Zadzwoń do nas: +48 539 533 522
E-mail: sekretariat@ppf.pl
Social media:

Odpowiedzialność prawna informatyka, cz. 1

19 stycznia, 2021

Odpowiedzalność prawna informatyka

Regulacja prawno-autorska zalicza program komputerowy do ogólnej kategorii utworu. Zgodnie z art. 1 ust. 2 Prawa autorskiego
jego przedmiotem są „utwory wyrażone słowem, symbolami matematycznymi, znakami graficznymi (literackie, publicystyczne,
naukowe, kartograficzne oraz programy komputerowe).” – Michał Molęda

 

Informatyka jest to nauka ścisła o przetwarzaniu informacji oraz o systemach obliczeniowych, ale to także działalność gospodarcza w zakresie informacji oraz oprogramowania sklasyfikowana w działach 62 i 63 Polskiej Klasyfikacji Działalności (PKD).

RODZAJE USŁUG INFORMATYCZNYCH

Usługi informatyczne są bardzo zróżnicowane, wśród najczęściej spotykanych w praktyce wymienić można:

  • projektowanie, specyfikowanie, modyfikację oraz instalację oprogramowania na zlecenia klienta,
  • dostawę własnego oprogramowania przez producenta,
  • dostawę oprogramowania firm trzecich,
  • zarządzanie projektami wdrożeń informatycznych u klienta,
  • doradztwo w zakresie oprogramowania lub sprzętu komputerowego,
  • szkolenia w zakresie oprogramowania lub sprzętu komputerowego,
  • analizę baz danych lub przetwarzanie danych klienta,
  • projektowanie lub instalację infrastruktury informatycznej,
  • hosting infrastruktury informatycznej,
  • projektowanie lub publikowanie stron internetowych, lub innych serwisów internetowych,
  • usługi w zakresie zapewnienia bezpieczeństwa systemów informatycznych klienta (m.in. testy penetracyjne, audyty bezpieczeństwa, monitoring sieci informatycznej klienta).

Usługi te świadczone są przez informatyków, których tytuły zawodowe różnie są określane, zależnie od specjalizacji i rodzaju usługi. Przykładowo mogą to być programiści, developerzy, graficy komputerowi, analitycy IT, testerzy IT, administratorzy bezpieczeństwa informacji, baz danych lub sieci informatycznych itp. Można ich określić ogólnie mianem specjalistów ds. informatyki lub konsultantów IT.

 

PODSTAWA PRAWNA ODPOWIEDZIALNOŚCI
Zakres ich odpowiedzialności jest zależny
od podstawy prawnej świadczenia usługi.
Wymienić należy trzy możliwe, typowe
sytuacje:

  • usługi świadczone są przez informatyków w ramach stosunku pracy,
  • usługi świadczone są przez informatyków prowadzących działalność gospodarczą, którzy zawierają umowy o współpracy z firmami informatycznymi (tzw. umowy B2B) albo przez informatyków bez zarejestrowanej działalności gospodarczej w oparciu o umowy zlecenia lub umowy o dzieło,
  • usługi świadczone są przez firmy informatyczne zawierające umowę z ostatecznym odbiorcą usług, oprogramowania lub sprzętu. Taka firma może być prowadzona w różnych formach prawnych. Najczęściej będzie to przedsiębiorca prowadzący działalność w formie spółki kapitałowej (tj. spółki z ograniczoną odpowiedzialnością albo spółki akcyjnej), ale także może to być osoba fizyczna prowadząca działalność gospodarczą lub przedsiębiorcy prowadzący działalność w formie spółki osobowej lub spółki cywilnej. W praktyce świadczenie usług wymagających dużych nakładów pracy i środków, związanych też z dużym ryzykiem biznesowym, wymaga organizacji świadczeniodawcy w formę spółki kapitałowej.

Z uwagi na ogromną presję rynku na nieustanną innowacyjność branży informatycznej, firmy często są zmuszane do poszukiwania nowych kompetencji, przy-
kładowo w zakresie sztucznej inteligencji (ang. artficial intelligence – AI) lub zrobotyzowanej automatyzacji procesów (ang. robotic process automation – RPA). Jest to realizowane nie tylko przez zatrudnianie informatyków z odpowiednimi kwalifikacjami i doświadczeniem, ale także przez podejmowanie wspólnych przedsięwzięć w formie tzw. konsorcjów. W ten sposób optymalizuje się koszty rozwoju, ale wiąże się to też z dodatkowym ryzykiem odpowiedzialności prawnej wynikającej z uczestniczenia w konsorcjach.

INFORMATYK – PRACOWNIK

Informatycy, którzy świadczą usługi zawodowe w ramach stosunku pracy ponoszą odpowiedzialność tak jak każdy pracownik.

W szczególności są chronieni przepisami Kodeksu pracy. Ograniczę się tutaj do przypomnienia art. 120 § 1 k.p., zgodnie z którym „w razie wyrządzenia przez pracownika przy wykonywaniu przez niego obowiązków pracowniczych
szkody osobie trzeciej, zobowiązany do naprawienia szkody jest wyłącznie pracodawca.” Pracodawca zachowuje roszczenie regresowe do pracownika, jednak w razie wyrządzenia szkody nieumyślnie pracownik odpowiada do wysokości kwoty trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody (art. 119 k.p.). Warto przypomnieć, że zgodnie z art. 122 k.p. „jeżeli pracownik umyślnie wyrządził szkodę, jest obowiązany do jej naprawienia  pełnej wysokości.” Szkoda wyrządzona umyślnie nie jest obejmowana ochroną ubezpieczeniową w ramach ubezpieczeń OC zawodowej. Biorąc pod uwagę powyższe regulacje, dla informatyka świadczącego usługi zawodowe w ramach stosunku pracy istotne powinno być jedynie to, aby to jego pracodawca posiadał adekwatne ubezpieczenie odpowiedzialności cywilnej, w ramach którego pracownik ma także status osoby współubezpieczonej. W takiej sytuacji pracownik – informatyk korzysta z ochrony ubezpieczeniowej nawet, gdyby jego pracodawca chciał wystąpić do niego z roszczeniem regresowym, w związku z nieumyślnym wyrządzeniem szkody.

INFORMATYK NA UMOWIE B2B

Informatycy świadczący usługi w ramach umów B2B (często nazywanych umowami o współpracy) lub innych umów cywilnoprawnych, ponoszą odpowiedzialność zgodnie z postanowieniami tych umów. Jak wiadomo umowy B2B najczęściej są wybierane przez świadczeniodawców z uwagi na korzystniejsze opodatkowanie przychodów, a także bar dziej elastyczną formę świadczenia usług niż w przypadku tradycyjnych umów o pracę. Jak wiadomo w przypadku kontroli, organy władzy skarbowej badają, czy zawarta umowa cywilnoprawna nie jest pozorna i czy nie należałoby ją kwalifikować jako umowę o pracę. Wiąże się to z ryzykiem odpowiedzialności tak dla zatrudniającego, jak i zatrudnionego. Może to rodzić odpowiedzialność na gruncie prawa ubezpieczeń społecznych oraz prawa podatkowego, w tym nawet odpowiedzialność karnoskarbową. Aby zminimalizować to ryzyko, informatyk zawierający umowę w modelu B2B z reguły zgadza się na ponoszenie pełnej odpowiedzialności z tytułu niewykonania lub nienależytego wykonania umowy bez żadnych ograniczeń kwotowych (tj. do określonej wysokości), ani przedmiotowych (np. ograniczenie tylko do spowodowania strat rzeczywistych bez utraconych korzyści). Ponoszenie pełnej odpowiedzialności jest charakterystyczne dla działalności przedsiębiorcy – w przeciwieństwie do odpowiedzialności pracowniczej, chronionej przepisami prawa pracy. Strony z reguły
wprost postanawiają, że zobowiązują się do należytego i starannego wykonywania wszystkich zobowiązań wynikających z umowy o współpracy i ponoszą pełną odpowiedzialność za skutki ich niewykonania lub nienależytego wykonania, na zasadach ogólnych przewidzianych w kodeksie cywilnym. W konsekwencji chodzi przede wszystkim o odpowiedzialność kontraktową wynikającą z art. 471 i nast. k.c. Do najważniejszych praktycznych kon sekwencji stosowania przepisów odpowiedzialności kontraktowej należą:

odpowiedzialność na zasadzie winy

  • w przeciwieństwie do odpowiedzialności na zasadzie ryzyka np. na podstawie art. 435 k.c. – odpowiedzialność osób prowadzących przedsiębiorstwo wprawiane w ruch za pomocą sił przyrody, art. 436 k.c. odpowiedzialność posiadacza mechanicznego środka komunikacji poruszanego za pomocą sił przyrody, art. 4491 k.c. – odpowiedzialność za produkt niebezpieczny;
  • wina strony, której zarzucane jest niewykonanie lub nienależyte wykonanie umowy, jest domniemana. Oznacza to, że na osobie odpowiedzialnej spoczywa ciężar dowodu, że dochowała należytej staranności, wykonując umowę;
  • należytą staranność dłużnika (w tym przypadku informatyka) w zakresie prowadzonej przez niego działalności gospodarczej określa się przy uwzględnieniu zawodowego charakteru tej działalności (art. 355 § 2 k.c.);
  • jeżeli informatyk wykonuje zobowiązanie z pomocą osób trzecich, ponosi odpowiedzialność za ich uchybienia tak, jak za własne działanie lub zaniechanie;
  • okres przedawnienia roszczenia o odszkodowanie z tytułu niewykonania lub nienależytego wykonania zobowiązania wynosi 3 lata, a jego bieg rozpoczyna się z chwilą, gdy roszczenie stało się wymagalne, tj. nastąpiło zawinione działanie lub zaniechanie oraz doszło do powstania szkody pozostającej w adekwatnym związku przyczynowym z tym działaniem lub zaniechaniem.

Nie można wykluczyć także możliwości zgłoszenia roszczenia w reżimie odpowiedzialności z tytułu czynów niedozwolonych na podstawie art. 415 k.c.

Przykładowo w sytuacji, gdy w wyniku zawinionego błędu informatyka doszło do wycieku danych osób trzecich – osoby te mogą zgłosić roszczenie o odszkodowanie do niego, mimo że nie łączy ich żadna umowa. Podstawą prawną może być czyn niedozwolony, polegający na zawinionym doprowadzeniu do ujawnienia danych osobom nieuprawnionym.

Konsekwencją nieograniczonej odpowiedzialności jest potrzeba jej ubezpieczenia. Posiadanie własnej polisy ubezpieczenia odpowiedzialności cywilnej wskazuje na „przedsiębiorczy”, a nie pracowniczy charakter prowadzonej działalności. Współubezpieczenie zatrudnianego na umowę B2B informatyka, jedynie w ramach korporacyjnej polisy ubezpieczenia OC zatrudniającej go firmy, może być poczytywana za dowód na pozorność postanowienia o nieograniczonej odpowiedzialności z tytułu umowy B2B.

INFORMATYK – FINALNY USŁUGODAWCA

Firmy informatyczne zawierające umowy z ostatecznym odbiorcą ponoszą pełną odpowiedzialność za swoje usługi, oprogramowanie lub sprzęt.

Do najczęściej spotykanych w praktyce umów w branży informatycznej zaliczyć należy:

  • umowę o wykonanie projektu informatycznego, który z reguły polega na powierzeniu wykonawcy stworzenia określonego rezultatu w postaci oprogramowania, według specyfikacji przedstawionej przez zamawiającego,
  • umowę o analizę przedwdrożeniową, w oparciu o którą wykonawca opracowuje specyfikację dla umowy o wykonanie projektu informatycznego lub umowy wdrożeniowej,
  • umowę wdrożeniową, której przedmiotem jest zgodnie z nazwą wdrożenie z reguły standardowego oprogramowania, np. typu CRM lub ERP,
  • umowę o projekt informatyczny typu „agile”, która jest realizowana w kolejnych iteracjach. W takiej umowie konieczne jest wyważenie interesów stron pomiędzy elastycznym reagowaniem w procesie tworzenia oprogramowania, a zabezpieczeniem nabywcy przed nieuzasadnionym przedłużaniem prac,
  • umowę ramową o świadczenie usług informatycznych – jest to umowa zawierana na czas nieokreślony i rozliczana metodą time&materials, czyli w oparciu o czas pracy i poniesione koszty (np. zakupu licencji),
  • umowę serwisową lub o utrzymanie systemu, której przedmiotem jest zapewnienie ciągłości i prawidłowego działania systemu informatycznego usługobiorcy, a także wykonywanie serwisu oprogramowania polegające najczęściej na usuwaniu błędów oraz instalacji aktualizacji,
  • umowę SLA (ang. Service Level Agreement). Istotą SLA jest zobowiązanie do utrzymania określonego poziomu usług. W ramach SLA usługodawca zobowiązuje się np. do usuwania błędów określonej kategorii w wyznaczonym czasie lub do ustalonego poziomu dostępności systemu informatycznego (ang. uptime). Czasem tę umowę utożsamia się z umową o utrzymanie systemu informatycznego,
  • umowę o tzw. cloud computing, tj. w szczególności udostępnianie oprogramowania do analizy i przetwarzania danych klienta lub osób trzecich,̈ umowę o projektowanie lub instalację infrastruktury komputerowej,
  • umowę o projektowanie lub publikowanie stron internetowych,
  • umowę o hosting infrastruktury informatycznej klienta,
  • umowy o usługi w zakresie zapewnienia bezpieczeństwa systemów informatycznych klienta (m.in. o testy penetracyjne, audyty bezpieczeństwa, monitoring sieci informatycznej klienta).

Istnieje wiele umów, których przedmiotem są świadczenia podobne lub zawierające w sobie elementy umów wymienionych powyżej. Można tu wskazać przykładowo umowę SaaS (ang. software as a service), gdzie przedmiotem świadczenia jest aplikacja przechowywana i wykonywana na komputerach firmy  informatycznej i udostępniana użytkownikom przez internet. Eliminuje to potrzebę instalacji i uruchamiania programu na infrastrukturze komputerowej klienta. Model SaaS przerzuca obowiązki instalacji, zarządzania, aktualizacji, pomocy technicznej z klienta na dostawcę usługi.

ZASADY ODPOWIEDZIALNOŚCI CYWILNEJ

Odpowiedzialność kontraktowa

Mimo zróżnicowanego przedmiotu świadczenia tych umów reguły rządzące odpowiedzialnością cywilną z tytułu niewykonania lub nienależytego wykonania zobowiązania (w tym odpowiedzialności odszkodowawczej) są dla nich wspólne. Regulują to omawiane powyżej przepisy art. 471 i nast. k.c. Znajdują one także zastosowanie do omawianych wcześniej umów B2B zawieranych przez informatyków z firmami informatycznymi.

Czyny niedozwolone

Niezależnie od odpowiedzialności kontraktowej nie można wykluczyć możliwości zgłaszania roszczeń odszkodowawczych na podstawie przepisów o odpowiedzialności za czyny niedozwolone (art. 415 k.c.). Dotyczy to przypadków naruszenia powszechnie obowiązujących przepisów prawa. Przykładem takiej
sytuacji może być naruszenie obowiązku ochrony danych wrażliwych przed ujawnieniem osobom nieuprawnionym, co doprowadziło do wyrządzenia szkody podmiotowi tych danych.

Prawo autorskie

Warto pamiętać, że ryzyko odpowiedzialności firm informatycznych wynika także z innych przepisów prawa. Biorąc pod uwagę fakt, że przedmiotem wielu umów

jest dostarczenie programu komputerowego, należy zwrócić uwagę na odpowiedzialność za usterki utworu wynikającą z art. 55 Prawa autorskiego (Ustawa
z dnia 4 lutego 1994 o prawie autorskim i prawach pokrewnych, Dz. U. Nr 23, poz. 83 z późn. zmianami).

Regulacja prawno-autorska zalicza program komputerowy do ogólnej kategorii utworu. Zgodnie z art. 1 ust. 2 Prawa autorskiego jego przedmiotem są:
„utwory wyrażone słowem, symbolami matematycznymi, znakami graficznymi (literackie, publicystyczne, naukowe, kartograficzne oraz programy komputerowe)”. W związku z tym należy przyjąć, że program komputerowy nie może zostać uznany za rzecz, a zatem co do zasady nie znajdą do niego zastosowania przepisy o rękojmi za wady rzeczy sprzedanej.

Zgodnie z art. 55 ust. 1 Prawa autorskiego „jeżeli zamówiony utwór ma usterki, zamawiający może wyznaczyć twórcy odpowiedni termin do ich usunięcia, a po
jego bezskutecznym upływie może od umowy odstąpić lub żądać odpowiedniego obniżenia umówionego wynagrodzenia, chyba że usterki są wynikiem okoliczności, za które twórca nie ponosi odpowiedzialności. Twórca zachowuje w każdym razie prawo do otrzymanej części wynagrodzenia, nie wyższej niż 25% wynagrodzenia umownego”. Przykładowe usterki programu komputerowego to:

  • niespełnianie przez program określonej w specyfikacji funkcji,
  • błędy wykonywania przez program
  • jego funkcji (np. niezapewnienie integralności danych),
  • nieergonomiczność pracy programu,
  • niezdolność programu do pracy w określonym w specyfikacji systemie operacyjnym lub przy założonych wymaganiach sprzętowych.

Zgodnie z art. 55 ust. 2 Prawa autorskiego „jeżeli utwór ma wady prawne, zamawiający może od umowy odstąpić i żądać naprawienia poniesionej szkody”.
Jak wynika z tej regulacji roszczenie o odszkodowanie dotyczy wad prawnych, a nie usterek funkcjonalnych programu komputerowego. Takie roszczenia o odszkodowanie z tytułu wad prawnych mogą być objęte ubezpieczeniem odpowiedzialności cywilnej.

RĘKOJMIA ZA WADY RZECZY SPRZEDANEJ

W przypadku, gdy firma informatyczna dostarcza sprzęt komputerowy lub nośniki danych wówczas w razie stwierdzenia ich wad fizycznych lub prawnych można stosować przepisy o rękojmi za wady rzeczy sprzedanej (tj. art. 556 i nast. k.c.). Dotyczy to jednak tylko wadliwości sprzętu lub nośnika, ale nie usterek dotyczących funkcjonalności oprogramowania, które jest chronione omówioną powyżej regulacją prawnoautorską oraz odpowiedzialnością kontraktową.

 

Źródło: Miesięcznik Ubezpieczeniowy