O tym, jak wąska specjalizacja w sektorze NewTech pozwala skutecznie konkurować z największymi kancelariami na rynku, rozmawiamy z adwokatem Grzegorzem Leśniewskim, partnerem zarządzającym kancelarii Leśniewski Borkiewicz Kostka & Partners. W wywiadzie poruszamy tematykę wpływu regulacji AI Act, DORA czy MiCA na rentowność biznesu technologicznego, omawiamy najczęstsze błędy w obszarze cyberbezpieczeństwa oraz wyjaśniamy, dlaczego nowoczesne doradztwo prawne musi być nierozerwalnie połączone z analizą podatkową.
Czy koncentracja na sektorze technologii wpływa na strukturę przychodów i rentowność projektów?
Zdecydowanie tak. Główną wartość, zarówno dla nas, jak i dla Klientów, daje tutaj znajomość specyfiki branży oraz wyzwań, z którymi się ona mierzy. Zrozumienie języka technologii, typowych ryzyk oraz optymalnych rozwiązań skraca czas ofertowania, poszukiwania rozwiązania, a następnie realizacji.
Jednocześnie pojęcie sektora technologicznego jest na tyle szerokie, iż pracujemy z bardzo różnorodnymi firmami o dużej dynamice wzrostu. Stając się ich zaufanym partnerem w skomplikowanych tematach, z czasem dostarczamy im wsparcie także w kwestiach bieżących, takich jak sprawy korporacyjne, struktura zatrudnienia, programy motywacyjne, ESG czy podatki. Te wszystkie obszary „zazębiają się”, nasza znajomość klientów pogłębia się, a w konsekwencji przekłada się to bezpośrednio także na wzrost przychodów i rentowności, dając jednocześnie proporcjonalną wartość dla Klientów.
Czy specjalizacja w NewTech pozwala konkurować z dużymi kancelariami full service?
Tak. Organizacja średniej wielkości, jak nasza, jest zwinniejsza w działaniu. Potrafimy szybciej dostosować usługi i produkty do oczekiwań, mamy elastyczne modele rozliczeń – bardzo dbamy o regularny, wzajemny feedback, żeby stale rozumieć, co sprawdza się z perspektywy Klientów, a co można ulepszyć. Bez problemu włączamy się też w ich procesy oraz narzędzia do komunikacji czy zarządzania projektami. Każdy ma dla nas status kluczowego.
Dodatkowo, przez to, iż nasz zespół jest skoncentrowany na konkretnych sektorach, rozwinął głębszą specjalizację i zrozumienie biznesowe otoczenia Klientów, niż jest to możliwe dla dużych organizacji, które z natury często nastawiają się na obsługę samych większych firm, ale z różnych branż i nie dają doradcom przestrzeni na głębokie zaangażowanie się w profil danego klienta. Możemy komfortowo i bezpiecznie pozwolić sobie na przedstawianie porad nie tylko prawnych, ale i biznesowych. Buduje to bliskie relacje, pogłębia wzajemne zaufanie i zaangażowanie. Stajemy się partnerem i poszerzeniem wewnętrznego zespołu Klienta, a nie tylko zewnętrznym dostawcą usługi. To wszystko ułatwia nam też pozyskiwanie i długoterminowe utrzymanie świetnych doradców do naszego teamu, bo cenią oni sobie zarówno atmosferę wewnętrzną kancelarii, jak i możliwość rozwoju w takim modelu relacji z Klientami.
Jakie obszary praktyki generują dziś największą wartość: GDPR, cyberbezpieczeństwo, AI, kryptoaktywa, M&A w IT?
Cyberbezpieczeństwo, często w związku z AI lub GDPR. Przy czym widzimy też znaczne ożywienie w obszarze transakcji lub przygotowania do transakcji, zarówno po stronie firm szykujących się na zewnętrzne inwestycje, jak i funduszy oraz inwestorów, z którymi mamy przyjemność pracować.
Jak zmienił się charakter projektów związanych z ochroną danych od czasu wdrożenia RODO?
Widać zdecydowany wzrost świadomości klientów oraz większą kompleksowość projektów. Trwa fala audytów odświeżających i ponownych wdrożeń. Prawie zniknęły zapytania o sprzedaż „gotowych procedur do szuflady” czy pojedynczych dokumentów. Dominuje potrzeba głębokiego wejścia w procesy, autentycznego uporządkowania i zabezpieczenia spraw. Częściej projekty są związane z chęcią uzyskania zewnętrznych certyfikacji (np. ISO 27001), dotykają też dużo trudniejszych zagadnień na styku RODO z AI oraz szeroko pojętym cyberbezpieczeństwem.
Czy AI Act i DORA zwiększają zapotrzebowanie na stałą obsługę compliance w sektorze technologicznym?
Zdecydowanie tak, zwłaszcza w obszarze DORA, co wynika z bardzo dużej aktywności nadzoru (KNF). Skala obowiązków raportowych podmiotów finansowych wymusza utrzymanie wysokiej zgodności oraz mechanizmów ją dokumentujących w odpowiednich strukturach danych. To praca wymagająca stałego zaangażowania specjalistów.
Jakie są dziś największe ryzyka regulacyjne dla firm działających w modelu SaaS i chmurowym?
Podstawowym ryzykiem jest bardzo duża dynamika zmian w przepisach, co dla wielu firm powoduje trudności z nadążeniem za mapowaniem nowych obowiązków, nie mówiąc już o ich realizacji. To niewykonalne, jeżeli firma ma jedno- lub kilkuosobowy wewnętrzny dział prawny, który w pierwszej kolejności zwykle skupia się na tematach biznesowych, negocjowaniu umów i tak zwanej „bieżączce”.
Pierwszym wartym nazwania, samoistnym obszarem generującym ryzyko będzie natomiast cyberbezpieczeństwo – zarówno z uwagi na duże nasilenie faktycznych ryzyk (ataki), jak i zlokalizowanie wielu dostawców w łańcuchach dostaw czy to dla sektora finansowego (DORA), czy podmiotów objętych NIS2. Oznacza to, iż firmy muszą nie tylko posiadać odporność technologiczną, ale również szereg procedur i regulacji wewnętrznych, tak aby w razie incydentu udowodnić, iż zaszedł on pomimo zachowania należytej, wysokiej staranności.
Stałym wyzwaniem pozostaje też oczywiście RODO, zwłaszcza w kontekście suwerenności danych i przejrzystości transferów poza EOG. Rozbudowane struktury poddostawców utrudniają dokonywanie ocen i wprowadzanie adekwatnych mechanizmów zabezpieczających.
Nie da się pominąć w tym kontekście także dynamiki wprowadzania do różnych usług elementów opartych o sztuczną inteligencję – z uwagi na brak wypracowanych w tym obszarze praktyk wiele firm działa po omacku, żeby nie zostać w tyle za konkurencją, pomijając aspekt dokumentacyjny, co nie sprzyja utrzymaniu pełnej zgodności oferowanych rozwiązań z przepisami. W wielu firmach występuje ponadto tzw. „shadow IT”, czyli zjawisko korzystania przez pracowników z nieautoryzowanych aplikacji, urządzeń lub usług, zwłaszcza tych opartych o AI lub chmurę obliczeniową. To prawie zawsze prowadzi do szeregu ryzyk i naruszeń w zakresie zarówno przepisów prawa, jak i zobowiązań kontraktowych (NDA, umowy powierzenia).
Czy MiCA realnie porządkuje rynek kryptoaktywów w UE, czy generuje nowe wątpliwości interpretacyjne?
Oczywiście nie ma jednej odpowiedzi na to pytanie. Taka pierwsza, kompleksowa regulacja na poziomie całej UE była zdecydowanie potrzebna i długoterminowo powinna przełożyć się na wzrost zaufania do branży, która umykała definicjom prawnym i przez pewien okres miała przypiętą łatkę hipsterskiej, przyciągając przy tym globalnie coraz większy kapitał. Z drugiej strony, jak każde nowe przepisy, dopiero będzie osadzała się w praktyce rynku. Aktualnie działania takie, jak chociażby ocena stopnia decentralizacji dla oceny podlegania DeFi pod MiCA czy różnorodność podejścia organów nadzoru generująca zjawisko „regulatory shopping”, powodują wyzwania praktyczne. Na tym tle opóźnienie Polski w uchwaleniu przepisów wdrażających MiCA jest szczególnie problematyczne i niestety może stać się przykładem kolejnej utraconej szansy, bo na poziomie kreatywności lokalnych przedsiębiorców mieliśmy i mamy ogromny potencjał.
Jak wygląda kooperacja kancelarii z software house’ami i studiem game development na etapie skalowania biznesu?
Przede wszystkim naszą rolą jest likwidowanie barier. Doradztwo musi być responsywne, szybkie, dopasowane do skali działań. Trzeba najpierw dobrze zrozumieć business case Klienta, jego realne potrzeby i plany, a następnie odpowiednio wyważyć dążenie do zgodności z przepisami względem faktycznych ryzyk na danym etapie. Klienci doceniają, jeżeli prawnik potrafi zaproponować rozwiązanie i przewidzieć kolejne etapy zamiast przedstawiać rozbudowane opinie „dlaczego to jest zakazane”. To wymaga głębokiego wejścia i zrozumienia długoterminowej strategii klienta oraz odpowiedzialnej odwagi we wskazywaniu możliwych kierunków, zwłaszcza jeżeli usługa klienta jest innowacyjna i nie można po prostu powielać rozwiązań prawnych już funkcjonujących w danej branży.
Specjalizują się Państwo w ochronie danych od 2010 r. Jak zmieniło się podejście organów nadzorczych w ostatnich latach?
Zaryzykuję stwierdzenie, iż Urząd Ochrony Danych zbliżył się do firm, często wchodzi w dialog, edukuje, tworzy fora do wymiany myśli i poglądów. Sygnalizuje postulaty uproszczenia ścieżki administracyjnej, publikuje wytyczne i wzory, potrafi zadzwonić i ludzko porozmawiać o prowadzonej sprawie. Patrząc na statystyki – mimo iż z roku na rok następuje skokowy wzrost skarg, wynikający z ciągłego wzrostu świadomości osób, których dane są przetwarzane, a także skokowy wzrost raportowanych incydentów – liczba nakładanych kar to ułamek procenta. To bardzo dobry kierunek, bo widać świadomość, iż incydentom nie da się w 100% zapobiec, natomiast poprzez edukację rynku można ciągle udoskonalać procesy, aby ograniczać ich liczbę, a w wypadku wystąpienia – zachować się odpowiednio. To dobre zmiany.
Czy obserwują Państwo wzrost kontroli i postępowań w obszarze naruszeń danych?
Tak, wynika to zarówno ze zwiększania sprawności działania przez adekwatne organy, jak i ze wzrostu świadomości osób, które dane przetwarzają lub których dane są przetwarzane.
Jakie błędy najczęściej popełniają firmy technologiczne przy wdrażaniu mechanizmów bezpieczeństwa informacji?
Podstawowym błędem jest przyjmowanie polityk i rozwiązań, które przez stopień ich skomplikowania są po prostu niemożliwe do realizacji. Ludzie odpowiedzialni za procesy zaczynają upraszczać sobie ścieżki postępowania, tworząc alternatywną względem procedur rzeczywistość. Nie rozumieją obowiązujących zasad, szkolenia są przeładowane informacjami, często opracowane lub prowadzone językiem prawniczym, bez ich zmapowania na specyfikę danego biznesu. Tymczasem często mniej znaczy lepiej.
Drugim błędem jest brak faktycznego wdrożenia procedur, brak nadzoru nad ich stosowaniem, brak wyciągania wniosków z popełnianych błędów (lessons learned).
Trzeci: brak dokumentowania stosowania procedur – zdarza się, iż firma szanuje dane oraz związane z tym obowiązki, ale nie potrafi tego wykazać.
Czy model zewnętrznego Inspektora Ochrony Danych zyskuje na popularności wśród startupów?
Są różne modele outsourcingu IOD. Niestety wśród niektórych startupów dużą popularnością cieszą się rozwiązania tanie, fasadowe, gdzie jedna „wyspecjalizowana” firma obsługuje kilkadziesiąt podmiotów. Taka rola nie niesie za sobą faktycznej wartości, nie oferujemy jej naszym Klientom. Z naszych doświadczeń częściej pełnimy taką funkcję dla większych organizacji, dla których faktyczna niezależność inspektora oraz jego przekrojowe doświadczenie w branżach istotnych dla danej firmy to coś, co potrafi przełożyć się nie tylko na formalne bezpieczeństwo, ale też na zoptymalizowanie procesów.
Jakie elementy są dziś najważniejsze w umowach inwestycyjnych i M&A w branży technologicznej?
Po pierwsze adekwatne dobranie partnera / inwestora, jego profilu. jeżeli uda się w tym zakresie uzyskać synergię, radykalnie zwiększa to szanse na powodzenie tego przedsięwzięcia, zarówno z perspektywy rozwoju firmy, jak i zbudowania wartości dla wspólników. Pochodną będzie odpowiedni balans pomiędzy wpływem inwestora na działalność operacyjną oraz dobranie odpowiedniej perspektywy planowanego wyjścia z inwestycji.
Dla inwestorów najważniejsze pozostaje natomiast zrozumienie, co kupują oraz na co zostaną przeznaczone ich pieniądze. Wymaga to dobrego, ukierunkowanego na profil targetu badania due diligence (zwłaszcza pod kątem IP), adekwatnego i realnego określenia celów, wiarygodnego harmonogramu transz dla zapewnienia ciągłości finansowania, raportowania postępu i utrzymania motywacji founderów oraz ich zespołu.
Czy inwestorzy przykładają większą wagę do compliance regulacyjnego przy due diligence spółek IT?
Jest to na pewno jeden z istotnych obszarów, zwłaszcza przy większych kwotach inwestycji oraz przy innowacyjnych usługach. Coraz większą wagę przykłada się przy tym do dokonywania oceny nie „na tu i teraz”, ale także w dalszej perspektywie – liczba projektowanych zmian w prawie wymaga, aby upewnić się, iż to, co dzisiaj jest zgodne, pozostanie takie również w przyszłości lub iż koszt ewentualnych zmian nie spowoduje utraty opłacalności w ramach projektu. Często we wnioskach trzeba bazować nie tylko na istniejących projektach przepisów, ale i na głębokim zrozumieniu trendów legislacyjnych globalnie.
Przy czym na pierwszym miejscu pozostaje ocena biznesowa przedsięwzięcia – w dobie skrajnie dynamicznego rozwoju wielu sektorów może okazać się, iż rozwiązanie opracowywane przez dany startup, które jest kosztochłonne, za chwilę zostanie zastąpione tanią usługą typu SaaS, opartą o AI lub o technologię i dane globalnego potentata.
Jak zmienia się odpowiedzialność zarządów spółek technologicznych w kontekście cyberbezpieczeństwa i ochrony danych?
Mamy tutaj zdecydowany trend wskazujący na wzrost ryzyka odpowiedzialności, proporcjonalnie do wzrostu liczby obowiązków związanych z tym obszarem. Członkowie zarządu ponoszą odpowiedzialność ogólną względem spółki za szkody wyrządzone działaniem lub zaniechaniem sprzecznym z prawem – a taka sytuacja może mieć miejsce, jeżeli np. spółka zapłaci karę albo odszkodowanie w wyniku tego, iż zarząd nie zapewni stosowania przez spółkę obowiązujących przepisów również w zakresie cyberbezpieczeństwa lub ochrony danych osobowych. W skrajnych wypadkach może wystąpić tu jeszcze dalej idąca odpowiedzialność, włącznie z karną.
Pojawiające się regulacje sektorowe robią często krok więcej, nakładając kary lub przypisując odpowiedzialność literalnie właśnie zarządom. Doskonałym przykładem jest tutaj DORA, która mówi o „ostatecznej odpowiedzialności” organu zarządzającego za zarządzanie w zakresie ryzyka związanego z ICT podmiotu finansowego.
Czy projekty technologiczne wymagają dziś ściślejszej integracji doradztwa prawnego i podatkowego?
Każde doradztwo prawne wymaga integracji doradztwa podatkowego. Nie da się dzisiaj napisać bezpiecznej umowy czy zaprojektować transakcji bez uważnego zaadresowania kwestii podatkowych. adekwatnie większość pracy prawnej powinna zaczynać się od analizy podatkowej, bo skutki błędów w tym zakresie mogą być bardzo dotkliwe i trudne do odwrócenia.
Zwłaszcza w ostatnich latach stopień zawiłości przepisów podatkowych, częstotliwość systemowych zmian, postępująca informatyzacja wymiany danych z organami podatkowymi (ułatwiająca ich automatyzowaną analizę na dużą skalę), a także regulacje mające na celu uszczelnienie systemu podatkowego czy przeciwdziałania niedozwolonym optymalizacjom podatkowym, wymuszają na doradcach skrajną uważność w tym obszarze.
Jakie wyzwania podatkowe pojawiają się przy modelach subskrypcyjnych i działalności transgranicznej?
Zwykle uwagi wymagają kwestie związane z ustaleniem miejsca opodatkowania, VAT OSS, podatkiem u źródła, ewentualnym powstaniem zakładu podatkowego (zwłaszcza w kontekście mobilności pracowników i współpracowników), ustaleniem prawidłowego momentu podatkowego (z uwagi na mnogość systemów rozliczeń – np. pre-paid vs pay-as-you-go). Przy tworzeniu struktur zagranicznych, gdzie np. otwieramy spółki zależne za granicą, mamy też chociażby wyzwania związane z cenami transferowymi. W przeważającej części projektów konieczne jest angażowanie lokalnych doradców podatkowych w krajach, gdzie firma zaczyna prowadzić działalność, aby zweryfikować lokalne regulacje, chociażby w kontekście podatku cyfrowego (DST). Stąd przykładamy dużą wagę do budowania strategicznych partnerstw prawnych z kancelariami znajdującymi się tam, gdzie działają nasi Klienci.
Na stronie kancelarii widoczne jest rozbudowane menu dostępności (UserWay). Co skłoniło Państwa do wdrożenia tych rozwiązań?
Naturalnie jako kancelaria staramy się stosować do obowiązujących przepisów, jak i dobrych praktyk. Kwestie dostępności to jeden z takich przykładów, który ma z naszej perspektywy szczególne znaczenie, bo przeciwdziała wykluczeniu cyfrowemu oraz dyskryminacji. To więc nie tylko odpowiedź na obowiązki wynikające z Europejskiego Aktu o Dostępności i wdrażającą te wymagania polską ustawę, ale też staranność w prowadzeniu biznesu odpowiedzialnego społecznie.
Czy dostępność cyfrowa jest dla Państwa elementem strategii ESG lub budowania odpowiedzialnej marki?
Szczerze mówiąc, patrzymy na to raczej jak na coś oczywistego i przyzwoitego, a nie tylko „część strategii”, bo pojęcie „strategii” kojarzy się bardziej jako działanie związane z kalkulowaniem skutków biznesowych. Warto wdrażać takie rozwiązania jak najszybciej, bez czekania na rozwój regulacji prawnych, strategie czy oczekiwane benefity. Wiele działań jest możliwych bez ogromnych nakładów, wymaga tylko dobrej woli i wrażliwości. Mam nadzieję, iż jako organizacja zawsze będziemy tutaj otwarci i możliwie zwinni w dostrzeganiu okazji do dalszego doskonalenia.
Czy klienci zwracają uwagę na kwestie dostępności i inkluzywności w komunikacji online?
Według mojej wiedzy Wasze pytania to pierwszy raz, kiedy ktoś nas o to zapytał w kontekście naszych działań Natomiast mieliśmy przyjemność pomóc naszym Klientom w podejmowanych przez nich inicjatywach dotyczących dostępności, uwzględniamy też ten aspekt w udzielanych przez nas poradach, choćby jeżeli nie był to główny przedmiot zapytania. Wspieraliśmy też pro bono powstawanie poradnika przygotowanego społecznie przez deweloperkę dla programistów.
Hasło „In Law with Technology” sugeruje silne zakorzenienie w sektorze tech. Czy planują Państwo dalsze zawężanie specjalizacji, czy raczej jej rozszerzanie?
Na pewno praca dla sektora technologicznego oraz w obszarze nowych technologii ogółem pozostanie główną płaszczyzną naszej działalności i naszym wyróżnikiem. Jest to coś, w czym czujemy się świetnie, daje nam to ogromną satysfakcję. Przy czym to nie jest tylko kwestia specjalizacji merytorycznej, ale też styl pracy – zwinny, biznesowy, partnerski. Naprawdę stajemy się częścią zespołu Klienta, a naszym celem jest udzielanie porad szybciej i lepiej od innych. To z kolei powoduje, iż często z doradztwa w NewTech Klienci zapraszają nas do współpracy również w innych obszarach prawa, bo pracuje im się z nami dobrze, darzą nas zaufaniem. Dlatego od samego początku rośniemy proporcjonalnie do potrzeb naszych Klientów, bardzo dynamicznie, odpowiadając na ich potrzeby. Już dzisiaj, poza specjalizacją w NewTech, CyberSec i FinTech, mamy bardzo mocne zespoły „Commercial, Corporate & Compliance”, „M&A and Real Estate” oraz „Tax”. Ten sukces zawdzięczamy zaangażowaniu naszego Zespołu, który mimo iż z roku na rok jest coraz liczniejszy, pozostaje wewnętrznie spójny pod kątem naszych wartości, etyki pracy oraz zasad. To nasza największa siła i motor napędowy.
Jakie regulacje unijne będą w najbliższych latach najważniejsze dla Państwa klientów?
Z aktualnie obowiązujących na pewno swoje znaczenie utrzymają RODO, DORA, AI Act, Data Act, DSA, DMA, NIS2, MiCA. W zakresie planowanych zmian uważnie śledzimy prace nad DFA (Digital Fairness Act) oraz nad Digital Omnibus, którego celem ma być uproszczenie i konsolidacja dotychczasowych ram w zakresie AI Act, GDPR, Data Act oraz e-Privacy. Od strony sektora finansowego bardzo istotne będą PSD3, PSR (Payment Services Regulation), EU AML Package czy cały Open Finance Framework. Nie można zapomnieć też o obszarze ESG, którego regulacje rozciągają się nie tylko na kwestie raportowania, ale też np. komunikacji względem konsumentów.
Czy rosnąca regulacja rynku cyfrowego sprzyja wyspecjalizowanym kancelariom technologicznym?
Pod kątem ilości pracy – oczywiście tak. Jest to jednak także spore wyzwanie, bo tempo regulacji wymaga ogromnego skupienia i nakładów na ciągłe pogłębianie ekspertyzy oraz rozwój zespołu. Aktualnie nie da się być jedno- czy kilkuosobową kancelarią „wyspecjalizowaną w IT”. W małych organizacjach konieczna jest ekstremalnie wąska i głęboka specjalizacja, przy czym trudniej jest z nią dotrzeć do klientów, o ile nie jest się od razu rozpoznawalnym ekspertem. Dopiero bliżej kilkudziesięcioosobowego zespołu można mówić o kompleksowej specjalizacji w tematach technologicznych, która pozwala faktycznie całościowo pomóc klientom w uzyskiwaniu zgodności. Tutaj idealnie wstrzeliliśmy się z naszym tempem rozwoju względem potrzeb, osiągając aktualnie poziom ok. 30 doradców.
Jak chcą Państwo budować przewagę konkurencyjną w kolejnych latach?
Przede wszystkim trzymamy się misji i wizji, jakie dla siebie zdefiniowaliśmy, oraz dbamy o to, aby stanowiły one kręgosłup działań dla całego zespołu. Chociaż hasła te mogą brzmieć dość górnolotnie, to jest dla nas ważne, żeby mieć je na uwadze zarówno w chwilach, kiedy podejmujemy kolejne decyzje biznesowe, jak i kiedy udzielamy porad Klientom. Tak więc, po pierwsze: bierzemy odpowiedzialność za bezpieczeństwo prawne i podatkowe naszych Klientów, dając ich firmom przestrzeń na innowację i rozwój w świecie, w którym technologia zmienia zasady gry. Po drugie: chcemy być pierwszym wyborem i częścią zespołu dla firm, które szukają nowoczesnego wsparcia prawnego, zwłaszcza w obszarze nowych technologii, tak skutecznego, iż staje się ich przewagą konkurencyjną. Myślę, iż stosując się do tych kierunkowskazów, stale będziemy w miejscu, w jakim chcielibyśmy być.
***
Adwokat Grzegorz Leśniewski, partner zarządzający Leśniewski Borkiewicz Kostka & Partners
