Niemal w każdym projekcie w branży IT, bez względu na to czy dotyczy to prac programistycznych, graficznych/UX, z zakresu architektury czy innych, główny wykonawca korzysta w jakimś zakresie z podwykonawców. Jest to rzecz zupełnie normalna. Nie każdy software house ma na tyle liczny i różnorodny pod kątem specjalizacji zespół aby samodzielnie podołać każdemu zleceniu. Z drugiej strony często jest tak, że klienci biją drzwiami i oknami i nie sposób im odmówić.
Artykuł jest częścią serii dotyczącej umowy wdrożeniowej, poniżej znajdziesz odnośniki do pozostałych wpisów. Jeśli, któryś z artykułów nie jest jeszcze podlinkowany, oznacza to, że wpis dotyczący tego zagadnienia pojawi się na blogu w najbliższej przyszłości.
- właściwe określenie stron umowy,
- przedmiot umowy wraz ze szczegółową specyfikacją systemu (waterfall) lub ogólnymi wstępnymi założeniami dotyczącymi jego wykonania (agile),
- termin wykonania prac,
- harmonogram prac,
- zasady współdziałania,
- kwestie związane z personelem i kierownikami projektu,
- kwestie korzystania przez wykonawcę z podwykonawców,
- testy (błędy i wprowadzanie poprawek),
- odbiory,
- odstąpienie od umowy (często mylone z wypowiedzeniem),
- własność intelektualna (przeniesienie autorskich praw majątkowych; licencja)
- wynagrodzenie,
- zabezpieczenie wykonania umowy,
- gwarancja i rękojmia,
- poufność,
- kwestie związane z rozwojem i utrzymaniem wykonanego systemu,
- kwestie związane z odpowiedzialnością wykonawcy,
- sposób rozwiązywania sporów.
Podwykonawcy w projektach IT
Na co jako wykonawca powinieneś zwrócić uwagę współpracując z podwykonawcami? W tym artykule dowiesz się o trzech, moim zdaniem najważniejszych, kwestiach w tym zakresie, tj.:
- przeniesieniu autorskich praw majątkowych,
- ochronie danych osobowych,
- zakresie odpowiedzialności za prace.
Przed przystąpieniem do współpracy z podwykonawcą warto jednak przeprowadzić proces należytej staranności (due diligence). Obejmuje on weryfikację kondycji finansowej podwykonawcy, jego doświadczenia w realizacji podobnych projektów, referencji od poprzednich klientów oraz praktyk w zakresie bezpieczeństwa informacji.
Szczególnie istotne jest sprawdzenie, czy podwykonawca posiada odpowiednie ubezpieczenie odpowiedzialności cywilnej oraz czy nie znajduje się na listach sankcyjnych. Taka wstępna weryfikacja może uchronić przed poważnymi problemami w trakcie realizacji projektu.
Zamów wzór umowy wdrożeniowej IT!
Kim jest podwykonawca w projekcie IT?
Na początku warto jednak doprecyzować kim na gruncie prawa jest podwykonawca. W projektach IT będzie to każda osoba (np. freelancer prowadzący jednoosobową działalność gospodarczą) lub firma, która na Twoje zlecenie jako głównego wykonawcy realizuje jakieś prace.
W rozumieniu prawa będą to wszystkie podmioty pracujące dla Ciebie na podstawie umowy zlecenia, umowy o dzieło i umowy współpracy (B2B). Za podwykonawców nie uważa się osób pracujących na podstawie umowy o pracę.
Warto pamiętać o ryzyku przekwalifikowania stosunku B2B na stosunek pracy. Jeśli współpraca z podwykonawcą nosi cechy stosunku pracy – stałe godziny pracy, podporządkowanie, integracja w strukturach zespołu, wyłączność współpracy – może dojść do uznania, że faktycznie mamy do czynienia ze stosunkiem pracy.
Skutkiem tego mogą być zaległe składki ZUS, podatki oraz roszczenia pracownicze. Dlatego ważne jest, aby współpraca z podwykonawcami rzeczywiście miała charakter B2B – podwykonawca powinien mieć swobodę w organizacji pracy, możliwość współpracy z innymi podmiotami oraz używać własnych narzędzi pracy. Takie przekwalifikowanie jednak w polskich warunkach nie dzieje się zazwyczaj z inicjatywy ZUS czy innego organu.
Zazwyczaj dzieje się tak po złożeniu przez podwykonawcę pozwu o ustalenie stosunku pracy w trybie art. 189 Kodeksu postępowania cywilnego.
Przeniesienie autorskich praw majątkowych od podwykonawcy projektu IT
W przeważającej części projektów IT zamawiający chce aby wykonawca przeniósł na niego autorskie prawa majątkowe do utworów wykonanych w ramach swoich prac, m.in. do programu komputerowego.
Wobec tego każdy wykonawca powinien upewnić się, że umowy, które ma zawarte z podwykonawcami, mają ten sam zakres (lub szerszy) dotyczący przeniesienia autorskich praw majątkowych.
Jednym słowem musisz mieć pewność, że otrzymałeś autorskie prawa majątkowe od podwykonawcy przed momentem przeniesienia ich dalej na klienta końcowego oraz że zakres tego przeniesienia pokrywa się z zakresem z umowy z zamawiającym.
Kluczowe jest zrozumienie, że w polskim prawie autorskim nie ma automatycznego przeniesienia praw autorskich na zamawiającego dzieło. Oznacza to, że nawet jeśli zapłaciłeś podwykonawcy za stworzenie oprogramowania, nie oznacza to automatycznie, że nabyłeś do niego prawa autorskie. Przeniesienie praw musi nastąpić w drodze wyraźnej umowy.
W umowie z podwykonawcą należy precyzyjnie określić pola eksploatacji, na których następuje przeniesienie praw. Zakres pól eksploatacji w umowie z podwykonawcą musi być co najmniej tak szeroki jak w umowie z klientem końcowym.
Nie możesz przenieść na kogoś więcej praw niż sam posiadasz. W tym kontekście warto także zaznaczyć, że często umowy z podwykonawcami podpisywane są przez systemy do zdalnego zawierania umów, które nie stosują kwalifikowanych podpisów elektronicznych w rozumieniu polskiego prawa (np. DocuSign).
Pamiętaj, że przeniesienie autorskich praw majątkowych ważne jest tylko wtedy gdy zostało zawarte w formie pisemnej, tj. w formie papierowej z odręcznym podpisem lub w formie elektronicznej przy użyciu kwalifikowanego podpisu elektronicznego.
Sprawdź również: Umowa przeniesienia autorskich praw majątkowych do oprogramowania. Wzór od prawnika.
Ochrona danych osobowych
Ochrona danych osobowych we współpracy z podwykonawcami jest kolejnym ważnym elementem, na który należy zwrócić uwagę. Najczęściej realizując projekt dla zamawiającego otrzymujesz od niego (jako administratora danych) dane osobowe. Stajesz się wtedy jego podmiotem przetwarzającym (procesorem).
Jeśli chcesz korzystać z podwykonawców najczęściej musisz im także powierzyć dane osobowe, które powierzył Ci wcześniej zamawiający. Dochodzi do tzw. dalszego powierzenia (podpowierzenia). Musi do niego dojść w drodze umowy i najczęściej po wyrażeniu zgody przez administratora.
Zgodnie z art. 28 RODO, umowa powierzenia przetwarzania danych (DPA – Data Processing Agreement) jest obowiązkowa zawsze gdy dochodzi do powierzenia przetwarzania danych osobowych. Umowa taka musi zawierać określone elementy: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Brak takiej umowy lub jej niekompletność może skutkować karą administracyjną.
Kluczową kwestią jest uzyskanie zgody administratora na korzystanie z dalszych procesorów. RODO przewiduje dwa modele: zgodę szczegółową (na każdego konkretnego podwykonawcę) lub zgodę ogólną. W przypadku zgody ogólnej musisz informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych procesorów, dając mu możliwość wyrażenia sprzeciwu. W praktyce software house’ów warto dążyć do uzyskania zgody ogólnej, która daje większą elastyczność operacyjną.
Umowa z podwykonawcą musi nakładać na niego te same obowiązki ochrony danych, które zostały nałożone na Ciebie przez administratora. Obejmuje to w szczególności: przetwarzanie danych wyłącznie na udokumentowane polecenie administratora, zapewnienie poufności osób upoważnionych do przetwarzania danych, wdrożenie odpowiednich środków technicznych i organizacyjnych, przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego, pomaganie administratorowi w realizacji obowiązków wynikających z RODO oraz usunięcie lub zwrot danych po zakończeniu świadczenia usług.
Dodatkowo musisz liczyć się z odpowiedzialnością za podmiot, któremu podpowierzasz dane w wypadku wycieku.
Art. 28 ust. 4 RODO stanowi wprost, że jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym. Oznacza to, że nawet jeśli wyciek danych nastąpi z winy podwykonawcy, to Ty będziesz odpowiadał wobec swojego klienta. Dlatego tak istotna jest staranna weryfikacja praktyk bezpieczeństwa podwykonawców oraz zawarcie odpowiednich klauzul odszkodowawczych w umowie z nimi.
Odpowiedzialność za prace
Ostatnim obszarem, na który wykonawca powinien zwrócić uwagę przy działaniu z podwykonawcami jest zakres odpowiedzialności. Podpisując umowę z zamawiającym każdy wykonawca przyjmuje na siebie pewną odpowiedzialność. Więcej o zasadach odpowiedzialności przeczytasz w tym artykule.
Aby uniknąć nieprzyjemnych zaskoczeń w razie niepowodzenia projektu, wykonawca powinien zadbać aby odpowiedzialność podwykonawcy względem niego była taka sama lub szersza niż odpowiedzialność wykonawcy względem zamawiającego. To samo tyczy się kar umownych.
W praktyce oznacza to konieczność dokładnego „przepisania” klauzul odpowiedzialności z umowy głównej do umowy z podwykonawcą. Jeśli w umowie z klientem odpowiadasz do pełnej wysokości szkody, umowa z podwykonawcą nie może zawierać ograniczeń odpowiedzialności do np. wartości wynagrodzenia.
Podobnie, jeśli umowa główna przewiduje kary umowne za opóźnienie w wysokości 0,5% wynagrodzenia za każdy dzień, analogiczne (lub wyższe!) kary powinny znaleźć się w umowie z podwykonawcą. Jeśli w umowie z klientem zobowiązałeś się do zwolnienia go z odpowiedzialności za roszczenia osób trzecich wynikające z naruszenia praw własności intelektualnej, analogiczna klauzula powinna znaleźć się w umowie z podwykonawcą.
W przeciwnym razie możesz znaleźć się w sytuacji, gdzie będziesz musiał pokryć roszczenia osoby trzeciej, nie mając możliwości regresowego dochodzenia odszkodowania od podwykonawcy, który faktycznie naruszył cudze prawa.
Warto rozważyć wprowadzenie do umowy z podwykonawcą obowiązku posiadania ubezpieczenia odpowiedzialności cywilnej w zakresie prowadzonej działalności na kwotę adekwatną do wartości zlecenia i potencjalnych ryzyk. Można także żądać przedłożenia polisy oraz dowodów opłacenia składek. To dodatkowe zabezpieczenie może okazać się kluczowe w przypadku wystąpienia szkody przewyższającej możliwości finansowe podwykonawcy.
Niezwykle istotne jest także określenie jurysdykcji i prawa właściwego, szczególnie przy współpracy z podwykonawcami zagranicznymi. Rekomenduje się wybór prawa polskiego i sądów polskich jako właściwych dla rozstrzygania sporów. Dochodzenie roszczeń za granicą jest czasochłonne, kosztowne i często nieskuteczne. Jeśli podwykonawca nalega na prawo swojego kraju, warto przynajmniej wynegocjować arbitraż przy jednej z uznanych instytucji arbitrażowych.