Jest firma w chmurze i burza prawnych problemów

Firmy coraz częściej korzystają z usług przechowywania danych w chmurze. [ramka] Tak jak w wielu innych dziedzinach, tak i w informatyce prawo nie nadąża jednak za rozwojem technicznym i gospodarczym. W efekcie brak jest ustawowego wzorca umowy o korzystaniu z chmury obliczeniowej. Stosowane w praktyce umowy opierają się raczej na dorobku anglosaskim, co nie ułatwia ich implementacji do polskich realiów prawnych. W efekcie mamy tu do czynienia z sytuacją analogiczną do istniejącej w latach 80. i 90. w odniesieniu do umów leasingu.

Umowy cloud computingu można obecnie kwalifikować jako usługi w rozumieniu art. 750 ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (t.j. Dz.U. z 2014 r. poz. 121; dalej: k.c.), połączone zazwyczaj - w zakresie, w jakim obejmują one udostępnianie oprogramowania - z udzieleniem praw do korzystania z aplikacji, najczęściej licencji z prawa autorskiego lub w modelu usługowym (tzw. SaaS - oprogramowanie jako usługa). W umowach tych regulowane są także inne usługi powiązane, np. wdrożenie aplikacji w przedsiębiorstwach, utrzymanie aplikacji i wsparcie użytkowników. Zakres ważnych zagadnień prawnych, które mogą pojawiać się w kontekście umów o korzystanie z chmury obliczeniowej, jest niezmiernie szeroki. Z tego względu poruszamy jedynie wybrane kwestie prawne, które mają istotne znaczenie dla firm rozważających korzystanie z usług cloud computingu.

PROBLEM 1

Poza ustaleniem samego rodzaju i zakresu usługi niewątpliwie istotnym dla użytkownika (szczególnie przedsiębiorcy) jest zapewnienie mu prawa do korzystania z usług w chmurze (w tym aplikacji) na każde jego żądanie w całym okresie umowy. Czynione jest to najczęściej poprzez wprowadzenie tzw. gwarantowanej dostępności usługi IT, czyli czasu, w jakim użytkownik będzie mógł z niej korzystać. Zwyczajowo określa się, że usługa będzie dostępna przez cały okres umowy, na określonym procentowo (zazwyczaj 97-99 proc.) lub czasowo (np. 365 dni w roku) poziomie dostępności. Oznacza to, że dopuszczalne będzie wystąpienie przerw w dostarczaniu usługi IT, np. przez 5 dni w roku. Niemniej ważne jest dla użytkownika nie tylko to, aby usługi były świadczone, ale również by były one dostarczane prawidłowo. Stąd z dostępnością usługi wiąże się nierozerwalnie kwestia usuwania błędów w działaniu infrastruktury usługodawcy i oprogramowania. Dlatego warto zwrócić uwagę, by umowa zawierała zobowiązanie usługodawcy do usuwania błędów w działaniu usługi (w szczególności aplikacji), najlepiej w ściśle określonych czasach naprawy. Jednak trzeba mieć jednocześnie świadomość, że im będą one krótsze - tym poziom wynagrodzenia będzie wyższy.

PROBLEM 2

Podobnie jak w klasycznych umowach licencyjnych na oprogramowanie, także i w zakresie usług cloud computingu zazwyczaj istotnie ograniczana jest odpowiedzialność cywilna usługodawcy. Na jakie zapisy zatem zwrócić szczególną uwagę?

W umowach wyłączana jest odpowiedzialność usługodawcy za wybór usług lub aplikacji i ich przydatność do celów określonych przez użytkownika. Usługodawcy nie przyjmują również odpowiedzialności za skutki wykorzystania efektów usług przez użytkownika. Ograniczana jest również odpowiedzialność za brak dostępności usługi IT lub opóźnienia w usuwaniu błędów w działaniu aplikacji (zwłaszcza w odniesieniu do utraconych korzyści). Dodatkowo usługodawcy ograniczają zazwyczaj odpowiedzialność kwotowo, odnosząc się do wysokości opłat za świadczenie usług. W efekcie, w razie braku lub niewłaściwego świadczenia usługi, użytkownik może liczyć co najwyżej jedynie na odzyskanie zapłaconych opłat.

Ograniczenia odpowiedzialności dotyczą w równym stopniu także kwestii poufności danych i zabezpieczenia tajemnicy przedsiębiorstw. Co prawda usługodawcy zapewniają użytkowników o pełnej ochronie danych, w praktyce jednak zapis ten nie zawiera zobowiązania, iż dane poufne lub informacje wrażliwe nie zostaną ujawnione, ale ogranicza się jedynie do zobowiązania, że zastosowane będą określone zabezpieczenia techniczne lub prawne. Usługodawcy będą zatem wyłącznie co do zasady odpowiadać za niedołożenie należytej staranności w zastosowaniu tych środków, a nie za sam fakt ujawnienia danych. W tym zakresie odpowiedzialność będzie spoczywać na zamawiającym. Dodając do tego ograniczenia odpowiedzialności, zapewnienia o ochronie danych mają dość intencjonalny charakter, który dodatkowo osłabia niepewność co do regulacji prawnych i ingerencji organów państw obcych, w których zlokalizowane są serwery lub siedziby usługodawców.

PROBLEM 3

Korzystanie z usługi cloud computingu często wiąże się z przetwarzaniem danych osobowych. W takim wypadku konieczne będzie poinformowanie o tym osób, których dane są przetwarzane (art. 24 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - t.j. Dz.U. z 2002 r . nr 101 poz. 926 ze zm.; dalej u.o.d.o.).

Umowa z dostawcą usług powinna zatem stanowić, iż dane będą zbierane w celu zgodnym z prawem i nie będą przetwarzane w innym celu, niż zostały zebrane, nie będą poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (art. 26 u.o.d.o.). Warto dodać postanowienia zobowiązujące do rejestrowania i kontroli poszczególnych operacji wykonywanych na tym zbiorze. Należy pamiętać, iż dane osobowe powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Konieczne jest więc określenie w umowie zasad prawidłowego usunięcia owych danych, co jest szczególnie istotne z uwagi na wirtualny charakter usługi.

Usługobiorca jest zobowiązany do zapewnienia stosowania przez dostawcę usług w chmurze środków technicznych i organizacyjnych dla zapewnienia ochrony danych osobowych. Ponadto powinien zapewnić, aby usługodawca dopuszczał do przetwarzania wyłącznie osoby posiadające upoważnienie, a nadto zapewnił kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W praktyce realizacja uprawnień kontrolnych usługobiorcy wobec podmiotu, któremu powierzono przetwarzanie danych osobowych, może być bardzo trudna.

Należy pamiętać, iż przekazanie danych osobowych do krajów Europejskiego Obszaru Gospodarczego jest dopuszczalne, zaś przekazanie do państwa trzeciego - może nastąpić wyłącznie wtedy, gdy państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Jest on oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe. Zasadniczo przekazanie danych osobowych do państwa trzeciego, które nie daje gwarancji adekwatnej ochrony danych osobowych, jest możliwe za zgodą GIODO, po zapewnieniu zabezpieczeń dotyczących ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

PROBLEM 4

Pamiętać także należy, że umowy powinny zapewniać możliwość przejęcia przez użytkownika wszystkich danych po zakończeniu usługi, gdyż w innym wypadku groziłoby to ich utratą i poważnymi szkodami dla jego działalności. Z tego względu umowy określają zazwyczaj szczegółowe zasady i terminy przekazywania danych użytkownikowi. Niemniej jednak warto rozważyć - choć może to być czasami kłopotliwie technicznie - możliwość tworzenia kopii zapasowych danych z chmury w innych środowiskach, utrzymywanych bezpośrednio przez użytkownika lub u innego dostawcy usług IT.

PROBLEM 5

Niejednokrotnie przepisy prawa mogą stanowić przeszkodę dla korzystania z usług w chmurze. Jest tak w szczególności w przypadku, gdy dane zawierają informacje użytkownika, który zobowiązany jest ustawowo do ich ochrony i nieujawniania osobom trzecim. Dobrymi przykładami są przepisy o tajemnicy adwokackiej i o tajemnicy bankowej. Pierwsza z nich w analizowanym kontekście jest dość bezwzględna i w obecnym stanie techniczno-prawnym uniemożliwia korzystanie z części usług w chmurze, np. korzystania z systemów DMS (document management system), które zakładają przechowywanie/przetwarzanie dokumentów klientów w bazach danych zlokalizowanych na serwerach w chmurze. Odmiennie, w przypadku banków możliwe jest przetwarzanie lub przechowywanie danych objętych tajemnicą w chmurze z wykorzystaniem formuły outsourcingu usług, z zachowaniem wymogów art. 6a ustawy z 29 sierpnia 1997 r. - Prawo bankowe (t.j. Dz.U. z 2012 r. poz. 1376 ze zm.).

Mimo zatem licznych korzyści technicznych i ekonomicznych wynikających z cloud computingu, ograniczenia i ryzyka techniczno-prawne powodują, że korzystanie z chmury może być dla przedsiębiorców dość ryzykowne, zwłaszcza w odniesieniu do wspomagania kluczowych procesów gospodarczych. Stąd też starają się oni obecnie raczej ograniczać korzystanie z chmury do obsługi drugorzędnych procesów biznesowych, takich jak np. HR czy działalność marketingowa.

Publiczne lub prywatne

jest w praktyce prawnej pojęciem bardzo szerokim i obejmuje wszystko, co polega na zdalnym udostępnianiu infrastruktury lub oprogramowania firmy informatycznej dla potrzeb przetwarzania (przechowywania) danych przez użytkownika. Cechą podstawową chmury jest wielość centrów przetwarzania danych i brak ich ścisłego powiązania z określoną lokalizacją. Wyróżnia się co do zasady dwa rodzaje chmur obliczeniowych: publiczne - dostępne dla wszystkich użytkowników na podobnych zasadach, i prywatne - przeznaczone wyłącznie dla jednego użytkownika lub ich zdefiniowanej grupy (np. grupy kapitałowe).

@RY1@i02/2014/169/i02.2014.169.21500070a.802.jpg@RY2@

mec. Marek Gajek partner w kancelarii prawnej Gajek i Wspólnicy

mec. Marek Gajek

partner w kancelarii prawnej Gajek i Wspólnicy