Prawo: Prezentacja – Ryzyko odpowiedzialności barierą IT

Czy pojawiały się jakieś nowe rozwiązania i rządowe projekty legislacyjne, związane z nowo powołanym Ministerstwem Cyfryzacji, które ułatwią bankom rozwój gospodarki elektronicznej?

– Pojawiają się nowe inicjatywy po stronie rządowej, ale na razie są to wstępne projekty i od wizji do ich realizacji jest jeszcze daleko. Przykładem jednej z nich jest zwołanie „Kongresu Wolności w Internecie”, który bezpośrednio, jako efekt sporu o ACTA, spowodował pracę nad „Kartą Wolności w Internecie”. Nazwy te mogą brzmieć górnolotnie, ale kryją się za nimi projekty, które dają nowe spojrzenie na program cyfryzacji polskiej gospodarki. Do ich realizacji powołano już kilka zespołów roboczych – jeden z nich ma się zajmować analizą nowych modeli biznesowych i ujawnianiem przeszkód w rozwoju e-gospodarki. Tu, z mojego punktu widzenia, jedna z barier prawnych ma istotne znaczenie: mam tu na myśli zakaz ograniczenia odpowiedzialności outsourcerów (np. dostawców usług informatycznych). Zakaz ten dotyczy firm, które świadczą usługi na rzecz banków i innych instytucji finansowych, np. funduszy inwestycyjnych.

Zakaz ten powstał w 2004 r. i pierwotnie dotyczył reżimu tzw. outsourcingu bankowego (na podstawie Prawa bankowego). Inspiracją do ustanowienia tego zakazu były, zgaduję, przepisy unijne, m.in. dyrektywy MiFID (Market in Financial Services Directive) oraz PSD (Payment Services Directive – dyrektywa o usługach płatniczych). Jest w nich zapisane, że instytucja finansowa nie może zwolnić się względem swojego klienta z własnej odpowiedzialności za niewykonanie usługi z powołaniem się na to, że uchybienie spowodował podwykonawca tej instytucji (czyli, że do uchybienia doszło wskutek outsourcingu). Postanowienie odpowiada stanowisku, że nie można się zwolnić z odpowiedzialności wobec klienta, jeżeli bank wybrał złego outsourcera. Wyjaśnijmy tu, że dostawcę usługi w Polsce nazywa się czasem „outsourcerem”, czasem „insourcerem”, w angielskim prawniczym używa się często określenia „outsourcee”.

W Polsce takie podejście jest oczywiste i wynika z przepisów Kodeksu cywilnego dotyczących odpowiedzialności kontraktowej (za niewykonanie lub nienależyte wykonanie zawartej umowy). W związku z tym właściwie nie można powołać się na podzlecenie czynności zewnętrznemu podmiotowi dla uniknięcia odpowiedzialności względem swojego klienta. Natomiast regulacje unijne nie mówią, że podwykonawca musi ponosić nieograniczoną odpowiedzialność. Taka regulacja jest twórczym pomysłem polskiego ustawodawcy i wprowadza nadmierną kontrolę – szkodliwą z punktu widzenia e-gospodarki.

W idealnym świecie nie byłoby może powodu, aby takiej (nieograniczonej) odpowiedzialności nie narzucić. Tyle że w świecie informatyki i usług informatycznych (a jest to świat globalny) w praktyce jest stosowana zasada odwrotna. Mówi ona: „ograniczamy swoją odpowiedzialność względem naszego kontrahenta”, tj. banku, argumentując, że ryzyko dostawcy IT powinno być powiązane z jego przychodem, czyli kosztem jego usług dla kontrahenta (banku). Dostawcy usług informatycznych twierdzą, że skoro nie udzielają kredytu ani nie pobierają opłaty od przelewu, nie chcą ponosić kosztów tego, że w danym przypadku opóźni się wypłata kredytu lub przelew. Jakkolwiek oceniać konkretne te argumenty, prawdą jest, że i w Polsce i na świecie w relacjach pomiędzy firmami dopuszcza się rozsądne ograniczenia odpowiedzialności w stosunkach umownych.

Chodzi może o błędy w oprogramowaniu, które mogą skutkować utratą zysków instytucji finansowej, np. gdy nastąpi ujawnienie tajemnic firmy lub jej klientów?

– W obydwu przypadkach dostawca ponosi odpowiedzialność, zwłaszcza gdy można mu udowodnić, że zrobił coś celowo, ze złą wolą. W tym drugim przypadku nie ma żadnej możliwości, aby uwolnić się od odpowiedzialności ponieważ w polskim prawie jest przepis, że z powodu winy umyślnej odpowiadasz do ...