W ostatnim czasie obserwujemy niepokojący trend na rynku usług IT. Dostawcy oprogramowania coraz śmielej konstruują umowy w taki sposób, by zminimalizować swoją odpowiedzialność, a całe ryzyko prawne i techniczne przerzucić na Ciebie – Administratora Danych.
Zamiast partnerstwa, często otrzymujemy dokumenty pełne „haczyków”. Na co musisz uważać, zanim złożysz podpis?
Czerwone flagi w umowach – 4 najczęstsze triki
Analiza ostatnich wzorców umownych ujawniła cztery krytyczne obszary, w których Twoja organizacja może zostać wystawiona na ryzyko:
1. Zrzucanie odpowiedzialności za błędy systemu
Dostawcy wprowadzają zapisy, zgodnie z którymi „nie odpowiadają za działanie oprogramowania oraz za szkody poniesione w związku z korzystaniem z niego”. Oznacza to, że jeśli błąd w kodzie spowoduje wyciek danych, dostawca będzie próbował uniknąć odpowiedzialności finansowej.
2. Warunkowość umowy powierzenia
Wiele umów głównych zawiera jedynie ogólną informację, że do powierzenia „może dojść” i wtedy „strony zawrą odrębną umowę”. Brak podpisanej umowy powierzenia w momencie, gdy serwisant loguje się do bazy danych, jest rażącym naruszeniem RODO, za które odpowiada Administrator.
3. Jednostronne narzucanie warunków
Zapisy typu „wprowadzenie kodu licencyjnego jest równoznaczne z akceptacją warunków umowy” mają na celu związanie Administratora regulaminem, którego ten często nawet nie negocjował.
4. Przerzucenie ciężaru bezpieczeństwa IT:
Dostawcy wymagają, aby to Administrator w całości zapewnił „środki bezpieczeństwa infrastruktury IT” oraz „regularne kopie bezpieczeństwa”, jednocześnie nie dając gwarancji, że samo oprogramowanie jest bezpieczne (tzw. privacy by design).
Inspektor Ochrony Danych (IOD) posiada wiedzę, która pozwala mu „przetłumaczyć” język prawniczy na realne ryzyka dla Twojej jednostki.
- IOD musi sprawdzić, czy zakres danych wskazany w umowie (np. dane beneficjentów, numery PESEL, dane o składzie rodziny) zgadza się z faktycznymi operacjami w systemie.
- IOD pomoże wynegocjować zapisy, które nie będą stawiały Twojej jednostki na straconej pozycji w razie awarii systemu lub ataku hakerskiego.
- IOD jest w stanie rzetelnie ocenić, czy umowa powierzenia oferowana przez dostawcę spełnia wszystkie wymogi ustawowe.
Działajmy mądrze przed szkodą
Pamiętaj, że raz podpisana umowa, która wyłącza odpowiedzialność dostawcy, jest niezwykle trudna do podważenia w sądzie. Dlatego każda nowa licencja, moduł czy system dziedzinowy musi trafić na biurko IOD jeszcze przed zakupem.
Chodzi tu nie tylko o bezpieczeństwo danych pracowników i klientów, ale także o prawny spokój i bezpieczeństwo kierownictwa Twojej Organizacji.