Wywiad: Bezpieczeństwo i wyzwania prawne w outsourcingu usług IT z Polski na rynek GCC

Z radcą prawnym Martą Dębiak-Bartosewicz z Bąk i Dębiak Kancelaria Radców Prawnych rozmawiamy o gotowości prawnej polskich software house’ów do świadczenia usług outsourcingowych z zakresu wytwarzania oprogramowania na rynki krajów Zatoki Perskiej. Dzielimy się naszymi doświadczeniami w tym zakresie i odpowiadamy na pytanie: czy doświadczenie w budowie oprogramowania dla polskich i europejskich instytucji finansowych pozwala świadczyć te same usługi dla rynku regulowanego w regionie GCC?

Outsourcing usług IT z Polski na rynki GCC: Bezpieczeństwo i wyzwania prawne. Wywiad z Martą Dębiak-Bartosewicz

Czy nawiązanie przez software house współpracy z firmami z rynku GCC wymaga specjalnych przygotowań pod kątem prawnym? Czy możesz o tym opowiedzieć na przykładzie Altkom Software?

M.D-B.: Dzisiaj, będąc już na etapie finalizacji kolejnych umów ramowych, mogę wskazać jeden taki obszar, który wymaga szczególnego podejścia i przygotowania. Otóż dla naszych partnerów biznesowych z regionu GCC krytyczne są kwestie cyberbezpieczeństwa, bezpieczeństwa informacji i przepływu danych. Restrykcyjne wymagania w wymienionych obszary są praktycznie nienegocjowalne, jeśli chodzi o jakiekolwiek ustępstwa czy kompromisy. I tutaj wspólne doświadczenia Altkomu i naszej kancelarii, wynikające z wieloletniej pracy dla podmiotów z sektora regulowanego oraz z procesu uzyskania certyfikacji ISO 27001 w 2022 roku, zaprocentowały istotną przewagą w stosunku do podmiotów, które tej pracy jeszcze nie wykonały ani nie posiadają takich doświadczeń w swoim portfelu. 

W praktyce wygląda to tak, że przed podpisaniem pierwszej umowy z dużym podmiotem finansowym z Arabii Saudyjskiej, przygotowaliśmy listę kontrolną i okazało się, że spełniamy oczekiwania klienta. Dzięki wspomnianym wcześniej doświadczeniom nie musieliśmy się dodatkowo przygotowywać czy pozyskiwać dodatkowych elementów; byliśmy gotowi i mogliśmy ze spokojem podjąć współpracę. 

Wspomniałaś o wymagających zapisach w umowach poruszających kwestie bezpieczeństwa informacji. Zaryzykowałabyś stwierdzeniem, że kraje GCC – na poziomie umowy – stawiają większy nacisk na bezpieczeństwo, niż spotykamy się z tym w Europie?   

M.D-B.: W mojej ocenie te oczekiwania są faktycznie wyższe. Zapisy w umowach i dokumentach są bardziej restrykcyjne i jednoznaczne. Warto wspomnieć, że dotyczy to również zapisów określających warunki zerwania współpracy, jeżeli jakiś element w tym zakresie – mowa o bezpieczeństwie informacji – nie zostanie spełniony lub zostanie złamany.   

Czy w umowach, przy których do tej pory pracowałaś, były jakieś zapisy, które Cię zaskoczyły?  

M.D-B.: Na początku zaskakujące były dla mnie zapisy związane z oczekiwaniami co do pracy developerów na miejscu, czyli w kraju i siedzibie naszego kontrahenta. Już na poziomie umów ramowych widnieje wyszczególniony szereg norm, które muszą spełniać osoby zaangażowane w projekt gotowe do wyjazdu służbowego. Nie są to pojedyncze zapisy, a dosyć rozbudowane wytyczne, obejmujące normy prawa pracy czy zdrowotne, które pracownicy Altkom Software muszą spełniać. 

W erze pracy zdalnej odzwyczailiśmy się od tego rodzaju wymogów, chociaż to oczywiście kwestia dotarcia się i otworzenia na inne podejście. Trzeba przyznać, że w krajach bliskowschodnich osobisty kontakt w relacjach biznesowych jest czymś ważnym. Klienci chcą nas faktycznie poznać i zobaczyć, w jaki sposób pracujemy, przedyskutować cele projektu i wypracować standardy dalszej współpracy, która z czasem przechodzić będzie w działania zdalne.  

Dla niektórych firm może to być pewne wyzwanie kulturowo-organizacyjne, w naszym przypadku i te wymagania udało się spełnić.  

Jak przebiegało przygotowanie na poziomie samych wzorów umów, procesu negocjacji czy kwestii prawnych, które mogą być dla nas w jakimś zakresie nieznane? 

M.D-B.: Ze względu na wcześniejsze międzynarodowe współprace, mamy przygotowane wzory umów, które bez przeszkód podpisywaliśmy z klientami z Niemiec czy Wielkiej Brytanii. Natomiast w przypadku podmiotów z rynków GCC do tej pory pracowaliśmy wyłącznie na umowach przygotowanych przez kontrahentów. Oczywiście może to wynikać z różnych aspektów, przede wszystkim ze znajomości umów – druga strona czuje się bezpieczniej, pracując na własnych dokumentach. Szczególnie widać to przy klientach z sektora regulowanego, gdzie negocjacje są najtrudniejsze i podmioty dosyć sztywno trzymają się swoich zapisów. A ponieważ ich szablony zostały już zaakceptowane przez organy nadzorcze, niechęć do wdrażania zmian jest w pełni zrozumiała.  

Umowy z podmiotami z regionu GCC narzucają nam działanie w zgodzie z prawem właściwym, które w tym przypadku oczywiście nie jest prawem polskim czy europejskim. Realizujemy projekty na ich potrzeby, a są to przede wszystkim klienci z rynku regulowanego, co wiąże się z pracą na danych poufnych. Z tego względu nasi kontrahenci muszą mieć poczucie, że te dane będą w odpowiedni sposób zabezpieczone. 

Warto dodać, że wszystkie nasze doświadczenia w zakresie negocjacji umów są pozytywne: chociaż rozmowy bywają stanowcze, to odbywają się w przyjaznej atmosferze. Dodatkowo w przypadku zapisów w umowach, na których nam szczególnie zależy, tj. kwestie zabezpieczenia zespołów i odpowiedzialności za ich pracę – spotykamy się ze zrozumieniem drugiej strony.   

Nieznajomość wszelkich aspektów prawnych każdego państwa w regionie może skutkować potencjalnymi problemami. Jak radzimy sobie z tego typu obawami?

M.D-B.:  Aby uniknąć ryzyk wynikających z nieznajomości pewnych niuansów, jesteśmy w stałym kontakcie z wybranymi kancelariami prawnymi w państwach, w których działamy najprężniej, tj. w Katarze, Zjednoczonych Emiratach Arabskich i w Arabii Saudyjskiej. Takie zaplecze daje nam poczucie bezpieczeństwa. Ponadto, przez całą działalność Altkom Software, w tym działalność międzynarodową, nigdy nie mieliśmy tego typu problemów; żadnych sporów, które trzeba było rozwiązywać na drodze sądowej. Kultura krajów z regionu GCC wydaje się pod tym względem jeszcze bardziej bezkonfliktowa. Z tych względów, a przede wszystkim dla efektywnej współpracy, zakładamy pozytywny scenariusz: że obie strony zawsze będą w pierwszej kolejności dążyć do uzyskania polubownego porozumienia. 

Zmierzmy się w takim razie z trudnym pytaniem: czy w Twojej opinii przeciętny software house z Europy, który wcześniej nie współpracował z firmami z regionu GCC, jest gotowy do rozpoczęcia tego typu współpracy? 

M.D-B.: Szczerze, trudno mi ocenić i jednoznacznie odpowiedzieć na to pytanie. Natomiast jeśli miałabym wskazać jedną rzecz, bez której w mojej ocenie podjęcie współpracy z firmami z regionu Zatoki Perskiej nie jest możliwe, to jest to uporządkowanie procesów wewnątrz organizacji. Bez stworzenia jasnego i bezpiecznego systemu zarządzania informacjami oraz danymi nie ma nawet co myśleć o wyjściu z usługami outsourcingowymi w zakresie tworzenia oprogramowania na rynek GCC. Tam te standardy cyberbezpieczeństwa, zarządzania informacjami i ochrony informacji są bardzo wyśrubowane. Szczególnie jeśli chodzi o klientów z sektora regulowanego. 

Znam jakość pracy Altkom Software i wiem, ile wysiłku włożyliśmy przez ostatnie 2-3 lata, aby spełnić wysokie wymagania naszych dotychczasowych Klientów. Dlatego teraz nie musimy obawiać się takich zapisów w umowach i spokojnie możemy potwierdzić, że Altkom Software spełnia oczekiwane normy. Jedną z ważniejszych gwarancji tego, jest wspomniany wcześniej certyfikat ISO 27001, którego posiadanie jednoznacznie mówi potencjalnemu partnerowi biznesowemu o wysokich standardach dostawcy. Ponieważ jest to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji, jak najbardziej otworzyła nam drzwi do współpracy z instytucjami finansowymi z regionu Zatoki Perskiej. Odradzam tutaj innym software house’om zbyt lekkie czy optymistyczne podejście do tych kwestii, ponieważ umowy zabezpieczają prawo klienta do wykonania audytu. Klient może w każdej chwili zdecydować się na wykonanie fizycznego audytu danych przetwarzanych w związku z umową (osobiście lub przy wykorzystaniu firmy audytorskiej).  

Podsumowując, jeśli w ogóle rozważać, co przeciętny software house miałby zrobić, aby wyjść z ofertą na rynek GCC, to na pewno uporządkować procesy, tworząc szczelny i w pełni bezpieczny system zarządzania informacjami oraz przetwarzania danych. Oczywiście wszystko też zależy, z jakimi firmami chcemy współpracować.  

Z moich obserwacji wynika, że dla firm z regionu GCC działających na rynku regulowanym, szukających outsourcingu programistycznego w Polsce, liczy się doświadczenie przyszłego partnera. Do rozmów o współpracy dochodzi dopiero w momencie, kiedy software house może pochwalić się portfelem klientów z danego sektora, w tym zespołami developersko-analitycznymi pracującym w zbliżonych projektach oraz kadrą menadżerską rozumiejącą biznesowe potrzeby klienta. 

Czy mimo różnic w prawie, polskie i europejskie doświadczenie Altkom Software z firmami z sektora finansowego, przygotowało nas do świadczenia usług programistycznych w Arabii Saudyjskiej, Katarze i innych państwach regionu? 

M.D-B.: Zdecydowanie tak, mimo iż każde państwo regionu GCC ma swoje własne regulacje, których należy bezwzględnie przestrzegać. W praktyce jednak te wymogi są zbliżone do tego, co znamy z regulacji ogólnoeuropejskich i naszych krajowych – w pewnym sensie wygrywamy tutaj z uwagi, że również Polska ma te standardy bezpieczeństwa informatycznego i technologicznego na wysokim poziomie. 

Należy podkreślić, że bez względu na rynek, świadczenie usług outsourcingu IT dla podmiotów z sektora finansowego oznacza obowiązek spełnienia wymogów dalece bardziej restrykcyjnych w porównaniu do wymogów oczekiwanych przez podmioty z rynku komercyjnego. Firmy niemające takiego doświadczenia, musiałyby wykonać gigantyczną pracę, żeby się przygotować. Pytanie, czy dla jednego klienta to w ogóle opłacalne? Jeżeli jednak software house ma cały portfel tego typu klientów, większość wymogów staje się oczywista, bez względu na region. 

I tu nie chodzi tylko o odznaczanie kolejnych punktów na liście do zrealizowania, ale o czas i liczbę projektów, które w praktyce sprawdzają przygotowanie software house’u do pracy w tym sektorze. Jako Altkom Software przeszliśmy długą drogę, przez lata wdrażaliśmy kolejne rozwiązania, mamy wypracowane plany ciągłości działania, dokumentację RODO, procedury ISO, sprawdzone w praktyce w różnorodnych projektach. Wszystko to pozwala nam iść dalej i realizować projekty IT dla klientów finansowych w różnych regionach świata.  

Czyli jeśli software house nie ma wystarczającego doświadczenia… 

M.D-B.: Może zatrudnić firmę, która przygotuje odpowiednie dokumenty i wykona odpowiednie zabezpieczenia, ale jeśli nie zostanie to przetestowane w praktyce, ryzyko jest ogromne. Ponadto taki software house nie przekona klientów, żeby mu tak po prostu zaufali.  

W końcu żadna poważna firma nie chce swoich mocnych stron opierać wyłącznie na zapisach w umowie. Tak jak wcześniej wspominałam, chcemy współpracować, opierając się w dużej mierze na zaufaniu. A budowa zaufania zaczyna się od pokazania doświadczenia, a nie chwalenia się liczbą dokumentów. Trzeba udowodnić, że sprawdzamy się w trudnych sytuacjach, w zarządzaniu skomplikowanymi projektami i rozbudowanymi zespołami. 

Powiedzmy jeszcze kilka słów o ryzykach związanych ze świadczeniem usługi outsourcingu programistycznego na linii Polska-region GCC. 

M.D-B.: Po pierwsze, podpisując umowę, zaświadczamy, że wytworzone przez nas oprogramowanie będzie zgodne z lokalnym prawem. Jest to w teorii bardzo ryzykowne, bo kto zna każdy, nawet najmniejszy zapis w prawie i to w prawie obcego kraju? Jednak z doświadczenia wiem, że są to pewne standardy i chociaż trzeba się zapoznać z wieloma regulacjami, to nie da się przygotować na wszystko. Znowu musimy w jakiejś części opierać się na zaufaniu – z jednej strony do kontrahenta, z drugiej do nas samych, że pracujemy bezpiecznie. No i oczywiście być w kontakcie z miejscowymi kancelariami, tak na wszelki wypadek 🙂  

Kolejną trudnością i potencjalnym ryzykiem dla software house’u z Polski czy Europy są wydłużone terminy płatności. Standardem jest, że pracujemy miesiąc i miesiąc czekamy na opłacenie faktury. Dla mniejszych firm może oznaczać to problemy z płynnością finansową. Trzeba mieć odpowiednie zaplecze, szczególnie przy dużych projektach, gdzie klient z Arabii Saudyjskiej, Emiratów czy Kataru potrzebuje nawet kilkudziesięciu developerów.   

To może na koniec wspomnisz coś, co jest standardem w polskich umowach, ale dla krajów Zatoki perskiej nie wydaje się aż tak istotne? Mimo że de facto mogłoby przynieść korzyść tamtejszym podmiotom.  

M.D-B.: Jest jeden taki aspekt, bardzo charakterystyczny dla polskiego rynku. U nas ogromną wagę przykłada się do kwestii zabezpieczenia praw autorskich i licencji, żeby to wszystko było uporządkowane i żeby jak najszerszy zakres praw przenieść na klienta. Jest to wyraźnie regulowane w każdej umowie, często zabezpieczone wieloma skomplikowanymi zapisami. Do tej pory w umowach z regionu GCC spotkałam się w tej kwestii z podejściem odmiennym. Co do zasady zapisy są ogólne, mało skomplikowane, a prawa autorskie pozostają przy wykonawcy usługi, a klient otrzymuje licencje, która oczywiście upoważnia go pełnego korzystania z oprogramowania, ale my możemy wykorzystywać zbudowany produkt czy kawałki kodu także w innych projektach. 

Oczywiście kwestia praw autorskich regulowana jest ściślej już na poziomie poszczególnych zamówień, ale zapisy w umowach ramowych – w porównaniu do naszych zapisów krajowych – są bardzo ogólnikowe, sprowadzone do zaledwie kilku zdań. W polskich umowach zapisy dotyczące przeniesienia praw autorskich czy udzielenia licencji sa bardzo szczegółowe, dodatkowo skupiają się wokół zabezpieczenia klienta na wypadek jakiejkolwiek trudnej sytuacji, np. gdyby software house wytwarzający oprogramowanie upadł czy został komuś sprzedany, stąd są bardzo rozbudowane i są jednym z głównych tematów w trakcie negocjacji. W przypadku państw z regionu GCC (do tej pory) nie było to tematem spornym. 

Mierzysz się z wyzwaniami z obszaru rozwoju oprogramowania? Napisz do nas

Bąk i Dębiak Kancelaria Radców Prawnych s.c. od kilkunastu lat świadczy profesjonalne usługi doradztwa prawnego dla całej grupy Altkom, skupiając się szczególnie na wsparciu Altkom Software przy projektach polskich i międzynarodowych dla podmiotów z sektora finansowego oraz dużych podmiotów zagranicznych. Radca prawny Marta Dębiak-Bartosewicz opracowała i negocjowała dla nas dziesiątki umów wdrożeniowych, zapewniając wsparcie biznesowe poparte wieloletnim doświadczeniem zawodowym.

Zachęcamy do odwiedzenia profilu Marty na Linkedin.