Przy wyborze dostawcy usług outsourcingu IT, w tym hostingu, klienci biorą pod uwagę jakość infrastruktury, poziom usług, referencje klientów. A jak sprawdzić rzetelność partnera pod względem prawnym?

Oczywiście przed zawarciem umowy klient powinien zweryfikować odpis z KRS outsourcera. Powinien sprawdzić przede wszystkim zasady reprezentacji outsourcera, a także to, czy wobec niego nie jest prowadzone postępowanie upadłościowe. Na szczęście Ministerstwo Sprawiedliwości zapewniło na swojej stronie internetowej elektroniczny dostęp do KRS, co znacznie ułatwia weryfikację. Warto też sprawdzić, czy outsourcer nie figuruje w rejestrze dłużników niewypłacalnych. Również ten rejestr jest dostępny elektronicznie, za pośrednictwem strony Ministerstwa Sprawiedliwości.

Według mnie również sam przedstawiony przez outsourcera klientowi projekt umowy outsourcingowej świadczyć może o jego stopniu dojrzałości, znajomości specyfiki usług outsourcingowych oraz dbałości o interesy klienta.

Jak określiłby Pan granicę odpowiedzialności usługodawcy i usługobiorcy w tego typu usługach?

Zapisy dotyczące zasad odpowiedzialności stron w umowie outsourcingowej to jedne z najistotniejszych i najczęściej negocjowanych zapisów. Chciałbym zwrócić uwagę na trzy zasadnicze kwestie. Pierwsza to kwestia „za co”, czyli na jakich zasadach odpowiada outsourcer. Charakterystyczne dla umów outsourcingowych jest odrębne określenie zasad odpowiedzialności za świadczenie usług zgodnie ze SLA oraz odpowiedzialności z tytułu wykonania innych zobowiązań wynikających z umowy, np. zachowania poufności.

Często strony przyjmują, że outsourcer będzie odpowiadał za dochowanie SLA na zasadach ryzyka, tzn. odpowiada za niedochowanie SLA również w przypadku, gdy doszło do tego z powodów przez niego niezawinionych. Natomiast z tytułu wykonania pozostałych zobowiązań wynikających z umowy odpowiada na zasadzie winy.

Po drugie, charakterystyczne dla umów outsourcingowych jest wprowadzenie systemu kar umownych za niedochowanie przez outsourcera parametrów SLA.

Po trzecie, ogólnie przyjętym standardem jest wprowadzanie zapisów dotyczących ograniczenia odpowiedzialności outsourcera z tytułu wykonania umowy. W praktyce stosowane są bardzo różne konstrukcje dotyczące ograniczenia odpowiedzialności outsourcera. Najczęściej przewiduje się limity kwotowe. Niekiedy strony określają ten limit poprzez odwołanie się do wartości wynagrodzenia zapłaconego outsourcerowi przez klienta. Zapisy tego rodzaju wymagają szczególnej staranności i uwagi. Należy między innymi zwrócić uwagę na określenie limitu odpowiedzialności również w okresie, zanim możliwe będzie określenie rocznej wartości wynagrodzenia. Niekiedy wprowadza się również wyłączenie odpowiedzialności outsourcera za tzw. utracone korzyści klienta.

Jak powinna wyglądać „wzorcowa” umowa na usługi outsourcingu IT?

Nie ma czegoś takiego jak „wzór” umowy outsourcingowej. W praktyce spotykamy się bowiem z szeregiem modeli usług, poczynając od kompleksowego outsourcingu IT, niekiedy związanego z powstaniem nowego podmiotu oraz transferem aktywów na outsourcera, poprzez outsourcing poszczególnych usług IT, różnego rodzaju body-shopping, na udostępnieniu oprogramowania w modelu SaaS kończąc. Umowa powinna zostać dostosowana do konkretnego modelu usług i potrzeb biznesowych stron.

W wielkim uogólnieniu przyjąć jednak można, że każda umowa outsourcingowa powinna przede wszystkim precyzować zakres usług świadczonych przez outsourcera wraz z oczekiwanym poziomem świadczonych usług, czyli SLA. W praktyce, w ramach tzw. katalogów usług, opisywane są wszystkie usługi, jakie outsourcer zobowiązany jest świadczyć w ramach umowy, wraz z warunkami świadczenia danej usługi, w tym przyjętymi dla danej usługi KPI oraz karami umownymi za niedotrzymanie określonych parametrów usługi.

W znacznej części przypadków katalog usług ma charakter potencjalnego zakresu usług, jakie klient może „zamawiać” na podstawie umowy. W takim przypadku umowa musi oczywiście precyzować zasady „zamawiania” określonych usług oraz rezygnacji z nich. Podejście tego rodzaju czyni umowę bardzo elastyczną, pozwalającą na dostosowanie zakresu i rodzaju świadczonych usług do aktualnych potrzeb klienta. Umowa outsourcingowa powinna określać również zasady raportowania wykonania usług w danym okresie rozliczeniowym, w tym raportowania wskaźników SLA.

Niezwykle istotnymi kwestiami, wymagającymi uregulowania w umowie, są kwestie dotyczące zapewnienia zgodnego z prawem korzystania przez każdą ze stron z oprogramowania, którego dotyczą usługi outsourcingowe lub które będzie wykorzystywane do świadczenia takich usług. Oczywiście, w zależności od przyjętego modelu outsourcingu, powstają różne problemy prawne dotyczące oprogramowania, a co za tym idzie – bardzo różne regulacje umowne.

Kolejnymi niezwykle istotnymi zapisami są zasady rozliczenia wynagrodzenia. W praktyce spotyka się bardzo różnie zasady jego kalkulacji, poczynając od wynagrodzenia ryczałtowego za poszczególne usługi, po wynagrodzenie rozliczane w oparciu o różnego rodzaju wskaźniki, np. wolumen usług, ilość przetwarzanych danych itp.

Wreszcie umowa outsourcingowa powinna regulować zasady odpowiedzialności stron z tytułu niewykonania lub nienależytego jej wykonania. Standardowym rozwiązaniem jest wprowadzanie kar umownych za niedochowanie przez outsourcera kluczowych parametrów SLA. Zaznaczyć przy tym należy, że strony jednocześnie określają generalny limit odpowiedzialności outsourcera.

Oczywiście każda umowa outsourcingowa powinna określać okres jej obowiązywania, zasady wypowiedzenia oraz zasady zakończenia współpracy stron, czyli tzw. exit plan.

Na co klient powinien zwrócić szczególną uwagę przed podpisaniem umowy na outsourcing IT?

W mojej ocenie przed zawarciem umowy outsourcingowej klient powinien między innymi przeprowadzić szeroką analizę prawną zmierzającą do zweryfikowania, czy w danym przypadku w ogóle możliwe będzie skorzystanie z usług outsourcingowych. Przykładowo klient powinien zweryfikować, czy warunki posiadanych przez niego licencji na oprogramowanie w ogóle pozwalają na przeniesienie systemu do outsourcera lub dopuszczenie personelu outsourcera do zarządzania systemem. Klient powinien zweryfikować między innymi możliwość i skutki outsourcingu z punktu widzenia prawa podatkowego, prawa pracy czy prawa konkurencji. Oczywiście zakres analizy prawnej powinien zostać dostosowany do konkretnego przypadku.

A o jakie zapisy nie warto kruszyć kopii?

Nie da się jednoznacznie odpowiedzieć na takie pytanie. Wszystko zależy bowiem od konkretnej sytuacji, od interesów stron, od przyjętego modelu outsourcingu i uwarunkowań prawnych.

Z mojej praktyki mogę podać przykład walki klienta o zapisy umożliwiające wypowiedzenie umowy przez klienta ze skutkiem natychmiastowym. W moim przekonaniu w większości przypadków rozbudowanego outsourcingu IT tego rodzaju zapis nie ma sensu, bo najczęściej klient i tak nie jest w stanie natychmiast zrezygnować z usług outsourcera. Dlatego też wprowadza się możliwość wypowiedzenia umowy z zachowaniem określonego okresu wypowiedzenia. W tym czasie realizowany jest exit plan zmierzający do zakończenia współpracy i przeniesienia usług do własnej organizacji klienta lub innego outsourcera.

Kary umowne – remedium na wszystkie problemy?

Na pewno kary umowne nie stanowią remedium na wszystkie problemy klienta. W jego interesie jest przecież uzyskanie odpowiedniej jakości usługi, a nie naliczanie kar umownych. Dobrze opisana kara umowna może jednak dopingować obie strony do należytego wykonania zobowiązań. Przede wszystkim należy zwrócić uwagę na odpowiednie określenie okoliczności, które będą uzasadniać naliczenie kary. W przypadku umów outsourcingowych strony powinny określić przede wszystkim kluczowe dla klienta parametry SLA, za których naruszenie klient uprawniony będzie do naliczania kar umownych. Cała sztuka polega na takim opisaniu SLA i kar, aby weryfikować i obliczać kary umowne w odniesieniu do niewielkiej liczby parametrów, jednak takich, które są najistotniejsze dla klienta i obrazują sposób wykonywania umowy przez outsourcera.

Kolejna kwestia to sama wysokość kary umownej. Ustalenie odpowiedniej ich wysokości to nie lada sztuka. Z jednej strony kary powinny bowiem zmierzać do naprawienia szkody poniesionej przez stronę, chronić jej interesy oraz dopingować drugą stronę do należytego wykonania zobowiązań, ale z drugiej strony nie można przesadzić z ich wysokością.

W przypadku zastrzeżenia zbyt wygórowanej kary umownej możemy być pewni, że druga strona raczej nie zapłaci jej dobrowolnie, lecz będzie kwestionować zasadność jej naliczenia. W konsekwencji w polskich warunkach dochodzenie tego rodzaju kary umownej może się wiązać z perspektywą kilkuletniego sporu sądowego. Co więcej, zastrzegając zbyt wysoką karę, należy się liczyć z możliwością jej obniżenia, tzw. „miarkowania” przez sąd. Wreszcie spór sądowy może prowadzić do zupełnej utraty zaufania wzajemnego stron i de facto uniemożliwić dalszą współpracę.

Należy również mieć na uwadze, że liczba oraz wysokość kar umownych stanowią elementy ryzyka, branego pod uwagę przez outsourcera przy wycenie kontraktu. Okoliczności te wpływają m.in. na możliwość ubezpieczenia kontraktu czy wysokość składki. Klient nie powinien zatem się dziwić, że żądanie wprowadzenia przez niego kar umownych wpływa na wysokość wynagrodzenia za świadczenie usług outsourcingowych.

Waldemar Sokołowski, Dyrektor Działu Usług IT, All for One Poland

Pozostać realistą
Dobra umowa outsourcingowa to taka, która obu jej stronom pozwala równolegle osiągać swoje cele. Korzystanie z pomocy prawników podczas negocjowania umowy outsourcingowej jest nie tyle dobrą praktyką, co wręcz obowiązkiem stron. Niezmiernie pomocne jest, gdy negocjujące kontrakt strony korzystają z usług kancelarii wyspecjalizowanych w danej tematyce, gdyż mogą one być pomocne nie tylko w kwestiach formalno-prawnych, ale również mogą służyć pomocą wynikającą ze znajomości dobrych praktyk w danej dziedzinie czy branży i własnych doświadczeń.
Jednak ponad wszystko trzeba pozostać realistą. Nawet najlepsza kancelaria prawna wyspecjalizowana w tematyce outsourcignu nie może zastąpić klienta w precyzyjnym określeniu jego rzeczywistych potrzeb biznesowych, a dostawcę w należytym zaplanowaniu zasobów do ich realizacji. Złudne jest przekonanie, że dobry kontrakt może takie błędy ukryć lub scedować odpowiedzialność na partnera.
Strony umowy outsourcingowej muszą pozostać skoncentrowane na wspólnym celu, jakim jest zapewnienie ciągłości działania rozwiązań biznesowych, a nie na wzajemnym unikaniu ryzyk wynikających z zawartego kontraktu. Dlatego w trakcie negocjacji każda że stron powinna starać się zrozumieć stanowisko i oczekiwania drugiego z partnerów.
Waldemar Sokołowski, Dyrektor Działu Usług IT, S, All for One Poland

Bywa, że klient decyduje się zakończyć współpracę z dostawcą usług IT. W jaki sposób rozwiązać umowę?

Przygotowując umowę outsourcingową, należy sobie przede wszystkim uświadomić, że nie ma „niewypowiadalnych” umów outsourcingowych. Do wypowiedzenia takiej umowy zastosowanie znajdują przepisy Kodeksu cywilnego dotyczące wypowiedzenia zlecenia. Przepisy te wprowadzają generalne prawo każdej ze stron do wypowiedzenia umowy ze skutkiem natychmiastowym. Strony mogą jednak ograniczyć tę możliwość do wypowiedzenia z tzw. ważnych powodów.

Zgodnie z przepisami Kodeksu cywilnego nie można jednak wyłączyć w umowie możliwości wypowiedzenia umowy z ważnych powodów. W orzecznictwie przyjmuje się przy tym, że możliwość wypowiedzenia umowy z ważnych powodów dotyczy również umów zawartych na czas oznaczony. Każda ze stron, zawierając umowę, musi zatem liczyć się z ryzykiem jej wypowiedzenia przez drugą stronę.

W mojej ocenie w przypadku umów outsourcingowych możliwość wypowiedzenia umowy przez outsourcera jest szczególnie ryzykowna dla klienta. Może się bowiem okazać, że klient w jednym momencie pozostanie bez możliwości korzystania z usług IT. Dobrze przygotowana umowa pozwala jednak znacznie ograniczyć tego rodzaju ryzyko. Po pierwsze, możliwe jest określenie okresu wypowiedzenia umowy. W przypadku wypowiedzenia umowy przez outsourcera pozwoli to klientowi na płynne przeniesienie usług do innego usługodawcy lub przystosowanie swego przedsiębiorstwa do realizacji usług we własnym zakresie. Z kolei w przypadku wypowiedzenia umowy przez klienta outsourcer już w okresie wypowiedzenia będzie mógł podjąć kroki zmierzające do zagospodarowania uwolnionych zasobów.

Po drugie, możliwe jest przyjęcie w umowie, że każda ze stron będzie mogła wypowiedzieć umowę wyłącznie z ważnych powodów. W części przygotowywanych przez mnie umów strony zdecydowały się na takie ograniczenie. W konkretnym przypadku powstać może zatem zasadniczy problem, czy dana okoliczność stanowi „ważny powód” wypowiedzenia. Przykładowo, jeżeli w umowie strony przyjęły w SLA wymaganą dostępność systemu na poziomie 95%, to czy obniżenie tej dostępności do 90% stanowi już ważny powód, czy może dopiero obniżenie do 80% lub 50% stanowić będzie ważny powód wypowiedzenia umowy przez klienta?

Z drugiej strony, czy opóźnienie w zapłacie klienta trwające 14 dni jest już ważnym powodem wypowiedzenia umowy, czy może takim jest dopiero opóźnienie rzędu 30 dni lub 2 miesięcy? Dlatego też w mojej ocenie zasadne jest określenie przez strony katalogu okoliczności, które zostaną uznane za ważne powody uzasadniające wypowiedzenie umowy. Przykładowo, strony mogą przyjąć, że dopiero obniżenie dostępności systemu poniżej X% w dwóch kolejnych miesiącach stanowić będzie taki powód dla klienta. Muszę jednak zastrzec, że w mojej ocenie w przypadku sporu sąd nie będzie związany tego rodzaju katalogiem przyjętym przez strony. Będzie to jednak dla niego istotna wskazówka interpretacyjna, jakie okoliczności same strony uznały za istotne. Należy również mieć na uwadze, że tego rodzaju katalog nigdy nie będzie katalogiem zamkniętym. A zatem strona będzie uprawniona do wypowiedzenia umowy również w przypadku wystąpienia ważnego powodu nieopisanego w katalogu opisanym w umowie.

Po trzecie, niezwykle istotnym elementem umowy outsourcingowej jest określenie zasad zakończenia współpracy, czyli wspomniany już exit plan. W praktyce może się zdarzyć, że outsourcer, widząc już bliską perspektywę utraty klienta, nie jest zainteresowany współpracą mającą zapewnić płynne przeniesienie usług do konkurencji. Spotkałem się nawet z sytuacjami, gdy outsourcer wręcz utrudniał możliwość przeniesienia usług. Z kolei w interesie klienta jest zapewnienie płynnego przeniesienia usług lub ich przejęcia w ramach swego przedsiębiorstwa, w sposób zapewniający ciągłość procesów biznesowych, co wymaga zwykle aktywnej współpracy outsourcera. Dlatego też strony już na etapie zawierania umowy powinny myśleć o zasadach zakończenia współpracy.

Oczywiście konkretne zapisy exit planu zależą od danego przypadku. Jednak w generalnym ujęciu exit plan powinien precyzować przede wszystkim zasady zwrotu klientowi systemu utrzymywanego przez outsourcera i przechowywanych w nim danych, w sposób umożliwiający ich dalsze wykorzystanie przez klienta.

Przechowywanie danych osobowych przez klienta będącego polskim podmiotem w Polsce ma oczywiste korzyści. Do ich przetwarzania zastosowanie znajdzie prawo polskie – klientowi łatwiej będzie poznać wszystkie wymagania dotyczące powierzenia przetwarzania danych osobowych

Proszę mieć na uwadze, że w trakcie realizacji umowy outsourcingowej system podlegać może zmianom i rozwojowi. W konsekwencji umowa powinna jednoznacznie przesądzać, że zwrot będzie dotyczył aktualnej wersji systemu. Niekiedy w celu świadczenia usług outsourcer kupuje określony dedykowany sprzęt lub uzyskuje licencję na dodatkowe oprogramowanie. W części przypadków umowa przewiduje zatem opcję „odkupienia” przez klienta sprzętu oraz cesji licencji na oprogramowanie wykorzystywane do świadczenia usług.

Niezwykle istotnym elementem exit planu jest również określenie zasad przekazania klientowi lub nowemu usługodawcy wiedzy, swoistego know-how dotyczącego usług świadczonych przez outsourcera czy utrzymywanego przez niego systemu. Umowy outsourcingowe często zobowiązują zatem outsourcera do prowadzenia określonej dokumentacji systemu oraz przekazania jej, wraz z kompletem informacji o systemie, klientowi w chwili zakończenia umowy. Niekiedy outsourcer zobowiązany jest również do prowadzenia szkoleń personelu klienta lub innego outsourcera przejmującego świadczenie usług. Oczywiście ważne jest też określenie zasad wynagrodzenia outsourcera za realizację exit planu.

Hosting IT często wiąże się z przekazaniem dostawcy m.in. systemów ERP, z danymi klientów i pracowników, w tym danymi osobowymi. Czy istnieją przepisy, które nakazują polskim firmom przechowywanie tych danych w Polsce?

Według mojej wiedzy nie ma przepisów, które by generalnie nakazywały przetwarzanie polskim firmom danych osobowych wyłącznie na terytorium Polski. Oczywiście nie mogę wykluczyć, że istnieją jakieś przepisy branżowe, np. w przemyśle zbrojeniowym czy obronności, które wykluczają przekazanie danych za granicę. Należałoby badać konkretny przypadek.

Warto jednak zwrócić uwagę na to, że ze względu na przepisy dotyczące ochrony danych osobowych pewne dodatkowe wymagania i trudności wiążą się z przekazaniem danych osobowych do tzw. państwa trzeciego – czyli państwa spoza Europejskiego Obszaru Gospodarczego. Zgodnie z obowiązującymi przepisami, poza wyjątkami opisanymi w ustawie, przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ich ochrony. Chcąc zatem korzystać z usług outsourcingowych, np. hostingu systemu, w państwie spoza EOG, klient będzie musiał dokonać weryfikacji, czy państwo to zapewnia odpowiedni poziom ochrony, lub spełniać inne warunki przekazania danych wynikające z przepisów.

W mojej ocenie przechowywanie danych osobowych przez klienta będącego polskim podmiotem w Polsce ma oczywiste korzyści. Po pierwsze, do przetwarzania takich danych zastosowanie znajdzie prawo polskie, a co za tym idzie, klientowi zapewne łatwiej będzie poznać wszystkie wymagania prawne dotyczące powierzenia przetwarzania danych osobowych, w tym wymaganego zabezpieczenia danych przez outsourcera. Po drugie, klient jako administrator danych powinien mieć prawo kontroli sposobu przetwarzania danych przez outsourcera. Wydaje się, że polskiemu klientowi łatwiej będzie prowadzić tego rodzaju kontrolę danych przetwarzanych na serwerach usługodawcy znajdujących się na terytorium Polski niż w innych krajach.

Rozmawiała: Mirosława Huk, BCC (aktualnie All for One Poland)

Kancelaria Radców Prawnych Maruta i Wspólnicy specjalizuje się m.in. w obsłudze prawnej firm IT i projektów informatycznych. Pracuje dla największych firm na polskim rynku, zarówno po stronie zamawiających, jak i wykonawców, ma bogate doświadczenie w obsłudze podmiotów publicznych, w tym ministerstw i urzędów centralnych. Obsługiwała największe w Polsce kontrakty wdrożeniowe oraz umowy utrzymaniowe i outsourcingowe. Główną specjalizacją kancelarii jest prawo kontraktów — opracowywanie i opiniowanie umów, negocjacje, uczestnictwo w sporach związanych z ich wykonywaniem. Dysponuje zespołem wyszkolonych negocjatorów, łączących wiedzę prawną ze znajomością zasad zarządzania projektami informatycznymi (ukończone szkolenia ITIL, Prince, inne), zawieranych na rynku umów, poziomów SLA, zwyczajów.

Więcej informacji: maruta.pl