Zalety wyboru SaaS jako modelu dostępu do CRM
Podstawową różnicą między oprogramowaniem typu prywatnego (ang. on-premise) a usługą SaaS (oprogramowanie saas jako świadczenie usług drogą elektroniczną i jako model dostarczania oprogramowania przez dostawcę usługi na potrzeby model udostępniania oprogramowania dostawcy saas) jest podział obowiązków. Firma, która zamawia stworzenie software’u dopasowanego specjalnie do swoich potrzeb, zasadniczo samodzielnie zajmuje się jego obsługą, chyba że korzysta ze wsparcia wdrożeniowego, serwisowego lub pomocy innego rodzaju. Decydując się na CRM jako usługę („software as a service”), klient czerpie korzyści biznesowe z dostępu do samego oprogramowania (programu komputerowego), ale to dostawca dba o to, aby poszczególne moduły platformy, w tym:
- aplikacje;
- dane;
- przechowywanie zasobów;
- działanie serwerów;
- usługi sieciowe
– działały w sposób prawidłowy.
Dlaczego przedsiębiorcy chętnie decydują się na korzystanie z usług dostępnych w chmurze? Powodów jest przynajmniej kilka, także z perspektywy przepisów prawa.
Niższe koszty
Za wyborem CRM w postaci usługi przemawia możliwość optymalizacji wydatków i elastyczność. Platforma jest zwykle dostarczana w wariancie abonamentowym, co oznacza, że przedsiębiorca ponosi cyklicznie niewielkie koszty dostępu, może także wypowiedzieć umowę na zasadach w niej wskazanych, jeżeli uzna, że usługa nie spełnia jego oczekiwań (nawet przez przeglądarkę internetową).
Optymalne zarządzanie zasobami
Wybór CRM jako usługi oznacza lepsze gospodarowanie własnymi zasobami. Firma nie ma potrzeby inwestowania dużych pieniędzy w infrastrukturę, większość programów chmurowych jest dostępna bezpośrednio z poziomu przeglądarki internetowej. Co więcej, umożliwiają użytkownikom pracę z dowolnego miejsca, również przy użyciu urządzeń mobilnych.
Bezpieczeństwo cyfrowe
Chmurowy model usługi to również bezpieczeństwo. Usługodawcy dbają, aby ich produkty spełniały wymagania dotyczące ochrony danych osobowych oraz zabezpieczeń informatycznych wymaganych dla klientów biznesowych. Dzięki temu firma nie musi tworzyć całego działu odpowiedzialnego za monitorowanie zagrożeń cyfrowych, a także kupować drogich zabezpieczeń informatycznych.
Wybór dostawcy oprogramowania klasy CRM wymaga podpisania umowy. Przed jej podpisaniem należy dokładnie zapoznać się z treścią kontraktu, a w razie wątpliwości zlecić jego analizę kancelarii prawnej. Jakie elementy powinny znaleźć się w umowie o korzystanie z bazy CRM?
Licencja na korzystanie z oprogramowania CRM
Choć w doktrynie nie ma jednolitego poglądu co do tego, czy usługobiorca korzystający z bazy SaaS narusza monopol prawnoautorski usługodawcy, w celu uniknięcia wątpliwości co do dopuszczalnego zakresu korzystania z oprogramowania zaleca się uregulowanie zakresu licencji na korzystanie z platformy. Wynika to m.in. z faktu, że do korzystania z CRM w chmurze często wymagane są określone wtyczki w systemie, dające dostęp do programie na serwerze usługodawcy.
Regulując zagadnienia prawno autorskie warto doprecyzować, na jakich polach eksploatacji korzystający może używać bazy danych. Z punktu widzenia dostawcy korzystnym rozwiązaniem jest wskazanie w sposób jednoznaczny, że oprogramowanie jest jego wyłączną własnością, a użytkownik nie ma prawa do kopiowania, modyfikowania lub udzielania dalszych licencji na korzystanie z programu.
Korzystanie z bazy CRM a usługi świadczone drogą elektroniczną
Każda usługa dostarczana w modelu SaaS ze względu na swoją specyfikę jest świadczona drogą elektroniczną, więc podlega pod przepisy ustawy o świadczeniu usług drogą elektroniczną.
Stosownie do brzmienia art. 8 tej ustawy, usługodawca określa oraz bezpłatnie udostępnia usługobiorcy regulamin usługi, a także – na jego żądanie – udostępnia go w taki sposób, aby możliwe było pozyskanie, odtwarzanie i utrwalanie treści za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca. Minimalny zakres takiego regulaminu obejmuje:
- rodzaj i zakres usług świadczonych drogą elektroniczną;
- warunki świadczenia usługi drogą elektroniczną, w tym minimalne wymagania sprzętowe oraz zakaz dostarczania bezprawnych treści;
- warunki zawierania i rozwiązywania umowy o świadczenie usługi;
- tryb postępowania reklamacyjnego.
Co dzieje się z danymi po rozwiązaniu umowy?
Bazy CRM służą do przechowywania informacji o istotnym znaczeniu dla usługobiorcy, w tym dane osobowe klientów, szczegóły dotyczące współpracy czy potwierdzenia płatności za nabyty towar lub usługę. Z momentem, kiedy strony umowy o korzystanie z bazy przestają ze sobą współpracować, istnieje ryzyko, że wszystkie te dane przepadną.
Aby uniknąć takiej sytuacji, warto przewidzieć w umowie, że po jej rozwiązaniu usługobiorca dysponuje określonym terminem (np. 1 miesiąca), aby zalogować się do platformy i wyeksportować zapisane w niej informacje. Po upływie terminu informacje są bezpowrotnie niszczone, aby nie powodować ryzyka naruszenia przepisów dotyczących ochrony danych.
Wydanie zapisanych informacji powinno być stwierdzone pismem albo zapisać się automatycznie jako odpowiedni komunikat w dzienniku aplikacji.
Ciągłość świadczenia usługi CRM
Świadczenie usługi CRM w modelach chmurowych zakłada ciągłość dostępu do oprogramowania. Z tego względu każda umowa SaaS po części jest też umową utrzymaniową (ang, Service Level Agreement).
Decydując się na taki model współpracy, należy dokładnie określić w umowie minimalny standard świadczenia usług. Niemożliwość jego osiągnięcia uprawnia korzystającego do skorzystania z określonych mechanizmów wskazanych w umowie. Zazwyczaj będzie nimi możliwość żądania kary umownej lub rozwiązania umowy bez wypowiedzenia. Za pomocą, jakich parametrów określa się standardy w umowach SLA? Może być to np.:
- czas oczekiwania na odpowiedź ze strony systemu (ang. latency);
- przepustowość (ang. throughput);
- dostępność (ang. availability);
- częstotliwość błędów (ang. error rate).
Z reguły umowa SLA określa różne kategorie błędów – od niewielkich glitchy systemowych, które nie wpływają w żaden sposób na integralność usługi po błędy krytyczne, które uniemożliwiają dostęp do platformy. Do każdej z kategorii błędu powinien być przypisany maksymalny czas reakcji oraz przywrócenia pełnej funkcjonalności systemu.
W przypadku umów utrzymaniowych kary umowne mogą być naliczane ryczałtowo albo za każdy dzień opóźnienia w przywróceniu sprawności oprogramowania. W ten sposób można wygodnie skalować wysokość odszkodowania, które automatycznie dopasowuje się do stopnia naruszenia obowiązków przez dostawcę. O czym jeszcze powinny pamiętać strony umowy, decydując się na karę umowną?
- W interesie korzystającego leży zastrzeżenie możliwości dochodzenia odszkodowania uzupełniającego, które przenosi wysokość zastrzeżonej kary umownej;
- Usługodawca powinien zadbać, aby ograniczyć w umowie maksymalną wysokość kary umownej.
Na jaki okres zawierane są umowy o korzystanie z bazy CRM?
Umowy SaaS mogą być zawarte na czas nieoznaczony lub oznaczony. W pierwszym przypadku warto zadbać o określony termin wypowiedzenia (np. rozwiązanie umowy z ostatnim dniem miesiąca następującego po miesiącu wypowiedzenia). Inaczej dla usługodawcy istnieje ryzyko, że korzystający zrezygnuje ze współpracy z dnia na dzień.
Umowy zawarte na czas oznaczony powinny zawierać katalog przesłanek, których spełnienie umożliwia wcześniejsze rozwiązanie kontraktu. W przeciwnym razie strony są nim związane do końca okresu obowiązywania.
Czy dostawca oprogramowania chroni dane osobowe?
Do platform CRM zazwyczaj wprowadzane są dane dotyczące klientów firmy, a więc informacje będące danymi osobowymi w rozumieniu RODO. Decydując się na współpracę z dostawcą oprogramowania, należy upewnić się, czy gwarantuje on odpowiednio wysokie standardy ochrony tych informacji. Dlaczego jest to tak istotne?
Dostawca CRM jest procesorem danych osobowych, czyli podmiotem, który przetwarza je na zlecenie administratora. Administratorem jest usługobiorca – przedsiębiorca korzystający z platformy. Tak długo, jak procesor będzie przetwarzał dane w granicach upoważnienia administratora, to administrator poniesie odpowiedzialność za ewentualne naruszenia, ponieważ decyduje o celach i sposobie przetwarzania danych. Aby uniknąć wątpliwości co do losów danych osobowych w systemie, w umowie o korzystanie z bazy CRM należy określić m.in. takie kwestie, jak:
- rodzaj, zakres i cel przetwarzania danych osobowych;
- okres retencji danych osobowych;
- sposoby zabezpieczeń danych osobowych;
- kompetencje administratora w zakresie audytu;
- informowanie się nawzajem procesora i administratora o incydentach oraz przekazywanie tych informacji do organu nadzorczego (w Polsce jest to PUODO).
O ile państwa zobowiązane do stosowania przepisów RODO powinny zapewniać odpowiedni standard zarządzania danymi osobowymi, w przypadku takich krajów, jak Stany Zjednoczone, Chiny czy Turcja ta kwestia nie jest już taka oczywista. Dlatego w sytuacji, kiedy dostawca CRM pochodzi z państwa trzeciego, należy upewnić się, czy jest w stanie zapewnić odpowiednią ochronę informacji.
Firmy, które planują podpisanie umowy o korzystanie z bazy CRM, ale mają wątpliwości co do brzmienia kontraktu, powinny rozważyć skorzystanie ze wsparcia kancelarii prawnej. Nasi specjaliści od wielu lat wspierają sektor nowych technologii, przygotowując i opiniując umowy IT. Zadbamy, aby interes naszego klienta był należycie chroniony, a podpisywana umowa nie stwarzała niepotrzebnego ryzyka prawnego i biznesowego.
Pytania i odpowiedzi
W pierwszej kolejności należy upewnić się, czy Komisja Europejska wydała w przedmiocie danego kraju decyzję potwierdzającą spełnianie przez nie odpowiednich standardów ochrony danych. Takimi państwami jest np. Andora, Argentyna, Japonia, Nowa Zelandia i Kanada. Jeżeli danego państwa nie ma na liście, należy odwołać się do innych mechanizmów wskazanych w rozporządzeniu, jak wiążące reguły korporacyjne (tzw. BCR), standardowe klauzule ochrony danych czy zatwierdzony kodeks postępowania lub certyfikacji w zakresie danych osobowych.
Jednym ze sposobów jest przydzielenie odmiennego zakresu uprawnień pracownikom na różnych szczeblach. Poza zwykłymi zabezpieczeniami, jak login i hasło usługodawca może wprowadzić też konieczność sięgnięcia po inne technologie, np. klucze U2F. W ten sposób maleje ryzyko dostępu do bazy przez osoby niepowołane.
Zaufali nam: