Strona główna > Blog > Bezpieczeństwo danych i ochrona IP w outsourcingu IT. O czym musisz pamiętać w umowie? [2/2]
background

Bezpieczeństwo danych i ochrona IP w outsourcingu IT. O czym musisz pamiętać w umowie? [2/2]

Bezpieczeństwo danych – Twoja tarcza ochronna i obowiązek prawny

Jeśli Twój projekt przetwarza jakiekolwiek dane inne niż publicznie dostępne – zwłaszcza dane osobowe klientów, dane finansowe czy tajemnice handlowe – ich bezpieczeństwo staje się Twoim priorytetem i obowiązkiem prawnym.

Umowa o zachowaniu poufności (NDA) – absolutna podstawa

Umowa o zachowaniu poufności (Non-Disclosure Agreement) to pierwsza linia obrony. Powinna być podpisana jeszcze przed rozpoczęciem jakichkolwiek szczegółowych rozmów o projekcie. Musi ona jasno definiować, co jest informacją poufną (nie tylko kod i dane, ale też Twoje strategie marketingowe, plany biznesowe, procesy wewnętrzne, listy klientów). Kluczowe jest, aby obowiązek zachowania poufności trwał również po zakończeniu współpracy – najlepiej bezterminowo dla najcenniejszych tajemnic przedsiębiorstwa.

Przetwarzanie danych osobowych – RODO w praktyce

Jeśli Twój dostawca będzie miał dostęp do danych osobowych Twoich klientów lub pracowników (a w praktyce ma go prawie zawsze, choćby w formie dostępu do bazy danych), jesteś bezwzględnie zobowiązany przez RODO do podpisania z nim Umowy Powierzenia Przetwarzania Danych (DPA).

Dobra DPA to nie jest tylko formalność do odhaczenia. To szczegółowy dokument, który precyzuje obowiązki dostawcy (jako podmiotu przetwarzającego, czyli procesora) i chroni Ciebie (jako administratora danych). Zgodnie z Art. 28 RODO, umowa ta musi zawierać co najmniej:

  • Przedmiot, czas trwania, charakter i cel przetwarzania.
  • Rodzaj danych osobowych i kategorie osób, których dane dotyczą.
  • Obowiązki procesora: m.in. przetwarzanie danych wyłącznie na Twoje udokumentowane polecenie, zapewnienie, że osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy, oraz wdrożenie odpowiednich środków technicznych i organizacyjnych.
  • Zasady korzystania z pod-procesorów: Dostawca nie może zlecić części prac innemu podwykonawcy bez Twojej uprzedniej, pisemnej zgody.
  • Procedury wsparcia dla Ciebie w realizacji praw osób, których dane dotyczą (np. prawa do sprostowania lub usunięcia danych).
  • Zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych.
  • Twoje prawo do przeprowadzania audytów i inspekcji w celu weryfikacji zgodności z umową i RODO.

Techniczne i organizacyjne środki bezpieczeństwa

Nie polegaj na ogólnych zapewnieniach typu „dbamy o bezpieczeństwo”. Umowa musi wymagać od dostawcy wdrożenia i przestrzegania konkretnych, weryfikowalnych standardów bezpieczeństwa. Warto je wymienić w formie załącznika. Przykłady zapisów:

  • Szyfrowanie danych: Zarówno w tranzycie (np. przy użyciu protokołów SSL/TLS), jak i w spoczynku (szyfrowanie dysków i baz danych).
  • Kontrola dostępu: Dostęp do danych produkcyjnych i kodu źródłowego tylko dla imiennie upoważnionych osób, na zasadzie minimalnych niezbędnych uprawnień (principle of least privilege).
  • Bezpieczeństwo haseł i uwierzytelnianie: Wymóg stosowania silnych, unikalnych haseł i obligatoryjne uwierzytelnianie wieloskładnikowe (MFA) dla dostępu do kluczowych systemów.
  • Backup i odtwarzanie po awarii: Zdefiniowanie polityki regularnego tworzenia i testowania kopii zapasowych oraz planu odtwarzania systemów.
  • Bezpieczeństwo sieci i infrastruktury: Wymóg stosowania firewalli, systemów wykrywania i prewencji włamań (IDS/IPS) oraz regularnych skanów podatności.

Warto również odnieść się do uznanych norm i standardów, np. wymagając od dostawcy zgodności z wybranymi kontrolkami z normy ISO 27001 lub frameworku CIS Controls.

Procedury reagowania na incydenty (Incident Response Plan)

Co się stanie, gdy dojdzie do najgorszego – wycieku danych? Umowa musi precyzyjnie określać plan działania, aby uniknąć chaosu i wzajemnego obwiniania się:

  • Obowiązek notyfikacji: W jakim czasie dostawca musi poinformować Cię o naruszeniu? RODO wymaga zgłoszenia naruszenia do organu nadzorczego w ciągu 72 godzin. Dlatego Twój dostawca musi być zobowiązany do poinformowania Cię niezwłocznie, nie później niż w ciągu 24 godzin od wykrycia incydentu.
  • Role i odpowiedzialność: Kto jest odpowiedzialny za analizę techniczną incydentu, podjęcie działań naprawczych i ograniczenie szkód?
  • Koszty: Kto ponosi koszty związane z obsługą incydentu (analiza forensic, przywrócenie systemów, komunikacja z klientami, ewentualne odszkodowania i kary)?
  • Komunikacja: Kto i w jaki sposób komunikuje się z organem nadzorczym (UODO) i osobami, których dane dotyczą?

Brak tych zapisów gwarantuje eskalację kryzysu i utratę cennych godzin w kluczowym momencie.

Klauzule dodatkowe, które ratują biznes

Poza fundamentami IP i bezpieczeństwa, solidna umowa IT powinna zawierać kilka dodatkowych bezpieczników:

  • Prawo do audytu: Zapis dający Ci prawo do zweryfikowania (samodzielnie lub przez zewnętrznego, niezależnego audytora), czy dostawca faktycznie przestrzega zapisów umowy dotyczących bezpieczeństwa, poufności i procedur. Daje to realne narzędzie kontroli.
  • Odpowiedzialność i kary umowne: Umowa musi jasno definiować odpowiedzialność finansową dostawcy za niewykonanie lub nienależyte wykonanie zobowiązań. Kary umowne (np. za naruszenie NDA, opóźnienia w projekcie, naruszenie RODO) dają umowie „zęby” i motywują partnera do najwyższej staranności.
  • Zakaz konkurencji i podkupywania pracowników (Non-compete, Non-solicitation): Klauzule te, sformułowane w rozsądnych ramach czasowych i zakresowych, chronią Cię przed sytuacją, w której dostawca po zakończeniu projektu stworzy konkurencyjny produkt na bazie Twojego know-how lub „podbierze” kluczowych członków Twojego zespołu.
  • Plan wyjścia (Exit Plan) i Escrow kodu: Co się stanie, gdy umowa wygaśnie lub zostanie rozwiązana? Klauzula ta zobowiązuje dostawcę do pełnej współpracy w procesie płynnego przekazania projektu do innego zespołu (wewnętrznego lub zewnętrznego). Warto również rozważyć umowę escrow na kod źródłowy – neutralna strona trzecia przechowuje kod i udostępnia go Tobie w przypadku bankructwa dostawcy lub rażącego naruszenia umowy.

Podsumowanie i Twoja ostateczna checklista

Umowa w outsourcingu IT to nie jest dokument, który podpisuje się i o nim zapomina. To aktywne narzędzie zarządzania ryzykiem, ochrony wartości Twojej firmy i budowania zdrowej, partnerskiej relacji z dostawcą. Inwestycja w jej staranne przygotowanie – najlepiej z pomocą prawnika specjalizującego się w prawie nowych technologii – to jedna z najlepszych decyzji biznesowych, jakie możesz podjąć.

Zanim podpiszesz kolejną umowę, zadaj sobie te 10 kluczowych pytań:

  • Własność IP: Czy umowa jasno stanowi, że 100% praw autorskich do kodu stworzonego dla mnie przechodzi na moją firmę?
  • Moment przeniesienia: Czy wiem dokładnie, kiedy staję się właścicielem kodu (np. po opłaceniu faktury za dany etap)?
  • Prawa zależne: Czy mam zagwarantowane nieograniczone prawo do modyfikowania i rozwijania oprogramowania w przyszłości?
  • Background IP: Czy mam zapewnioną wieczystą i nieodpłatną licencję na korzystanie z autorskich narzędzi dostawcy, jeśli zostały użyte w projekcie?
  • Open Source: Czy dostawca jest zobowiązany do przedstawienia listy licencji i uzyskania mojej pisemnej zgody na ich użycie?
  • NDA: Czy umowa o poufności jest na miejscu i obowiązuje także po zakończeniu współpracy?
  • RODO: Czy podpisaliśmy szczegółową i zgodną z Art. 28 RODO Umowę Powierzenia Przetwarzania Danych (DPA)?
  • Środki bezpieczeństwa: Czy umowa wymienia konkretne techniczne i organizacyjne wymagania dotyczące ochrony danych?
  • Reakcja na incydenty: Czy mamy jasny, szczegółowy plan działania na wypadek wycieku danych, z określonymi czasami reakcji?
  • Odpowiedzialność: Czy umowa precyzuje odpowiedzialność finansową dostawcy i zawiera kary umowne za naruszenia kluczowych zapisów?

Jeśli na którekolwiek z tych pytań odpowiedź brzmi „nie” lub „nie wiem” – wciśnij hamulec. To czerwona flaga i sygnał, że Twoja umowa wymaga natychmiastowej poprawy, zanim złożysz na niej swój podpis.

Planujesz nowy projekt IT i chcesz go zabezpieczyć od A do Z? Porozmawiajmy o tym, jak stworzyć dla Ciebie bezpieczne ramy współpracy technologicznej, które pozwolą Ci spać spokojnie. Jeśli chcesz dowiedzieć się więcej, zapraszamy do kontaktu z naszymi specjalistami.

Źródła:

  1. https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/prawo-autorskie-i-prawa-pokrewne-16795787/art-1
  2. https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/kodeks-cywilny-16785996
  3. https://eur-lex.europa.eu/PL/legal-content/summary/general-data-protection-regulation-gdpr.html
  4. https://lubecka.law/blog/umowa-outsourcingu-co-to-takiego-i-jaki-jest-cel-jej-zawierania/
  5. https://barometrprawa.pl/artykul/outsourcing/
  6. https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/prawo-autorskie-i-prawa-pokrewne-16795787/art-74
  7. https://mindboxgroup.com/pl/pole-eksploatacji-w-umowach-it-o-czym-nalezy-wiedziec/
  8. https://www.lawmore.pl/blog/czym-jest-licencja-open-source
  9. https://it-consulting.pl/2024/04/13/depozyt-kodu-zrodlowego-czyli-co-nalezy-chronic/
Blog

Czytaj więcej

30 grudnia 2025
Case Study: Anatomia systemu szytego na miarę. Techniczny Deep-Dive w architekturę transformacji HARMO [2/2]
Case Study: Anatomia systemu szytego na miarę. Techniczny Deep-Dive w architekturę transformacji HARMO [2/2] Archeologia danych. Wyzwanie migracji Budowa nowego systemu to czysta przyjemność w porównaniu z migracją danych ze starego, niedoskonałego rozwiązania. W przypadku HARMO, dane historyczne (z kilku […]
Czytaj więcej →
15 maja 2025
Outsourcing IT w praktyce: jak skutecznie wykorzystać go dla rozwoju Twojej firmy w dynamicznej Europie?
Outsourcing IT w praktyce: jak skutecznie wykorzystać go dla rozwoju Twojej firmy w dynamicznej Europie? W dynamicznym świecie IT, gdzie dostęp do talentów i szybkie reagowanie na zmiany to klucz do sukcesu, firmy coraz częściej stają przed strategicznym wyborem: budować […]
Czytaj więcej →
20 czerwca 2025
Mistrzostwo w zarządzaniu zespołem outsourcingowym IT:przewodnik po narzędziach, metodykach Agile i strategiach sukcesu [2/2]
Mistrzostwo w zarządzaniu zespołem outsourcingowym IT:przewodnik po narzędziach, metodykach Agile i strategiach sukcesu [2/2] Metodyki Agile w outsourcingu IT: Jak zwiększyć elastyczność, transparentność i efektywność na odległość? Tradycyjne, kaskadowe modele zarządzania projektami (waterfall) często okazują się zbyt sztywne i nieefektywne […]
Czytaj więcej →
17 lipca 2025
Rewolucja w diagnostyce obrazowej: jak dedykowane oprogramowanie Gotoma Software House przekształciło pracę CM MED i podniosło efektywność o 25% [1/2]
Rewolucja w diagnostyce obrazowej: jak dedykowane oprogramowanie Gotoma Software House przekształciło pracę CM MED i podniosło efektywność o 25% [1/2] Kiedy wzrost odsłania technologiczne słabości  W dynamicznym świecie opieki zdrowotnej, gdzie precyzja diagnostyczna i efektywność operacyjna idą w parze z […]
Czytaj więcej →
24 lipca 2025
Rewolucja w diagnostyce obrazowej: jak dedykowane oprogramowanie Gotoma Software House przekształciło pracę CM MED i podniosło efektywność o 25% [2/2]
Rewolucja w diagnostyce obrazowej: jak dedykowane oprogramowanie Gotoma Software House przekształciło pracę CM MED i podniosło efektywność o 25% [2/2] Zarządzanie projektem, wyzwania software’owe i współpraca Realizacja tak złożonego projektu software’owego w wymagającym środowisku medycznym była pełna wyzwań. Skuteczne zarządzanie, […]
Czytaj więcej →
13 czerwca 2025
Mistrzostwo w zarządzaniu zespołem outsourcingowym IT: przewodnik po narzędziach, metodykach Agile i strategiach sukcesu [1/2]
Mistrzostwo w zarządzaniu zespołem outsourcingowym IT: przewodnik po narzędziach, metodykach Agile i strategiach sukcesu [1/2] Decyzja o zaangażowaniu zewnętrznego zespołu IT w ramach outsourcingu otwiera przed Twoją firmą drzwi do globalnej puli talentów, innowacji i często znaczącej optymalizacji kosztów. Jednak […]
Czytaj więcej →