ksiąg rachunkowych jest działalnością gospodarczą, w rozumieniu przepisów o swobodzie działalności gospodarczej, polegającą na świadczeniu usług w zakresie czynności, o których mowa w art. 4 ust. 3 pkt 2-6.”

Art. 4 ust.3 mówi, iż czynnościami tymi są:

( … )

  • prowadzenie, na podstawie dowodów księgowych, ksiąg rachunkowych, ujmujących zapisy zdarzeń w porządku chronologicznym i systematycznym,
  • okresowe ustalanie lub sprawdzanie drogą inwentaryzacji rzeczywistego stanu aktywów i pasywów,
  • wycena aktywów i pasywów oraz ustalanie wyniku finansowego,
  • sporządzanie sprawozdań finansowych,
  • gromadzenie i przechowywanie dowodów księgowych oraz pozostałej dokumentacji przewidzianej ustawą.

Są to zapisy ustawy, które decydują o zakresie ubezpieczenia obowiązkowego, bowiem Rozporządzenie Ministra Finansów z dnia 16 grudnia 2008 r. w sprawie obowiązkowego ubezpieczenia odpowiedzialności cywilnej przedsiębiorców wykonujących działalność z zakresu usługowego prowadzenia ksiąg rachunkowych, nakazuje ubezpieczyć się dokładnie w zakresie opisanym w Ustawie.

A zatem ubezpieczenie obowiązkowe nie obejmuje czynności polegających na:

  • obliczaniu wynagrodzeń za pracę, w tym premii, dodatków i innych świadczeń związanych ze stosunkiem pracy,
  • obliczaniu składek na ubezpieczenie społeczne, ubezpieczenie zdrowotne, Fundusz Pracy, Fundusz Gwarantowanych Świadczeń Pracowniczych, wpłat na Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych oraz przekazywanie w tym zakresie niezbędnych dokumentów,
  • prowadzeniu dokumentacji w sprawach związanych ze stosunkiem pracy i kontrola przestrzegania terminów w tym zakresie,
    przygotowywaniu i wysyłaniu plików JPK,
  • obliczaniu miesięcznego dofinansowania do wynagrodzeń pracowników niepełnosprawnych oraz składaniu wniosków o wypłatę tego dofinansowania oraz innych niezbędnych dokumentów w tym zakresie oraz składaniu wniosków o zwrot kosztów (w oparciu o stosowne przepisy ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych)?
  • obliczaniu kwot zajętych przez komornika wynagrodzeń i prowadzeniu korespondencji z organami egzekucyjnymi

„Uproszczona księgowość” również nie jest objęta obowiązkowym ubezpieczeniem.

Kto powinien być ubezpieczonym na mojej polisie OC?

Prowadzę biuro rachunkowe w formie spółki cywilnej razem ze wspólnikiem. Kto powinien być ubezpieczonym na mojej polisie OC?

Polisy powinny być zawarte przez każdego ze wspólników odrębnie. Przedsiębiorcom prowadzącym działalność w formie spółki cywilnej przysługuje 10% zniżki.

Wyjątkowość spółki cywilnej

W obecnym stanie prawnym spółka cywilna nie posiada osobowości prawnej, nie stanowi też jednostki organizacyjnej posiadającej podmiotowość prawną jak spółki osobowe. Spółka taka nie stanowi zatem podmiotu prawa. W obrocie prawnym występują natomiast jej wspólnicy. Działając w ramach spółki cywilnej zaciągają oni zobowiązania, za które są odpowiedzialni solidarnie oraz nabywają majątek, który tak długo, jak długo trwa spółka, objęty jest ich wspólnością.
Każdy ze wspólników spółki cywilnej jest osobnym przedsiębiorcą, każdy podlega osobno rejestracji w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

Ponieważ spółka cywilna nie ma odrębnej podmiotowości, nie może być stroną umowy. W przypadku zawierania umowy, w tym także umowy ubezpieczenia, jako jej stronę należy wskazać wspólnika spółki.

Nie można zatem skutecznie ubezpieczyć spółki cywilnej:
– Biuro Rachunkowe Jan Kowalski & Stanisław Nowak s.c.

Stroną umowy ubezpieczenia winni bowiem być (na odrębnych polisach):
– Jan Kowalski – wspólnik Spółki Biuro Rachunkowe Jan Kowalski & Stanisław Nowak s.c. oraz
– Stanisław Nowak – wspólnik Spółki Biuro Rachunkowe Jan Kowalski & Stanisław Nowak s.c.

Czasami w praktyce

W praktyce zdarzają się oczywiście sytuacje, kiedy firmy ubezpieczeniowe, na wniosek spółki cywilnej wystawiają polisę, w której Ubezpieczonym jest spółka cywilna. Wynika to z braku wiedzy prawnej po stronie osoby, która taką polisę wystawiła oraz braku dbałości ze strony firmy ubezpieczeniowej o właściwe procedury czy ich stosowanie przez pracowników czy agentów. Podkreślić jednak należy, że taka praktyka rynkowa jest całkowicie błędna.

Obowiązek ubezpieczenia

Należy też zwrócić uwagę, że ustawa nakłada obowiązek zawarcia umowy ubezpieczenia na każdego z przedsiębiorców – wspólników prowadzących usługowo księgi rachunkowe. Brak wykupienia polisy dla każdego ze wspólników, i to dla każdego co najmniej na minimalną sumę gwarancyjną, stanowi zatem naruszenie przepisów ustawy. Uznanie takiej sytuacji za prowadzenie działalności bez zawarcia wymaganej umowy ubezpieczenia, grozić może nawet grzywną lub karą ograniczenia wolności.
Należy również podkreślić, że błędne wskazanie ubezpieczającego i ubezpieczonego w polisie może skutkować powstaniem sporu z zakładem ubezpieczeń na etapie zgłoszenia szkody i domagania się wypłaty odszkodowania.

Jakie ubezpieczenie?

Prowadzę biuro rachunkowe, które zajmuje się prowadzeniem pełnej księgowości, ale posiadam też podmioty, którym prowadzę księgowość „uproszczoną”, naliczam wynagrodzenia, sporządzam deklaracje PIT dla pracowników. Jakie ubezpieczenie powinienem/powinnam kupić, aby mieć pełną ochronę?

Podmioty, które prowadzą działalność gospodarczą w zakresie usługowego prowadzenia ksiąg rachunkowych, są zobowiązane Rozporządzeniem Ministra Finansów z dnia 6 listopada 2014 r., do zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone na skutek prowadzenia tej działalności.

W powyższym przypadku należy wykupić obowiązkowe OC działalności biura rachunkowego, gdzie warto podnieść sumę ubezpieczenia (OC nadwyżkowe), ze względu na niską sumę gwarancyjną określoną w Rozporządzeniu (10.000EUR). Z racji tego, że w zakresie obowiązkowego OC nie są objęte ochroną czynności związane z prowadzeniem uproszczonej księgowości oraz sporządzaniem PIT, zaleca się zawarcie polisy z zakresem:

  1. ubezpieczenie czynności doradztwa ubezpieczenia,
  2. kadry i płace.

Jakie ubezpieczenie wykupić?

Jakie ubezpieczenie wykupić, jeśli prowadzę małą firmę, zajmującą się „uproszczoną księgowością” KPiR, JPK, ewidencją VAT, sporządzeniem PIT, naliczaniem wynagrodzeń?

Podmioty, które zajmują się tylko i wyłącznie prowadzeniem „uproszczonej księgowości” nie mają obowiązku zawierania polisy OC. Wskazane jest jednak ubezpieczenie czynności doradztwa podatkowego oraz kadr i płac.