QualityAustria

Legal Compliance: zminimalizowanie odpowiedzialności za pomocą ISO 27001 oraz ISO 20000.

Baza wiedzy


Legal Compliance: zminimalizowanie odpowiedzialności za pomocą ISO 27001 oraz ISO 20000.

Legal Compliance: zminimalizowanie odpowiedzialności za pomocą ISO 27001 oraz ISO 20000.

 

 

Legal Compliance: zminimalizowanie odpowiedzialności za pomocą ISO 27001 oraz ISO 20000.

Prawnik dr Orlin Radinsky w wywiadzie na temat prawnych zalet certyfikacji ISO.

 

Legal compliance jako usługa jest obok przestrzegania prawa, ściśle związana z uznawanymi normami i standardami. Przede wszystkim w sytuacjach roszczeniowych i gwarancyjnych (hasło: zerwanie umowy) rzeczoznawcy posługują się normami ISO w celu prawidłowej wyceny. Sprawdzane jest, czy pozwane przedsiębiorstwo pracowało według stanu techniki oraz z odpowiednią starannością. Te dwa punkty są często decydujące dla wyniku procesu. W wywiadzie dr Orlin Radinsky pokazuje, jakie prawne znaczenie przypisywane jest certyfikacji według ISO 27001 oraz ISO 20000. Standardy dla bezpieczeństwa informacji oraz  zarządzania usługami IT przyczyniają się w tych obszarach do zminimalizowania odpowiedzialności, gdzie wykonanie prawnie ustalonych zobowiązań jest uzależnione od wsparcia IT oraz bezpieczeństwa informacji. Te relacje są znaczące na całym świecie, w przypadku gdy władza wykonawcza Państwa w tworzonych regulacjach prawnych powołuje uznawane normy i standardy. 

 

 

„W przypadku dopełnienia należytej staranności, przedsiębiorstwa mają większe szanse w przypadku postępowania sądowego. Certyfikat ISO jest idealnym dowodem dla starannego i dokładnego postępowania.”

 

 

Dr Radinsky, dla jakich prawnych wymagań szczególne znaczenie mają certyfikacje według standardów ISO?

- Wykonanie usługi Legal compliance według aktualnego stanu techniki, w powiązaniu z wymaganiem należytej rozciąga się przez całe prawo gospodarcze. Działania Legalcompliance dotyczą zarówno przedsiębiorstw, osób prawnych, jak i organów zarządzających tj. prezes i zarząd, organy nadzorczych, jak i pracowników. Należy przy tym zwrócić uwagę na fakt, iż prawnicze pojęcia „żyją” i rozwijają się odpowiednio co do środowiska gospodarczego. W przypadku niewykonania umownie ustalonego świadczenia usługi z powodu niewystarczającej staranności lub dokładności, zleceniobiorcy grozi odpowiedzialność odszkodowawcza za wyrządzone szkody na rzecz zleceniodawcy.

 

 

„W dniu publikacji normy ISO , staje się ona często środkiem do ekspertyzy sądowej.”

 

 

Dr Radinsky, jaki związek widzi Pan tutaj z ISO Standardami w obszarze IT?

- Dokładnie mówiąc: w przypadku gdy uznawane jest, jako stan techniki, stosowanie standaryzowanego bezpieczeństwa informacji oraz zarządzanie usługami IT, wtedy w przypadku wystąpienia szkody sprawdzane jest przestrzeganie odpowiednich norm ISO. Standardy ISO bazują na ”dobrych praktykach”, które zostały zdefiniowane na całym świecie. Od momentu publikacji normy jest wielce prawdopodobne, iż posłużą one jako kryterium ekspertyzy sądowej. „Przyzwoite, rzetelne” zarządzanie przedsiębiorstwem musi kierować się  ustalonym porządkiem prawnym. W każdym obszarze, dla którego istnieją normy ISO, kierownictwo musi podjąć decyzję, iż przedsiębiorstwo pracuje na tym właśnie wymaganym poziomie. Kryterium wskaźnika staranności może być różnorodne, w zależności od rezultatu i ryzyka.

 

Gdzie, w jakich obszarach widzi Pan, jako prawnik, zalety certyfikacji?

-Z jednej strony standardy dla ISO 27001 oraz 20000 wymagają ze strony kierownictwa wyrobienia zdania i pozyskania wiedzy na temat istotnych norm, praw czy rozporządzeń. Z drugiej strony należy również sprawdzić, czy kierownictwo i pracownicy te normy, prawa i rozporządzenia przestrzegają. Oznacza to, iż wraz z implementacją standardu poprzez zgodną z normami weryfikację - „Legal Compliance”  wprowadzona zostaje do przedsiębiorstwa prawna sieć bezpieczeństwa. Jeszcze istotniejsze: w postępowaniu sądowym wynik jest zależny często od potwierdzenia rzetelnego wykonywania usługi: rzetelne wykonywanie usługi musi być jasno udowodnione. Do oceny przypadków związanych z bezpieczeństwem informacji bądź IT często rzeczoznawcy posługują się ISO 27001 oraz ISO 20000. Certyfikacja oferuje potwierdzenie jakości na podstawie niezależnie przeprowadzonej weryfikacji przez jednostkę certyfikującą, której zadaniem jest stwierdzenie rzetelnej i zgodnej z warunkami ramowymi realizację zadań przez personel organizacji.  Poprzez odnawianie, za pomocą auditów wewnętrznych i auditów Re-certyfikacyjnych, poziom przedsiębiorstwa jest stale utrzymywany bądź doskonalony. Odpowiada to prawnej zasadzie, normie porządnego i rzetelnego podejścia.

 

 

„Istnieją przypadki kiedy sensowne jest zawarcie stosowania standardów ISO w umowie. Zwiększa to bezpieczeństwo klienta oraz minimalizuje ryzyko odpowiedzialności zleceniobiorcy.”

 

 

Przedsiębiorstwo certyfikowane nie zadłuża się nawet w przypadku błędu?

-Zabierzmy się do tego tematu od końca: z ISO 27001 oraz 20000 istnieje możliwość łatwiejszego wykazania rzetelnego wykonania usługi. W przypadku gdy mimo wszystkich podjętych działań w zakresie bezpieczeństwa zdarzyły się jakieś błędy, wtedy tzw. zadłużenie lub wina nie istnieje, dlatego też nie istnieje zasadniczo żadne zobowiązanie wypłacenia odszkodowania. W większości przypadków naszej prawnej praktyki polecamy certyfikowanym przedsiębiorstwom w przypadku zawierania umów o świadczenie usługi włączenie do umowy odpowiedniej normy ISO jako kryterium świadczenia usługi. Zwiększa to bezpieczeństwo obu stron, zyskuje na tym nie tylko klient, ale również zleceniobiorca: klienci cieszą się większym bezpieczeństwem otrzymania bądź wykonania ustalonej usługi. Zleceniobiorca natomiast minimalizuje podczas świadczenia usługi ryzyko uzasadniające ponoszenie odpowiedzialności oraz w prostszy sposób wykazuje dotrzymanie oferowanej staranności i rzetelności.

 

W jaki sposób certyfikacja wpływa na odpowiedzialność cywilną względem kierownictwa przedsiębiorstwa?

-Kolejna zaleta certyfikacji ISO przynosi korzyści przede wszystkim kierownictwu, zarządowi oraz członkom zarządu. Przykładowo przedsiębiorstwo może w nawiązaniu do szkody mieć roszczenia względem własnego kierownictwa, w przypadku gdy to właśnie kierownictwo dopuściło się zaniechania wewnętrznej kontroli systemu w skutek czego nastąpiła szkoda. W przypadku gdy przedsiębiorstwo jest certyfikowane według standardu ISO, z certyfikacją z którą łączą się istotne wymagania względem wewnętrznego systemu kontrolnego, kierownictwo spełniło swe zobowiązania wobec tego wymogu i ma o wiele lepszą pozycję.

 

Jakie zalety niesie ze sobą certyfikacja ISO dla wewnętrznego systemu kontroli z perspektywy prawa?

-Zbiory reguł tj. SarbanesOxley lub 8 wytyczna UE wymagają wewnętrznego systemu kontrolnego, tak jak i w połączeniu z odpowiedzialnością za produkt system kontroli wewnętrznej, wprawdzie nie wymagany wprost, jednakże coraz częściej zyskujący w praktyce na znaczeniu. Wymóg względem systemu kontroli wewnętrznej obejmuje zarządzanie ryzykiem, dokumentację i kontrolę, by wszystkie procesy przedsiębiorstwa były realizowane z najwyższym poziomem zapewnienia bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji (ISMS) lub systemy zarządzania usługami IT zyskują centralne znaczenie. Certyfikat akredytowanej jednostki takiej jak CIS  dostarcza dowód, iż IT przedsiębiorstwa odpowiada międzynarodowym standardom. Skoro prawnie wymagany obowiązek udokumentowania zostaje automatycznie spełniony poprzez certyfikowany oraz możliwy do udowodnienia system zarządzania, osoby odpowiedzialne spełniają swój obowiązek rzetelności i staranności, w wyniku czego minimalizowane jest ryzyko osobistej odpowiedzialności za wyrządzone szkody.

 

 

Legal compliance= usługa polegająca na szczegółowym i rzetelnym badaniu zgodności z obowiązującym prawem działań podejmowanych przez podmioty w ściśle określonej sferze ich aktywności gospodarczej.

 

 

Opracowano na podstawie: "Legal Compliance mit ISO 27001 - ISO 20000" (http://at.cis-cert.com/Unternehmen/Akkreditierung/Legal-Compliance-mit-ISO-27001-ISO-20000.aspx)

 

 



Quality Austria - Polska Sp. z o.o.

Quality Austria