W chmurze
Chmura obliczeniowa (cloud computing), choć nie jest możliwa do zlokalizowania, to podlega szeregowi regulacji prawnych, określających sposób jej funkcjonowania. Sprawdź, na co należy zwrócić uwagę, gdy rozważasz skorzystanie lub już korzysta z tego rozwiązania.
Przetwarzanie danych w chmurze jest rozwiązaniem, z którego coraz chętniej korzystamy. Dostęp do danych z dowolnego miejsca na ziemi jest bowiem niezwykle wygodny. Żeby przeglądać dokumenty zapisane np. na dysku Google, nie trzeba nawet korzystać ze swojego osobistego komputera. Nie ważne, gdzie jesteś: na spotkaniu z kontrahentem w Warszawie, na targach Berlinie, na konferencji w Nowym Jorku, czy po prostu – jak wielu spośród nas dzisiaj – pracujesz z domu. Wystarczy, że zalogujesz się do dowolnego komputera, smartfona, czy tabletu, z dostępem do Internetu i od razu uzyskujesz dostęp do zasobów zapisanych w chmurze. Chmura obliczeniowa daje Ci do nich nieograniczony dostęp.
Cyfrowa szafka do przechowywania
W ostatnich kilku latach Parlament Europejski wydał co najmniej kilka aktów prawnych dotyczących świadczenia usług chmurowych. Chmura jest bowiem usługą, co jasno zaznaczono w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Zgodnie z wynikającą z niej definicją, usługa przetwarzania w chmurze oznacza usługę cyfrową umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania.
W bardziej obrazowy sposób działanie chmury obliczeniowej przedstawiła Komisja Europejska w komunikacie z dnia 27 września 2012 r. do Parlamentu Europejskiego, Rady Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów dotyczącym wykorzystania potencjału chmury obliczeniowej w Europie. Wskazano w nim, że „usługa chmury obliczeniowej pozwala na przechowywanie treści w chmurze. Chmura może służyć konsumentowi (a także przedsiębiorcy) jako cyfrowa szafka do przechowywania treści, a także jako narzędzie synchronizacji umożliwiające dostęp do tych treści z różnych urządzeń.”
Umowa o chmurę
Podstawą realizacji usługi chmurowej jest umowa z dostawcą rozwiązań chmurowych. Warunki jej realizacji mogą być przedmiotem negocjacji. Negocjując je należy zadbać, by w umowie uregulowane zostały wszelkie istotne z punktu widzenia usługobiorcy kwestie, w tym m.in.:
- warunki, jakie powinna spełniać Twoja infrastruktura, żeby usługa mogła być realizowana prawidłowo, innymi słowy, żeby wszystko działało;
- zasady zgłaszania oraz terminy usuwania przez usługodawcę występujących po jego stronie awarii uniemożliwiających korzystanie z usługi;
- stosowane przez dostawcę usługi rozwiązania chroniące dane zapisane w chmurze przed ich utratą lub nieuprawnionym dostępem do nich;
- odpowiedzialność usługodawcy za szkody wyrządzone Ci przy świadczeniu usługi, np. wynikające z przestoju spowodowanego brakiem dostępu do danych zapisanych w chmurze lub spowodowane utratą lub wyciekiem tych danych;
- warunki zakończenia współpracy przez strony;
- prawo, jakiemu podlega umowa oraz sąd, który będzie rozstrzygał spory między stronami (z punktu widzenia usługodawcy ważne jest, żeby były to prawo i sąd właściwe dla niego).
Zdarza się, że warunki świadczenia usługi cloud computing, w szczególności w odniesieniu do małych podmiotów, są nienegocjowane, a do zawarcia umowy dochodzi poprzez przystąpienie. Przystępując do umowy usługobiorca akceptuje warunki realizacji usługi chmurowej wynikające z regulaminu jej świadczenia. Regulamin taki stanowi ogóle warunki umowy (tzw. OWU) i co do zasady jest stosowany masowo w stosunku do wszystkich klientów dostawcy chmury. Przed przystąpieniem do jego zaakceptowania należy dokładnie go przeanalizować. Dopiero po analizie możliwa będzie ocena, czy i jakie ryzyka może nieść ze sobą skorzystanie z danego rozwiązania chmurowego, a co za tym idzie, czy warto takie ryzyko podejmować.
Rezygnacja z chmury
Warunki rozwiązania umowy o świadczenie usług chmurowych powinny wynikać z zawartej przez strony umowy o świadczenie usług chmurowych lub regulaminu świadczenia usługi. Jeżeli w umowie czy regulaminie ich nie zawarto, współpracę można rozwiązać powołując się na obowiązujące przepisy prawa. W zależności jednak od tego, jakiemu prawu podlega umowa czy regulamin, co jak wskazałam powyżej również powinno wynikać z ich treści, mogą one być zróżnicowane.
Niestety często zdarza się, że ani umowa o usługę cloud computing, ani też regulamin, nie określają, jakiemu prawu podlegają relacje łączące strony. W przypadku stosunków pomiędzy przedsiębiorcami, takie rozwiązanie jest korzystne jedynie dla usługodawcy. Zgodnie bowiem z art. 3a ust. 1 ustawy o świadczeniu usług drogą elektroniczną, jeżeli strony nie dokonały wyboru prawa, świadczenie usług drogą elektroniczną podlega prawu państwa członkowskiego Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) – strony umowy o Europejskim Obszarze Gospodarczym, na którego terytorium dostawca usług chmurowych ma miejsce zamieszkania lub siedzibę.
Trzeba zatem pamiętać, by o ile jest to możliwe, w ramach negocjacji prowadzonych z dostawcą rozwiązań chmurowych, doprowadzić do sytuacji, by umowa podlegała prawu, w którym znajduje się siedziba Twojej firmy. W przypadku braku takiej możliwości, warto przed nawiązaniem współpracy z usługodawcą, zweryfikować, jakie rozwiązania przewiduje narzucone przez niego prawo, a w konsekwencji, czy będziesz im w stanie sprostać.
W przypadku, gdy dla umowy o świadczenie usługi chmury obliczeniowej, właściwe będzie prawo polskie, a nie określono innych warunków jej rozwiązania, chcąc zakończyć współpracę z usługodawcą należy posiłkować się przepisami polskiego Kodeksu cywilnego o zleceniu. Oznacza to, że umowę taką można rozwiązać w każdym czasie. Należy jednak pamiętać, że jeżeli umowa była odpłatna (a tak jest co do zasady przy kontraktach chmurowych), a do jej rozwiązania doszło bez ważnego powodu, wskutek czego dostawca usługi poniósł szkodę, może on żądać jej naprawienia. Takie same uprawnienia będą przysługiwać usługobiorcy, gdy do rozwiązania umowy – mimo braku ważnej przyczyny, dojdzie z inicjatywy dostawcy.
Bezpieczeństwo w chmurze
Transfer danych do chmury powoduje utratę kontroli nad nimi. Nie zawsze wiadomo, na jakim serwerze dane są przechowywane, a przede wszystkim, jaka jest jego lokalizacja. Nie ma również pewności, czy dane są należycie zabezpieczone. O ile problem ten nie dotyczy – a przynajmniej nie powinien dotyczyć – danych przechowywanych na serwerach w UE, to w odniesieniu do serwerów znajdujących się poza Unią, np. w Indiach, czy Chinach, nabiera znaczenia.
Niewystarczające zabezpieczenie danych naraża je na ich niekontrolowane udostępnienie, jak również na ataki hakerów. Dlatego, zanim zdecydujesz się na skorzystanie z rozwiązań chmurowych danego dostawcy, zweryfikuj jego politykę bezpieczeństwa. Sprawdź:
- Do kogo należy infrastruktura składająca się na chmurę;
- Kto ją kontroluje;
- Gdzie zlokalizowane są jej poszczególne elementy;
- Jakie narzędzia są wykorzystywane w celu zapewnienia bezpieczeństwa danych w chmurze;
- Czy i w jaki sposób następuje raportowanie o stanie wykonanych usług.
Potwierdzeniem tego, że dostawca rozwiązań chmurowych należycie zabezpiecza dane zapisane w chmurze, może być np. fakt wdrożenia w jego organizacji standardów zarządzania bezpieczeństwem informacji (tj. norm ISO/IEC 27000), jak również poddanie się audytowi według amerykańskiego standardów SOC (Standard Organization Control).
Odpowiedzialność za szkody
Pomimo płynących zewsząd zapewnień, że dane zapisane w chmurze są bezpieczne, nie można całkowicie wykluczyć ryzyka ich utraty czy wycieku. Może przecież dojść do awarii infrastruktury dostawcy usługi, wskutek której zawiodą nawet najbardziej niezawodne systemy bezpieczeństwa. To najczarniejszy scenariusz, a szanse na jego ziszczenie się są stosunkowo małe. Nie są jednak zerowe. Dostawcy usług chmurowych w regulaminach świadczenia usług często formułują klauzule wyłączające lub przynajmniej ograniczające ich odpowiedzialność za skutki takich zdarzeń. Nigdy nie zgadzaj się na takie zapisy! Gdy umowa lub regulamin wyłącza odpowiedzialność usługodawcy należy dobrze zastanowić się, czy warto nawiązywać z nim współpracę, ewentualnie podjąć negocjacje mające na celu zmianę zasad jego odpowiedzialności.
Podsumowanie
Zasady funkcjonowania chmury obliczeniowej nie zostały uregulowane kompleksowo w jednym akcie prawnym. Niemniej w obrocie funkcjonuje wiele regulacji, które należy stosować w odniesieniu do tej usługi bezpośrednio lub odpowiednio. Z uwagi jednak na popularność i istotne znaczenie cloud computing w obrocie gospodarczym, zasadnym byłoby ujednolicenie tych rozwiązań prawnych. Z pewnością przyczyniłoby się to do zwiększenia pewności obrotu prawnego, a tym samym wzmocnienia poczucia bezpieczeństwa jego uczestników, w szczególności mając na względzie charakter przechowywanych w chmurze danych. W przypadku przedsiębiorców w dużej mierze stanowią one bowiem tajemnicę przedsiębiorstwa wymagającą szczególnej ochrony. Dopóki brak jest jednolitych rozwiązań, szczególnie ważne jest zawieranie kontraktów gwarantujących bezpieczeństwo przechowywanych w chmurze danych. Dlatego nigdy nie należy podpisywać ich pochopnie.
AUTOR WPISU
E: natalia.gawel@pl.Andersen.com
T: +48 509 994 691