Z pozoru niewinny zapis w umowie IT może wygenerować dla Twojej firmy koszty rzędu dziesiątek tysięcy złotych. Błędy w umowach IT to nieporozumienia co do klauzul odpowiedzialności, brak procedur zgłaszania incydentów oraz nieprecyzyjne zapisy RODO. Ten artykuł to część naszego szerszego przewodnika po procedurach bezpieczeństwa informacji. Omawiam w nim konkretne błędy z polskich sal rozpraw i pokazuję, jak konstruować bezpieczne zapisy umowne.
Czym różni się dobra umowa IT od przeciętnej?
Dobra umowa IT dzieli obowiązki na osobne dokumenty, podczas gdy przeciętna umowa IT to jeden plik zatytułowany “Umowa o współpracy”. Wielu przedsiębiorców na Warmii i Mazurach dostaje od firmy IT jeden dokument łączący usługi, poufność i RODO. Takie “kombajny” tworzą chaos prawny.
Umowa SLA, NDA i umowa powierzenia – co powinno być osobno?
NDA (umowa o zachowaniu poufności) powinna obejmować wyłącznie know-how, tajemnicę przedsiębiorstwa i strategie biznesowe. Umowa powierzenia przetwarzania danych (art. 28 RODO) to bardzo rygorystyczny wykaz: podstawa powierzenia, przedmiot, cel, czas trwania i obowiązki podmiotu przetwarzającego. Wmieszanie umowy powierzenia w 10-stronicową umowę na stworzenie strony WWW sprawia, że w razie kontroli PUODO łatwo przeoczyć wymogi z art. 28.
SLA (Service Level Agreement, czyli umowa o poziomie świadczenia usług) określa twarde wskaźniki techniczne. SLA zawiera konkretne dane:
- Czas reakcji na awarię wynoszący maksymalnie 2 godziny w dni robocze.
- Gwarantowaną dostępność serwera na poziomie 99,9%.
SLA ściąga umowę z abstrakcyjnego poziomu prawnego na twardy poziom techniczny. Twardy poziom techniczny jest kluczowy przy naliczaniu kar umownych za niedotrzymanie parametrów.
Błędy w umowach IT, które generują koszty
Brak precyzyjnych zapisów w umowach IT przenosi odpowiedzialność finansową z dostawcy na Twoją firmę. Poniżej przedstawiam trzy najczęstsze błędy, które spotykam w praktyce prawniczej.
Brak regulacji dotyczących incydentów bezpieczeństwa
Brak zapisów o czasie powiadomienia o incydencie przenosi odpowiedzialność za kary z dostawcy IT na Twoją firmę. W Olsztynie firma wynajęła serwer u dostawcy IT. Dostawca IT padł ofiarą ataku hakerskiego. Umowa IT nie zawierała zapisu o terminie poinformowania klienta o incydencie. Dostawca IT dowiedział się o włamaniu po 3 tygodniach od analizy logów. Klient dowiedział się o wycieku danych z Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Klient otrzymał karę od PUODO za niezgłoszenie naruszenia w 72 godziny (art. 33 RODO), ponieważ nie wiedział o ataku.
Umowa IT musi nakładać na dostawcę IT bezwzględny obowiązek niezwłocznego powiadomienia. W praktyce Kancelarii Cyberpolex wpisujemy do umów IT termin rzędu 4 do 8 godzin roboczych. W realiach dyrektywy NIS2 ten zapis to absolutny wymóg zabezpieczenia łańcucha dostaw.
Nieprecyzyjne klauzule RODO w umowach IT
Ogólne zdanie o przestrzeganiu RODO to puste oświadczenie, które nie chroni Cię przed karą od PUODO. Częsty błąd w umowach IT to zapis: “Dostawca zobowiązuje się do przestrzegania przepisów RODO”. Prezes UODO wielokrotnie wskazywał w decyzjach dotyczących powierzenia przetwarzania hostingu, że Administrator (Ty) nie zwalnia się z odpowiedzialności przez sam fakt podpisania umowy IT. Jeśli umowa IT nie wymienia konkretnych zabezpieczeń, PUODO uznaje, że Administrator nie dołożył należytej staranności w wyborze podmiotu przetwarzającego (art. 28 ust. 1 RODO). Klauzule RODO muszą być szyte na miarę. Klauzule RODO w umowach IT muszą opisywać konkretne środki techniczne wdrożone przez tę konkretną firmę IT dla Twojego systemu. Prawidłowe przygotowanie takiej umowy opisujemy w artykule o przygotowaniu umowy powierzenia przetwarzania danych.
Przerzucenie odpowiedzialności odszkodowawczej bez zabezpieczeń
Zapis przerzucający 100% odpowiedzialności na firmę IT bez weryfikacji jej polisy ubezpieczeniowej to iluzja ochrony. Zgodnie z mechanizmem z art. 82 RODO, poszkodowana osoba pozywa Administratora o odszkodowanie, a Administrator płaci. Administrator może później domagać się zwrotu od Podmiotu Przetwarzającego (firma IT), jeśli firma IT jest winna naruszenia (art. 82 ust. 5 RODO).
Błąd w umowie IT polega na wpisaniu zapisu, że “Firma IT ponosi 100% odpowiedzialności odszkodowawczej za wszelkie naruszenia RODO”. Ten zapis traci wartość, gdy firma IT ogłosi upadłość lub nie ma ubezpieczenia OC. Wtedy Twoja firma zostaje sama z roszczeniami powodowanymi przez Twoich partnerów biznesowych. Rozwiązanie to żądanie od dostawcy IT przedstawienia polisy ubezpieczeniowej od odpowiedzialności cywilnej zawodowej z ryzykiem cyber. Polisa ubezpieczeniowa powinna posiadać sumę gwarancyjną od 500 tys. PLN do 1 mln PLN w zależności od wolumenu danych. Umowa IT musi zawierać wpis o cesji praw z polisy ubezpieczeniowej na Administratora.
Dobre praktyki w konstruowaniu umów IT
Dobra umowa IT wymaga współpracy prawnika z inżynierem oraz regularnej aktualizacji zapisów. Te dwie zasady eliminują 90% ryzyk prawnych związanych z outsourcingiem technologicznym.
Współpraca z prawnikiem od cyberbezpieczeństwa
Standardowy prawnik korporacyjny ułoży poprawną umowę o dzieło na stworzenie oprogramowania, obejmującą prawa autorskie i terminy. Tylko specjalista z zakresu IT, RODO i NIS2 dostrzeże brak zabezpieczeń w zakresie praw do kodu źródłowego w kontekście podatności (np. backdoory, czyli ukryte wejścia do systemu). Prawnik od cyberbezpieczeństwa zauważy brak procedur audytu kodu przez niezależną stronę trzecią czy ryzyko ukrycia incydentu przez dostawcę IT. W Kancelarii Cyberpolex łączymy wiedzę prawniczą z techniczną. Nasz radca prawny i certyfikowany audytor ISO 27001 rozumieją architekturę systemów IT, co pozwala tworzyć zapisy niemożliwe do obejścia przez dostawców.
Aktualizacja umów IT wraz ze zmianami prawa
Umowa IT podpisana w 2022 roku jest w 2026 roku nieaktualna prawnie z powodu wejścia w życie wymogów NIS2 i nowelizacji Ustawy o KSC. Starsze umowy IT nie miały obowiązku współpracy przy audytach bezpieczeństwa nakładanych przez organy nadzorcze (np. CSIRT NASK). Starsze umowy IT nie zawierały również obowiązku oznaczania skutków incydentu transgranicznego. Dobra umowa IT musi mieć wbudowaną klauzulę o automatycznym dostosowaniu świadczeń do aktualnie obowiązujących przepisów prawa. Taka klauzula to tzw. hardship clause, czyli klauzula dostosowawcza. W Kancelarii Cyberpolex wdrażamy autorską “Metodę Żywych Klauzul”. Metoda Żywych Klauzul polega na okresowym (raz w roku) przeglądzie umów IT pod kątem nowych wytycznych NIS2 i decyzji PUODO, co minimalizuje ryzyko kar.
FAQ – Najczęstsze pytania o błędy w umowach IT
Czy umowa NDA zastępuje umowę powierzenia przetwarzania danych osobowych? Nie. Umowa NDA chroni Twoje tajemnice przedsiębiorstwa i know-how. Umowa powierzenia przetwarzania danych osobowych realizuje rygorystyczny obowiązek z art. 28 RODO. Brak umowy powierzenia powoduje nałożenie kary administracyjnej przez PUODO.
Ile czasu ma dostawca IT na zgłoszenie mi incydentu bezpieczeństwa? Prawo nie wskazuje jednego konkretnego terminu dla relacji B2B. Zalecam wpisanie w umowie IT obowiązku powiadomienia w ciągu 4 do 8 godzin roboczych od wykrycia incydentu. Ten termin pozwala Ci spełnić ustawowy obowiązek zgłoszenia do PUODO w 72 godziny.
Czy zapis o 100% odpowiedzialności firmy IT chroni mnie przed karą od PUODO? Nie. PUODO ukarze Twoją firmę jako Administratora danych, ponieważ to Administrator odpowiada przed organem. Zapis o 100% odpowiedzialności pozwala Ci jedynie later wystąpić do firmy IT z roszczeniem regresowym. Roszczenie regresowe jest bezużyteczne, jeśli firma IT nie ma polisy ubezpieczeniowej OC.
Co to jest hardship clause w umowie IT? Hardship clause to klauzula dostosowawcza. Klauzula dostosowawcza nakazuje stronom zaktualizowanie zapisów umowy IT (np. wymogi bezpieczeństwa) w przypadku zmiany przepisów prawa, takich jak nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa.
