Sektor chmurowy jest jednym z dynamiczniej rozwijających się sektorów branży nowych technologii. Odsetek danych korporacyjnych przechowywanych w chmurze wzrósł z 30% w 2015 r. do prawie 60% w 2022 r. Stanowi to zatem prawie dwukrotny wzrost w ciągu zaledwie 7 lat. Za skokowym wzrostem roli chmury nie idzie jednak jak na razie szczegółowe uregulowanie tego rodzaju usług i związanych z nimi typów umów. Mimo to, możemy wyróżnić wiele prawnych aspektów chmury, które obecnie znajdują już zastosowanie w obrocie gospodarczym.
Czym jest chmura obliczeniowa?
Chmura obliczeniowa (ang. Cloud computing) jest modelem przetwarzania zasobów komputerowych na żądanie, w szczególności przechowywania danych i mocy obliczeniowej, bez bezpośredniego aktywnego zarządzania przez użytkownika. Za funkcjonowanie chmury odpowiada dostawca usług chmurowych, który jest operatorem serwerów chmurowych.
Chmura operuje zazwyczaj na zasadzie “pay-as-you-go”. Optymalizuje i usprawnia działania użytkownika oraz przyczynia się do zwiększenia bezpieczeństwa jego danych. Za najważniejsze cechy usług chmurowych uznaje się współdzielenie zasobów, mierzalność i skalowalność usług, optymalizacja kosztów i dostępność na żądanie.
-
Promocja!
Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]
1199,00 zł – 1999,00 zł (z VAT)Ostatnia najniższa cena przed zastosowaniem obniżki ceny: 1199,00 zł.
Wykorzystywanie chmury obliczeniowej
Wyróżniamy trzy modele korzystania z chmury obliczeniowej:
- IaaS (Infrastructure as a Service) – infrastruktura jako usługa;
- PaaS (Platform as a Service) – platforma jako usługa;
- SaaS (Software as a Service) – oprogramowanie jako usługa.
Coraz częściej wyróżniany jest również czwarty model wykorzystywania usług chmurowych, nazywany technologiami bezserwerowymi (ang. Serverless Technologies) albo przetwarzaniem bezserwerowym (Serverless Computing), która faktycznie jest charakteryzowana jako nakładka (rozwinięcie) na usługi PaaS.
Jakie są rodzaje chmury obliczeniowej?
Oprócz modeli korzystania z chmury, można również wyodrębnić jej 3 podstawowe typy:
- Chmury publiczne (Public Cloud) – dostęp mają wszyscy zainteresowani;
- Chmury prywatne (Private Cloud) – tworzone i dostępne dla konkretnego odbiorcy;
- Chmury hybrydowe (Hybrid Cloud) – rozwiązanie pośrednie, łączące cechy przynajmniej dwóch wyżej wskazanych typów.
Nie będzie zaskoczeniem, że wybrany model oraz typ chmury decyduje o koniecznych i stosowanych postanowieniach umowy regulującej usługę chmurową. Wskazanie pełnej specyfiki prawnej każdego z modeli i typów umów nadawałoby się na osobną książkę, w związku z czym, w artykule skupimy się na najważniejszych ogólny kwestiach związanych z prawnymi aspektami usług chmurowych.
Definicja prawna chmury obliczeniowej
Zacznijmy od definicji usług chmurowych. W polskim systemie prawnym istnieje ich kilka. Nie są one jednak bardzo szczegółowe. Zgodnie z definicją zawartą w Dyrektywie UE 2016/1148, usługa przetwarzania w chmurze oznacza „usługę cyfrową umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania”.
Warto od razu wskazać, że Dyrektywa została zaimplementowana do polskiego systemu prawnego ustawą z dnia z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która posługuje się bliźniaczą definicją cloud computingu.
Zgodnie z tą definicją usługa chmurowa to „usługa umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników”.
Inną definicję dostarczył nam komunikat Urzędu Komisji Nadzoru Finansowego z dnia 23 stycznia 2020 r., w którym określono chmurę jako „Pulę współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy.”
Jak widzisz definicji nie jest zbyt dużo. Nie dają one również wyczerpującej odpowiedzi na wszystkie pytania dotyczące definiowania chmury. Tym bardziej zwiększa to zatem rolę umowy na podstawie której usługa chmurowa będzie świadczona.
Umowa chmurowa
W związku z nielicznymi regulacjami odnoszącymi się wprost do umów chmurowych, kluczowe znaczenie nabiera umowa kształtująca stosunek między dostawcą chmury a użytkownikiem.
Rekomendowanym i najczęściej spotykanym typem umowy chmurowej jest umowa o świadczenie usług, która w polskim systemie prawnym została uregulowana w kodeksie cywilnym.
Jej treść, oprócz standardowych postanowień dotyczących m. in. warunków zawarcia i rozwiązywania umowy, opłat za korzystanie z usług, czy określenia przedmiotu umowy powinna zawierać również te bardziej szczegółowe jak np. postanowienia dotyczące przetwarzania danych osobowych uwzględniające specyfikę usług chmurowych, wymagania techniczne, jakie musi spełniać sprzęt użytkownika oraz postanowienia regulujące zakaz transferu do chmury treści o charakterze bezprawnym czy – szczególnie w przypadku konsumentów – tryb postępowania reklamacyjnego.
Dodajmy, że jest to tylko mała część z istotnych postanowień, które powinny być zawarte w każdej dobrze przygotowanej umowie na świadczenie usług chmurowych, w związku z czym, wielokrotnie przy zawieraniu takiej umowy pomoc prawnika może okazać się wskazana.
Inną, wartą osobnego podkreślenia kwestią jest ustalenie właściwości sądu, która w przypadku usług chmurowych nabiera szczególnego znaczenia. Siedziby i serwery dostawców chmury mogą znajdować się w kilku państwach co w przypadku chęci dochodzenia swoich roszczeń wobec dostawcy usług chmurowych, może skutkować dużymi trudnościami na etapie sądowym.
Wzorce umów chmurowych
Podkreślmy jednak – co nie będzie specjalnie odkrywcze – że większość użytkowników chmury korzysta z niej na podstawie wzorca umowy udostępnionego przez dostawcę i nieprzeznaczonego do negocjacji między stronami.
I o ile postanowienia wzorców umów większych dostawców technologii chmurowych są zazwyczaj (choć e nie zawsze) dostosowane do obowiązujących przepisów i zgodne z prawem, tak w przypadku mniejszych dostawców zdarza się, szczególnie w przypadkach, w których użytkownikami są konsumenci, że niektóre postanowienia umowy mogą okazać się abuzywne (czyli niedozwolone). W takim wypadku nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy.
Nie dotyczy to jednak postanowień określających główne świadczenia stron, w tym cenę lub wynagrodzenie, jeżeli zostały sformułowane w sposób jednoznaczny.
Warto podkreślić, że takie postanowienia mogą zostać nie tylko unieważnione ale mogą również być przyczyną nałożenia kar przez organy nadzoru odpowiadające choćby za ochronę konsumentów (w Polsce UOKIK) oraz ochronę danych osobowych (w Polsce UODO).
Dostawcy usług chmurowych muszą ponadto pamiętać, że wzorzec umowy powinien być sformułowany jednoznacznie i w sposób zrozumiały. Postanowienia niejednoznaczne tłumaczy się bowiem na korzyść konsumenta.
Ochrona danych osobowych a chmura
Temat ochrony danych osobowych zacznijmy od wskazania na jedną z głównych obaw użytkowników chmury obliczeniowej. Krytycy chmury podkreślają, że ten model świadczenia usług zagraża bezpieczeństwu danych osobowych i naraża użytkownika na wyciek danych. To większości przypadków mit. Serwery chmurowe mają zazwyczaj skuteczniejsze zabezpieczenia od klasycznych serwerów. Mimo to, wątpliwości związane z prawnymi aspektami przetwarzania danych osobowych w chmurze niejednokrotnie bywają uzasadnione.
Na wstępie zaznaczmy, że najważniejszy akt prawny regulujący przetwarzanie danych osobowych czyli RODO (ogólne rozporządzenie o ochronie danych) nie odnosi się wprost do chmury. RODO nakłada jednak szereg ogólnych obowiązków związanych z przetwarzaniem danych osobowych, które siłą rzeczy odnosić się będą również do przetwarzania w chmurze.
Ponadto warto pamiętać, że udostępnienie dostawcy usług chmurowych danych osobowych przez administratora wiąże się ponadto m.in. z koniecznością zawarcia umowy o powierzeniu przetwarzania danych osobowych.
Oprócz tego, w przypadku przetwarzania danych przez dostawcę chmurowego trzeba pamiętać, że obowiązki wynikające z RODO dotyczą również m. in. obowiązków informacyjnych w stosunku do osoby której dane są przetwarzane, jej praw związanych z przetwarzanymi danymi oraz warunków ewentualnego powierzenia przetwarzania danych. W kontekście usług chmurowych szczególnie istotne stają się jednak obowiązki związane z przetwarzaniem danych poza Europejskim Obszarem Gospodarczym (EOG). W przypadku chmury jest to o tyle istotne, że większość dostawców chmurowych to firmy z siedzibą i serwerami poza EOG, co rodzi dodatkowe wątpliwości związane z ukształtowaniem postanowień umowy chmurowej oraz przestrzegania obowiązującego prawa.
W związku z tym, w umowie na świadczenie usług chmurowych powinny znaleźć się postanowienia dotyczące lokalizacji serwera lub serwerów dostawcy usługi chmurowej. Miejsce lokalizacji serwerów może się okazać kluczowe choćby w związku z ustaleniem czy dochodzi do przekazania danych osobowych poza EOG (co tworzy dodatkowe obowiązki po stronie dostawcy usługi chmurowej) oraz podczas ustalania miejsca naruszenia – a co za tym idzie właściwej jurysdykcji sądu.
Jeśli dane będą przekazywane poza EOG (również z innych przyczyn niż lokalizacja serwera poza EOG), wtedy, w związku z wymaganiami stawianymi przez RODO, należy zawrzeć o tym informację w postanowieniach umowy oraz spełnić dodatkowe wymagania, uzależnione od stopnia ochrony stwierdzonego przez Komisję Europejską.
Do przetwarzania danych osobowych najczęściej będzie dochodzić przy wykorzystywaniu modelu SaaS.
Odnosząc się jeszcze do obaw użytkowników chmury dotyczących większego narażenia na wyciek danych niż w przypadku tradycyjnych serwerów, warto również wskazać, że zawierając umowę o świadczenie usług chmurowych, możemy w przypadku wycieku danych zminimalizować (przynajmniej finansowe) konsekwencje, zobowiązując dostawcę do zapłaty kar umownych lub zobowiązując go do naprawienia szkody na wskazanych przez nas warunkach.
Chmura obliczeniowa a prawa autorskie
Bardzo ważnym elementem związanym z chmurą obliczeniową są również prawa autorskie. Omawiając prawa autorskie dot. umów chmurowych musimy odnieść się do ustawy o prawach autorskich. Chmura obliczeniowa jest de facto programem komputerowym, w związku z czym podlega przepisom szczególnym, dotyczącym programów komputerowych.
Przewidują one trzy główne pola eksploatacji (czyli wykorzystania utworu):
- Prawo do modyfikacji
- Prawo do rozpowszechniania
- Prawo do zwielokrotniania
Co do zasady, podmioty korzystające z usług chmurowych nie mają jednak – w przeciwieństwie do klasycznych umów z sektora IT, możliwości modyfikowania i rozpowszechniania utworu. Wątpliwości pojawiają się w kontekście zwielokrotniania.
Podczas korzystania z chmury dochodzi bowiem do zapisywania w pamięci komputera faktu korzystania z chmury (czyli programu komputerowego jako takiego). Należy jednak pamiętać, że jest to element uboczny całego procesu korzystania z chmury. Będzie to bowiem działanie urządzenia, a nie człowieka. Wydaje się zatem, że takie działania nie powinny być zatem uznane za zwielokrotniania.
Jeśli jednak uznalibyśmy je za zwielokrotnianie, musimy wtedy zwrócić uwagę, że co do zasady, zgodnie z przepisami ustawy o prawie autorskim, każde zwielokrotnienie oprogramowania stanowi domenę praw autorskich. Mimo to przepisy szczególne – m. in. dotyczące tworzenia kopii zapasowej – oraz specyfika chmury – korzystanie z chmury stanowi jedynie środek do osiągnięcia celu jakim jest skorzystanie z zasobów teleinformatycznych – wyłączają niektóre formy zwielokrotnień z konieczności uzyskania zgody na dokonanie poszczególnego działania.
W związku z powyższym, przed podpisaniem umowy, należy dokładnie zastanowić się nad tym, czy w danym przypadku, prawa autorskie będą miały zastosowanie (w znacznej większości umów nie będą miały). Dla ostrożnych mogę jednak zarekomendować wprowadzenie postanowień licencyjnych do umowy nawet jeśli wydawać się będzie, że do zwielokrotnienia nie dojdzie. Zaznaczam jednak, że jest to rozwiązanie stosunkowo rzadko spotykane.
* W doktrynie prawniczej pojawiają się również głosy, że korzystanie z usług chmurowych, szczególnie w modelu SaaS może stanowić nowe, nieznane dotychczas pole eksploatacji. W przypadku usługi w modelu SaaS powinno to stanowić argument za rozważeniem wprowadzenia szczególnych regulacji do umowy chmurowej.
Zasada swobody umów
Mimo że umowa o świadczenie usługi chmurowej oparta będzie na zasadzie swobody umów, należy wskazać, że w związku z charakterem usług chmurowych oraz – co zdarza się bardzo często – świadczeniem tych usług konsumentom, dostawca chmury musi uwzględnić szereg obowiązków nałożonych przez przepisy obowiązującego prawa.
Oprócz wspomnianych już powyżej RODO oraz ustawy o prawach autorskich i prawach pokrewnych, należy wskazać w szczególności na ustawę o świadczeniu usług drogą elektroniczną[KL3] , która zakłada m. in. konieczność posiadania regulaminu usługi oraz określenia trybu postępowania reklamacyjnego; ustawę o prawach konsumenta regulującą uprawnienia konsumentów oraz obowiązki, które dostawcy chmury musi względem nich spełnić oraz ustawę o krajowym systemie cyberbezpieczeństwa regulującą wymagania z zakresu bezpieczeństwa przechowywania danych.
Przyszłość chmury obliczeniowej
Poznanie specyfiki umów chmurowych, w związku z bardzo dynamicznym wzrostem tego sektora staje się kluczowe dla każdego biznesu w trzeciej dekadzie XXI wieku. Przewiduje się, że wartość tej części rynku wzrośnie, z niespełna 400 miliardów dolarów w 2021 r. aż do ponad półtora biliona dolarów w 2030 r.
Stanowi to niepodważalny dowód na konieczność zwrócenia jeszcze większej uwagi nie tyle na samo narzędzie jakim jest chmura obliczeniowa (ten etap mamy już przecież za sobą) ale również podkreślenie roli prawnych regulacji usług chmurowych, których rola z roku na rok będzie tylko rosnąć.
Potrzebujesz mojego wsparcia dotyczącego umów o świadczenie usług chmurowych? Napisz do mnie!
Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.