GDV: Vzorové pojistné podmínky pro kybernetické pojištění

Základní prezentace kybernetického pojištění

Nejdříve je vhodné zmínit, jak GDV prezentuje kybernetické pojištění veřejnosti. Výklad vychází z obecného faktu, že dnes se již v podstatě nikdo bez počítače neobejde. K provozní činnosti jej potřebují nejen velké podniky, ale také malé podniky, lékaři, řemeslníci, malé penziony a dopravní firmy. Čím více je podnikatelská jednotka závislá na této technologii, tím závažnější mohou být důsledky hackerského útoku. Pokud podnikatel nemůže vykonávat po delší dobu svoji činnost, tak v nejhorším případě může být dokonce ohrožena existence jeho firmy.

Kybernetické pojištění může firmu před takovým osudem ochránit. Pojistitel rychle vyplatí pojistné plnění, a to v dohodnutém rozsahu podle charakteru hackerského útoku a způsobených škod. GDV současně upozorňuje, že jde o víc než o odškodnění, resp. škodové pojištění. Po hackerském útoku jde o každou minutu, aby se jeho důsledky omezily a nebyla dotčena práva třetích osob. Proto kybernetické pojištění zahrnuje rovněž důležité služby, které mohou napomoci zejména menším podnikatelským jednotkám, jež nedisponují odpovídajícím know-how.

GDV prezentuje plnění ze standardního kybernetického pojištění takto:

• odškodnění v případě přerušení provozu
• úhrada nákladů na obnovu dat
• převzetí škod způsobených třetím osobám
• platby za prověření IT a za získání důkazů
• nabídka právního poradenství při narušení ochrany dat
• zaplacení krizového komunikátora a úhrada nákladů call centra.

Aby podnikatelská jednotka mohla sjednat kybernetické pojištění, musí prokázat, že její IT disponuje alespoň minimální ochranou, tj. zabezpečením proti hackerským útokům. V pojištění je to naprosto obvyklý požadavek, například v pojištění domácnosti. Takže podnikatelská jednotka musí pojistiteli především dokumentovat, že:

• používá antivirový software,
• příslušní zaměstnanci mají k datům jen individuálně určený přístup,
• se provádějí pravidelné kontroly zabezpečení IT.

K hlubší orientaci zájemce o pojištění pak slouží vzorové pojistné podmínky GDV pro kybernetické pojištění.

Vzorové pojistné podmínky

Úvodem k této problematice je nutno aspoň stručně vysvětlit právní aspekty tvorby takových pojistných podmínek. Jejich sestavování (převážně asociacemi pojišťoven) umožňovalo ve své době nařízení Komise (EU) č. 358/2003/ES o použití čl. 81 odst. 3 Smlouvy na určité kategorie dohod, rozhodnutí a jednání ve vzájemné shodě v odvětví pojišťovnictví (tzv. bloková výjimka). V následném nařízení č. 267/2010 však již nebyly vzory a modely všeobecných pojistných podmínek zahrnuty.

Použitelnost tohoto nového nařízení skončila dnem 31. března 2017. Komise prostě prosazuje postupnou eliminaci všech blokových výjimek a odkazuje dále na aplikaci primárního práva EU, tj. článků 101 a 102 Smlouvy o fungování Evropské unie (SFEU). Takže asociace mají možnost nadále připravovat vzorové pojistné podmínky v souladu s SFEU, ale musejí unést důkazní břemeno, že jsou naplněny požadavky ustanovení čl. 101 odst. 3 SFEU. Mohou k tomu využít i výklad Komise ve formě Sdělení Komise – Pokyny k použitelnosti článku 101 SFEU na dohody o horizontální spolupráci (viz Úřední věstník EU, 2011/C 11/01).

GDV tedy může pokračovat v souladu s evropským právem v tvorbě vzorových podmínek, které jsou zvláště u nových a rizikových typů pojištění důležité nejen pro zájemce o pojištění, ale rovněž pro pojistitele. Aktuální vzorové všeobecné pojistné podmínky pro kybernetické pojištění jsou z dubna 2017. Na titulní straně je uvedeno, že:

• jsou nezávazné,
• jejich použití je dobrovolné,
• odchylná ustanovení jsou možná.

Tento dokument má 41 stran, je tedy dosti podrobný a vyžaduje důkladné studium. Jelikož cílem tohoto článku je toliko upozornit na existenci vzorových pojistných podmínek GDV, níže bude spíše pro základní představu odborníků prezentováno jen několik vybraných ustanovení:

• předmět pojištění - předmětem pojištění jsou majetkové škody v rozsahu podle následujících ustanovení, které byly zapříčiněny v důsledku narušení informační bezpečnosti;
• narušení informační bezpečnosti – narušením informační bezpečnosti se rozumí omezení dispozice, integrity, důvěrnosti elektronických dat pojistníka, nebo systémů zpracovávajících údaje, které se využívají k výkonu jeho provozní činnosti nebo k výkonu povolání;
• majetkové škody - majetkové škody jsou takové škody, které nejsou ani škodami na zdraví (úmrtí, zranění, poškození zdraví člověka), ani věcnými škodami (poškození, pokažení, zničení, nebo zmizení věcí) a ani se bezprostředně z takových škod neodvozují. Elektronická data nejsou ve smyslu těchto ustanovení věci. Ztráta elektronických dat jako důsledek zmizení věcí zůstává jako majetková škoda pojištěna;
• pojistná událost – pojistnou událostí je poprvé zjištěná a ověřená škoda (podle ustanovení o předmětu pojištění). Pojistná událost musí nastat během účinnosti pojištění.

[1] GDV. Das leis­tet eine Cyber­ver­si­che­rung. [Online]. [citace 2019-05-11]. Dostupné z WWW: https://www.gdv.de/de/themen/news/das-leistet-eine-cyberversicherung-31152.

[2] GDV. AVB Cyber. April 2017. [online]. [citace 2019-05-11]. Dostupné z WWW: https://www.gdv.de/resource/blob/6100/d4c013232e8b0a5722b7655b8c0cc207/01-allgemeine-versicherungsbedingungen-fuer-die-cyberrisiko-versicherung--avb-cyber--data.pdf.