Späť

Zodpovednosť štatutára za výber poskytovateľa služieb kybernetickej bezpečnosti

Pridané: 15.6.2020 15:30:54 Počet zobrazení: 249

15 Jún 2020

Článok prevzatý so súhlasom autorov AK Bukovinský & Chlípala https://www.bch.sk/post/zodpovednost-statutara-vyber-poskytovatela-sluzieb-kybernetickej-bezpecnosti

 Zodpovednosť štatutára za výber poskytovateľa služieb kybernetickej bezpečnosti

Opätovne to máme tu. Nový priestor pre biznis zaznamenali aj noví poskytovatelia – „odborníci" na kybernetickú bezpečnosť. Ponúkajú svoje služby v oblasti kybernetickej bezpečnosti už od podozrivo nízkej a baťovsky nezaokrúhlenej sumy. Najlepšie na mesačnej báze, nech sa ten biznis násobí a oplatí. Veď „rozumných hospodárov", ktorí si ich vyberú s vidinou veľkej úspory, bude určite veľa.

Odpusťte ten žoviálny žargón, ale asi toto bol približný námet na napísanie tohto príspevku. Trh s odborníkmi s dobre vyvinutým šancovým myslením utešene rastie obdobne ako v časoch „nového" GDPR. Príspevok nie je prioritne zameraný na týchto „tiež-poskytovateľov" služieb. Ich pohnútky sú jasné a v podstate im nie je veľmi čo zazlievať, veď právo podnikať je právom ústavným.

V príspevku by sme radi vniesli trochu viac svetla do povinností a najmä zodpovedností štatutárnych orgánov konať s odbornou starostlivosťou pri zariaďovaní záležitostí spoločností, konkrétne pri zaisťovaní kybernetickej bezpečnosti v spoločnosti v zmysle požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti („ZoKB"). Obdobne to platí aj pre starostov obcí a primátorov miest, ktorým táto zodpovednosť vyplýva priamo zo všeobecne záväzného právneho predpisu.

Je notoricky známe, že štatutárny orgán obchodnej spoločnosti je povinný konať s odbornou starostlivosťou, v súlade so záujmami spoločnosti a všetkých jej spoločníkov, pričom za porušenie týchto povinností zodpovedá. Už menej známym, resp. menej aplikovaným postupom zo strany spoločností je práve uplatňovanie nárokov spoločností voči svojmu štatutárovi v prípade, ak štatutár svojim konaním alebo opomenutím konania, porušujúc tak svoje povinnosti, spôsobil spoločnosti škodu.

Čo teda v prípade, pokiaľ sa štatutár rozhodne pre vyššie uvedeného „tiež-poskytovateľa" služieb, ktorého služby od samého začiatku nebudú a objektívne ani nemôžu byť adekvátne? Následne spoločnosti bude za nesplnenie povinností v zmysle zákona uložená pokuta? Prípadne v dôsledku nedostatočného zaistenia kybernetickej bezpečnosti nastane iný závažný následok (napr. kybernetický bezpečnostný incident s následkom v podobe škody)?

Samozrejme, škodu je potrebné preukázať, a preto sa nevyhneme povinnosti kumulatívneho splnenia troch základných predpokladov, a to:

  • vznik škody,
  • porušenie povinnosti štatutára,
  • príčinná súvislosť medzi porušením povinnosti a vznikom škody.

Povinnosť štatutárneho orgánu konať s odbornou starostlivosťou vyžaduje, aby si štatutár pri konkrétnom rozhodovaní zaobstaral a vyhodnotil všetky objektívne dostupné informácie týkajúce sa predmetu konkrétneho rozhodovania. Následne sa štatutár môže náležite rozhodnúť v kontexte týchto informácií a jeho profesionality ako predpokladu pre výkon funkcie. Pokiaľ teda štatutár zodpovedá za škodu, ktorú spôsobil spoločnosti tým, že porušil svoje povinnosti, ktoré mu môžu vyplývať zo:

  • zákona,
  • spoločenskej zmluvy,
  • stanov, alebo
  • rozhodnutia valného zhromaždenia,

v spojení s jeho zákonnou povinnosťou konať s odbornou starostlivosťou nie je naplnenie prvých dvoch vyššie uvedených predpokladov až tak vzdialené. Áno, súhlasíme s tým, že práve príčinná súvislosť je inštitút, na ktorom preukaznosť a následná zodpovednosť za škodu častokrát „padá". S ohľadom na vyššie uvedené je však nutné vnímať značné riziko na strane štatutára spočívajúce v možnom uplatnení nárokov spoločnosti voči štatutárovi za škodu spôsobenú nesprávnym alebo nevhodným rozhodnutím štatutára pri voľbe poskytovateľa služieb kybernetickej bezpečnosti.

Spoločnosť, ktorá uplatňuje voči štatutárovi nárok na náhradu škody, bude preukazovať vznik škody spôsobenej porušením povinnosti štatutára a príčinnú súvislosť medzi vznikom škody a porušením povinnosti štatutára. Je dôležité zdôrazniť, že povinnosť štatutára konať s odbornou starostlivosťou a v súlade so záujmami spoločnosti, je zákonom predpokladaná. Preto je dôkaz o opaku práve na štatutárovi. Inými slovami povedané, štatutár bude musieť preukázať, že konal s odbornou starostlivosťou a v dobrej viere, že súčasne konal aj v záujme spoločnosti.

Ešte významnejšie zodpovednostné vzťahy sú dané v prípade štatutárov, ktorí nakladajú s verejnými prostriedkami (napr. starostovia, primátori alebo prednostovia). Vezmime si napr. takého starostu obce, ktorý je v zmysle zákona o obecnom zriadení štatutárom obce, teda najvyšším a súčasne jediným reprezentantom výkonnej moci. Tí, ktorí sa čudujete, prečo spomíname práve starostu, tak v čase prípravy tohto príspevku bolo súčasťou registra prevádzkovateľov základných služieb (tu) v zmysle ZoKB vyše 850 obcí a skoro 200 miest a mestských častí.

V zmysle zákona o obecnom zriadení platí, že starosta je najmä oprávnený:

  • vykonávať obecnú správu,
  • zastupovať obec vo vzťahu k štátnym orgánom, k právnickým a fyzickým osobám,
  • vykonávať zmeny rozpočtu obce v rozsahu určenom obecným zastupiteľstvom.

Pre kompetenčné oprávnenia starostu je typické, že sú vymedzené negatívne, a to spôsobom „rozhoduje vo všetkých veciach správy obce, ktoré nie sú zákonom alebo štatútom obce vyhradené obecnému zastupiteľstvu". Súčasne platí, že kompetencia starostu nie je vo vzťahu ku obecnému zastupiteľstvu daná alternatívne (jedna právomoc nemôže byť súčasne zverená aj starostovi a aj obecnému zastupiteľstvu).

V zmysle uvedeného platí, že zákonná úprava alebo štatút obce poskytuje jednoznačnú odpoveď na to, kompetenciou ktorého orgánu obce (starosta, obecné zastupiteľstvo) je rozhodovať o konkrétnej otázke. Uvedená jednoznačnosť je daná tým, že príslušná kompetencia rozhodovať je explicitne zverená konkrétnemu orgánu obce. V prípade, že zo zákonnej úpravy a ani zo štatútu obce nevyplýva, komu rozhodovanie o určitej záležitosti kompetenčne patrí, príslušná kompetencia patrí starostovi. Čo je potrebné zdôrazniť, že z takejto právomoci a na ňu nadväzujúcej zodpovednosti za prípadné protiprávne konanie sa starosta obce nemôže žiadnym spôsobom vyviniť. Zodpovednosť starostu za protiprávne konanie je daná aj vtedy, pokiaľ jemu patriacu kompetenciu v konkrétnej veci rozhodnúť prenechá obecnému zastupiteľstvu.

Pokiaľ sa vrátime späť k nami rozvádzanému teoretickému konštruktu o výbere nevhodného poskytovateľa služieb kybernetickej bezpečnosti, do rovnice nám tu vstupuje ešte ďalšia premenná, a to schválený rozpočet obce.

Rozpočet obce ako základný nástroj finančného hospodárenia obce, ktorým sa riadi financovanie úloh a funkcií obce v príslušnom rozpočtovom roku, schvaľuje obecné zastupiteľstvo. ZoKB dáva prevádzkovateľom základných služieb za povinnosť vyčleniť adekvátne finančné, materiálno-technické a personálne zdroje na zabezpečenie príslušných bezpečnostných opatrení. V prípade, pokiaľ sú v rozpočte obce naplánované aj výdavky spojené so zaisťovaním kybernetickej bezpečnosti, starostovi obce nič nebráni, aby v medziach zákona o verejnom obstarávaní a zákona o nakladaní s majetkom obce vybral bez ďalšej ingerencie obecného zastupiteľstva príslušného poskytovateľa služieb vo vzťahu ku kybernetickej bezpečnosti. Za príslušný výber nesie starosta ako štatutárny orgán podpisujúci zmluvu a nakladajúci s obecnými prostriedkami príslušnú zodpovednosť. Rovnako aj starostovia obcí by teda pri výbere poskytovateľov takýchto služieb mali dbať na to, aby bol zabezpečený výber vhodného poskytovateľa služieb kybernetickej bezpečnosti, a tým aj o účelnosť vynakladania finančných prostriedkov obce (napr. primeraným opisom zákazky, vhodnými výberovými kritériami).

V zmysle ZoKB okrem iného platí, že prevádzkovatelia základných služieb (vrátane obcí a miest) sú povinní podrobiť sa výkonu auditu kybernetickej bezpečnosti, a to na vlastné náklady. Auditnú správu o výsledku vykonaného auditu, ktorá identifikuje nedostatky a nesúlad auditovaného subjektu musia následne zaslať Národnému bezpečnostnému úradu.

Ako je možné vidieť, voľba vhodného poskytovateľa služieb kybernetickej bezpečnosti je tak predovšetkým o predchádzaní vzniku škôd (nielen finančných), ktoré môžu mať podobu:

  • kybernetického bezpečnostného incidentu ako dôsledku nedostatku na strane prevádzkovateľa základnej služby (napr. z dôvodu poskytnutých neodborných služieb zvoleného poskytovateľa),
  • pokuty od Národného bezpečnostného úradu,
  • opakovaných výdavkov na nových poskytovateľov služieb kybernetickej bezpečnosti, ktorí musia zabezpečiť nápravu v zmysle auditnej správy, ak konštatovala nesúlad, a to aj napriek už skôr „nakúpeným" neodborným alebo nedostatočným službám, alebo
  • opakovaných výdavkov na nových poskytovateľov vzdelávania v oblasti kybernetickej bezpečnosti (jednou zo zákonných povinností prevádzkovateľov základných služieb je aj zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania spočívajúceho v oboznámení používateľov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov / poskytovateľov s bezpečnostnými politikami a v pravidelnom zvyšovaní ich bezpečnostného povedomia počas trvania pracovnoprávneho vzťahu alebo iného obdobného pracovného alebo zmluvného vzťahu).

Nazrime okrajovo aj do oblasti mimo právneho rozmeru výberu poskytovateľa služieb a súvisiacej zodpovednosti štatutárneho orgánu. Štatutárovi titulom jeho postavenia patria aj ďalšie povinnosti vyplývajúce nielen z platnej právnej úpravy, ale aj príslušných medzinárodných štandardov. Jedná sa predovšetkým o povinnosti, ktoré majú svoj základ v organizácii kybernetickej bezpečnosti spoločnosti, v ktorej má štatutár svoju nezastupiteľné postavenie a úlohu.

Štatutár je najmä:

  • vlastníkom rizík spoločnosti s povinnosťou tieto riziká riadiť (odvrátenie, zmiernenie, presun či ekonomická akceptácia rizika),
  • osobou povinnou vyčleniť adekvátne finančné, materiálno-technické a personálne zdroje v spoločnosti na zaistenie kybernetickej bezpečnosti; a
  • adresátom návrhov a informácií v oblasti kybernetickej bezpečnosti od manažéra kybernetickej bezpečnosti.

Záverom je potrebné zdôrazniť, že protiprávne konanie štatutárneho orgánu má za následok uplatňovanie nárokov na náhradu vzniknutých škôd, ale môže mať aj prípadný trestnoprávny rozmer. V prípade štatutárnych orgánov obchodných spoločností je to predovšetkým § 237 a nasl. Trestného zákona v podobe „Porušovania povinnosti pri správe cudzieho majetku", pri starostovi obce ako verejnom činiteľovi najmä trestný čin „Zneužívania právomoci verejného činiteľa" v zmysle § 326 Trestného zákona.

Záverečný apel je jednoznačný. Dbajte o voľbu odborne zdatného, problematiky znalého a skúseného poskytovateľa služieb kybernetickej bezpečnosti, nech už sa jedná o služby právne alebo technické. Investícia do relevantného poskytovateľa sa Vám môže oplatiť hneď z viacerých pohľadov, pričom sa nevyhnutne nemusí jednať len o rovinu úspory nákladov alebo o predchádzanie vzniku budúcich škôd. Napokon počuli sme to mnohokrát, že nič nie je zadarmo, aj keď sa to tak spočiatku môže javiť. V kybernetickej bezpečnosti to platí hneď niekoľkokrát.

 

Autor:  AK Bukovinský & Chlípala   office@bch.sk 

 

Diskusia

(2 komentáre)
Reakcia Robert RR 16.6.2020 11:29:17
Nie kazdy statutar sa tomu rozumie a v p... R... 15.6.2020 23:16:49

Táto internetová stránka používa technológiu cookies.  Viac info