Podtapianie branży teleinformatycznej za pomocą narzędzi legislacyjnych

Wybranie tematu na felieton związany z 100. numerem jednego z najpoczytniejszych periodyków opisujących wydarzenia na rynku teleinformatycznym to wyzwanie niebagatelne. W zasadzie łatwiej wybrać te tematy, na które nie wypada pisać, bo jubileusz powinien być doniosły i radosny. I po co psuć nastrój?

Na wstępie zatem powinny odpaść tematy mi bliskie, czyli tematy prawne. Ale jakby trochę szkoda, bo przecież prawo i informatyka splatały się ze sobą od początków III Rzeczpospolitej. Choć sploty te były raz słabsze, raz mocniejsze, z biegiem czasu coraz bardziej przypominały sławetny węzeł gordyjski.

Pójdźmy więc na kompromis. Nie napiszę regularnej historii podtapiania branży teleinformatycznej za pomocą narzędzi legislacyjnych. Miast tego, podzielę się trzema refleksjami na temat owej kohabitacji informatyki i prawa w naszym kraju.

Czy ktoś pamięta jeszcze pierwszą Ustawę o zamówieniach publicznych?

Krytykowaliśmy ją jako środowisko. Uważaliśmy, że jest zbyt restrykcyjna i za mało elastyczna. Później, po kolejnych jej ulepszeniach, czuliśmy się jak pal wbity w ziemię, na który z regularnością kilkunastu miesięcy spadał stalowy kafar kolejnych legislacyjnych ulepszeń. Efekt? Umowy oferowane przez zamawiających wyglądają jak przyznanie się do winy wykonawcy, składane jeszcze przed rozpoczęciem prac nad projektem. Kiedy wprowadzano w Polsce ograniczenia prawne w zakresie hazardu, próbowałem nieśmiało proponować, aby dodać do listy czynności zakazanych podpisywanie takich właśnie umów, ale się nie przebiłem.

Z drugiej strony, taka sytuacja spowodowała zupełnie inny efekt. Trudno jednoznacznie powiedzieć – negatywny czy pozytywny. Odkryłem go przypadkiem, kiedy jako Prezes Polskiej Izby Informatyki i Telekomunikacji chciałem zaprosić firmę zatrudniającą ponad 1000 informatyków w szeregi członków naszej organizacji.

„Nie jestem zainteresowany” – padła szybka odpowiedź. To mogłem jeszcze zrozumieć. Nie wszyscy wierzą w skuteczność działań prowadzonych przez izby gospodarcze. Ale przyczyna była inna. „Nie jestem zainteresowany, bo nie zamierzam świadczyć usług dla polskich klientów” – tak brzmiała druga część tej wypowiedzi.

Nieoczekiwane wypchnięcie branży IT poza Polskę

Od słowa do słowa dowiedziałem się, że firma świadczy usługi na rzecz klientów w Niemczech, Skandynawii, Wielkiej Brytanii oraz Stanach Zjednoczonych. W umowach, które podpisują z tymi klientami, nikt nie nakłada na nich drakońskich kar (wielokrotnie wyższych od przewidywanego zysku na transakcji), nikt nie żąda umownego samobiczowania i wystawiania firmy na ryzyko upadłości.

Oczywiście, umowy na Zachodzie zawierają klauzule dotyczące odpowiedzialności, ale i tak największą motywacją dla dostawcy jest ryzyko utraty fantastycznego klienta. Tylko tyle i aż tyle. Od tamtej pory warunki umów oferowanych w przetargach publicznych się nie zmieniły. Za to znacznie zwiększyła się liczba dużych firm IT nastawionych wyłącznie na obsługę rynków zagranicznych.

Jest jeszcze jeden aspekt formalistycznego rygoryzmu zamówień publicznych – galeria megaprojektów IT, które skończyły się mniej lub bardziej spektakularną katastrofą. Nie będę ich wszystkich wymieniać, bo to jubileusz, ale gdyby skauci z Netfliksa szukali dobrych tematów na nowe seriale dokumentalne, to myślę, że mogą zaklepać od razu kilka sezonów.

Wniosek numer jeden brzmi zatem następująco – prawdopodobieństwo zakończenia z sukcesem projektów realizowanych w oparciu o Prawo zamówień publicznych jest odwrotnie proporcjonalne do poziomu rygoryzmu i formalizmu tego prawa.

Co tak naprawdę ustawodawca miał na myśli?

Drugim moim ulubionym tematem prawno-informatycznym jest outsourcing. W szczególności outsourcing w środowisku bankowym. Przez wiele lat outsourcingu nie było. To znaczy był, ale nie istniał w sensie prawnym.

Najpierw, na Prima Aprilis 2004 roku pojawiła się nowela do Prawa Bankowego, nadając outsourcingowi prawo funkcjonowania w środowisku bankowym, a już w grudniu tego samego roku, konieczne okazało się wydanie przez Generalnego Inspektoratu Nadzoru Bankowego opinii, tłumaczącej co tak naprawdę ustawodawca miał na myśli, przyjmując tę nowelę.

Sytuacja przypominała mi jako żywo sytuację, którą mogłem obserwować osobiście w jednym z Urzędów Skarbowych prawie dekadę wcześniej, kiedy wszyscy obywatele naszego kraju stali się płatnikami podatku dochodowego od osób fizycznych. Przepisy te – choć zawierały objętościowo niewielki ułamek obecnej ustawy – wywoływały mnóstwo wątpliwości.

Wówczas w sukurs przyszedł prof. Witold Modzelewski, pełniący wtedy funkcję wiceministra finansów, który na łamach Rzeczpospolitej – z wysokości swojego urzędu – rozsądzał co przykładowo jest, a co nie jest kosztem remontu mieszkania. Jeśli ktoś chciał mieć pewność, mógł się udać do Urzędu Skarbowego, gdzie przy wystawionych na korytarzach stolikach siedzieli urzędnicy i tłumaczyli cierpliwie co wolno, a co nie.

Pani, która stała przede mną, miała pytanie proste – czy może odliczyć zakup dywanu do nowego mieszkania. Urzędnik zerknął do segregatora z wycinkami artykułów pryncypała i zapytał, a to dywan czy wykładzina? A co za różnica – zapytała petentka? Przecież jak się obszyje na bokach wykładzinę (a tak bardzo często wówczas robiono), to będzie jak dywan. Otóż nie. Wykładzina – zdaniem urzędnika pukającego dla podparcia argumentacji palcem w segregator z wycinkami – jest częścią mieszkania, a dywan można zwinąć. Wtedy zrozumiałem coś, czego nie uczono nas na wydziale prawa, a co stanowi wniosek numer dwa. Otóż źródłem prawa w Polsce może być nie tylko ustawa czy rozporządzenie, ale także segregator z wywiadami urzędnika Ministerstwa Finansów lub opinia urzędu.

Dobrymi chęciami piekło jest wybrukowane

No i ostatni z tematów wspominkowych, z ostatnich kilkunastu miesięcy. Temat ważki, bo dotyczący cyberbezpieczeństwa. Otóż okazało się, że w dwa lata po wdrożeniu do polskiego systemu prawnego dyrektywy NIS i powołaniu Krajowego Systemu Cyberbezpieczeństwa ustawa wymagała pilnej zmiany. Zgodnie z uzasadnieniem projektu zmiany UKSC, podmioty, które były zobowiązane do wdrożenia tej ustawy, robiły to nieprawidłowo, a różnego rodzaju instytucje powołane do nadzoru nie pełniły swojej roli wystarczająco dobrze.

Pierwszy projekt pilnej nowelizacji UKSC został opublikowany 7 września 2020 roku. Liczył 25 stron i wywoływał w środowisku sporo kontrowersji. Wszedł w tryb uzgodnień międzyresortowych. Wyłonił się z tych uzgodnień po… roku, a jego waga urosła do 89 stron. Mimo to na konsultacje społeczne – tak pięknie wyrośniętego projektu – przeznaczono 7 dni (ostatecznie przedłużono do 14). Ale co się dziwić, projekt był w dalszym ciągu pilny.

W ramach nowelizacji najwięcej kontrowersji wywoływał zapis przewidujący możliwość uznania producenta sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Była to instytucja nieznana dotychczas prawu polskiemu, która miała pozwolić na wykluczenie z obrotu, a nawet wycofanie produktów określonego producenta nie dlatego, że nie spełniają określonych norm lub wymagań, ale dlatego, że ich producent nie daje rękojmi niezależności.

Nowy projekt, pomimo oficjalnych deklaracji zakończenia prac jeszcze w 2021 roku, ponownie zanurkował w zakamarkach ministerialnych gabinetów, aby wynurzyć się całkiem niedawno w formie kolejnej oficjalnej deklaracji…o jego bliskiej finalizacji.

Nawet jeśli tym razem dojdzie w końcu do uchwalenia tej noweli, to wniosek numer trzy jest następujący. W zakresie uchwalania przepisów dotyczących cyfryzacji czas i ważność są pojęciami względnymi. Dwa lata na uchwalenie pilnej noweli to mało. 14 dni na skonsultowanie prawie stustronicowej nowelizacji to dużo. Jest to o tyle ciekawe, że w tym samym czasie na poziomie europejskim udało się doprowadzić do przygotowania i uchwalenia zupełnie nowej dyrektywy dotyczącej cyberbezpieczeństwa, tzw. dyrektywy NIS2. Co to oznacza?

Otóż stara ustawa o KSC, którą w takim mozole poprawiamy, za niespełna 2 lata będzie musiała zostać gruntownie zmieniona. Jak by to powiedział jeden z bohaterów filmu Vabank II: „Mało casu kruca bomba”. I tym cytatem, kończąc swoje wspominki, życzę Redakcji „ITwiz” kolejnych, 100 fantastycznych numerów!

Ireneusz Piecuch, założyciel i partner zarządzający w kancelarii DGTL Kibil Piecuch i Wspólnicy