Ataki hakerskie i wycieki danych stają się coraz powszechniejszym problemem biznesowym. Mimo podpisanych umów o zachowaniu poufności (tzw. NDA), wiele firm odkrywa, że zapisy dotyczące kar umownych są nieegzekwowalne lub niewystarczające, gdy faktycznie dochodzi do naruszenia bezpieczeństwa informacji. Ten problem ma dwa wymiary. W świecie, gdzie dane są jednym z najcenniejszych aktywów, nieprecyzyjnie sformułowane zapisy o karach umownych w umowie NDA mogą pozostawić firmę bez realnej ochrony i możliwości uzyskania adekwatnego odszkodowania. To aspekt bezpośredni, który przekłada się prosto na finanse. Nieegzekwowalne klauzule mogą być dodatkowo uznane za niewłaściwe wdrożenie przyjętego planu postępowania z ryzykiem, a to krok do odpowiedzialności zarządu za niezgodność systemu zarządzania „cyberbezpieczeństwem”.
Czym właściwie jest kara umowna?
Kara umowna to jedno z najpopularniejszych rozwiązań prawnych służących do zapewnienia szybkiej ścieżki odszkodowawczej na wypadek, jeżeli ktoś nie wywiąże się ze zobowiązań, które na siebie wziął. Przepisy zawarte w art. 483 § 1 Kodeksu cywilnego, określają takie zapisy jako „zastrzeżenie dotyczące sposobu naprawienia szkody, jaką powoduje niewykonanie lub nienależyte wykonanie zobowiązania”. Odnoszą się więc do zobowiązań wynikających z zawartej umowy. Co istotne, kara może dotyczyć tylko takich zdarzeń, które nie dotyczą rozliczeń ani nie mogą być prosto „przeliczone” na pieniądze, więc nie zastrzeżemy jej na wypadek rozwiązania umowy (co do zasady) czy opóźnienia w zapłacie faktury. Dlatego przepisy mówią o niej w kontekście tzw. „zobowiązania niepieniężnego”. Gdzie więc tkwi urok tego rozwiązania?
Polega na skróceniu ścieżki rozliczeń w razie nieprawidłowości w realizacji umowy. Kara umowna stanowi zryczałtowane odszkodowanie. Jeżeli dojdzie do naruszenia umowy w sposób określony w zapisach o karze umownej, osoba, która naruszyła umowę płaci drugiej kwotę określoną w ramach kary umownej. Księgowość wystawia notę obciążeniową, po jej doręczeniu powstaje obowiązek zapłaty. Jest to spore ułatwienie w porównaniu do sporu sądowego, w którym konieczne jest napisanie pozwu i udowodnienie przed sądem, że ma się rację (przy odrobinie szczęścia – kilka lat i sporo wydanych środków później).
Co bardzo ważne, jeżeli na jakąś okoliczność zapiszemy w umowie karę umowną, to wyłączamy możliwość dochodzenia standardowego odszkodowania za to zdarzenie i jego skutki. Czyli kara umowna zastępuje zwykłe odszkodowanie, przy którym trzeba wykazać powstanie szkody i związek między niewywiązaniem się z umowy a wartością takiej szkody (zgodnie z art. 471 Kodeksu cywilnego). Można tego uniknąć, jeżeli w umowie znajdzie się zapis o możliwości dochodzenia odszkodowania na zasadach ogólnych w razie, jeżeli faktyczna szkoda byłaby większa niż zastrzeżona w umowie wysokość kary. Trzeba mieć jednak na uwadze również aspekt biznesowy – jeżeli ktoś wykonuje usługę za 1.000 zł to raczej trudno wymagać akceptacji kar i odszkodowań za które można komuś zlicytować dom czy samochód.
Dlaczego kara umowna przyjęła się w NDA i jak określa się jej wysokość?
NDA jest umową, która dotyczy obowiązku ochrony informacji przekazywanych sobie przez strony na wzajem lub przez jedną ze stron drugiej stronie. Wprowadzenie kary umownej za wyciek danych do NDA zwalnia z obowiązku wykazywania wysokości poniesionej szkody – wystarczy udowodnić sam fakt naruszenia umowy. Jest to szczególnie ważne w kontekście naruszeń poufności, gdzie często trudno jest precyzyjnie oszacować wartość szkody spowodowanej naruszeniem. Jakkolwiek wysokość zastrzeżonej kary umownej powinna być oszacowana na podstawie możliwej do wystąpienia szkody, to nie jest z nią bezpośrednio związana. Zgodnie z art. 484 § 1 Kodeksu cywilnego, kara należy się nawet, jeżeli szkoda faktycznie nie wystąpiła. Kara umowna ma wywoływać skutek rekompensujący, ale powinna mieć również charakter odstraszający, czyli zniechęcający drugą stronę do niewywiązania się z obietnic zawartych w umowie. Stąd pole do „pójścia w górę”. Wysokość kary musi być jednak racjonalna, na co wskazuje istnienie tzw. instytucji miarkowania kary.
Polega ona na tym, że zgodnie z art. 484 § 2 Kodeksu cywilnego można zwrócić się o zmniejszenie wysokości kwoty wynikającej z umowy w jednym z dwóch przypadków:
- jeżeli zobowiązanie zostało w znacznej części wykonane,
- kara umowna jest rażąco wygórowana.
W praktyce oznacza to, że kary umowne mogą zostać zmniejszone przez sąd zawsze wtedy, kiedy zostaną uznane za nieproporcjonalnie wysokie w stosunku do poniesionej szkody lub stopnia naruszenia. Co mocno komplikuje podejście do sposobu formułowania takich zapisów. Jak to się ma do naruszenia bezpieczeństwa informacji?
Na co uważać tworząc kary na wypadek incydentów bezpieczeństwa informacji?
Jeżeli doszło do ataku hakerskiego, ale zastosowane zabezpieczenia zapobiegły wyciekowi danych, czy adekwatne będzie naliczenie kary umownej za wyciek danych w wysokości 50.000,100.000 czy 500.000 zł? Oczywiście to zależy, bo być może przestój w działaniu infrastruktury albo brak dostępu do usług realizowanych przez podmiot dotknięty atakiem taką szkodę spowodował. Należy jednak pamiętać, że kara umowna to nie jest substytut normalnego odszkodowania, ale jego części – dotyczącej wystąpienia zdarzenia, które opisano w postanowieniach dotyczących takiej kary.
Czyli kara zastrzeżona na wypadek „niedziałania poczty e-mail” nie może być naliczona, jeżeli padnie system kadrowo-płacowy. Z kolei kara za awarię infrastruktury może być zbyt ogólna, żeby obroniła się przed sądem.
Dlaczego? W ostatnich latach w swoim orzecznictwie sądy wielokrotnie wskazywały na konieczność precyzyjnego formułowania zapisów o karach umownych oraz ich adekwatności do potencjalnej szkody (tak m.in. wyrok SA w Warszawie, sygn. V ACa 255/20, LEX nr 3184231 czy wyrok SA w Krakowie, sygn. I AGa 274/19, LEX nr 3192627). Orzeczenia te powtarzają zresztą wykładnię przepisów, która pojawia się w orzecznictwie od blisko 20 lat. Dlatego prawnicy piszący tego typu postanowienia powinni mieć świadomość, że nieprecyzyjne zapisy mogą prowadzić do sytuacji, w której kara umowna nie spełni swojej funkcji kompensacyjnej. A więc sprawca naruszenia nam nie zapłaci. Z drugiej strony duża szczegółowość naraża to, że niuanse dotyczące przebiegu zdarzenia mogą uniemożliwić dochodzenie zapłaty takiej kary, bo nie wystąpi zdarzenie, które uprawnia do żądania zapłaty. Czy można z tym coś zrobić?
Jak powinien powstać opis naruszenia?
Jak już wiadomo po lekturze wcześniejszych akapitów, jeżeli kara umowna będzie zastrzeżona na wypadek wycieku danych, a dojdzie do naruszenia dostępności danych (unieruchomienia serwera), to w ogóle nie będzie mogła zostać uruchomiona. Zbyt ogólne określenie okoliczności, które stanowią naruszenie umowy zagrożone karą umowną może spowodować, że nie da się go skutecznie zastosować. Dlatego warto zadać pytanie jak podejść do tego zagadnienia, żeby uniknąć możliwie największej liczby pułapek prawnych.
Formułowanie postanowień o karach umownych powinno być ostatnim etapem procesu zarządzania ryzykiem. Dlaczego? Bo kara ma określony cel. Przy dużej powtarzalności zapisów NDA łatwo stracić go z oczu. Takim celem jest ochrona bezpieczeństwa firmy przez zapewnienie, że w razie wystąpienia określonego zdarzenia, sprawca zapłaci kwotę, która pokryje szkodę związaną z takim zdarzeniem. W przypadku systemów zarządzania bezpieczeństwem wprowadzenie takiego zapisu do umowy jest realizacją planu postępowania z ryzykiem, które polega na jego całkowitym lub częściowym transferze na inny podmiot. Dlatego dobrze przygotowany NDA powinna poprzedzać kompleksowa inwentaryzacja systemów i przetwarzanych w nich danych, żeby dobrze opisać zdarzenie, którego ma dotyczyć kara. Bez tego podpisywanie umowy NDA jest jak gra w ruletkę – można trafić i wygrać albo stracić czas i środki. O wiele lepiej podejście do tych zapisów jak w strzelaniu do tarczy – obrać jasny cel i określić mierniki sukcesu.
Kto powinien to zrobić? Nie obejdzie się tutaj bez współpracy prawników z tzw. „biznesem”, czyli osobami odpowiedzialnymi za ryzyko, które ma zabezpieczać zastrzeżona w umowie kara. Jak to wygląda w praktyce? Często prawnik wpisuje propozycję kary na podstawie „benchmarku rynkowego” albo jako określony % wynagrodzenia. Orzecznictwo czy doktryna dają wskazówki, ale prawdziwy test zawsze odbywa się dopiero w przypadku naruszenia.
Chcesz zobaczyć wytyczne dotyczące podejścia do aktywnych i pasywnych przyczyn wystąpienia incydentów cyberbezpieczeństwa? Sprawdź artykuł na LinkedIn.
Publikacja przygotowana na podstawie przepisów Kodeksu cywilnego -ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2024 r. poz. 1061 z późn. zm.).
