Rozhovor

Bořivoj Líbal, Associated Partner, Noerr.

‌ ‌
Která‌ ‌firma‌ ‌by‌ ‌podle‌ ‌Vás‌ ‌měla‌ ‌řešit‌ ‌zabezpečení‌ ‌proti‌ ‌kybernetickým‌ ‌útokům‌ ‌/‌ ‌rizikům?‌ ‌

Kybernetická‌ ‌bezpečnost‌ ‌se‌ ‌v dnešní‌ ‌době‌ ‌stala‌ ‌nezbytnou‌ ‌součástí‌ ‌provozu‌ ‌v podstatě‌ ‌
kterékoli‌ ‌společnosti,‌ ‌která‌ ‌ke‌ ‌svému‌ ‌chodu‌ ‌využívá‌ ‌online‌ ‌informační‌ ‌systémy.‌ ‌Zaměřit‌ ‌se‌ ‌
rozumným‌ ‌přiměřeným‌ ‌způsobem‌ ‌na‌ ‌kybernetickou‌ ‌bezpečnost‌ ‌bych‌ ‌proto‌ ‌doporučil‌ ‌
téměř‌ ‌všem‌ ‌společnostem.‌ ‌Ať‌ ‌už‌ ‌se‌ ‌jedná‌ ‌o‌ ‌nadnárodní‌ ‌korporaci‌ ‌podnikající‌ ‌ve‌ ‌stavebnictví‌ ‌
či‌ ‌o‌ ‌menší‌ ‌podnik‌ ‌zabývající‌ ‌se‌ ‌účetnictvím.‌ ‌Zanedbání‌ ‌kybernetické‌ ‌bezpečnosti‌ ‌může‌ ‌mít‌ ‌
mnohé‌ ‌neblahé‌ ‌následky‌ ‌a‌ ‌v krajním‌ ‌případě‌ ‌vést‌ ‌až‌ ‌k trestněprávní‌ ‌odpovědnosti.‌ ‌

Kdo‌ ‌je‌ ‌ve‌ ‌firmě‌ ‌vlastně‌ ‌odpovědný‌ ‌za‌ ‌zabezpečení‌ ‌společnosti‌ ‌proti‌ ‌kybernetickým‌ ‌útokům/‌ ‌
rizikům?‌ ‌

Obecně‌ ‌lze‌ ‌říci,‌ ‌že‌ ‌za‌ ‌zajištění‌ ‌kybernetické‌ ‌bezpečnosti‌ ‌je‌ ‌ultimátně‌ ‌odpovědný‌ ‌statutární‌ ‌
orgán‌ ‌společnosti,‌ ‌ať‌ ‌už‌ ‌se‌ ‌jedná‌ ‌o‌ ‌jednatele‌ ‌či‌ ‌představenstvo.‌ ‌Statutární‌ ‌orgán‌ ‌je‌ ‌povinen‌ ‌
vykonávat‌ ‌svou‌ ‌funkci‌ ‌v souladu‌ ‌s péčí‌ ‌řádného‌ ‌hospodáře‌ ‌–‌ ‌v kontextu‌ ‌kybernetické‌ ‌
bezpečnosti‌ ‌tedy‌ ‌zejm.‌ ‌činit‌ ‌dostatečně‌ ‌informovaná‌ ‌a‌ ‌zodpovědná‌ ‌rozhodnutí.‌ 

Platí,‌ ‌že‌ ‌statutár‌ ‌nemusí‌ ‌a‌ ‌ani‌ ‌nemůže‌ ‌být‌ ‌odborníkem‌ ‌na‌ ‌veškeré‌ ‌aspekty‌ ‌podnikání‌ ‌nebo‌ ‌i‌ ‌
jednotlivých‌ ‌činností‌ ‌společnosti,‌ ‌v‌ ‌nichž‌ ‌působí.‌ ‌Pokud‌ ‌ovšem‌ ‌činí‌ ‌rozhodnutí,‌ ‌ke‌ ‌kterému‌ ‌
z profesního‌ ‌hlediska‌ ‌není‌ ‌dostatečně‌ ‌kompetentní,‌ ‌musí‌ ‌si‌ ‌na‌ ‌takové‌ ‌rozhodnutí‌ ‌zvolit‌ ‌
odborníka.‌ ‌

V‌ ‌takovém‌ ‌případě‌ ‌může‌ ‌být‌ ‌daným‌ ‌odborníkem‌ ‌např.‌ ‌i‌ ‌jiný‌ ‌člen‌ ‌voleného‌ ‌orgánu,‌ ‌přičemž‌ ‌
mu‌ ‌pak‌ ‌obvykle‌ ‌bývá‌ ‌konkrétní‌ ‌problematika‌ ‌svěřena‌ ‌v‌ ‌rámci‌ ‌formálního‌ ‌rozdělení‌ ‌
působnosti.‌ ‌Takovému‌ ‌rozdělení‌ ‌působnosti‌ ‌říkáme‌ ‌horizontální‌ ‌delegace.‌ ‌Delegace‌ ‌
konkrétní‌ ‌agendy‌ ‌na‌ ‌jednoho‌ ‌člena,‌ ‌který‌ ‌je‌ ‌v‌ ‌dané‌ ‌problematice‌ ‌odborník,‌ ‌však‌ ‌ostatní‌ ‌
členy‌ ‌nezbavuje‌ ‌povinnosti‌ ‌kontroly‌ ‌a‌ ‌součinnosti‌ ‌a‌ ‌pochopitelně‌ ‌jsou‌ ‌odpovědní‌ ‌i‌ ‌za‌ ‌to,‌ ‌že‌ ‌
vybrali‌ ‌informovaně‌ ‌správného‌ ‌člena,‌ ‌na‌ ‌kterého‌ ‌bylo‌ ‌delegováno.‌ ‌

Existují‌ ‌ovšem‌ ‌případy,‌ ‌kdy‌ ‌člen‌ ‌statutárního‌ ‌orgánu‌ ‌je‌ ‌odborníkem‌ ‌na‌ ‌danou‌ ‌problematiku.‌ ‌
Potom‌ ‌na‌ ‌něj‌ ‌dopadá‌ ‌vyšší‌ ‌standard‌ ‌v‌ ‌rámci‌ ‌odpovědnosti‌ ‌za‌ ‌rozhodování‌ ‌než‌ ‌na‌ ‌ostatní‌ ‌
členy‌ ‌statutárního‌ ‌orgánu.‌ ‌Znamená‌ ‌to‌ ‌tedy,‌ ‌že‌ ‌musí‌ ‌být‌ ‌více‌ ‌aktivní‌ ‌a‌ ‌předkládat‌ ‌ostatním‌ ‌
statutárům‌ ‌informace,‌ ‌proč‌ ‌je‌ ‌nějaké‌ ‌rozhodnutí‌ ‌správné‌ ‌či‌ ‌nikoli.‌ ‌Je‌ ‌potřeba‌ ‌zde‌ ‌uvést,‌ ‌že‌ ‌jen‌ ‌nezvednutá‌ ‌ruka‌ ‌bez‌ ‌řádné‌ ‌argumentace‌ ‌proti,‌ ‌u‌ ‌negativního‌ ‌rozhodnutí‌ ‌nemusí‌ ‌
znamenat,‌ ‌že‌ ‌bude‌ ‌takový‌ ‌člen‌ ‌statutárního‌ ‌orgánu‌ ‌zbaven‌ ‌odpovědnosti.‌ ‌

Vyšší‌ ‌standard‌ ‌pro‌ ‌osoby‌ ‌mající‌ ‌určitou‌ ‌znalost‌ ‌navíc‌ ‌může‌ ‌být‌ ‌i‌ ‌formalizován‌ ‌v‌ ‌rámci‌ ‌
horizontální‌ ‌delegace,‌ ‌tedy‌ ‌rozdělení‌ ‌působnosti‌ ‌mezi‌ ‌členy‌ ‌statutárního‌ ‌orgánu,‌ ‌kdy‌ ‌pokud‌ ‌
je‌ ‌někdo‌ ‌zběhlý‌ ‌v‌ ‌kybernetice,‌ ‌tak‌ ‌jako‌ ‌statutár‌ ‌bude‌ ‌více‌ ‌odpovídat‌ ‌právě‌ ‌za‌ ‌tuto‌ ‌oblast.‌ ‌
Současně‌ ‌taková‌ ‌odborná‌ ‌znalost‌ ‌u‌ ‌statutárního‌ ‌orgánu‌ ‌zabraňuje,‌ ‌si‌ ‌za‌ ‌poskytování‌ ‌těchto‌ ‌
znalostí‌ ‌účtovat‌ ‌společnosti‌ ‌více‌ ‌než‌ ‌je‌ ‌odměna‌ ‌takového‌ ‌statutára.‌ ‌Pokud‌ ‌by‌ ‌členem‌ ‌
statutárního‌ ‌orgánu‌ ‌byl‌ ‌například‌ ‌právě‌ ‌expert‌ ‌na‌ ‌kybernetiku‌ ‌a‌ ‌narazil‌ ‌by‌ ‌na‌ ‌problém‌ ‌
tohoto‌ ‌charakteru,‌ ‌který‌ ‌je‌ ‌svou‌ ‌povahou‌ ‌v‌ ‌jeho‌ ‌kompetenci,‌ ‌pak‌ ‌je‌ ‌povinen‌ ‌tento‌ ‌problém‌ ‌
vyřešit‌ ‌již‌ ‌z‌ ‌titulu‌ ‌funkce,‌ ‌to‌ ‌znamená,‌ ‌že‌ ‌není‌ ‌možné,‌ ‌aby‌ ‌na‌ ‌řešení‌ ‌tohoto‌ ‌problému‌ ‌
„najal“‌ ‌sám‌ ‌sebe,‌ ‌typicky‌ ‌za‌ ‌peněžní‌ ‌plnění.‌ ‌

Je‌ ‌tedy‌ ‌možné‌ ‌tuto‌ ‌odpovědnost‌ ‌lze‌ ‌z‌ ‌jednatele/‌ ‌člena‌ ‌představenstva‌ ‌přenést‌ ‌na‌ ‌jiného‌ ‌odborníka?‌ ‌

Ano,‌ ‌takový‌ ‌postup‌ ‌nazýváme‌ ‌pravidelná‌ ‌vertikální‌ ‌delegace.‌ ‌Jde‌ ‌o‌ ‌postup,‌ ‌kdy‌ ‌statutár‌ ‌
deleguje,‌ ‌a‌ ‌tedy‌ ‌přenáší‌ ‌odpovědnost‌ ‌za‌ ‌rozhodnutí‌ ‌v‌ ‌konkrétní‌ ‌věci‌ ‌na‌ ‌třetí‌ ‌osobu‌ ‌mimo‌ ‌
statutární‌ ‌orgán.‌ ‌Zde‌ ‌to‌ ‌bývá‌ ‌někdo,‌ ‌kdo‌ ‌pracuje‌ ‌jako‌ ‌odborník‌ ‌v‌ ‌dané‌ ‌oblasti.‌ ‌

Jestliže‌ ‌však‌ ‌statutární‌ ‌orgán‌ ‌přenáší‌ ‌svou‌ ‌zodpovědnost‌ ‌na‌ ‌třetí‌ ‌osobu‌ ‌(ať‌ ‌již‌ ‌pravidelně‌ ‌
nebo‌ ‌ad-hoc),‌ ‌musí‌ ‌vždy‌ ‌důkladně‌ ‌dodržet‌ ‌tři‌ ‌povinnosti,‌ ‌aby‌ ‌zachoval‌ ‌péči‌ ‌řádného‌ ‌
hospodáře.‌ ‌Za‌ ‌prvé‌ ‌má‌ ‌povinnost‌ ‌dobře‌ ‌a‌ ‌informovaně‌ ‌vybrat‌ ‌osobu‌ ‌na‌ ‌kterou‌ ‌se‌ ‌deleguje,‌ ‌
za‌ ‌druhé‌ ‌mu‌ ‌zůstává‌ ‌povinnost‌ ‌součinnosti‌ ‌(tedy‌ ‌zejména‌ ‌vytvořit‌ ‌podmínky‌ ‌pro‌ ‌spolupráci,‌ ‌
včetně‌ ‌dodání‌ ‌podkladů‌ ‌atp.),‌ ‌a‌ ‌nakonec‌ ‌má‌ ‌povinnost‌ ‌v‌ ‌rámci‌ ‌rozumných‌ ‌mezí‌ ‌i‌ ‌tuto‌ ‌osobu‌ ‌
kontrolovat.‌ ‌

Nyní‌ ‌je‌ ‌potřeba‌ ‌říci,‌ ‌že‌ ‌statutár‌ ‌odpovídá‌ ‌za‌ ‌učinění‌ ‌rozumného‌ ‌a‌ ‌informovaného‌ ‌
rozhodnutí.‌ ‌Výsledek‌ ‌informovaného‌ ‌rozhodnutí,‌ ‌ať‌ ‌již‌ ‌pozitivní‌ ‌či‌ ‌negativní,‌ ‌totiž‌ ‌spadá‌ ‌do‌ ‌
kategorie‌ ‌podnikatelského‌ ‌rizika.‌ ‌Podnikatelské‌ ‌riziko‌ ‌je‌ ‌součástí‌ ‌podnikání‌ ‌a‌ ‌vlastník‌ ‌
společnosti‌ ‌ho‌ ‌v‌ ‌rámci‌ ‌svého‌ ‌podnikaní‌ ‌vždy‌ ‌musí‌ ‌brát‌ ‌v‌ ‌potaz‌ ‌a‌ ‌nemůže‌ ‌tak‌ ‌za‌ ‌případné‌ ‌
rozhodnutí,‌ ‌které‌ ‌má‌ ‌ve‌ ‌výsledku‌ ‌negativní‌ ‌dopad‌ ‌na‌ ‌obchod,‌ ‌hnát‌ ‌statutára‌ ‌úspěšně‌ ‌k‌ ‌
odpovědnosti.‌ ‌Jinými‌ ‌slovy‌ ‌to‌ ‌znamená,‌ ‌že‌ ‌člen‌ ‌voleného‌ ‌orgánu‌ ‌není‌ ‌postižitelný‌ ‌v‌ ‌případě,‌ ‌
že‌ ‌učinil‌ ‌rozhodnutí,‌ ‌u‌ ‌kterého‌ ‌rozumně‌ ‌předpokládal,‌ ‌že‌ ‌jednal‌ ‌informovaně,‌ ‌loajálně‌ ‌a‌ ‌v‌ ‌obhajitelném‌ ‌zájmu‌ ‌podniku,‌ ‌ovšem‌ ‌následky‌ ‌pro‌ ‌společnost‌ ‌byly‌ ‌přesto‌ ‌negativní,‌ ‌
například‌ ‌v důsledku‌ ‌pochybení‌ ‌správně‌ ‌a‌ ‌řádně‌ ‌zvoleného‌ ‌externího‌ ‌odborníka‌ ‌na‌ ‌
kybernetiku.‌ ‌

Pokud‌ ‌odborník‌ ‌pak‌ ‌doporučí‌ ‌statutárovi‌ ‌určité‌ ‌zabezpečení,‌ ‌musí‌ ‌ten‌ ‌bezezbytku‌ ‌
poslechnout?‌ ‌

Nikoli,‌ ‌povinnost‌ ‌bezvýhradné‌ ‌poslušnosti‌ ‌neexistuje.‌ ‌Pokud‌ ‌má‌ ‌statutár‌ ‌o‌ ‌navrhovaném‌ ‌
řešení‌ ‌pochybnosti,‌ ‌zejména‌ ‌v kontextu‌ ‌ekonomičnosti‌ ‌či‌ ‌přiměřenosti,‌ ‌pak‌ ‌může‌ ‌navrhnout‌ ‌
problém‌ ‌vyřešit‌ ‌jiným‌ ‌vhodným‌ ‌způsobem.‌ ‌

V případě‌ ‌že‌ ‌tedy‌ ‌zabezpečení‌ ‌statutární‌ ‌organ‌ ‌neprovede,‌ ‌případně‌ ‌společnost‌ ‌nepojistí‌ ‌i‌ přes‌ ‌doporučeni,‌ ‌jaký‌ ‌mu‌ ‌hrozí‌ ‌postih?‌

Kromě‌ ‌finančních‌ ‌postihů‌ ‌vyplývajících‌ ‌z‌ ‌odpovědnosti‌ ‌vůči‌ ‌dané‌ ‌společnosti,‌ ‌společníkům‌ ‌a‌ ‌
třetím‌ ‌osobám‌ ‌může‌ ‌pro‌ ‌statutára‌ ‌neprovedení‌ ‌zabezpečení‌ ‌znamenat‌ ‌i‌ ‌riziko‌ ‌trestního‌ ‌
stíhání.‌ ‌Porušením‌ ‌péče‌ ‌řádného‌ ‌hospodáře‌ ‌se‌ ‌lze‌ ‌dopustit‌ ‌trestného‌ ‌činu‌ ‌porušení‌ ‌
povinnosti‌ ‌při‌ ‌správě‌ ‌cizího‌ ‌majetku,‌ ‌v‌ ‌případě‌ ‌že‌ ‌způsobí‌ ‌škodu‌ ‌nejméně‌ ‌50‌ ‌000‌ ‌Kč.‌ ‌
Vzhledem‌ ‌k‌ ‌tomu,‌ ‌že‌ ‌tento‌ ‌trestný‌ ‌čin‌ ‌lze‌ ‌spáchat‌ ‌i‌ ‌z‌ ‌nedbalosti,‌ ‌může‌ ‌být‌ ‌trestně‌ ‌
odpovědný‌ ‌například‌ ‌i‌ ‌člen‌ ‌orgánu,‌ ‌který‌ ‌se‌ ‌dostatečně‌ ‌nevěnoval‌ ‌své‌ ‌funkci‌ ‌a‌ ‌svou‌ ‌
nečinností‌ ‌způsobil‌ ‌společnosti‌ ‌škodu.‌ ‌

V‌ ‌praxi‌ ‌často‌ ‌vidíme‌ ‌členy‌ ‌orgánů,‌ ‌kteří‌ ‌svou‌ ‌funkci‌ ‌ve‌ ‌skutečnosti‌ ‌nevykonávají‌ ‌a‌ ‌jsou‌ ‌
dosazeni‌ ‌pouze‌ ‌„do‌ ‌počtu“.‌ ‌Je‌ ‌důležité‌ ‌mít‌ ‌na‌ ‌mysli,‌ ‌že‌ ‌odpovědnost‌ ‌za‌ ‌péči‌ ‌řádného‌ ‌
hospodáře‌ ‌nesou‌ ‌i‌ ‌tyto‌ ‌osoby,‌ ‌bez‌ ‌ohledu‌ ‌na‌ ‌jejich‌ ‌obchodní‌ ‌dohodu‌ ‌se‌ ‌společníky,‌ ‌kteří‌ ‌je‌ ‌
jmenovali.‌ ‌

Proti‌ ‌výše‌ ‌popsaným‌ ‌rizikům‌ ‌se‌ ‌může‌ ‌člen‌ ‌statutárního‌ ‌orgánu‌ ‌pojistit‌ ‌formou‌ ‌osobního‌ ‌
pojištění‌ ‌odpovědnosti‌ ‌členů‌ ‌statutárního‌ ‌orgánu.‌ ‌Pojištění‌ ‌přitom‌ ‌nemusí‌ ‌pokrývat‌ ‌pouze‌ ‌
způsobenou‌ ‌škodu,‌ ‌ale‌ ‌například‌ ‌i‌ ‌veškeré‌ ‌náklady‌ ‌právního‌ ‌či‌ ‌jiného‌ ‌zastoupení,‌ ‌což‌ ‌může‌ ‌
být‌ ‌žádoucí‌ ‌vzhledem‌ ‌k‌ ‌tomu,‌ ‌že‌ ‌případné‌ ‌soudní‌ ‌řízení‌ ‌se‌ ‌může‌ ‌protáhnout‌ ‌na‌ ‌dobu‌ ‌v‌ ‌řádu‌ ‌
let.‌ ‌

Kdo‌ ‌všechno‌ ‌tedy‌ ‌po‌ ‌něm‌ ‌pak‌ ‌vlastně‌ ‌může‌ ‌škodu‌ ‌vymáhat?‌ ‌

Pokud‌ ‌člen‌ ‌orgánu‌ ‌společnosti‌ ‌prokazatelně‌ ‌nejednal‌ ‌s‌ ‌péčí‌ ‌řádného‌ ‌hospodáře,‌ ‌pak‌ ‌je‌ ‌za‌ ‌
škodu‌ ‌přímo‌ ‌odpovědný,‌ ‌jak‌ ‌jsem‌ ‌dříve‌ ‌nastínil,‌ ‌nejen‌ ‌vůči‌ ‌(i)‌ ‌společnosti‌ ‌samotné,‌ ‌(ii)‌ ‌vůči‌ ‌
společníkům,‌ ‌ale‌ ‌může‌ ‌být‌ ‌navíc‌ ‌odpovědný‌ ‌i‌ ‌(iii)‌ ‌vůči‌ ‌třetím‌ ‌osobám,‌ ‌zpravidla‌ ‌věřitelům,‌ ‌a‌ ‌
to‌ ‌v‌ ‌případě,‌ ‌že‌ ‌byl‌ ‌povinen‌ ‌nahradit‌ ‌společnosti‌ ‌škodu,‌ ‌ovšem‌ ‌neučinil‌ ‌tak,‌ ‌a‌ ‌věřitel‌ ‌se‌ ‌
nemůže‌ ‌plnění‌ ‌závazku‌ ‌na‌ ‌společnosti‌ ‌domoci.‌ ‌Nadto‌ ‌je‌ ‌tento‌ ‌člen‌ ‌povinen‌ ‌vydat‌ ‌
společnosti‌ ‌veškerý‌ ‌prospěch,‌ ‌který‌ ‌porušením‌ ‌péče‌ ‌řádného‌ ‌hospodáře‌ ‌nabyl.‌ ‌Není-li‌ ‌to‌ ‌
možné,‌ ‌musí‌ ‌jej‌ ‌nahradit‌ ‌v penězích.‌ ‌


Existuje‌ ‌tedy‌ ‌nějaká‌ ‌obecná‌ ‌poučka‌ ‌jak‌ ‌se‌ ‌má‌ ‌statutární‌ ‌orgán‌ ‌chovat‌ ‌ve‌ ‌vztahu‌ ‌ke‌ ‌
kybernetickým‌ ‌hrozbám?‌ ‌

Rád‌ ‌bych‌ ‌důrazně‌ ‌doporučil‌ ‌všem‌ ‌statutárům,‌ ‌aby‌ ‌nebrali‌ ‌kybernetické‌ ‌hrozby‌ ‌na‌ ‌lehkou‌ ‌
váhu,‌ ‌jednali‌ ‌v této‌ ‌věci‌ ‌s péčí‌ ‌řádného‌ ‌hospodáře‌ ‌a‌ ‌jako‌ ‌pojistku‌ ‌si‌ ‌případně‌ ‌i‌ ‌sjednali‌ ‌
pojištění,‌ ‌o‌ ‌kterém‌ ‌jsem‌ ‌již‌ ‌mluvil.‌ ‌Opomenutí‌ ‌těchto‌ ‌věcí‌ ‌může‌ ‌mít‌ ‌zmiňované‌ ‌nedozírné‌ ‌
následky.‌ ‌

Stříbrný partner