SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

SPCG for FinTech (cz. 7) – Nowe unijne regulacje dla sektora finansowego

Czytaj: 11 min

Postępujące zmiany technologicznie dynamicznie wpływają na rozwój szeroko rozumianego sektora finansowego, w tym jego konkurencyjność czy innowacyjność. Dynamika tego rozwoju rodzi jednak całkiem nowe zagrożenia i ryzyka dla inwestorów oraz konsumentów. Problemy te zauważa m.in. Komisja Europejska, która od paru lat prowadzi intensywne prace nad przyjęciem szeregu regulacji, mających na celu z jednej strony zidentyfikowanie ryzyk związanych z upowszechnieniem nowych technologii w sektorze finansowym, a z drugiej – nieblokowanie ich rozwoju.

Warto w szczególności śledzić aktywność unijnego ustawodawcy w zakresie pakietu regulacji tzw. finansów cyfrowych (digital finance package), opublikowanego przez Komisję Europejską w dniu 24 września 2020 r., oraz rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji („Rozporządzenie AI”). Pakiet regulacji finansów cyfrowych obejmował projekty następujących rozporządzeń:

  • rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru („Rozporządzenie pilotażowe DLT”) [1];
  • rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operations Resilience Act; „Rozporządzenie DORA”) [2];
  • rozporządzenie w sprawie rynków kryptoaktywów („Rozporządzenie MiCA”) [3].

Do tej pory zostało przyjęte jedynie Rozporządzenie pilotażowe DLT (w dniu 30 maja 2022 r.), które – zgodnie z art. 19 ust. 1 rozporządzenia – wejdzie w życie w dniu 19 czerwca 2022 r. Jednakże podmioty finansowe oraz organy nadzoru będą miały dostatecznie dużo czasu, aby przygotować się do regulacji, ponieważ Rozporządzenie pilotażowe DLT będzie stosowane od dnia 23 marca 2023 r. O założeniach Rozporządzenia pilotażowego DLT pisaliśmy na naszym blogu.

Na nieco wcześniejszym etapie są prace nad treścią Rozporządzenia DORA. W dniu 10 maja 2022 r. prezydencja Rady UE oraz Parlament Europejski osiągnęły wstępne porozumienie dotyczące tekstu Rozporządzenia DORA. Wstępne porozumienie musi zostać zatwierdzone przez Radę Unii Europejskiej oraz Parlament Europejski, a następnie rozpocznie się formalna procedura przyjęcia projektu. Podmioty finansowe będą zobowiązane do wdrożenia przepisów Rozporządzenia DORA w terminie 12 miesięcy od dnia wejścia omawianego aktu w życie (art. 56 ust. 2 Rozporządzenia DORA).

W przypadku Rozporządzenia MiCA postęp prac legislacyjnych nie jest już tak zaawansowany – wciąż trwają negocjacje treści tego aktu pomiędzy Parlamentem Europejskim a Radą Unii Europejskiej. Znane są już jednak jego główne założenia, o których piszemy poniżej.

Ponadto sektor finansowy jest branżą, w której sztuczna inteligencja może mieć szerokie zastosowanie, np. do oceny zdolności kredytowej potencjalnego kredytobiorcy, wykorzystania botów do obsługi klienta bankowego czy na potrzeby przygotowywania zindywidualizowanych produktów ubezpieczeniowych w oparciu o dane oraz algorytmy sztucznej inteligencji. Dlatego podmioty finansowe powinny śledzić prace nad Rozporządzeniem AI. Projekt Rozporządzenia AI został opublikowany przez Komisję Europejską w dniu 21 kwietnia 2021 r. Propozycje tekstu kompromisowego Rozporządzenia AI opublikowała – w ramach prac legislacyjnych – słoweńska (29 listopada 2021 r.) [4] oraz francuska (13 stycznia 2022 r.) [5] prezydencja Rady Unii Europejskiej.

W dalszej części tekstu przedstawiamy naszą analizę podstawowych założeń Rozporządzenia DORA, Rozporządzenia MiCA oraz Rozporządzenia AI.

Rozporządzenie DORA

Celem Rozporządzenia DORA jest ustanowienie jednolitych wymogów prawnych dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku Unii Europejskiej. Dotychczas państwa członkowskie, organy unijne (np. EBA lub EIOPA) oraz krajowe (np. UKNF) podejmowały różnego rodzaju próby opracowania kompleksowych wytycznych dla zarządzania ryzykami technologii informacyjno-telekomunikacyjnych („ICT„). Jednak te próby nie doprowadziły do wypracowania w ramach UE jednolitych standardów zarządzania wspomnianymi ryzykami. Niejednolity krajobraz regulacyjny utrudnia podmiotom finansowym świadczącym usługi w więcej niż jednym państwie członkowskim zachowanie zgodności z prawem. Odpowiedzią na ten problem ma być właśnie Rozporządzenie DORA, która wprowadza jednolite wymogi w tym zakresie. Nie oznacza to jednak, że polskie podmioty finansowe czeka rewolucja w podejściu do zarządzania ryzykiem ICT. Wytyczne określone w Rozporządzeniu DORA nie będą raczej nowością dla podmiotów regulowanych, ponieważ powielają niektóre wymogi regulacyjne wynikające z wytycznych opublikowanych dotychczas przez organy krajowe (np. wytyczne UKNF dotyczące zarządzania obszarami technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, „komunikat chmurowy” [6],) lub organy unijne (np. wytyczne EBA w sprawie zarządzania ryzykami teleinformatycznymi oraz bezpieczeństwa [7], wytyczne EIOPA dot. systemu zarządzania oraz dot. bezpieczeństwa i zarządzania w zakresie ICT [8]).Jednak nawet jeśli dla polskich podmiotów finansowych wymogi przewidziane w Rozporządzeniu DORA to bardziej ewolucja niż rewolucja, to konieczna jest weryfikacja i dostosowanie wewnętrznych procedur do przepisów tego rozporządzenia.

Do jakich jednak podmiotów finansowych Rozporządzenie DORA będzie miało zastosowanie?

Zakres podmiotowy określa art. 2 ust. 1 Rozporządzenia DORA i obejmuje 20 różnych typów podmiotów. Należą do nich przede wszystkim podmioty regulowane na rynku UE, w tym m.in. banki, firmy inwestycyjne, instytucje płatnicze, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i reasekuracji, dostawcy usług finansowania społecznościowego, tzn. platform crowdfundingowych), a z drugiej strony do zewnętrznych dostawców ICT. Istotne jest jednak, że nie wszystkie podmioty finansowe będą objęte tymi samymi obowiązkami w tym samym stopniu. Mianowicie, zgodnie z zasadą proporcjonalności obowiązki nałożone na podmioty finansowe różnią się w zależności od rozmiaru, zakresu działalności i profilu ryzyka podmiotu finansowego. Przykładowo tylko podmioty finansowe niebędące mikroprzedsiębiorstwami będą obowiązane do przeprowadzenia oceny ryzyka przy każdej większej zmianie infrastruktury sieci i systemów informatycznych (art. 7 ust. 3 DORA), czy też przeprowadzenia szczegółowej oceny ryzyka związanego z ICT w odniesieniu do wszystkich starszych wersji systemów ICT (art. 7 ust. 5 DORA). Ponadto niektóre obowiązki będą dotyczyć jedynie wybranych podmiotów, np. takich, które uznano za istotne i dojrzałe pod względem cyfrowym, będą zobowiązane do regularnego przeprowadzania testów penetracyjnych (art. 23 ust. 1 w zw. z motywem 35 DORA).

Obowiązki podmiotów finansowych wynikające z Rozporządzenia DORA opierają się na pięciu „filarach”.

  1. Zarządzanie ryzykiem związanym ICT (art. 5-14 DORA).
    Podmioty finansowe mają m.in. obowiązek utworzenia i utrzymania odpornych systemów oraz narzędzi ICT, środków ochrony i zapobiegania ryzykom, monitorowania incydentów ICT, wprowadzenia strategii ciągłości działania i planów przywrócenia gotowości do pracy.
  2. Zgłaszanie incydentów związanych z ICT (art. 15-20 DORA).
    Podmioty finansowe będą zobowiązane do ustanowienia oraz wdrożenia procesu zarządzania incydentami związanymi z ICT, klasyfikowania ich oraz zgłaszania do odpowiednich organów nadzoru (np. w Polsce – UKNF). Co istotne w tym kontekście, Rozporządzenie DORA ujednolica procedury zgłaszania incydentów ICT do organów nadzoru. Dotychczas procedury zgłaszania incydentów ICT wynikających z różnych aktów prawnych nie były ze sobą spójne i czytelne dla podmiotów finansowych w związku z różnymi wymogami, które w tym zakresie nakłada NIS, RODO czy PSD2.
  3. Testowanie operacyjnej odporności cyfrowej (art. 21-24 DORA).
    Rozporządzenie DORA zobowiązuje podmioty finansowe m.in. do przygotowania i aktualizacji programów testowania odporności cyfrowej oraz okresowego przeprowadzania zaplanowanych w programach testów penetracyjnych. Przepisy rozporządzenia precyzują też wymogi dla testerów oraz reguły wzajemnego uznawania wyników testów penetracyjnych w przypadku podmiotów finansowych działających w kilku państwach UE.
  4. Ryzyko ze strony zewnętrznych dostawców usług ICT (art. 25-39 DORA).
    Rozporządzenie DORA wprowadza również obowiązek monitorowania ryzyka ze strony zewnętrznych dostawców usług ICT współpracujących z podmiotami finansowymi, a także ustanawia minimalne wymogi dla umów z zewnętrznymi dostawcami ICT (art. 27 DORA). Co więcej kluczowi zewnętrzni dostawcy ICT dla podmiotów finansowych zostaną objęcia nadzorem organów finansowych (zasady uznania dostawcy za „kluczowego” określa 28 DORA).
  5. Wymiana informacji (art. 40 DORA).
    Rozporządzenie DORA umożliwia podmiotom finansowym zawieranie umów współpracy dotyczącej wymiany informacji i danych związanych z cyberzagrożeniami. Jak wskazano w motywie 30 Rozporządzenia DORA, wymiana informacji przyczynia się do większej świadomości na temat cyberzagrożeń oraz umożliwia podmiotom finansowym skuteczne ograniczanie skutków incydentów ICT. Wobec braku wytycznych, które adresowałyby tę kwestię na szczeblu unijnym, wymiana informacji pomiędzy instytucjami finansowymi była do tej pory ograniczona (z uwagi np. na niepewności co do zgodności z RODO, przepisami antymonopolowymi). Wobec tego art. 40 Rozporządzenia DORA ma zachęcić podmioty finansowe do regularnej wymiany wiedzy na temat zagrożeń i luk bezpieczeństwa.

Poza zasadą proporcjonalności, inną ważną zasadą Rozporządzenia DORA jest pełna odpowiedzialność organu zarządzającego za określenie, zatwierdzenie oraz nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT (art. 4 ust. 2 DORA). W motywie 36 podkreśla się m.in. konieczność ciągłego angażowania organu zarządzającego w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT. Przykładowo, zgodnie z art. 4 ust. 4 projektu Rozporządzenia DORA członkowie zarządu powinni regularnie odbywać szkolenia w celu zdobycia i aktualizacji wiedzy i umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na działalność podmiotu finansowego.

Główne założenia Rozporządzenia DORA, wpływ na działalność podmiotów finansowych oraz opis usług SPCG związanych z wdrożeniem nowych regulacji znajdą Państwo w krótkiej broszurce dostępnej TUTAJ.

Rozporządzenie MiCA

Celem Rozporządzenia MiCA jest stworzenie w Unii Europejskiej jednolitych ram prawnych dla obrotu tzw. „kryptoaktywami”. Kryptoaktywa nie stanowią instrumentów finansowych ani pieniądza elektronicznego i w związku z tym nie podlegają obecnie spójnym regulacjom unijnym zapewniającym przejrzystość rynku, ochronę inwestora lub konsumenta (wyjątkiem są przepisy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).

Zgodnie z projektem Rozporządzenia MiCA kryptoaktywa oznaczają cyfrowe odzwierciedlenie wartości lub praw, które można przenosić oraz przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej (art. 3 ust. 1 pkt 2) Rozporządzenia MiCA). Ustawodawca unijny wyróżnia przy tym 3 kategorie kryptoaktywów: i) tokeny powiązane z aktywami (asset-referenced tokens), ii) tokeny będące e-pieniądzem (e-money tokens) oraz iii) tokeny użytkowe (utility tokens). Rozporządzenie MiCA nie będzie miało zastosowania do kryptoaktywów, które kwalifikuje się jako instrumenty finansowe w rozumieniu dyrektywy MIFID II, pieniądz elektroniczny w rozumieniu dyrektywy EMD2 (za wyjątkiem jednak tokenów będących e-pieniądzem, o których mowa w Rozporządzenia MiCA), a także depozyty, sekurytyzacje bądź i lokaty strukturyzowane (art. 2 ust. 2 Rozporządzenia MiCA).

Przepisy Rozporządzenia MiCA będą dotyczyły emitentów kryptoaktywów, a także dostawców usług z zakresu kryptoaktywów, w tym m.in. podmiotów świadczących usługę przechowywania kryptoaktywów, prowadzenia platformy obrotu kryptoaktywami, wymiany kryptoaktywów na walutę lub inne kryptoaktywa oraz subemisji kryptoaktywów. Dostawcami takich usług będą mogły być jedynie osoby prawne mające siedzibę w jednym z państw członkowskich i dysponujące zezwolenie właściwego dla siedziby danego podmiotu organu nadzoru. Takie zezwolenie będzie umożliwiało świadczenie usług z zakresu kryptoaktywów na terytorium całej Unii Europejskiej (art. 53 Rozporządzenia MiCA) [9]. Ponadto szereg przepisów projektowanego rozporządzenia nakłada na dostawców zobowiązania dotyczące uczciwego, rzetelnego, profesjonalnego i przejrzystego prowadzenia działalności z zakresu kryptoaktywów (m.in. obowiązek publikacji polityki cenowej czy informowania konsumentów o ryzykach związanych z zakupem tokenów), w tym spełnienia określonych wymogów ostrożnościowych (np. polisa ubezpieczeniowa lub gwarancja obejmującej terytorium lub posiadanie funduszy własnych w rozumieniu Rozporządzenia MiCA) oraz organizacyjnych (np. osoby należące do zarządu lub osoby posiadające ponad 20% kapitału zakładowego lub praw głosów lub które w jakikolwiek inny sposób kontrolują dostawcę powinny udowodnić, że posiadają nieposzlakowaną opinię i kompetencje, a także nie były skazane za przestępstwa związane z praniem pieniędzy).

Drugą kategorią podmiotów, na którą zgodnie z projektem Rozporządzenia MiCA zostaną nałożone szczególne obowiązku są emitenci kryptoaktywów. Te obowiązki to chociażby obowiązek publikowania przez emitentów dokumentów informacyjnych dotyczących emisji kryptoaktywów (tzw. white papers stanowiące odpowiednik prospektu emisyjnego). Informacje zawarte w white papers mają być rzetelne, sporządzone w czytelnej, zwięzłej formie i nie mogą wprowadzać w błąd. Emitenci będą zobowiązani do przedłożenia white papers i materiałów marketingowych dotyczących oferty emisji kryptoaktywów właściwemu organowi nadzoru (np. w Polsce – KNF) w terminie 20 dni przed pierwszą emisją oraz opublikowania dokumentu na stronie internetowej emitenta [10].

Prace nad projektem Rozporządzenia MiCA wciąż trwają. O przebiegu prac będziemy regularnie informować na naszym blogu SPCG.

Rozporządzenie AI

Ostatnim projektem szczególnie istotnym dla sektora finansowego jest Rozporządzenia AI. Prace nad tym aktem prawnym są najmniej zaawansowane, niemniej znacząco przyspieszyły po opublikowaniu tekstów kompromisowych przez słoweńską (29 listopada 2021 r.) [11] i francuską (13 stycznia 2022 r.) [12] prezydencję Rady Unii Europejskiej.

Podobnie jak w przypadku operacyjnej odporności cyfrowej sektora finansowego oraz rynków kryptoaktywów, obecnie w prawie unijnym brak jest jakichkolwiek regulacji określających zasady rozwoju, wprowadzania do obrotu i wykorzystywania systemów sztucznej inteligencji przez przedsiębiorców. Dotychczas organy Unii Europejskiej publikowały jedynie dokumenty konsultacyjne, które nie są wiążące ani dla państw, ani dla podmiotów prywatnych, np. „Białą Księgę AI” [13]. Te dokumenty sygnalizowały jednak kluczowe zagadnienia, które organy unijne uważają za warte uregulowania.

Rozporządzenie AI ma określać zasady dotyczące wprowadzania do obrotu, oddawania do użytku oraz wykorzystywania systemów sztucznej inteligencji (dalej: „systemy AI”) w działalności przedsiębiorstwa (w tym w podmiotach finansowych), zakazane praktyki odnoszące się do systemów AI, wymogi dla systemów AI wysokiego ryzyka (tj. high-risk AI) i dostawców takich systemów, monitorowania działania systemów AI rynkowego i nadzoru nad rynkiem.

Katalog podmiotów objętych Rozporządzeniem AI obejmuje m.in. dostawców systemów AI prowadzących działalność na terytorium UE (niezależnie od miejsca siedziby), użytkowników systemu AI, którzy znajdują się w Unii i dostawców lub użytkowników znajdujących poza terytorium UE, jeżeli wyniki działania systemu AI są wykorzystywane w UE. Jeżeli więc podmiot finansowy wykorzystywałaby systemy AI w swojej działalności (np. dla celu badania zdolności kredytowej), powinien on stosować się do przepisów Rozporządzenia AI.

Rozporządzenie AI nakłada na ww. podmioty liczne obowiązki związane z wprowadzeniem do odbioru, oddaniem do użytku lub wykorzystaniem systemów AI. Co istotne, obowiązki te różnią się w zależności od poziomu ryzyka, które dany system AI może generować (podejście oparte na tzw. zasadzie ryzyka). W projekcie Rozporządzenia AI podkreśla się niejednokrotnie, że obciążenia regulacyjne powinno nakładać się na podmioty tylko w przypadku, gdy dany system AI może stwarzać ryzyko dla praw podstawowych lub bezpieczeństwa. W Rozporządzeniu AI dokonano więc podziału na następujące kategorie ryzyka, które mogą generować systemy AI: i) niedopuszczalne ryzyko, ii) wysokie ryzyko oraz iii) niskie lub minimalne ryzyko. Systemy AI niedopuszczalnego ryzyka uznano za sprzeczne z wartościami UE i zakazano ich stosowania (art. 5 Rozporządzenia IA) [14]. Z kolei systemy AI niskiego lub minimalnego co do zasady nie podlegają przepisom Rozporządzenia AI (z zastrzeżeniem jednak pewnych obowiązków, które nałożono na ww. podmioty, oraz które związane są z zapewnieniem przejrzystości systemów AI przeznaczonych do wchodzenia w interakcję z osobami trzecimi, tak aby osoby trzecie miały świadomość takiej interakcji).

Duża część projektu Rozporządzenia AI dotyczy zaś obowiązków nałożonych na podmioty w odniesieniu do systemów AI wysokiego ryzyka (high-risk AI). Za systemy wysokiego ryzyka (high-risk AI) uznano w szczególności te, które potencjalnie mogą mieć negatywny wpływ na bezpieczeństwo lub prawa podstawowe. Są to m.in. systemy do identyfikacji biometrycznej, zarządzania infrastrukturą krytyczną (woda, gaz, infrastruktura drogowa), dostępu do edukacji, zatrudniania (np. procesy rekrutacyjne), dostępu do świadczeń publicznych lub podstawowych usług prywatnych, egzekucji prawa, migracji oraz przekraczania granic, sprawowania wymiaru sprawiedliwości [15]. Systemy AI wysokiego ryzyka powinny być m.in. projektowane przy zachowaniu zasady przejrzystości oraz wykorzystaniu do trenowania lub testowania danych wysokiej jakości oraz pozbawionych uprzedzeń [16]. Dostawcy są również zobowiązani m.in. do sporządzenia odpowiedniej dokumentacji technicznej przed wprowadzeniem systemu AI do obrotu lub oddaniem go do użytku.

Niezależnie od powyższego, podmioty korzystające z systemów AI wysokiego ryzyka powinny wdrożyć i utrzymywać – przez cały cykl życia działania takiego system – system zarządzania ryzykiem. W przypadku instytucji kredytowych ww. system zarządzania ryzykiem powinien stanowić element wewnętrznych procedur, o których mowa w art. 74 dyrektywy 2013/36/UE.

Warto podkreślić, że projekt Rozporządzenia AI przewiduje wysokie kary za niedostosowanie systemów AI do przepisów omawianego aktu. Stosowanie praktyk zakazanych zgodnie z art. 5 Rozporządzenia AI lub niezgodność systemu AI z wymogami określonymi w Rozporządzeniu AI (art. 10) może prowadzić do nałożenia przez administracyjnej kary pieniężnej w wysokości do 30.000.000,00 EUR lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Nieprzestrzeganie innych wymogów dotyczących AI niż określone w art. 5 lub 10 Rozporządzenia AI ma podlegać karze w wysokości odpowiednio do 20.000.000,00 EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (ponownie zastosowanie ma kara wyższa). Wreszcie, przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym [17] oraz właściwym organom krajowym [18] ma podlegać karze w wysokości do 10.000.000,00 EUR lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (podobnie jak wyżej – zastosowanie ma kwota wyższa).

Prace nad Rozporządzeniem AI wciąż jednak trwają. Kontrowersyjnym zagadnieniem jest zwłaszcza brzmienie definicji „systemu sztucznej inteligencji”, która w słoweńskiej propozycji projektu ulegała znaczącym zmianom. W pierwotnej wersji projektu pod pojęciem „systemu sztucznej inteligencji” rozumiano każde oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik lub podejść wymienionych w załączniku do projektu (m.in. machine learning i pokrewne, podejścia oparte na logice i wiedzy, podejścia statystyczne, estymacja bayesowska oraz pokrewne), które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia, decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Słusznie zarzucano tej propozycji, że tak szeroka definicja AI będzie obejmować również takie oprogramowanie, które powszechnie nie jest uznawane za rozwiązanie z zakresu AI [19]. Słoweńska prezydencja Rady UE zaproponowała więc zmianę definicji w kierunku podkreślenia roli wnioskowania, w jaki sposób osiągnąć zestaw celów obranych przez człowieka poprzez uczenie się, rozumowanie lub modelowanie (symulację) – jako istoty każdego systemu AI [20]. Dlatego też warto śledzić zmiany w treści projektu, aby zawczasu przygotować dostosowanie wykorzystywanych w działalności podmiotu finansowego systemów AI do projektowanych przepisów. projektu.

Podsumowanie

Wykorzystanie nowych technologii przez instytucje finansowe to szansa na zdobycie nowych klientów, zaproponowanie nowych usług i poczynienie oszczędności dzięki automatyzacji procesów (AI). Jednakże wdrożenie nowych rozwiązań technologicznych to nie tylko wyzwanie czysto informatyczne, ale również prawne. Z jednej strony, podmiot finansowy musi zapewnić zgodność regulacyjną przy projektowaniu nowego rozwiązania, a z drugiej, zadbać o dobre umowy z dostawcami (o dobrych praktykach w umowach z dostawcami IT piszemy na naszym blogu). Dlatego też niezwykle istotna jest ścisła współpraca działu IT, biznesu i działu prawnego, który coraz częściej powinien uczestniczyć w całym procesie wdrożenia danego rozwiązania.

Przypisy:

[1] https://www.europarl.europa.eu/doceo/document/TA-9-2022-0088_PL.html

[2] https://data.consilium.europa.eu/doc/document/ST-11051-2020-INIT/pl/pdf

[3] https://data.consilium.europa.eu/doc/document/ST-11053-2020-INIT/pl/pdf

[4] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[5] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[6] Komunikat UKNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej – https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf

[7] Wytyczne EUNB w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT

[8] https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/eiopa-gls-ict-security-and-governance-pl.pdf

[9] ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) będzie prowadziła rejestr wszystkich dostawców usług z zakresu kryptoaktywów, którzy uzyskali odpowiednie zezwolenia (art. 57 Rozporządzenia MiCA),

[10] Opisywany obowiązek dotyczy emitentów wszystkich kategorii kryptoaktywów objętych Rozporządzeniem MiCA.

[11] https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf

[12] https://data.consilium.europa.eu/doc/document/ST-5293-2022-INIT/x/pdf?_vx_workflow=11738

[13] https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf

[14] Są to m.in. systemu, które wykorzystują zakazane praktyki wymienione w art. 5 Rozporządzania AI. Z kolei wspominamy przepis zakazuje wprowadzania do obrotu, oddawania do użytku lub wykorzystania systemów AI, które m.in. stosują techniki podprogowe, wykorzystują słabości określonej grupy osób, dokonują oceny lub kwalifikacji wiarygodności osób fizycznych na podstawie ich zachowania społecznego lub znanych bądź przewidywanych cech osobistych lub osobowości (scoring), systemów zdalnej identyfikacji biometrycznej „wczasie rzeczywistym” do egzekwowania prawa (poza pewnymi wyjątkami).

[15] Szerzej w załączniku nr 3 do Rozporządzenia AI.

[16] Wymogi dotyczące jakości danych określa art. 10 Rozporządzenia AI.

[17] Jednostki oceniające zgodność systemy IA, wyznaczone zgodnie z Rozporządzeniem AI lub innymi przepisami harmonizującymi UE.

[18] Krajowy organ nadzorczy, organ notyfikujący i organ nadzoru rynku.

[19] Opinia AIB Polska z dnia 11 czerwca 2021 r. do Kancelarii Prezesa Rady Ministrów, dostęp: https://www.iab.org.pl/wp-content/uploads/2021/06/IAB-Polska_uwagi-AI_11062021_final.pdf

[20] W słoweńskiej propozycji „system sztucznej inteligencji” oznacza system, który: i) otrzymuje dane wejściowe pochodzące od maszyny lub człowieka; ii) wnioskuje, jak osiągnąć dany zestaw celów zdefiniowanych przez człowieka, wykorzystując uczenie się, rozumowanie lub modelowanie realizowane za pomocą technik i podejść wymienionych w załączniku nr 1 do rozporządzenia; iii) generuje dane wyjściowe w postaci treści (generatywne systemy AI), przewidywań, zaleceń lub decyzji, które wpływają na środowiska, z którymi wchodzi w interakcje. Francuska prezydencja Rady UE nie wprowadziła dalszych zmian do definicji.

 

Napisz do autorów:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

dr Marcin Balicki SPCG

dr Marcin Balicki

adwokat
Senior Associate

Ustawowe prawo odstąpienia od umowy wdrożeniowej – cz. 2

Ustawowe prawo odstąpienia od umowy wdrożeniowej – cz. 2

Czytaj: 5 min

W pierwszej części publikacji dotyczącej ustawowego prawa odstąpienia od umowy wdrożeniowej szeroko omówiliśmy zasady korzystania przez strony z ogólnych podstaw odstąpienia wynikających z Kodeksu Cywilnego (art. 491 § 1, art. 492, art. 492[1] KC).

W części drugiej skupimy się na podstawach szczególnych (art. 631, art. 635, art. 636, art. 640 oraz art. 644 KC), które – tak jak sygnalizowaliśmy w poprzedniej części – przysługują wyłącznie jednej ze stron umowy wdrożeniowej. I tak dostawcy mogą skorzystać z podstawy wynikającej z art.  640 KC, zaś zamawiający z art. art. 631, art. 635, art. 636 oraz art. 644 KC. W niniejszej części opiszemy pokrótce każdą z tych podstaw, w tym przesłanki niezbędne do skorzystania przez stronę z uprawnienia do odstąpienia od umowy.

Uprawnienia przysługujące dostawcom

W praktyce, art. 640 KC to podstawa, na którą wykonawcy powołują się bardzo często. Zgodnie z treścią przepisu: „Jeżeli do wykonania dzieła potrzebne jest współdziałanie zamawiającego, a tego współdziałania brak, przyjmujący zamówienie może wyznaczyć zamawiającemu odpowiedni termin z zagrożeniem, iż po bezskutecznym upływie wyznaczonego terminu będzie uprawniony do odstąpienia od umowy”. Zasadniczo przesłanki te są podobne do tych, które reguluje art. 491 § 1 KC (w kontekście wyznaczenia dodatkowego „odpowiedniego” terminu i uchybieniu temu dodatkowemu terminu). Artykuł 640 KC nie dotyczy jednak zwłoki w wykonania zobowiązania wzajemnego, lecz braku wykonania przez zamawiającego wierzycielskiego obowiązku współdziałania. Nie chodzi tu o każdy brak współdziałania, lecz o brak takiego współdziałania, które jest potrzebne do wykonania dzieła w postaci wdrożonego systemu spełniającego wymagania określone w umowie np. brak zapewnienia przez zamawiającego infrastruktury opisanej przez dostawcę, która uniemożliwia kontynuowanie prac wdrożeniowych.

W razie odstąpienia przez dostawcę od umowy na podstawie art. 640 KC, będzie mógł on domagać się – zgodnie z art. 639 KC – całości wynagrodzenia wynikającego umowy z odliczeniem, jednakże tego, co wykonawca zaoszczędził z powodu niewykonania dzieła (np. koszty angażowania personelu) [1]. Wobec tego zamawiający powinien zawsze zadbać o uwzględnienie w umowie odpowiednich mechanizmów umownych, które umożliwią w pewnym zakresie mitygować ryzyko odstąpienia od umowy przez dostawcę na podstawie art. 640 KC, w tym np. wprowadzenie do umowy katalogu współdziałania (o tym pisaliśmy więcej w poprzednim naszym artykule na blogu dotyczącym kluczowych obszarów w umowach wdrożeniowych) czy obowiązku informowania zamawiającego o sposobie oczekiwanego współdziałania.

Uprawnienia przysługujące zamawiającym

Przepisy szczególne dla umowy o dzieło zawierają kilka przepisów, na podstawie których zamawiający mogą odstąpić od umowy, tj.:

  1. Art. 631 KC – zgodnie z tym przepisem zamawiający może odstąpić od umowy w przypadku podwyższenia wynagrodzenia kosztorysowego na podstawie art. 629 lub art. 630 KC, przy czym: i) odstąpienie powinno zostać dokonane niezwłocznie po podwyższeniu wynagrodzenia; oraz ii) zamawiający powinien zapłacić za dotychczas zrealizowane przez wykonawcę prace. W praktyce wynagrodzenie kosztorysowe nie jest wykorzystywane w umowach wdrożeniowych, dlatego też art. 631 KC jest rzadko stosowany przez zamawiających jako podstawa odstąpienia.
  2. Art. 635 KC – zamawiający może też odstąpić umowy wdrożeniowej, jeżeli dostawca opóźnia się z rozpoczęciem lub realizacją wdrożenia na tyle, że nie jest prawdopodobne, iż zdoła wykonać je w umówionym terminie wynikającym z harmonogramu. Zamawiający nie musi też wyznaczać dostawcy dodatkowego terminu, a odstąpić może przed upływem terminu końcowego realizacji umowy. Istotne jest to, że samo opóźnienie w realizacji danego etapu (np. wykonania analizy) nie zawsze uzasadnia odstąpienie od umowy, zwłaszcza w sytuacji, gdy prace mogą zostać przez dostawcę „nadrobione” w dalszych fazach realizacji projektu (np. dostawca może oddelegować do realizacji projektu dodatkowy personel). Zamawiający musiałby wykazać w takiej sytuacji, że opóźnienie w wykonaniu danego etapu jest na tyle duże, że wykonawca – obiektywnie – nie zrealizuje wdrożenia zgodnie z harmonogramem (tak więc nawet w sytuacji, gdyby zaangażował dodatkowy personel). Jeżeli bowiem okaże się, że opóźnienie nie jest istotne i dostawca mógłby zrealizować prace w terminie (np. nadrabiając je w dalszych etapach projektu) odstąpienie nie wywoła zamierzonych skutków. W praktyce ciężko jest wykazać, że opóźnienie w realizacji etapu jest na tyle istotne, iż uniemożliwi dostawcy wykonanie całego wdrożenia w terminie. Dlatego też rekomendujemy, aby zamawiający bardzo ostrożnie korzystali z tej podstawy prawnej [2].
  3. Art. 636 § 1 KC – jeśli dostawca wykonuje wdrożenie w sposób wadliwy albo sprzeczny z umową, zamawiający może wezwać go do zmiany sposobu wykonania oraz wyznaczyć mu odpowiedni termin. Po bezskutecznym upływie tego terminu zamawiający ma dwie możliwości, tj. i) odstąpić od umowy, albo ii) powierzyć wykonanie wdrożenia osobie trzeciej na koszy i ryzyko dostawy (tzw. wykonanie zastępcze). Co istotne, prawo do odstąpienia powstanie wyłącznie wtedy, gdy zamawiający jest w stanie wykazać, że realizacja prac jest wadliwa albo sprzeczna umową. Samo przeświadczenie zamawiającego o wadliwym wykonywaniu prac jest niewystarczające. Dlatego też istotne jest: (i) w miarę możliwości precyzyjnie określenie wymogów zamawiającego (punkt odniesienia oceny wykonywania wdrożenia) oraz (ii) zapewnienie w umowie mechanizmów, które umożliwiają zamawiającemu wgląd i weryfikację prac, które realizuje dostawca np. wprowadzenie do umowy prawa kontroli jakości prac, z możliwością angażowania specjalistycznego podmiotu trzeciego.
  4. Art. 644 KC – zamawiający ma również prawo odstąpić od umowy w każdej chwili, bez podania przyczyny, jeżeli dzieło nie zostało wykonane (ustawowe odstąpienie „for convenience”). W takim przypadku zamawiający powinien zapłacić dostawcy całość wynagrodzenia za projekt, przy czym zamawiający może odliczyć to, co dostawca zaoszczędził z powodu niewykonania umowy, np. koszty angażowania personelu [3].

Podsumowanie

Zawsze należy dokonać rzetelnej analizy czy okoliczności faktyczne danej sprawy rzeczywiście uzasadniają złożenie oświadczenia o odstąpieniu. Nieprzemyślane działanie, niemające uzasadnienia w faktach, może rodzić dalsze ryzyka, tzn. ryzyko uznania złożonego oświadczenia o odstąpieniu od umowy za bezskuteczne. W przypadku zamawiających złożenie oświadczenia o odstąpieniu, bezskutecznie bazującym na jednej z następujących podstaw: art. 631 KC, 635 KC, 636 § 1 KC, może zostać potraktowane przez sąd jako dokonane na podstawie art. 644 KC [4]. To zaś oznacza, że dostawca zachowa prawo do wynagrodzenia za projekt (stosownie pomniejszonego zgodnie z art. 644 KC). Z kolei bezskuteczne złożenie oświadczenia o odstąpieniu od umowy przez dostawcę może powodować, że umowa pozostanie w mocy, pomimo złożenia oświadczenia o „odstąpieniu”. Jednocześnie w takiej sytuacji oświadczenie o odstąpieniu będzie mógł złożyć zamawiający na podstawie art. 492[1] KC.

Wskutek skorzystania przez stronę z jednego z uprawnień do odstąpienia od umowy, strony są co do zasady zobowiązane są do zwrotu tego, co wzajemnie sobie świadczyły (skutek wsteczny odstąpienia) [5]. Nie zawsze to będzie jednak skutek pożądany przez strony. W pewnych przypadkach tak dostawcy, jak też zamawiającemu będzie zależeć na tym, aby odstąpienie miało skutek na przyszłość. Stąd też w praktyce umów wdrożeniowych rynkowym mechanizmem jest uwzględnienie umownego prawa odstąpienia, które kompleksowo reguluje podstawy jego dokonania i skutki prawne takiej czynności (tj. zasady rozliczeń pomiędzy stronami). Zagadnienie te opiszemy wkrótce w oddzielnym artykule.

Przypisy:

[1] Tak wyrok Sądu Najwyższego z dnia 7 lipca 1999 r., sygn. akt II CKN 426/98. Odmiennie jednak K. Zagrobelny, w: Gniewek, Machnikowski, Komentarz, 2016.

[2] Dużo bardziej optymalnym rozwiązaniem jest skonstruowanie w umowie tzw. umownego prawa odstąpienia w taki sposób, aby uprawniało ono zamawiającego do odstąpienia od umowy w przypadku ew. opóźnień w realizacji projektu. Kwestię tę poruszymy w kolejnym artykule dotyczącym umownego prawa odstąpienia.

[3] Tak m.in. wyrok Sądu Najwyższego z dnia 26 stycznia 2001 r., sygn. akt II CKN 365/00, wyrok Sądu Najwyższego z dnia 19 grudnia 2002 r., sygn. akt II CKN 1334/00 lub wyrok Sądu Najwyższego z dnia 22 maja 2003 r., sygn. akt II CK 367/02. Inaczej Sąd Najwyższy w wyroku z dnia 14 października 1998 r., sygn. akt II CKN 5/98, który wskazuje, że zapłata wynagrodzenia jest warunkiem odstąpienia przez zamawiającego na podstawie art. 644 KC.

[4] Tak między innymi wyrok Sądu Apelacyjnego w Szczecinie z dnia 28 maja 2013 r., sygn. akt I ACa 75/13, wyrok Sądu Apelacyjnego w Warszawie z dnia 23 lutego 2017, sygn. akt VI ACa 1936/16.

[5] Nie jest tak jednak zawsze. Jak wskazał Sąd Najwyższy w wyroku z dnia 19 września 2018 r., sygn. I CSK 587/17: „W razie odstąpienia od umowy na podstawie art. 635 KC, do rozliczeń pomiędzy zamawiającym i przyjmującym zamówienie nie odnosi się reguła wyrażona w art. 644 KC. Rozwiązań w tym przedmiocie należy poszukiwać na gruncie ogólnych przepisów regulujących odstąpienie od umów wzajemnych (art. 494 KC, względnie art. 491 § 2 KC, w kontekście podzielności świadczenia w rozumieniu art. 379 § 1 KC). W związku z czym, odstąpienie od umowy o dzieło, w okolicznościach konkretnej sprawy, nie zawsze wywiera skutek ex tunc (wsteczny).” Dlatego kwestię odstąpienia od umowy wdrożeniowej zawsze najlepiej skonsultować uprzednio z kancelarią prawną, którą oceni skuteczność planowanych działań, jak również wskaże na wszelkie skutki i ryzyka prawne związane z dokonaniem tej czynności.

 

Napisz do autora:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

Ustawowe prawo odstąpienia od umowy wdrożeniowej – cz. 2

Ustawowe prawo odstąpienia od umowy wdrożeniowej – cz. 1

Czytaj: 8 min

Umowa wdrożeniowa jest co do zasady kwalifikowana jako umowa o dzieło, do której zastosowanie mają przepisy art. 627 – art. 646 KC. Istotą umowy wdrożeniowej jest bowiem stworzenie oznaczonego z góry rezultatu w postaci rozwiązania IT (np. systemu informatycznego) wdrożonego w przedsiębiorstwie zamawiającego, spełniającego wymagania zamawiającego określone w umowie.

Taką też kwalifikację prawną umowy wdrożeniowej przyjmują co do zasady sądy powszechne w Polsce. Przykładowo, Sąd Apelacyjny w Łodzi w wyroku z dnia 24 października 2012 r., sygn. I ACa 745/12 zaznaczył, że umowa zawierana pomiędzy stronami, która opisuje określony skutek (np. wdrożenie systemu), jest umową o dzieło (a przynajmniej umową zbliżoną do umowy o dzieło) [1].

Model umowy wdrożeniowej

Nie oznacza to jednak, że na gruncie prawa polskiego umowa wdrożeniowa zawsze będzie umową o dzieło. Strony mogą zgodnie zadecydować o innym modelu kontraktowym, np. o modelu umowy o świadczenie usług. Potwierdza to wyrok Sądu Apelacyjnego w Poznaniu z dnia 17 lipca 2018 r., sygn. III AUa 113/17. W orzeczeniu tym Sąd słusznie zauważył, iż: „W praktyce, umowę wdrożeniową można skonstruować zarówno w modelu umowy o dzieło, jak w modelu umowy o świadczenie usług. Różnica między tymi modelami sprowadza się w uproszczeniu do tego, że o ile w pierwszym z nich gotowy system jest rezultatem, za którego osiągnięcie odpowiada wykonawca, to w drugim modelu tak jak miało to miejsce w stanie faktycznym niniejszej sprawy, wykonawca ma jedynie z należytą starannością wspierać proces wdrażania systemu przez zamawiającego”.

Innymi słowy, „dziełowym” charakterem wdrożenia mamy do czynienia w sytuacji, w której: (i) określono w umowie oznaczony rezultat (efekt), który ma zostać osiągnięty (np. wdrożony system, który spełnia wymienione w umowie wymagania), a także (ii) rezultat ten będzie możliwy do weryfikacji w ramach procedur odbioru pod kątem występowania wad. Jednocześnie przy takiej kwalifikacji umowy, to wykonawca bierze odpowiedzialność za wykonanie rezultatu, który ma być zgodny z umową.

Umowę wdrożeniową będziemy zaś kwalifikować jako umowę o świadczenie usług, jeżeli taka umowa nie będzie określać wymagań lub oczekiwań zamawiającego co do ostatecznego kształtu systemu. Taki charakter umowy daje stronom w większą swobodę w kształtowaniu rozwiązania IT w trakcie realizacji wdrożenia (np. dostosowania do potrzeb zamawiającego). Może się więc okazać, że końcowy produkt zrealizowany w modelu usługowym jest bliższy rzeczywistym wymaganiom zamawiającego, aniżeli ten realizowany w sztywnym reżimie modelu umowy o dzieło. Z drugiej zaś strony, przy przyjęciu modelu umowy o świadczenie usług dostawca nie odpowiada za końcowy rezultat zrealizowanych prac, a jedynie za dochowanie należytej staranności w procesie wdrażania systemu.

Niemniej, większość umów wdrożeniowych na rynku polskim jest konstruowana w modelu umowy o dzieło. Dotyczy to również umów wdrożeniowych realizowanych w metodykach zwinnych, w ramach których oznaczenie końcowego rezultaty bywa trudne, choć nie niemożliwe (np. oznaczenie systemu może nastąpić poprzez odesłanie do inicjalnego backlogu produktu, który będzie w trakcie realizacji umowy rozwijany). Kwalifikacja umowy wdrożeniowej oznacza zaś możliwość zastosowania przepisów Kodeksu Cywilnego, które to umożliwiają stronom dokonanie odstąpienia od łączącego je stosunku prawnego. W tym artykule przyjrzymy się uprawnieniom ustawowym stron do odstąpienia od umowy (pomijamy natomiast zagadnienie dotyczące umownego prawa odstąpienia – kwestie te są niezwykle istotne dla umów wdrożeniowych i będziemy jeszcze o nich pisać na blogu). Znajomość tych przepisów pozwala tak dostawcom, jak też zamawiającym mitygować ryzyka prawne związane z odstąpieniem od umowy przez drugą ze stron.

Kodeksowe podstawy odstąpienia

W przypadku umów wdrożeniowych skonstruowanych w modelu umowy o dzieło ustawowe podstawy do odstąpienia od umowy regulują dwie kategorie postanowień, tj. (i) postanowienia ogólne, które mają zastosowanie do wszystkich umów wzajemnych, w tym umów o dzieło (art. 491 § 1, art. 492 oraz art. 492[1] KC), a także (ii) postanowienia szczególne mające zastosowanie wyłącznie do umów o dzieło (art. 631, art. 635, art. 636, art. 640 i art. 644 KC). Ogólne podstawy odstąpienia określone w art. 491 § 1, art. 492, art. 492[1] KC przysługują obu stronom, tj. każda ze stron może odstąpić na podstawie tych przepisów. Z kolei przepisy szczególne regulują podstawy odstąpienia, które przysługują jednej ze stron umowy, tj. i tak art. 640 KC jest podstawą, z której może skorzystać wyłącznie wykonawca, zaś art. 631, art. 635, art. 636 oraz art. 644 KC są podstawami, z których może skorzystać wyłącznie zamawiający.

W niniejszej (pierwszej) części publikacji skupimy się na omówieniu ogólnych podstaw odstąpienia od umowy, które przysługują obu stronom. W części drugiej przyjrzymy się szczególnym podstawom odstąpienia.

Zwłoka dłużnika w wykonaniu zobowiązania wzajemnego (art. 491 § 1 Kodeksu Cywilnego)

W pierwszej kolejności omówimy art. 491 § 1 KC, tj. podstawę odstąpienia z powodu zwłoki dłużnika w wykonaniu zobowiązania wzajemnego. Aby strona mogła odstąpić na tej podstawie muszą zostać spełnione następujące warunki:

  1. dłużnik dopuszcza się zwłoki – tj. „kwalifikowanego opóźnienia” w wykonaniu świadczenia w terminie, za które odpowiedzialność ponosi dłużnik;
  2. zwłoka dotyczy wykonania zobowiązania wzajemnego, tj. takiego świadczenia strony, które jest odpowiednikiem świadczenia drugiej strony. W przypadku umowy wdrożeniowej skonstruowanej w modelu umowy o dzieło takimi świadczeniami wzajemnymi są (i) zapłata wynagrodzenia przez oraz (ii) wykonanie dzieła w postaci wdrożonego systemu spełniającego wymagania określone w umowie. Oznaczałoby to, że brak spełnienia jednego z ww. świadczeń wzajemnych uprawniałoby daną stronę do odstąpienia od umowy (np. brak wykonania wdrożenia w terminie końcowym określonym w harmonogramie uprawniałby zamawiającego do odstąpienia, o ile zamawiający spełniłby pozostałe wymogi określone w art. 491 § 1 KC). Jednakże, jak wskazuje Sąd Najwyższy w wyroku z dnia 24 czerwca 2014 r., sygn. I CSK 392/12, w art. 491 § 1 KC nie chodzi tylko o „niespełnienie świadczenia, które zgodnie z treścią zobowiązania należy się wierzycielowi, ale mogą także to być niewykonane obowiązki nawet funkcjonalnie związane z długiem”;
  3. wierzyciel wezwał dłużnika do wykonania zobowiązania wzajemnego w odpowiednim terminie pod rygorem odstąpienia od umowy. Wymóg oznaczenia terminu i rygoru uchybienia takiemu terminowi jest niezwykle ważny. Zdarza się (choć raczej rzadko), że strona chcąc odstąpić od umowy wyznacza drugiej stronie dodatkowy termin do wykonania danego zobowiązania, ale bez zagrożenia, iż bezskuteczny upływ takiego terminu będzie skutkować odstąpieniem od umowy. Natomiast brak takiej informacji w wezwaniu oznacza brak możliwości odstąpienia po upływie oznaczonego w wezwaniu terminu. W takim przypadku oświadczenie będzie traktowane jako zgoda wierzyciela (zamawiającego / dostawcy) na odroczenie spełnienia świadczenia. Po drugie istotne jest, aby dodatkowy termin był „odpowiedni”, tj. realnie umożliwiający spełnienie przez dłużnika świadczenia. Przykładowo, wyznaczenie terminu 2 dni roboczych, w sytuacji, gdy zakres prac pozostałych do wykonania, obiektywnie rzecz biorąc, nie pozwala na spełnienie świadczenia w postaci wykonania wdrożenia w tak krótkim czasie, może zostać uznany za nieodpowiedni (tę kwestię będzie oceniał sąd);
  4. nastąpił bezskuteczny upływ wyznaczonego terminu.

Dopiero po spełnieniu wskazanych powyżej przesłanek dana strona będzie mogła złożyć oświadczenie o odstąpieniu od umowy w sposób skuteczny. Oświadczenie powinno zostać sporządzone w formie, którą przewiduje umowa (tak będzie w większości przypadków) lub dokumentowej (jeżeli umowa nie przewiduje obowiązku zachowania formy, zaś umowa została zawarta w formie pisemnej, dokumentowej lub elektronicznej) i wysłane na adres siedziby drugiej strony.

Warto jeszcze zaznaczyć, iż art. 491 § 2 KC przewiduje pewne ograniczenie uprawnienia opisywanego powyżej. Jeżeli świadczenie jest podzielne, zaś dłużnik pozostaje w zwłoce tylko do części świadczenia, wierzyciel może odstąpić od umowy albo co do tej części (tj. części, co do której dłużnik pozostaje w zwłoce) albo też do całej reszty niespełnionego świadczenia. Co do zasady wykonanie dzieła w postaci wdrożonego systemu spełniającego określone w umowie wymagania nie będzie miało charakteru świadczenia podzielnego (nie jest to jednak zasada absolutna, a kwestia podzielności świadczenia powinna być zawsze badana w ramach okoliczności danej sprawy [2]). Przepis ten mógłby natomiast znaleźć zastosowanie w sytuacji, w której przedmiotem umowy jest wykonanie analizy poprzedzającej prace wdrożeniowe. Zwłoka z wykonaniem analizy mogłaby uzasadniać odstąpienie zamawiającego od umowy „na przyszłość” (tj. co do pozostałej części umowy).

Lex commissoria (art. 492 Kodeksu Cywilnego)

Przepis art. 492 KC uprawnia do odstąpienia od umowy, jeżeli takie uprawnienie zostało zastrzeżone w umowie na wypadek niewykonania zobowiązania w terminie ściśle określonym. W takim przypadku strona uprawniona w razie zwłoki dłużnika (tj. rozumianego jak wyżej – „kwalifikowanego opóźnienia” w wykonaniu świadczenia w terminie, za które odpowiedzialność ponosi dłużnik) może odstąpić od umowy bez wyznaczania dodatkowego terminu drugiej stronie [3].

Skorzystanie z tego prawa przez stronę jest jednak uzależnione od prawidłowego skonstruowania postanowień umownych. Strony powinny wskazać w umowie, że odstąpienie jest możliwe na wypadek niewykonania zobowiązania w oznaczonym terminie. Termin musi być określony ściśle jako konkretna data lub poprzez wskazanie momentu następującego z upływem określonego czasu (np. 24 miesięcy od zawarcia umowy). Postanowienia typu: „zamawiający może odstąpić od umowy w przypadku, gdy dostawca opóźni się z przedstawieniem prawidłowo wykonanego wdrożenia do odbioru w terminie 3 miesięcy od dnia odbioru Etapu I” są nieprawidłowe. Takie zastrzeżenie, z punktu widzenia prawnego, stanowi warunek. Strony nie są bowiem w stanie z całą pewnością określić, kiedy nastąpi odbiór Etapu I (planowany odbiór może się opóźnić).

Oświadczenie o niespełnieniu świadczenia (art. 492[1] Kodeksu Cywilnego)

Ciekawa, choć rzadko spotykana w praktyce podstawa odstąpienia. Zgodnie z treścią art. 492[1] KC, „jeżeli strona obowiązana do spełnienia świadczenia oświadczy, że świadczenia tego nie spełni, druga strona może odstąpić od umowy bez wyznaczenia terminu dodatkowego, także przed nadejściem oznaczonego terminu spełnienia świadczenia”. Odstąpienie na podstawie omawianego przepisu będzie więc możliwe tylko w przypadku, jeżeli dłużnik oświadczy, że nie spełni swojego świadczenia w ogóle – niewystarczające jest, gdy oświadczenie dotyczy braku spełnienia świadczenia w danym terminie. Przepis nie wymaga również wyznaczania dłużnikowi dodatkowego terminu do spełnienia takiego świadczenia.

W jednej ze spraw, w których brałam udział, Klient skorzystał właśnie z omawianej podstawy. Cały spór rozpoczął się wraz z pojawiającymi się problemami dotyczącymi odbioru dokumentu analizy. Dłużnik (dostawca) pozostawał w zwłoce z przedstawieniem do odbioru prawidłowo wykonanego dokumentu. Jednocześnie dostawca zarzucał brak współdziałania zamawiającego przy realizacji prac związanych z analizą z uwagi na: i) brak przekazania potrzebnych dostawcy informacji; ii) brak udostępnienia plików określonych w Opisie Przedmiotu Zamówienia w odpowiednim formacie (zamawiający kwestionował zarzuty dostawcy, ponieważ udostępniał na bieżąco posiadane informacje oraz pliki w formacie opisanym w umowie). W wyniku postępującego konfliktu dostawca złożył oświadczenie o odstąpieniu od umowy na podstawie art. 640 KC. Klient uznał oświadczenie te za złożone bezskutecznie, a następnie sam odstąpił na podstawie art. 492[1] KC, podnosząc, że oświadczenie dostawcy o odstąpieniu od umowy należało traktować jako oświadczenie dłużnika o odmowie spełnienia świadczenia „w ogóle” [4].

Powyższa sprawa jasno pokazuje, że strona przed złożeniem oświadczenia o odstąpieniu od umowy powinna zweryfikować, czy jej oświadczenie w danych okolicznościach faktycznych byłoby skuteczne. W przeciwnym wypadku strona odstępująca może narazić się na „kontratak” kontrahenta w postaci złożenia oświadczenia o odstąpieniu na podstawie art. 492[1] KC. Przy czym taki „kontrakt” może mieć daleko idące konsekwencje prawne, bowiem – zgodnie z art. 494 § 1 in fine KC – strona, która pierwsza odstępuje od umowy skutecznie, może żądać nie tylko zwrotu tego, co świadczyła (tj. skutek wsteczny odstąpienia), lecz również naprawienia szkody wynikłej z niewykonania zobowiązania na zasadach ogólnych (tj. o ile wykaże spełnienie przesłanek, które uprawniają stronę do dochodzenia ww. szkody).

Należy jednocześnie zaznaczyć, że art. 492[1] KC jest stosunkowo nowym przepisem, bowiem wszedł w życie w dniu 25 grudnia 2014 r. [5]). Orzecznictwo, które dotyczyłoby interpretacji art. 492[1] KC nie jest więc dość obszerne. Należy to mieć na uwadze rozważając skorzystanie z ustawowego prawa odstąpienia na podstawie omawianego art. 492[1] KC.

Podsumowanie

Ogólny katalog podstaw odstąpienia (art. 491 § 1, art. 492 i art. 492[1] KC) jest rzadko wykorzystywany przez strony umowy wdrożeniowej. W przypadku sporów związanych z umowami zarówno dostawcy, jak też zamawiający powołują się najczęściej na przepisy szczególne lub na postanowienia umowy, o ile strony uregulują umowne prawo odstąpienia w umowie (o umownym prawie odstąpienia będziemy pisać w oddzielnym wpisie na blogu). Nie oznacza to jednak, że są to przepisy „martwe”. Ich znajomość może być kluczowa dla procesu wychodzenia z umowy. Obrazuje to spór naszego Klienta, który swoje oświadczenie o odstąpieniu oparł na podstawie art. 492[1] KC. Stąd też warto uprzednio skonsultować z kancelarią prawną możliwości swojej organizacji w kontekście planowanego odstąpienia, jak również w celu analizy skuteczności dokonania takiej czynności i ryzyk prawnych z tym związanych.

Przypisy:

[1] Podobną kwalifikację przyjął np.: Sąd Okręgowy w Szczecinie w wyroku z dnia 13 sierpnia 2015 r., sygn. akt VIII GC 312/13; Sąd Apelacyjny w Białymstoku w wyroku z dnia 14 listopada 2013 r., sygn. akt I ACa 491/13; Sąd Apelacyjny w Białymstoku w wyroku z dnia 30 stycznia 2019 r., sygn. akt I AGa 184/18, i wiele innych.

[2] Przykładowo Sąd Apelacyjny w Warszawie w wyroku z dnia 10.07.2017 r., sygn. akt VI ACa 2064/15 uznał, że świadczenie w postaci wdrożenia systemu jest podzielne, ponieważ wykonawca zobowiązał się do sukcesywnego przenoszenia autorskich praw majątkowych do wykonywanych części oprogramowania. Taka treść zobowiązania zawarta w umowie zdaniem Sądu uzasadniała ocenę, że strony uznawały, iż każdorazowo wykonana część prac spełnia kryteria utworu i może być traktowana jako spełnienie samodzielnej części świadczenia.

[3] To samo dotyczy wypadku, gdy wykonanie zobowiązania przez jedną ze stron po terminie nie miałoby dla drugiej strony znaczenia ze względu na właściwości zobowiązania albo ze względu na zamierzony przez nią cel umowy, wiadomy stronie będącej w zwłoce. Przy czym taka sytuacja w przypadku umów wdrożeniowych występuje dosyć rzadko, wobec tego nie będziemy rozwijać tego wątku.

[4] Podobny stan faktyczny w wyroku Sądu Okręgowego w Szczecinie – VIII Wydział Gospodarczy z dnia 29 października 2020 r., sygn. akt VIII GC 363/19.

[5] Przepis ten został dodany do KC w ramach ustawy z dnia 30 maja 2014 r. o prawach konsumenta (Dz.U. z 2014 r. poz. 827).

 

Napisz do autora:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

Dekompilacja oprogramowania w celu naprawy błędów

Dekompilacja oprogramowania w celu naprawy błędów

Czytaj: 3 min

Legalny użytkownik może dekompilować kod wynikowy oprogramowania na potrzeby naprawy błędów. Taki wniosek płynie z wyroku Trybunału Sprawiedliwości Unii Europejskiej („TSUE”) z dnia 6 października 2021 r. (sygn. C-13/20; „Wyrok”). Nie jest to jednak uprawnienie absolutne. Prawo do legalnej dekompilacji całości lub części oprogramowania jest obarczone kilkoma warunkami, które postaramy się Państwu przybliżyć w niniejszej publikacji.

Tło sprawy – dekompilacja oprogramowania bez zgody uprawnionego

Rozstrzygana sprawa dotyczyła sporu pomiędzy belgijską spółką Top System, oferującą rozwiązania IT oraz belgijskim organem administracji publicznej „Selor”. W ramach wieloletniej współpracy Top System dostarczyło Selor oprogramowanie, które składało się z oprogramowania standardowego „Top System Framework” („TFS”) oraz oprogramowania dedykowanego, skrojonego na potrzeby Selor. Selor korzystało z TFS na podstawie licencji, nie mając jednocześnie dostępu do kodu źródłowego rozwiązania. Z uwagi na pojawiające się błędy oprogramowania TFS, których Top System nie usunęło, Selor samodzielnie dokonało dekompilacji części dostarczonego oprogramowania w celu wyłączenia funkcji, która okazała się wadliwa. W odpowiedzi na zachowanie zamawiającego Top System złożyło skargę, zarzucając Selor naruszenie wyłącznych praw autorskich spółki. W ocenie dostawcy czynność dekompilacji oprogramowania w celu naprawienia jego błędów mogła zostać dokonana jedynie po uzyskaniu uprzedniej zgody uprawnionego z tytułu praw autorskich. Takiej zaś zgody Top System nie udzieliło.

Sprawa trafiła do Sądu Apelacyjnego w Brukseli, który następnie postanowił zwrócić się do TUSE z dwoma pytaniami prejudycjalnymi, tj.:

  1. Czy art. 5 ust. 1 [dyrektywy 91/250] należy interpretować w ten sposób, że zezwala on uprawnionemu nabywcy programu komputerowego na dokonanie dekompilacji całości lub części tego programu, jeżeli dekompilacja ta jest konieczna, aby pozwolić mu na poprawienie błędów mających wpływ na funkcjonowanie tego programu, również w przypadku, gdy poprawka polega na wyłączeniu funkcji zakłócającej prawidłowe funkcjonowanie aplikacji, której program ten jest częścią?
  2. W przypadku udzielenia odpowiedzi twierdzącej na pytanie pierwsze, czy ponadto muszą zostać spełnione warunki określone w art. 6 dyrektywy lub jakieś inne warunki?

Treść wyroku

W ocenie TSUE dekompilacja całości lub części oprogramowania w celu naprawy jego błędów jest dopuszczalna, również bez zgody uprawnionego z tytułu praw autorskich. Taka możliwość wynika z art. 5 ust. 1 Dyrektywy Rady z dnia 14 maja 1991 r. w sprawie ochrony prawnej programów komputerowych („dyrektywa”), zgodnie z którym: „W braku szczególnych przepisów umownych czynności określone w art. 4 lit. a) i b) nie wymagają zezwolenia uprawnionego, jeżeli są konieczne do użycia programu przez uprawnionego nabywcę zgodnie z zamierzonym celem, włącznie z poprawianiem błędów[1].

Takiemu wnioskowaniu nie sprzeciwia się brzmienie art. 6 dyrektywy [2], który reguluje wymogi dekompilacji oprogramowania w celu osiągnięcia interoperacyjności stworzonych niezależenie programów. W ocenie Trybunału oba ww. przepisy są od siebie niezależne i spełnią inne cele. Celem art. 6 dyrektywy jest uregulowanie szczególnego przypadku dekompilacji, tj. dla zapewnienia interoperacyjności programów komputerowych (lex specialis). Natomiast art. 5 ust. 1 dyrektywy wprowadza generalną zasadę, która uprawnia legalnego nabywcę software’u do jego powielania, translacji, adaptacji, porządkowania i modyfikacji, jak też powielania wyników tych działań bez zgody uprawnionego, o ile jest to konieczne do korzystania z oprogramowania zgodnie z jego celem (lex generalis).

Dekompilacja oprogramowania w celu naprawy jego błędów nie jest nieograniczona. Nabywca oprogramowania (w tym przypadku licencjobiorca) powinien spełnić następujące wymogi:

  • dekompilacja jest przeprowadzona na potrzeby błędów rozumianych jako wady mające wpływ na program komputerowy, które są przyczyną jego niewłaściwego działania, oraz uniemożliwiają korzystanie z oprogramowania w sposób zgodny z zamierzonym celem;
  • dekompilacja musi być „konieczna”, by zapewnić nabywcy oprogramowania możliwość korzystania z produktu zgodnie z jego celem. Jeżeli błąd można naprawić w inny sposób, bez dokonywania dekompilacji, to czynność dekompilacji naruszy prawa wyłączne osoby uprawnionej (np. gdy licencjobiorca dysponuje kodem źródłowym rozwiązania);
  • nabywca oprogramowania nie może wykorzystać wyników dekompilacji do innych celów niż naprawa błędów.

Niezwykle istotnym dla praktyki (o ile nie najważniejszym) jest spostrzeżenie TSUE, zgodnie z którym strony nie mogą umownie wyłączyć jakiejkolwiek możliwości poprawiania błędów przez legalnego użytkownika. Strony mogą jedynie uregulować umownie zasady korzystania z tego uprawnienia.

Podsumowanie i wnioski dla praktyki

Wyrok ma praktyczne znaczenie zarówno dla dostawców i zamawiających, którzy w ramach relacji umownej uzgadniają zasady dostarczania oprogramowania standardowego, bez kodu źródłowego i bez prawa do modyfikacji oprogramowania. W takim przypadku legalny nabywca ma prawo, bez uprzedniej zgody uprawnionego, do dokonania dekompilacji części lub całości produktu, w celu usunięcia błędów mających wpływ na jego działanie, o ile taka czynność dekompilacji jest konieczna do zapewnienia zgodnego z celem korzystania z oprogramowania.

Strony powinny też pamiętać, że nie jest możliwe wyłączenie prawa legalnego użytkownika do poprawiania błędów oprogramowania. W świetle omawianego Wyroku takie klauzule należy uznać za nieważne. Trybunał dopuszcza jedynie możliwość umownego regulowania zasad korzystania z ww. uprawnienia, przy czym nie wskazuje jak daleko taka regulacja może sięgać. I tu pojawiają się wątpliwości – tj. czy odpłatna umowa serwisowa wyłącza prawo legalnego użytkownika do dokonania samodzielnej dekompilacji w celu usuwania błędów? Tego wątku Trybunał nie rozstrzyga. Niemniej warto mieć na uwadze omawiane orzeczenie TSUE przy konstruowaniu zobowiązań umownych stron w zakresie licencji oprogramowania.

Przypisy:

[1] Na gruncie prawa polskiego odpowiednikiem art. 5 ust. 1 dyrektywy jest art. 75 ust. 1) ustawy o prawie autorskim i prawach pokrewnych.

[2] Na gruncie prawa polskiego odpowiednikiem art. 5 dyrektywy jest art. 75 ust. 2 pkt 3) ustawy o prawie autorskim i prawach pokrewnych.

 

Napisz do autora:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

Ustawowe prawo odstąpienia od umowy wdrożeniowej – cz. 2

Kluczowe obszary w umowach wdrożeniowych

Czytaj: 6 min

Truizmem jest już twierdzenie, że sektor IT w Polsce rozwija się dynamicznie. Pandemia wirusa Sars-Cov-2 ten prężny rozwój jeszcze przyspieszyła. Jak pokazuje raport „Wpływ Covid-19 na Branżę Software House w Polsce”, przygotowany przez organizację SoDA, mediana tempa wzrostu polskich spółek IT utrzymuje się na poziomie 20% [1]. Co więcej, jak wskazują autorzy, aż „jedna trzecia firm stwierdziła, że pandemia COVID-19 miała na nie pozytywny wpływ[2].

Przejście pracowników i kontrahentów na pracę zdalną, ograniczenia epidemiologiczne i inne czynniki związane z pandemią, wymusiły digitalizację działania wielu organizacji. Zauważalny i niezwykle ciekawy jest zwłaszcza „trend” migracji przedsiębiorstw do chmury [3] (o zaletach i ryzykach prawnych migracji do chmury będziemy jeszcze pisać). Wciąż jednak znaczna część projektów stanowią wdrożenia oprogramowania w modelu on-premise (tj. na infrastrukturze organizacji), które mają wiele niepodważalnych zalet (np. pełna kontrola nad danymi, kontrola na aktualizacjami, mniejsze ryzyko vendor lock-in, możliwość modyfikacji rozwiązań pod konkretne potrzeby zamawiającego).
Co z punktu widzenia prawnego jest kluczowe, aby zapewnić sukces projektom wdrożeniowym lub przynajmniej zmniejszyć szanse ich niepowodzenia?
O jakie obszary należy zadbać, aby implementacja rozwiązania IT zakończyła się powodzeniem?
W niniejszej publikacji postaramy się odpowiedzieć na te pytania.

Zakres prac

Zakres prac to istotny obszar umów wdrożeniowych. Zakres prac determinuje bowiem „CO” i „JAK” ma być zrealizowane w ramach projektu.
„CO”, czyli jakie dokładnie oprogramowanie wchodzi w skład oferowanego przez dostawcę rozwiązania (oprogramowanie standardowe, oprogramowanie dedykowane, oprogramowanie open source etc.), jakie wymagania funkcjonalne lub pozafunkcjonalne ma spełniać rozwiązanie, czy też jakie procesy biznesowe ma ono obsługiwać.
„JAK”, czyli określenie koncepcji i sposobu zrealizowania ww. wymagań zamawiającego, oraz opisanie jakie cele muszą zostać osiągnięte bądź warunki spełnione, aby wdrożenie zostało uznane za wykonane prawidłowo.

Dla obu stron umowy powinno być jasne co ma zostać osiągnięte w wyniku realizacji wdrożenia (tzn. „CO” i „JAK” ma być wdrożone w przedsiębiorstwie zamawiającego). Tyle że dokładne sprecyzowanie zakresu prac na etapie zawierania umowy będzie często niemożliwe (i nie zawsze potrzebne). Dobrą praktyką jest załączanie do umowy wymagań zamawiającego odnoszących się do rozwiązania IT będącego przedmiotem wdrożenia (określenie „CO”) oraz zobowiązanie wykonawcy do realizacji analizy przedwdrożeniowej, której celem będzie m.in. określenie koncepcji i sposobu implementacji ww. wymagań w konkretnym środowisku informatycznym (opisanie „JAK”). Często dopiero po wykonaniu takiej analizy będzie znany dokładny kształt wdrażanego rozwiązania, zakres prac i związana z tym zakresem wysokość wynagrodzenia lub sposób jego kalkulowania. Warto też zadbać, aby analiza: i) opierała się na wymaganiach zamawiającego, a nie założeniach dostawcy; ii) nie zmieniała wymagań zamawiającego (chyba że zamawiający wyrazi zgodę na taką zmianę); iii) była maksymalnie precyzyjna i nie posługiwała się pojęciami nieostrymi. Prawidłowo wykonana analiza powinna być bowiem podstawą dalszej współpracy stron. Podkreślamy, że chodzi tutaj o analizę wykonaną prawidłowo – błędy popełnione przy okazji wykonywania analizy mogą położyć się cieniem na dalszych fazach realizacji projektu. Stworzenie analizy przedwdrożeniowej może też zawczasu uchronić strony przed zaangażowaniem się w projekt, który nie przyniesie rezultatów zakładanych przez zamawiającego – np. w granicach założonego budżetu nie będzie możliwe wdrożenie rozwiązania IT oferowanego przez dostawcę [4].

Wagę dokumentu analizy obrazuje jedna z prowadzonych przeze mnie spraw, w której Klient zwrócił się o pomoc prawną w związku z przedłużającym się odbiorem analizy. Klient odmawiał dokonania jej odbioru z uwagi na nieprecyzyjność treści dokumentu. Analiza w wielu miejscach nie opisywała koncepcji wdrożenia funkcji rozwiązania (tzn. „JAK”), lecz zawierała wprost skopiowane fragmenty z Opisu Przedmiotu Zamówienia dotyczące wymagań zamawiającego lub odsyłała do dalszych ustaleń w ramach wdrożenia. Kolejne iteracje odbiorowe zakończyły się niepowodzeniem, a strony zajęły przeciwne stanowiska (dostawca zarzucał Klientowi nieprzekazywanie potrzebnych mu informacji, zaś Klient dostawcę o nienależyte wykonanie analizy). Spór zakończył się złożeniem przez Klienta oświadczenia o odstąpieniu od umowy i rozliczeniem dotychczas wykonanych prac przez dostawcę. Decyzja Klienta podyktowana była dużym opóźnieniem w realizacji analizy, a także obawą, iż – z uwagi na nieprecyzyjność analizy – wdrożenie zostanie wykonane nieprawidłowo. Dlatego tak ważny jest moment odbioru analizy. Po akceptacji dokumentu analizy przez zamawiającego, nawet jeżeli zawiera ona nieścisłości, wykonanie umowy przez dostawcę zgodnie z jej treścią będzie co do zasady prawidłowym wykonaniem umowy.

Niedokładne określenie zakresu prac często prowadzi również do sporów w trakcie realizacji prac wdrożeniowych (tj. czy sporne prace są lub nie są objęte zakresem prac). Stosunkowo rzadko jednak konflikty pomiędzy stronami kończą się sporami sądowymi. Jednakże wszelkie tego rodzaju nieporozumienia hamują realizację projektu i angażują czas pracowników stron, ich zewnętrznych dostawców lub nawet doradców.

Zarządzanie zmianą

Nawet maksymalnie precyzyjne opisanie zakresu prac lub zobowiązań dostawcy nie powinno oznaczać, że ich zmiana w trakcie realizacji projektu nie będzie możliwa. Wręcz przeciwnie. Tego rodzaju sztywność byłaby dla projektów wdrożeniowych niepraktyczna. W trakcie wdrożenia okazuje się często, że niektóre funkcje wdrażanego rozwiązania nie mają dla zamawiającego uzasadnienia ekonomicznego lub technicznego, albo zamawiający jest zainteresowany implementacją dodatkowych funkcji. Dlatego też dobrze napisana umowa wdrożeniowa powinna zapewniać stronom pewną dozę swobody w zmianie zakresu prac. Na poziomie umownym taka swoboda jest gwarantowana poprzez postanowienia określające tzw. procedurę zarządzania zmianą.

Celem procedur zarządzania zmianą jest jak najszybsze i zarazem najprostsze umożliwienie dokonania zmian umowy, najczęściej w zakresie dotyczącym: i) zakresu prac, ii) budżetu oraz iii) harmonogramu. Należy przy tym pamiętać, że zakres, budżet oraz harmonogram są ściśle powiązane. Zmiana zakresu prac pociąga za sobą zmianę wysokości wynagrodzenia oraz harmonogramu realizacji projektu. I odwrotnie, zmiana wysokości wynagrodzenia (np. zmniejszenie budżetu na projekt) powoduje zazwyczaj konieczność rezygnacji przez zamawiającego z niektórych prac w ramach wdrożenia (ograniczenie zakresu prac).

Tym samym postanowienia związane z procedurą zarządzania zmianą to kolejny kluczowy obszar, o który strony powinny zadbać w ramach negocjacji umowy. Zarządzanie zmianą jest szczególnie ważne, gdy projekt jest realizowany zwinnie. Zakres prac w metodykach zwinnych (backlog) jest bowiem „żywy” i ulega ciągłym zmianom. Temu tematowi poświęcimy oddzielny wpis na blogu.

Klarowny podział obowiązków stron (obowiązek współdziałania)

W naszej praktyce widzieliśmy już wiele sporów, których powodem był niejasny podział obowiązków stron w ramach umowy. Skutek takiego niejasnego podziału prac może być przeróżny, czasem wręcz katastrofalny dla całego przedsięwzięcia… Od gigantycznych opóźnień, aż po złożenie przez jedną ze stron oświadczenia o odstąpieniu od umowy (wykonawca opierając się na art. 640 KC, tj. braku współdziałania zamawiającego; zamawiający zazwyczaj na art. 491 KC czy art. 635 KC, tj. zwłoki wykonawcy).

Dlatego też warto zadbać o klarowny i maksymalnie precyzyjny podział obowiązków stron w ramach umowy. Postanowienia typu „Zamawiający zobowiązuje się do współdziałania z Wykonawcą”, „Zamawiający będzie należycie współpracował przy realizacji Umowy” czy „Zamawiający udzieli wszelkich informacji, których zażąda Wykonawca, w terminie nie dłuższym niż X dni roboczych od dnia wystosowania żądania” mogą okazać się niewystarczające i prowadzić do wielu sporów.

Dobrym rozwiązaniem jest opracowanie kompleksowego załącznika, który wprost przesądzi zakres wymaganego od zamawiającego współdziałania [5]. W ramach takiego załącznika dostawca powinien wyczerpująco określić, jakich działań oraz informacji oczekuje od zamawiającego w trakcie wdrożenia (np. infrastruktury lub zdalnego dostępu o określonych przez dostawcę parametrach, wskazanej przez dostawcę liczby licencji oprogramowania, sal projektowych). Zamawiający powinien również uzyskać zapewnienie dostawcy, iż zakres jego współdziałania określony w umowie będzie wystarczający do prawidłowego wykonania umowy.

Dobrą praktyką jest również rozstrzygnięcie z góry o dostępności personelu zamawiającego, którego obecność jeść niezbędna do współpracy z pracownikami dostawcy. Nie chodzi tutaj tylko o koordynatorów projektu oraz dział IT, ale również o pracowników, którzy docelowo będą korzystać z wdrażanego oprogramowania (interesariuszy).

Sposób realizacji wdrożenia

Często zdarza się, że treść umowy wdrożeniowej rozmija się z rzeczywistością projektową. Natomiast w razie ewentualnego sporu sąd i prawnicy będą wykładali umowę literalnie (tak jak jest napisana), a nie przez pryzmat praktyki realizacji projektu. Wobec tego, aby uniknąć ewentualnych nieporozumień, sposób realizacji wdrożenia opisany w umowie (tj. opis przebiegu prac, podział ról, kompetencje pracowników) powinien jak najlepiej odzwierciedlać rzeczywistość i założenia biznesowe stron. Istotne jest w szczególności prawidłowe opisanie kompetencji kierowników projektu lub komitetu sterującego oraz sposobu podejmowania decyzji (np. w formie wiadomości e-mail lub poprzez odpowiednie wpisy w narzędziu zarządzania projektem). Brak przestrzegania przez strony postanowień umowy w zakresie sposobu realizacji wdrożenia może prowadzić do wielu problematycznych sytuacji, np. takich, w których decyzje kierowników projektu okazują się dla stron niewiążące (w sytuacji, gdy decyzje zostały podjęte niezgodnie z procedurą opisaną w umowie).

Podsumowanie

Prawidłowe oraz możliwie pełne i precyzyjne opisanie przedmiotu umowy, jasny podział obowiązków między stronami i pewna doza elastyczności co do warunków współpracy znacząco podnoszą szanse na zakończenie projektu sukcesem. Nasza praktyka pokazuje, że spory wokół umów wdrożeniowych dotyczą najczęściej wątpliwości co do zakresu prac oraz współdziałania wymaganego od zamawiającego. Warto tym wątpliwościom zapobiegać już na etapie pisania umowy.

Biznesowo oraz prawnie newralgicznych obszarów istotnych dla powodzenia wdrożenia jest oczywiście więcej (np. prawa autorskie, odpowiedzialność stron, w tym kary umowne, klauzule indemnifikacyjne, odstąpienie od umowy, exit plan). Poświęcimy im kolejne wpisy na naszym blogu.

Przypisy:

[1] Źródło: https://sodapl.com/storage/reports/June2021/53LY4721e7GjlWYjgOBt.pdf, str. 11 (dostęp: 02.03.2022 r.).

[2] Ibidem, str. 3.

[3] O ciekawym trendzie migracji przedsiębiorstw do chmury więcej w raporcie „The evolving path to cloud adoption” przygotowanym przez Colt Technology Services (źródło: https://www.colt.net/go/cloud-research-report/, dostęp 02.03.2022 r.). Analitycy Gartnera również przewidują, że wydatki przedsiębiorstw związane z migracją rozwiązań IT do chmury wzrosną, a w 2024 r. wydatki przedsiębiorstw związane z korzystaniem rozwiązań chmurowych będą stanowić 14,2% wszystkich (globalnych) wydatków organizacji na rozwiązania IT (źródło: https://www.information-age.com/public-cloud-end-user-spending-grow-18-2021-gartner-123492692/).

[4] Stąd też dobrą praktyką jest wprowadzenie do umowy tzw. umownego prawa odstąpienia zamawiającego, z którego zamawiający może skorzystać po wykonaniu analizy. Tego rodzaju odstąpienie powinno odnieść skutek „na przyszłość” oraz nie powinno pozbawiać dostawcy wynagrodzenia za już wykonane prace (odstąpienie nie jest bowiem związane z nienależytym wykonaniem umowy przez dostawcę, lecz uznaniem przez zamawiającego, że wdrożenie danego rozwiązania jest niecelowe).

[5] Czasami strony dołączają do umowy zaawansowane macierze odpowiedzialności RACI, które w sposób bardzo wyczerpujący przypisują określone zadania odpowiednim rolom projektowym.

 

Napisz do autora:

Aleksandra Modzelewska SPCG

Aleksandra Modzelewska

adwokat
Associate

Pin It on Pinterest