Podmioty z sektora publicznego coraz częściej i chętniej korzystają z usług przetwarzania danych w chmurze obliczeniowej. Choć ta cyfrowa transformacja została poniekąd wymuszona lub przyspieszona pandemią COVID-19, to mimo osłabienia pandemii trend przechodzenia od rozwiązań on-premises do rozwiązań chmurowych jest nadal bardzo wyraźny.

Skorzystanie z pełni zalet chmury obliczeniowej, takich jak wydajność, skalowalność czy zdalność, oznacza jednocześnie konieczność odpowiedniego przygotowania się oraz dokonania w organizacji wielu zmian – zarówno technologicznych, jak i organizacyjnych. Wdrożenie ich w sektorze publicznym nastręcza sporo trudności. Niewątpliwie jednym z wyzwań przy zamawianiu rozwiązań chmurowych jest przygotowanie wzoru umowy do zawarcia z wykonawcą w ramach postępowania o udzielenie zamówienia publicznego na świadczenie usług przetwarzania w chmurze obliczeniowej, czyli takiego wzoru umownego, który będzie opisywał jasno wymagania zamawiającego, a zarazem będzie dostosowany do oferowanych na rynku gotowych rozwiązań i warunków kontraktowych.

Specyfika zamawiania usług chmurowych przez podmioty z sektora publicznego

Przed rozpoczęciem korzystania z usług chmurowych podmiot zobowiązany do stosowania przepisów ustawy PZP[1] powinien zawrzeć umowę z dostawcą usług chmury obliczeniowej. W przypadku usług, których wartość przekracza 130 tys. zł, zamawiający powinien przeprowadzić postępowanie o udzielenie zamówienia publicznego na zasadach przewidzianych w ustawie, w tym zaproponować projektowane postanowienia umowne.

W systemie zamówień publicznych, zwłaszcza w najczęściej stosowanym trybie udzielenia zamówienia w postaci przetargu nieograniczonego, to zamawiający jest stroną, która w zasadzie narzuca treść umowy. Wykonawca może jedynie zaakceptować projekt umowy lub próbować przekonać zamawiającego do wprowadzenia określonych zmian, co może nastąpić w drodze pytań zadawanych do specyfikacji warunków zamówienia lub poprzez złożenie odwołania do Krajowej Izby Odwoławczej. Jeżeli natomiast wykonawca nie akceptuje zaproponowanej przez zamawiającego treści projektu umowy i nie udało mu się wyegzekwować jego zmiany w drodze dostępnych środków – może podjąć decyzję o nieskładaniu oferty.

W przypadku usług chmurowych dostrzegalna jest silna pozycja producentów (dostawców). Ten stan rzeczy może determinować swoiste odwrócenie ról w kształtowaniu postanowień projektu umowy (choć to raczej zamawiający w pewien sposób powinien dostosować się do panujących warunków, inaczej bowiem istnieje ryzyko, że w postępowaniu nie zostaną złożone oferty). Optyka funkcjonująca na rynku chmury obliczeniowej jest bowiem taka, że to dostawca jest zazwyczaj podmiotem narzucającym swoje standardowe warunki świadczenia usług, w tym np. warunki SLA czy zasady odpowiedzialności, oraz samą treść umowy, która ma bardzo często charakter umowy adhezyjnej, czyli takiej, której nie sposób zmienić lub którą zmienić jest bardzo trudno.

Jeżeli zatem podmiot zobowiązany do stosowania przepisów PZP zamierza korzystać z usług oferowanych przez największych dostawców chmury obliczeniowej (takich jak Google, Microsoft czy Amazon), treść umowy proponowanej przez zamawiającego powinna zostać zaprojektowana w taki sposób, aby nie okazała się niemożliwa do zrealizowania przez potencjalnych wykonawców. Może się bowiem zdarzyć tak, że w przypadku narzucenia przez zamawiającego rygorystycznych warunków w samej umowie, najwięksi dostawcy chmury nie złożą oferty w ramach zamówienia przez brak możliwości zaakceptowania jej treści i organizacyjnej możliwości spełnienia narzuconych warunków.

Warto jednocześnie podkreślić, że w praktyce umów chmurowych na rozwiązania typu PaaS czy IaaS dostawcy chmurowi często nie składają samodzielnie ofert w przetargach, lecz robią to za pośrednictwem partnerów/dystrybutorów. Nie jest tajemnicą, że w takich przypadkach bywa, że wykonawcy składają ofertę w przetargach, mimo że zgodnie z treścią zaproponowanego projektu umowy przyjmują na siebie zobowiązania, których w praktyce nie są w stanie wykonać. Przykładowo zdarza się, że partner dużego dostawcy chmurowego składa ofertę, gdy wzór umowy przewiduje restrykcyjne SLA (Service Level Agreement) na naprawę istotnego błędu od momentu jego wykrycia, którego ów partner/dystrybutor nie ma zagwarantowanego w umowie z producentem. Tym samym, chcąc złożyć ofertę, partner (wykonawca) bierze na siebie pewne ryzyko postanowień umownych, co do których z góry wie, że nie będzie mógł ich zrealizować. Takie rozwiązanie jest wysoce niepożądane, nie tylko dla wykonawcy, ale również dla zamawiającego, jako opatrzone poważnym ryzykiem niewykonania prawidłowo umowy.

Przetwarzanie w chmurze obliczeniowej – dostawa czy usługa?

W pierwszej kolejności, przed przygotowaniem projektu umowy i dokonaniem ogłoszenia zamówienia na świadczenie usług chmurowych, zamawiający powinien przeanalizować, czy przedmiotem tego zamówienia będzie dostawa, czy usługa – od tego bowiem zależy stosowanie niektórych przepisów PZP, m.in. możliwość zawarcia umowy na czas nieoznaczony[2]. W przypadku usług chmurowych kwestia kwalifikacji przedmiotu zamówienia jako dostawy lub usługi wzbudza pewne kontrowersje i wydaje się, że będzie w głównej mierze uzależniona od tego, jakiego rodzaju usługi mają być przedmiotem umowy (tj. czy mają to być usługi IaaS, PaaS lub SaaS).

Zgodnie z art. 7 pkt 4 i 28 PZP:

  • jako dostawę należy rozumieć nabywanie rzeczy ruchomych, energii, wody oraz praw majątkowych (a więc np. licencji czy autorskich praw majątkowych), które może obejmować dodatkowo rozmieszczenie lub instalację;
  • jako usługi należy rozumieć wszelkie świadczenia, które nie są robotami budowlanymi lub dostawami.

Jednocześnie – zgodnie z art. 27 ust. 2 pkt 1 PZP – jeżeli zamówienie obejmuje równocześnie usługi i dostawy, główny przedmiot zamówienia określa się przez ustalenie, która z szacowanych wartości danych usług lub dostaw jest wyższa.

Nie jest zatem pozbawiona podstaw argumentacja zmierzająca do kwalifikowania usług chmurowych jako dostawy[3], jednak wyłącznie w przypadku, gdy udostępnienie oprogramowania do korzystania jest ich głównym (najbardziej wartościowym) elementem. Wydaje się, że z taką sytuacją możemy mieć do czynienia częściej w przypadku usług chmurowych typu SaaS, w których najbardziej istotnym świadczeniem ze strony dostawcy jest udostępnienie oprogramowania, a przetwarzanie danych w chmurze obliczeniowej jest jedynie konsekwencją przyjętego modelu udostępniania oprogramowania, które jest niezbędne z technologicznego punktu widzenia dla możliwości korzystania z tego oprogramowania.

Większe wątpliwości może natomiast budzić to, czy taka kwalifikacja byłaby prawidłowa w przypadku usług chmurowych innego rodzaju, np. typu IaaS oraz PaaS. Istotą tego rodzaju usług jest bowiem udostępnienie infrastruktury i urządzeń określonego rodzaju, zapewniających użytkownikowi możliwość korzystania – w sposób zdalny – z określonej mocy obliczeniowej. W tego rodzaju usługach element korzystania z oprogramowania (licencyjny) również występuje, w szczególności w przypadku usług PaaS (np. w postaci licencji na oprogramowanie serwerowe lub bazodanowe), jednak najczęściej nie jest on głównym elementem usług, decydującym o ich wartości. Co do zasady więc usługi typu IaaS oraz PaaS spełniają cechy usługi w rozumieniu art. 7 pkt 28 PZP[4].

przed przystąpieniem do przygotowania postępowania o udzielenie zamówienia publicznego zamawiający powinien dokonać weryfikacji, czy przedmiotem zamówienia będzie dostawa, czy usługa w rozumieniu PZP – od tego będzie bowiem zależała konstrukcja samej umowy oraz konieczność stosowania określonych przepisów PZP, które rzutują na postanowienia projektu umowy

Podsumowując powyższe, należy uznać, że przed przystąpieniem do przygotowania postępowania o udzielenie zamówienia publicznego zamawiający powinien dokonać weryfikacji, czy przedmiotem zamówienia będzie dostawa, czy usługa w rozumieniu PZP – od tego będzie bowiem zależała konstrukcja samej umowy oraz konieczność stosowania określonych przepisów PZP, które rzutują na postanowienia projektu umowy. Warto też mieć na uwadze, że kwalifikacja zamówienia jako dostawy lub usługi nie ma kluczowego znaczenia dla samego zastosowania przepisów PZP – progi stosowania PZP pozostają takie same zarówno dla dostaw, jak i dla usług.

Umowa na usługi IT vs. umowa na usługi chmurowe

Przygotowując projekt umowy na świadczenie usług chmurowych, który zamawiający zamierza zaproponować w ramach prowadzonego postępowania o udzielenie zamówienia publicznego, należy uwzględnić specyfikę usług chmurowych i czasami być może odejść od pewnych schematów konstruowania umów w reżimie PZP. Należy mieć bowiem świadomość, że usługi chmurowe różnią się od innych typów usług i pewne konstrukcje umowne, choć bardzo często spotykane i powszechnie stosowane w umowach funkcjonujących na rynku, mogą nie przystawać do realiów świadczenia usług chmurowych. Wśród tego rodzaju konstrukcji można wskazać m.in. na:

  • określenie wysokości wynagrodzenia na podstawie kwoty ryczałtowej lub wynagrodzenia godzinowego – usługi chmurowe (w szczególności świadczone w modelu IaaS lub PaaS) rozliczane są z reguły według ich rzeczywistego wykorzystania (tj. w modelu pay as you go);
  • wprowadzanie do umowy szczegółowej procedury odbiorowej – dostawcy chmury obliczeniowej zazwyczaj przekazują informacje dotyczące jakości świadczonych usług oraz ich dostępności na bieżąco, za pośrednictwem udostępnianych użytkownikom narzędzi;
  • regulowanie kwestii dotyczących sposobu zgłaszania i usuwania awarii, w tym SLA, bezpośrednio w umowie – dostawcy chmury obliczeniowej najczęściej mają w tym zakresie wypracowane standardowe warunki i procedury, stosowane jednolicie dla wszystkich użytkowników;
  • określanie szczegółowych warunków korzystania z oprogramowania bezpośrednio w umowie – dostawcy chmury obliczeniowej są często ograniczeni warunkami korzystania z oprogramowania przez producenta oprogramowania, na których treść nie mają wpływu i których treści nie mogą zmienić;
  • stosowanie kar umownych w przypadku niedochowania gwarantowanego poziomu świadczenia usług lub terminów usunięcia awarii – dostawcy chmury publicznej często proponują inny rodzaj rekompensat niż kary umowne, np. kredyty czy tokeny (możliwe do wykorzystania przez zamawiającego na inne usługi w późniejszym czasie lub obniżające wysokość wynagrodzenia należnego do zapłaty przez zamawiającego).

Postanowienia umowne dotyczące powyższych kwestii powinny zostać w umowie na świadczenie usług chmurowych opisane w inny sposób, uwzględniający specyfikę tego rodzaju usług. Konstruowanie umów na świadczenie usług chmurowych zawieranych w trybie przewidzianym przepisami PZP wymaga również nieco bardziej elastycznego i otwartego podejścia – tak, aby sztywne warunki narzucone umową nie stanowiły zbędnej przeszkody do złożenia ofert przez dostawców, a co za tym idzie – aby zapewniona została w ramach zamówienia konkurencyjność, a zamawiający mógł skorzystać z najbardziej korzystnej oferty. Nie należy przy tym zapominać, że umowa powinna jednocześnie uwzględniać wymagania zamawiającego i zabezpieczać w odpowiedni sposób jego interesy – jak zatem zrealizować te dwie, z pozoru wykluczające się wytyczne? Wydaje się, że można to osiągnąć poprzez:

  • wskazanie w umowie minimalnych warunków lub wymagań, które muszą zostać spełnione przez dostawcę chmury obliczeniowej – w zakresie krytycznym dla zabezpieczenia interesów zamawiającego;
  • odwołanie się do standardowych warunków świadczenia usług stosowanych przez dostawcę – w zakresie niekrytycznym dla zabezpieczenia interesów zamawiającego albo wykraczającym poza minimalne warunki i wymagania, o których mowa powyżej;
  • stosowanie ogólnych opisów wymagań i procedur, tak aby z jednej strony zabezpieczały interesy zamawiającego, a z drugiej – były możliwe do spełnienia przez wielu dostawców;
  • przeanalizowanie warunków świadczenia usług wykorzystywanych przez różnych dostawców i wyeliminowanie konstrukcji umownych, które nie są stosowane na rynku usług chmurowych (np. odpowiedzialność na zasadzie ryzyka, pozbawiony oparcia w praktyce dostawców sposób zgłaszania i usuwania awarii).

Takie podejście do konstruowania umowy powinno z jednej strony zapewnić konkurencyjność oraz możliwość udziału w postępowaniu jak największemu gronu wykonawców, oferujących możliwie szerokie rozwiązania dostawców, a z drugiej – zabezpieczać interesy zamawiającego w niezbędnym zakresie. Dzięki temu zamawiający będzie mógł skorzystać z najkorzystniejszej oferty spełniającej jego wymagania. W przeciwnym wypadku przewagę w ramach zamówienia mieliby tylko Ci wykonawcy, którzy nie współpracują z globalnymi dostawcami.

Rola partnera dostawcy w zamówieniach na usługi chmurowe

W przypadku zamówień, których przedmiotem jest świadczenie usług przetwarzania w chmurze obliczeniowej, bardzo często może mieć miejsce sytuacja, w której oferty jako wykonawca nie będzie składał bezpośrednio dostawca usług, a partner odsprzedający usługi przewarzania w chmurze obliczeniowej świadczone przez danego dostawcę. W takich przypadkach dostawca usług chmurowych nie będzie bezpośrednim wykonawcą zamówienia, lecz będzie działał jako podwykonawca partnera składającego ofertę i zawierającego umowę z zamawiającym. Sytuacje takie nie są niczym nadzwyczajnym – najwięksi dostawcy usług chmurowych działają z reguły za pośrednictwem swoich partnerów biznesowych. W związku z tym, projekt umowy proponowany przez zamawiającego w ramach zamówienia powinien uwzględniać takie sytuacje m.in. poprzez:

  • dopuszczenie możliwości korzystania przez wykonawcę z usług podwykonawców;
  • zagwarantowanie spełnienia przez podwykonawców tych samych wymagań i obowiązków, które stawiane są wykonawcy;
  • zagwarantowanie, że warunki świadczenia usług przez podwykonawców zapewnią możliwość prawidłowej realizacji umowy.

Wykluczając realizację zamówienia w modelu podwykonawczym, zamawiający może pozbawić się możliwości współpracy z największymi dostawcami usług chmurowych.

Niezależnie od tego warto mieć na uwadze, że w orzecznictwie Krajowej Izby Odwoławczej oraz doktrynie podnosi się, że producent nie jest podwykonawcą. Taka sytuacja może następować np. wtedy, kiedy przedmiotem postępowania jest dostawa w postaci licencji, z którą nie wiąże się dodatkowe zobowiązanie do świadczenia usług przez producenta (uprawnionego z tytułu autorskich praw majątkowych). Ostateczna decyzja o tym, czy dostawca chmury obliczeniowej wpisuje się w definicję podwykonawcy, determinowana jest opisem przedmiotu zamówienia. Niemniej wydaje się, że z istoty SaaS, IaaS oraz PaaS wynika, że dostawca chmury obliczeniowej powinien być co do zasady traktowany jako podwykonawca.

Bezpieczeństwo usług

Proponowany przez zamawiającego projekt umowy na świadczenie usług przetwarzania w chmurze obliczeniowej powinien ponadto uwzględniać wymogi zamawiającego w zakresie bezpieczeństwa usług. Oczekiwane przez zamawiającego środki na rzecz cyberbezpieczeństwa powinny być proporcjonalne i adekwatne do oszacowanego poziomu ryzyka[5]. W umowie lub w dokumentach określających parametry techniczne świadczonych usług warto odnosić się do powszechnie uznawanych norm i standardów w zakresie cyberbezpieczeństwa (np. normy ISO 27001 oraz ISO 27018), pamiętając jednocześnie o wynikającym z PZP obowiązku dopuszczenia posługiwania się przez zamawiających certyfikacją równoważną[6].

Zamawiający z poszczególnych sektorów gospodarki istotnych z perspektywy zapewnienia bezpieczeństwa państwa (np. energetyka, transport, ochrona zdrowia), jako operatorzy usług kluczowych lub inne szczególne podmioty mogą posiadać dodatkowe obowiązki w zakresie cyberbezpieczeństwa na gruncie specjalnych aktów prawnych, w tym ustawy o krajowym systemie cyberbezpieczeństwa[7], których spełnienie powinna umożliwiać zawarta z dostawcą umowa.

Exit plan – plan wyjścia z umowy

Jednym z kluczowych aspektów dla odpowiedniego zabezpieczenia interesów zamawiającego jest zagwarantowanie sobie możliwości zmiany dostawcy usług chmurowych lub przeniesienia poszczególnych systemów lub procesów na własną infrastrukturę. W przeciwnym wypadku może się okazać, że migracja danych lub procesów od dostawcy chmury obliczeniowej będzie bardzo kosztowna lub skomplikowana z perspektywy technicznej, a w skrajnych przypadkach – okaże się niemożliwa bez utraty przynajmniej części danych. Projekt umowy na świadczenie usług przetwarzania w chmurze obliczeniowej powinien zatem zapewniać zamawiającemu niezależność od dostawcy usług w najszerszym możliwym zakresie. Można to osiągnąć m.in. przez:

  • zapewnienie zamawiającemu możliwości migracji danych w możliwym do odczytania formacie;
  • zobowiązanie dostawcy do zwrotu lub usunięcia wszystkich danych należących do zamawiającego;
  • zobowiązanie dostawcy do współpracy z zamawiającym w zakresie migracji danych przechowywanych lub przetwarzanych w chmurze;
  • zobowiązanie dostawcy do przekazania zamawiającemu wszystkich informacji istotnych z perspektywy możliwości dalszego wykorzystania danych przechowywanych lub przetwarzanych w chmurze.

Należy pamiętać również, że migracja danych jest czasochłonnym procesem, który powinien zostać uwzględniony przy określeniu terminów wypowiedzenia umowy.

Zamawianie usług chmurowych w ramach ZUCH

Pewnym ułatwieniem w zamawianiu usług chmurowych dla niektórych zamawiających z sektora publicznego może być skorzystanie z udostępnionego przez Ministra Cyfryzacji systemu Zapewniania Usług Chmurowych (ZUCH)[8]. Za pośrednictwem systemu ZUCH istnieje możliwość przeprowadzenia przez zamawiających procedury udzielenia zamówienia publicznego o wartości do 130.000 zł, natomiast w przypadku zamówień na usługi chmurowe o wartości powyżej 130.000 zł konieczne jest przeprowadzenie postępowania zakupowego przez zamawiającego we własnym zakresie. Z ogólnodostępnych informacji wynika, że planach jest uruchomienie przetargów na zawarcie umów ramowych z dostawcami usług chmurowych tak, aby uprościć zawieranie umów na usługi chmurowe o większej wartości. Trudno jednak wskazać dokładny termin, kiedy takie przetargi zostaną ogłoszone.

Podsumowanie

Skonstruowanie dobrej umowy na świadczenie usług przetwarzania w chmurze obliczeniowej na potrzeby prowadzenia postępowania o udzielenie zamówienia publicznego stanowi spore wyzwanie, głównie ze względu na konieczność pogodzenia interesu zamawiającego, wykonawcy niebędącego dostawcą chmury obliczeniowej oraz różnych polityk samych dostawców rozwiązań chmurowych. Nie jest to jednak zadanie niewykonalne, a przy jego realizacji warto odejść od pewnych schematów konstruowania umów w reżimie PZP tak, aby z jednej strony zapewnić konkurencyjność oraz możliwość udziału w postępowaniu jak najszerszemu gronu wykonawców, a z drugiej odpowiednio zabezpieczyć interesy zamawiającego.


[1] Ustawa z dnia 11 września 2019 r. – Prawo zamówień publicznych (t.j. Dz. U. z 2022 r. poz. 1710 z późn. zm.).

[2] Zgodnie z art. 435 ust. 1 pkt 4 PZP umowę, której przedmiotem jest dostawa licencji na oprogramowanie komputerowe, można zawrzeć na czas nieoznaczony.

[3] Zob. P. Walczak, Chmura w przetargach – doświadczenia roku pandemii, „IT w Administracji”, czerwiec 2021, str. 16–19, gdzie autor opowiada się za kwalifikacją usług przetwarzania w chmurze obliczeniowej jako dostawy, jednak nie różnicuje tej kwalifikacji w zależności do rodzaju świadczonych usług.

[4] Kwalifikacja usług przetwarzania w chmurze jako usług w rozumieniu art. 7 pkt 28 PZP została również zawarta w udostępnionych przez Kancelarię Prezesa Rady Ministrów materiałach z warsztatów dot. usług chmurowych w sektorze usług publicznych (str. 9). Materiały dostępne pod adresem: https://chmura.gov.pl/zuch/static/media/Opracowanie%20-%20warsztat%20Us%C5%82ugi%20chmurowe%20w%20sektorze%20us%C5%82ug%20publicznych.pdf (dostęp: 30.01.2023 r.).

[5] Bardziej szczegółowe rekomendacje dotyczące wymogów cyberbezpieczeństwa dla zamawiających z sektora publicznego można znaleźć w II tomie rekomendacji Prezesa UZP dot. zamówień publicznych na systemy informatyczne (rozdział VIII). Rekomendacje te są dostępne pod adresem: https://www.uzp.gov.pl/__data/assets/pdf_file/0024/53826/II-TOM-REKOMENDACJI-PREZESA-UZP-ZAMoWIENIA-PUBLICZNE-NA-SYSTEMY-INFORMATYCZNE.pdf#page=46&zoom=100,90,362 (dostęp: 30.01.2023 r.).

[6] Zob. art. 101 ust. 4 PZP.

[7] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2022 r. poz. 1863 z późn. zm.).

[8] System dostępny jest pod następującym adresem: https://chmura.gov.pl/zuch (dostęp: 30.01.2023 r.)