Aspekty prawne umowy na korzystanie z bazy CRM (model SaaS, licencja)

Podstawową różnicą między oprogramowaniem typu prywatnego (ang. on-premise) a usługą SaaS (oprogramowanie saas jako świadczenie usług drogą elektroniczną i jako model dostarczania oprogramowania przez dostawcę usługi na potrzeby model udostępniania oprogramowania dostawcy saas) jest podział obowiązków. Firma, która zamawia stworzenie software’u dopasowanego specjalnie do swoich potrzeb, zasadniczo samodzielnie zajmuje się jego obsługą, chyba że korzysta ze wsparcia wdrożeniowego, serwisowego lub pomocy innego rodzaju. Decydując się na CRM jako usługę („software as a service”), klient czerpie korzyści biznesowe z dostępu do samego oprogramowania (programu komputerowego), ale to dostawca dba o to, aby poszczególne moduły platformy, w tym:

• aplikacje;
• dane;
• przechowywanie zasobów;
• działanie serwerów;
• usługi sieciowe

– działały w sposób prawidłowy.

Dlaczego przedsiębiorcy chętnie decydują się na korzystanie z usług dostępnych w chmurze? Powodów jest przynajmniej kilka, także z perspektywy przepisów prawa.

Niższe koszty

Za wyborem CRM w postaci usługi przemawia możliwość optymalizacji wydatków i elastyczność. Platforma jest zwykle dostarczana w wariancie abonamentowym, co oznacza, że przedsiębiorca ponosi cyklicznie niewielkie koszty dostępu, może także wypowiedzieć umowę na zasadach w niej wskazanych, jeżeli uzna, że usługa nie spełnia jego oczekiwań (nawet przez przeglądarkę internetową).

Optymalne zarządzanie zasobami

Wybór CRM jako usługi oznacza lepsze gospodarowanie własnymi zasobami. Firma nie ma potrzeby inwestowania dużych pieniędzy w infrastrukturę, większość programów chmurowych jest dostępna bezpośrednio z poziomu przeglądarki internetowej. Co więcej, umożliwiają użytkownikom pracę z dowolnego miejsca, również przy użyciu urządzeń mobilnych.

Bezpieczeństwo cyfrowe

Chmurowy model usługi to również bezpieczeństwo. Usługodawcy dbają, aby ich produkty spełniały wymagania dotyczące ochrony danych osobowych oraz zabezpieczeń informatycznych wymaganych dla klientów biznesowych. Dzięki temu firma nie musi tworzyć całego działu odpowiedzialnego za monitorowanie zagrożeń cyfrowych, a także kupować drogich zabezpieczeń informatycznych.

Wybór dostawcy oprogramowania klasy CRM wymaga podpisania umowy. Przed jej podpisaniem należy dokładnie zapoznać się z treścią kontraktu, a w razie wątpliwości zlecić jego analizę kancelarii prawnej. Jakie elementy powinny znaleźć się w umowie o korzystanie z bazy CRM?

Każda usługa dostarczana w modelu SaaS ze względu na swoją specyfikę jest świadczona drogą elektroniczną, więc podlega pod przepisy ustawy o świadczeniu usług drogą elektroniczną.

Stosownie do brzmienia art. 8 tej ustawy, usługodawca określa oraz bezpłatnie udostępnia usługobiorcy regulamin usługi, a także – na jego żądanie – udostępnia go w taki sposób, aby możliwe było pozyskanie, odtwarzanie i utrwalanie treści za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca. Minimalny zakres takiego regulaminu obejmuje:

• rodzaj i zakres usług świadczonych drogą elektroniczną;
• warunki świadczenia usługi drogą elektroniczną, w tym minimalne wymagania sprzętowe oraz zakaz dostarczania bezprawnych treści;
• warunki zawierania i rozwiązywania umowy o świadczenie usługi;
• tryb postępowania reklamacyjnego.

Świadczenie usługi CRM w modelach chmurowych zakłada ciągłość dostępu do oprogramowania. Z tego względu każda umowa SaaS po części jest też umową utrzymaniową (ang, Service Level Agreement).

Decydując się na taki model współpracy, należy dokładnie określić w umowie minimalny standard świadczenia usług. Niemożliwość jego osiągnięcia uprawnia korzystającego do skorzystania z określonych mechanizmów wskazanych w umowie. Zazwyczaj będzie nimi możliwość żądania kary umownej lub rozwiązania umowy bez wypowiedzenia. Za pomocą, jakich parametrów określa się standardy w umowach SLA? Może być to np.:

• czas oczekiwania na odpowiedź ze strony systemu (ang. latency);
• przepustowość (ang. throughput);
• dostępność (ang. availability);
• częstotliwość błędów (ang. error rate).

Z reguły umowa SLA określa różne kategorie błędów – od niewielkich glitchy systemowych, które nie wpływają w żaden sposób na integralność usługi po błędy krytyczne, które uniemożliwiają dostęp do platformy. Do każdej z kategorii błędu powinien być przypisany maksymalny czas reakcji oraz przywrócenia pełnej funkcjonalności systemu.

W przypadku umów utrzymaniowych kary umowne mogą być naliczane ryczałtowo albo za każdy dzień opóźnienia w przywróceniu sprawności oprogramowania. W ten sposób można wygodnie skalować wysokość odszkodowania, które automatycznie dopasowuje się do stopnia naruszenia obowiązków przez dostawcę. O czym jeszcze powinny pamiętać strony umowy, decydując się na karę umowną?

• W interesie korzystającego leży zastrzeżenie możliwości dochodzenia odszkodowania uzupełniającego, które przenosi wysokość zastrzeżonej kary umownej;
• Usługodawca powinien zadbać, aby ograniczyć w umowie maksymalną wysokość kary umownej.

Do platform CRM zazwyczaj wprowadzane są dane dotyczące klientów firmy, a więc informacje będące danymi osobowymi w rozumieniu RODO. Decydując się na współpracę z dostawcą oprogramowania, należy upewnić się, czy gwarantuje on odpowiednio wysokie standardy ochrony tych informacji. Dlaczego jest to tak istotne?

Dostawca CRM jest procesorem danych osobowych, czyli podmiotem, który przetwarza je na zlecenie administratora. Administratorem jest usługobiorca – przedsiębiorca korzystający z platformy. Tak długo, jak procesor będzie przetwarzał dane w granicach upoważnienia administratora, to administrator poniesie odpowiedzialność za ewentualne naruszenia, ponieważ decyduje o celach i sposobie przetwarzania danych. Aby uniknąć wątpliwości co do losów danych osobowych w systemie, w umowie o korzystanie z bazy CRM należy określić m.in. takie kwestie, jak:

• rodzaj, zakres i cel przetwarzania danych osobowych;
• okres retencji danych osobowych;
• sposoby zabezpieczeń danych osobowych;
• kompetencje administratora w zakresie audytu;
• informowanie się nawzajem procesora i administratora o incydentach oraz przekazywanie tych informacji do organu nadzorczego (w Polsce jest to PUODO).

O ile państwa zobowiązane do stosowania przepisów RODO powinny zapewniać odpowiedni standard zarządzania danymi osobowymi, w przypadku takich krajów, jak Stany Zjednoczone, Chiny czy Turcja ta kwestia nie jest już taka oczywista. Dlatego w sytuacji, kiedy dostawca CRM pochodzi z państwa trzeciego, należy upewnić się, czy jest w stanie zapewnić odpowiednią ochronę informacji.

Firmy, które planują podpisanie umowy o korzystanie z bazy CRM, ale mają wątpliwości co do brzmienia kontraktu, powinny rozważyć skorzystanie ze wsparcia kancelarii prawnej. Nasi specjaliści od wielu lat wspierają sektor nowych technologii, przygotowując i opiniując umowy IT. Zadbamy, aby interes naszego klienta był należycie chroniony, a podpisywana umowa nie stwarzała niepotrzebnego ryzyka prawnego i biznesowego.