Odpowiedzialność wykonawców i podwykonawców w związku z outsourcingiem usług IT

Patrycja Gorgoń-Wróbel, Michał Starczewski, Kancelaria BWHS Wojciechowski Springer i Wspólnicy
opublikowano: 03-08-2021, 13:38

Odpowiedzialność podmiotów świadczących usługi outsourcingu usług IT jest kształtowana przede wszystkim w umowie. Strony mają przy tym dużą swobodę kontraktowania. Swoboda ta jest wykorzystywana często do ograniczania swojej odpowiedzialności, wprowadzania klauzul wyłączających odpowiedzialność lub ograniczających je do określonych kwot. Przy negocjowaniu umów typu SLA należy pamiętać, że nieprecyzyjne postanowienia umowne działają na niekorzyść zamawiających, utrudniając im skuteczne dochodzenie roszczeń.

Czym jest outsourcing usług IT

Zlecenie wyspecjalizowanych zadań podmiotom zewnętrznym, posiadającym zaawansowany sprzęt, zespoły specjalistów i szerokie kompetencje, często jest uznawany za sposób umożliwiający skoncentrowanie się organizacji na swojej właściwej działalności. Szczególnie atrakcyjne może być zlecanie podmiotom zewnętrznym usług IT, ponieważ daje to dostęp do specjalistów o zróżnicowanych kompetencjach. Zbudowanie własnego zespołu często byłoby dla organizacji po prostu za drogie. Korzyściom z takiego rozwiązania towarzyszą problemy, które nie występują, gdy organizacja posiada własny dział IT. Przede wszystkim spory mogą pojawić się wskutek zbyt wąskiego w stosunku do rzeczywistych potrzeb zakresu usług lub nieprecyzyjnych postanowień umownych.

Istotną kwestią jest także powierzenie przetwarzania istotnych dla organizacji danych, przy czym chodzi nie tylko o dane osobowe, ale o wszelkie informacje związane z działalnością przedsiębiorstwa. Incydenty naruszające poufność lub integralność danych mogą w skrajnym przypadku całkowicie unieruchomić przedsiębiorstwo (przykład pożaru w serwerowni) lub narazić organizację na odpowiedzialność odszkodowawczą względem swoich klientów.

Co znamienne, spory powstałe na kanwie outsourcingu usług IT rzadko trafiają do sądu. Co najmniej kilkuletnia perspektywa prawomocnego rozstrzygnięcia sporu pozbawia wyroku praktycznego znaczenia. Regułą jest więc szukanie rozwiązań polubownych.

Kto świadczy usługi? Wykonawca i podwykonawcy

Wykonawca, któremu zlecono świadczenie usług IT, może wykonać swoje zobowiązania samodzielnie lub może zaangażować podwykonawców, tworząc łańcuch outsourcingowy. Każdy z nich będzie poczuwał się do rozwiązywania problemów zleceniodawcy wyłącznie w zakresie przewidzianym w jego własnej umowie. Zastrzeżenie przez zamawiającego konieczności uzyskania jego zgody na skorzystanie z dalszych podwykonawców daje mu narzędzie do kontroli, kto tak naprawdę świadczy dla niego usługi i z jakiego państwa pochodzi; gdzie znajdują się serwery, na których przetwarzane są jego dane. Ponieważ papier zniesie wszystko, zlecanie części usług podwykonawcom bez zgody zamawiającego może się niestety w praktyce zdarzyć nawet wbrew takiej klauzuli. Stąd warto zadbać o odpowiednie kary umowne na taką okoliczność.

Patrycja Gorgoń-Wróbel, radca prawny w BWHS Wojciechowski Springer i Wspólnicy
Patrycja Gorgoń-Wróbel, radca prawny w BWHS Wojciechowski Springer i Wspólnicy

Umowne standardy świadczenia usług: Service Level Agreement (SLA)

Standard świadczonych usług co do zasady jest kwestią umowną. Oznacza to, że to od precyzji umowy będzie zależeć to, czego zamawiający będzie mógł skutecznie żądać od wykonawcy, a wykonawca od swoich podwykonawców.

W przypadku zamawiających działających w sektorach objętych szczególnym nadzorem organów państwowych umowy outsourcingowe powinny odpowiadać wytycznym organów nadzoru. Tak jest np. w przypadku sektora finansowego, nadzorowanego przez Komisję Nadzoru Finansowego, która w styczniu 2020 r. opublikowała komunikat w sprawie przetwarzania danych w chmurze obliczeniowej.

Wytyczne takie nie mają jednak bezpośredniego wpływu na obowiązki wykonawców. To na zamawiających spoczywa odpowiedzialność za przełożenie zaleceń organów nadzoru na umowy ze swoimi podwykonawcami.

W praktyce trudności sprawia współpraca prawników i specjalistów od spraw technicznych w ramach jednej organizacji. Prawnicy nie mają kompetencji, by określić techniczne standardy, a specjaliści techniczni nie mają świadomości prawnych konsekwencji wpisania takich, a nie innych postanowień.

Standard świadczenia usług IT jest zazwyczaj określony w tzw. Service Level Agreement (SLA), oddzielnej umowie lub załączniku do umowy głównej. SLA precyzuje parametry, które są podstawą ustalenia, czy usługi są świadczone należycie, m.in. kategorie błędów (m.in. błędy krytyczne), które mogą wystąpić, kryteria przypisania zdarzenia do określonej kategorii, czas reakcji i naprawy błędu, dopuszczalny czas braku świadczenia usługi w ciągu roku.

SLA jest kluczową częścią umowy, ponieważ kształtuje zobowiązanie wykonawcy. Zdarza się jednak, że w trakcie negocjacji jego znaczenie bywa pomniejszane. Dyskutuje się o umowie głównej, a parametry zostawia się „do wypełnienia”. SLA kształtuje nie tylko parametry świadczonych usług, ale także środki i działania, które wykonawca ma podjąć w celu zachowania tych parametrów, a także przyczyny zwalniające go z odpowiedzialności. Krytyczne dla SLA jest nie tylko ustalenie samych parametrów, ale także sposób ich pomiaru. Zamawiający często nie ma narzędzi, by samodzielnie mierzyć jakość otrzymywanych usług.

Poznaj program warsztatu online “Umowy wdrożeniowe na systemy IT”, 28-29 września 2021 >>

Charakter odpowiedzialności

Jakie roszczenia może formułować zleceniodawca wobec podmiotów świadczących usługi IT na jego rzecz? Jakie okoliczności musi wykazać, aby te roszczenia mogły okazać się skuteczne?

Ponieważ umowy o outsourcing usług IT bazują na swobodzie kontraktowania, nie musi być oczywiste, które przepisy dotyczące odpowiedzialności mają znaleźć zastosowanie. W grę wchodzić może odpowiedzialność na zasadach ogólnych za nienależyte wykonanie zobowiązania lub odpowiedzialność quasi-gwarancyjna.

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Jeśli umowa z wykonawcą będzie przewidywała odpowiedzialność wzorowaną na odpowiedzialności gwarancyjnej (przewidywanej przez Kodeks cywilny w przypadku umów dotyczących rzeczy, a nie usług), zamawiający znajdzie się w znacznie lepszej pozycji, niż w razie ukształtowania odpowiedzialności wykonawcy na zasadzie modyfikacji odpowiedzialności na zasadach ogólnych. Dochodzenie odpowiedzialności na zasadach ogólnych wymaga bowiem wykazania nie tylko samego faktu niespełnienia parametrów technicznych, ale także poniesionej z tego powodu szkody i jej wysokości.

Tymczasem dochodzenie odszkodowania z tytułu odpowiedzialności quasi-gwarancyjnej wymaga tylko wykazania niespełnienia parametrów, do spełnienia których wykonawca zobowiązał się. Jednocześnie nie wyłącza możliwości dochodzenia odszkodowania na zasadach ogólnych.

Michał Starczewski, prawnik w BWHS Wojciechowski Springer i Wspólnicy
Michał Starczewski, prawnik w BWHS Wojciechowski Springer i Wspólnicy

Klasyfikacja zgłaszanych błędów i czas naprawy

W umowie tzw. Service Level Agreement (SLA) istotne znaczenie ma wprowadzenie klasyfikacji zgłaszanych błędów oraz związany z tym czas ich naprawy. Krytyczne błędy dla działania systemu informatycznego powinny być oczywiście naprawiane z de fato natychmiastowymi czasami reakcji. Warto przy tym zadbać o odpowiednią procedurę zastępczą w razie ewentualnej bezczynności wykonawcy. W umowie SLA należy także ustalić, która ze stron kwalifikuje dany błąd i co się dzieje, gdy druga strona nie zgadza się z takim określeniem poziomu błędu.

Wykonawca w tym zakresie powinien zadbać o transparentne odwzorowanie zasad kwalifikacji błędów oraz czasu ich naprawy na podmioty, przy pomocy których świadczyć będzie usługi dla klienta końcowego.

Rozwiązanie zastępcze i zwolnienie z zapłaty kar umownych

Umowa z wykonawcą (analogicznie: z podwykonawcą) powinna przewidywać zapłatę kar umownych w razie niedotrzymania parametrów określonych w SLA. Wykonawca może jednak przewidzieć możliwość zwolnienia się z odpowiedzialności odszkodowawczej poprzez instytucję zastosowanie rozwiązania zastępczego, które umożliwi obejście błędu i przywrócenie funkcjonalności systemu informatycznego klienta. Przywrócenie funkcjonalności systemu powinno wyłączać nałożenie na wykonawcę kary umownej i ewentualnie wydłużać standardowy czas naprawy o dodatkowy czas. Dla zachowania przejrzystości umowy zasadnym jest z góry określnie takiego maksymalnego czasu.

Odpowiedzialność za naruszenie poufności i integralności danych

Zlecenie wykonania zadań z obszaru IT przez wyspecjalizowane podmioty spoza organizacji wiąże się z udostępnieniem im danych. Zależnie od rodzaju usług dostęp ten ma różny charakter, poczynając od przechowywania zaszyfrowanych danych na serwerach wykonawcy, po wykonywanie operacji na tych danych.

Powierzenie przetwarzania danych organizacji podmiotowi zewnętrznemu wiąże się z ryzykiem wystąpienia incydentu dotyczącego tych danych. Incydent może polegać na bezprawnym ujawnieniu tych danych (np. w wyniku ataku hakerskiego) lub awarii.

Jeśli incydent dotyczy danych osobowych, odpowiedzialność ponosi przede wszystkim administrator danych (zamawiający). Umowa z wykonawcą i ewentualnie podwykonawcami powinna być zgodna z wymogami stawianymi dla takich umów przez RODO; może też dookreślić odpowiedzialność wykonawcy. Administrator nie może jednak zwolnić się od odpowiedzialności w drodze umowy z wykonawcą.

Incydenty mające miejsce po stronie wykonawcy lub jednego z podwykonawców mogą naruszać także inne zobowiązania zamawiającego. Źródłem tych zobowiązań mogą być przepisy sektorowe (np. tajemnica bankowa) lub umowne zobowiązanie do zachowania poufności.

Zamawiający co do zasady ponosi odpowiedzialność za działania i zaniechania podwykonawców. Tak też będzie w tej sytuacji. Zamawiający w stosunku do wykonawców będzie miał co najwyżej regres, który może do tego być ograniczony do określonej kwoty.

Czy odpowiedzialność podwykonawcy różni się od odpowiedzialności wykonawcy?

Co do zasady odpowiedzialność taka powinna być tożsama z odpowiedzialnością wykonawcy w zakresie odpowiadającym pracom zleconym podwykonawcy. Finalnie zależeć to będzie od stosunku prawnego ukształtowanego pomiędzy wykonawca a podwykonawcą oraz specyfiki powierzonych podwykonawcy prac do wykonania w ramach danej umowy.

Autorzy:

Patrycja Gorgoń-Wróbel, radca prawny w BWHS Wojciechowski Springer i Wspólnicy

Michał Starczewski, prawnik w BWHS Wojciechowski Springer i Wspólnicy

Porozmawiaj z autorami podczas warsztatu online “Umowy wdrożeniowe na systemy IT ” 28-29 września 2021 >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane