Österreich
Secure Your Business
 

LEGAL COMPLIANCE: MINIMALIZACE RIZIK ODPOVĚDNOSTI S ISO 27001 A ISO 20000

 

Právník Dr. Orlin Radinsky v rozhovoru o právních výhodách certifikací ISO

 

DrOrlinRadinsky_mitWeiß(Únor 2010) - Legal Compliance je vedle dodržování zákonů úzce spojena i s uznávanými normami a standardy. Především u záručních požadavků a požadavků na náhradu škody,
kde je klíčovým slovem porušení smlouvy, používají znalci při hodnocení normy ISO. Prověřuje se, zda žalovaná firma pracovala podle aktuálního stavu technického vývoje a s maximální péčí. Tyto dva body jsou pro výsledek procesu často rozhodující. V rozhovoru Dr. Orlin Radinsky z vídeňské advokátní kanceláře BRAUNEIS, KLAUSER, PRÄNDL představuje, jaký právní význam certifikaci podle ISO 27001 nebo ISO 20000 přísluší. Standardy pro informační bezpečnost a management IT služeb přispívají podstatnou měrou k minimalizaci rizik odpovědnosti všude tam, kde poskytnutí smluvně dlužného plnění závisí na IT podpoře a ochraně informací. Tyto souvislosti jsou relevantní na celém světě, pokud judikatura k posouzení použije uznávané normy a standardy.
  

„Jestliže je splněna povinnost náležité a svědomité péče, máme v ruce lepší karty pro soudní řízení. Certifikát ISO je vhodným důkazem pečlivého postupu.“

 

 

Pane Dr. Radinsky, pro jaké zákonné požadavky mají certifikace ISO zejména význam?


Poskytování služeb podle aktuálního stavu technického vývoje, v souvislosti s měřítkem povinné péče, se jako „červená nit“ táhne celým hospodářským právem. Opatření k legal compliance se týkají jak podniku jako právnické osoby, tak i orgánů vedení, jako jsou jednatelé a představenstva, dozorčí orgány a zaměstnanci. Co stojí za povšimnutí: právní definice „žijí“ a dále se vyvíjejí podle hospodářského prostředí. Co bylo před několika lety ještě považováno ze pečlivé, může být dnes hodnoceno jako nedostatečné. V případě neposkytnutí smluvně dohodnutého plnění kvůli nedostatečné péči hrozí značné požadavky na náhradu škody ze strany zákazníka.  

 

„Jakmile je zveřejněna norma ISO, často se používá jako měřítko pro soudní posudky.“

 

 

Jakou vazbu zde vidíte ke standardům ISO v oblasti IT?

 

Abych to shrnul: Jestliže se za aktuální stav technického vývoje považuje aplikovat v relevantních oblastech standardizovanou informační bezpečnost a management IT služeb, prověřuje se v případě výskytu škodní události dodržení příslušné normy ISO. Protože standardy ISO jsou založeny na správných postupech (good practices), které byly celosvětově definovány. Jakmile byla zveřejněna norma ISO, je pravděpodobné, že bude soudními znalci použita jako měřítko. „Řádný“ manažer si musí podle obecného právního vědomí obstarávat aktuální informace. V oblastech, pro které existují normy ISO, musí vedení společnosti zajistit, aby podnik pracoval na této úrovni. „Měřítko pečlivosti“ při tom může být podle služeb a rizik různé.

 

 

V čem Vy jako právník vidíte výhody certifikace?

 

Waage_legalCompliance

Standardy pro ISO 27001 nebo ISO 20000 jednak od členů managementu vyžadují, aby si opatřili znalosti o relevantních normách, zákonech a nařízeních. A jednak je nutné prověřovat, zda je vedení společnosti a zaměstnanci skutečně dodržují. To znamená, že s implementací standardů se prověřováním legal compliance v souladu s normou vytvoří v podniku právní bezpečnostní síť. Co je ještě důležitější: V soudním řízení závisí výsledek procesu často na prokazatelnosti pečlivého poskytování plnění: pečlivé jednání musí být explicitně prokázáno. K posouzení případů s vazbou na IT nebo informační bezpečnost používají znalci jako měřítko ISO 27001 a ISO 20000. Certifikace přinese důkaz kvality na základě nezávislého prověření certifikačním orgánem, že zaměstnanci pracují podle stanovených odborných a právních rámcových podmínek. Úroveň se udržuje nebo vylepšuje pomocí interních auditů a recertifikací. To odpovídá právní zásadě řádného a pečlivého postupu.

 

„V určitých případech je účelné zahrnout standardy ISO do smluv. To zvyšuje jistotu pro klienta a minimalizuje riziko odpovědnosti dodavatele.“

 

 

V případě certifikace se firmy ani v případě chyb netýká vina?

 

Řekněme to takto: S normami ISO 27001 a ISO 20000 lze pečlivé poskytnutí plnění prokázat podstatně snadněji. Pokud se přes všechna bezpečnostní opatření vloudí chyby, nedošlo k zavinění, takže v principu neexistuje povinnost nahradit škodu. Ve většině případů naší advokátní praxe doporučujeme certifikovaným firmám, aby u dohod o poskytnutí služeb do smlouvy zahrnuly jako měřítko pro poskytování služeb normu ISO. To zvyšuje jistotu na obou stranách, profitují jak zákazníci, tak i dodavatelé: zákazníci mají větší jistotu, že získají dohodnuté plnění bez závad. Dodavatelé minimalizují při poskytování služeb své riziko odpovědnosti a mohou snadněji prokázat dodržení požadované péče.

 

Jak se certifikace projeví na odpovědnosti vedení společnosti?

 

Další výhoda certifikace ISO přichází vhod vedení firmy, jednatelům a členům představenstva. Například může společnost v souvislosti se škodními událostmi, např. z odpovědnosti za vady výrobku, uplatňovat za určitých předpokladů nároky vůči vlastnímu vedení, pokud toto opominulo zřídit vnitřní kontrolní systém a následkem toho vznikla určitá škoda. Jestliže je firma certifikována podle ISO, s čímž jsou spojeny hlavní požadavky na vnitřní kontrolní systém, splnilo vedení firmy v tomto ohledu svou povinnou péči a má tak v ruce mnohem lepší karty.

 

 

Jaké výhody přinášejí standardy ISO pro vnitřní kontrolní systém z právního hlediska?

 

Zákony jako Sarbanes Oxley nebo 8. směrnice EU požadují vnitřní kontrolní systém, stejně tak jako v souvislosti s odpovědností za vady výrobku není VKS sice požadován, ale v praxi je stále důležitější. Požadavek vnitřního kontrolního systému zahrnuje řízení rizik, dokumentaci a kontrolu, aby mohly být všechny obchodní případy uskutečňovány s maximální bezpečností. Z tohoto hlediska přísluší systémům managementu informační bezpečnosti (ISMS) nebo systémům managementu IT služeb ústřední význam. Certifikát akreditované společnosti jako CIS poskytuje doklad, že IT společnosti odpovídá mezinárodním standardům. Protože zákonem požadovaná povinnost dokumentace je v případě certifikovaného a tudíž prokazatelně uplatňovaného systému managementu automaticky splněna, plní odpovědné osoby prokazatelně svoji náležitou a svědomitou péči, čímž se minimalizuje riziko osobní odpovědnosti.
 


 

 

 

 

 

 

 

 

 

 

 
 
CIS - Certification & Information Security Services, s.r.o. T +420 284 007 503 office.cz@cis-cert.com Imprint

T&C