Po pierwsze – zapisów oddających specyfikę chmury obliczeniowej. Po drugie – regulacji powtarzalnych, charakterystycznych dla szerszej grupy kontraktów związanych z informatyką (prawem komputerowym). Po trzecie – ogólnych zapisów określających poszczególne aspekty stosunku prawnego między dostawcą a odbiorcą usługi.
@@
Umowy cloud computing są umowami o świadczenie usług, w których klient zakłada skorzystanie z rozwiązań SaaS (udostępnienie aplikacji), PaaS (platformę) lub IaaS (infrastrukturę), a druga strona taką możliwość mu zapewnia. W przypadku zapisów charakterystycznych dla tego rodzaju umowy są nimi określenia obowiązków w zakresie przetwarzania danych i dotyczące poziomu jakości usług SLA (Service Level Agreement wybranych IaaS, PaaS, SaaS), w której usługi zostają zdefiniowane i określone zostają ich parametry. Te podstawowe obejmują gwarantowany poziom dostępności danych, wydajność i odpowiedzialność w przypadku utraty lub uszkodzenia danych. Elementem wchodzącym w zakres SLA jest określenie poziomu wsparcia dostawcy.
Ważne jest wskazanie parametrów określających ryzyka i zmniejszających ich skutki wynikające z wielomiejscowości świadczenia czy z łączenia zasobów z innymi użytkownikami (wielodzierżawności), np. overbookingu. Ważne w związku z tym jest określenie możliwości w zakresie elastyczności dostępnych i wykorzystywanych zasobów oraz środków naprawczych w przypadku przestoju. Rozróżniamy przestój zaplanowany i niezaplanowany. Przy czym w szczególności określenie długości pojedynczych przerw w ramach postoju niezaplanowanego (a nie zbiorczego czasu, np. w miesiącu) może wpłynąć na przewidywalność korzystania z usługi. Często zresztą podawane przez dostawcę parametry są bardzo ogólne i podane w skrótowej formie, co ma ujemny wpływ na ich ewentualne egzekwowanie. Kolejną kwestią do określenia w umowie jest prawo lub obowiązek dostawcy ujawniania informacji osobom trzecim, przykładowo organom (poza wymogami ustawowymi). Biorąc po uwagę częste podejście wielopoziomowe jednym z elementów bezpieczeństwa będzie dokładne określenie tożsamości podmiotów faktycznie świadczących usługi.
Jest wiele innych standardowych elementów, na które trzeba zwrócić uwagę, jak możliwości rozwiązania umowy i cennik opłat w zależności od poziomu wykorzystania, a także zakres pomocy oferowanej przez dostawcę w okresie przejściowym, kwestie związane z prawami autorskimi czy prawo właściwe i właściwość sądów, którym podlega umowa. W tym ostatnim przypadku pomocne mogą być wskazania Grupy Roboczej art. 29 zawarte m.in. w opinii nr 8/2010 „o prawie właściwym” przyjętej 16 grudnia 2010 r. (WP179). Zwrócono w nim m.in. uwagę, iż ścisły związek pomiędzy prawem właściwym a administratorem może stanowić gwarancję efektywności i wykonalności szczególnie w sytuacji, w której ustalenie położenia zbioru danych może być trudne, a w niektórych przypadkach niemożliwe do ustalenia, jak w przypadku cloud computing.
Złożoność ram prawnych wymusza obecnie funkcjonowanie w chmurach obliczeniowych w oparciu o skomplikowane i różnorodne umowy mogące narzucać jednostronne i niepełne rozwiązania, stąd też Komisja Europejska – na bazie przeprowadzonych konsultacji – opowiada się za przyjęciem w tym zakresie wzorca umownego.
@@
Umowy cloud computing są umowami o świadczenie usług, w których klient zakłada skorzystanie z rozwiązań SaaS (udostępnienie aplikacji), PaaS (platformę) lub IaaS (infrastrukturę), a druga strona taką możliwość mu zapewnia. W przypadku zapisów charakterystycznych dla tego rodzaju umowy są nimi określenia obowiązków w zakresie przetwarzania danych i dotyczące poziomu jakości usług SLA (Service Level Agreement wybranych IaaS, PaaS, SaaS), w której usługi zostają zdefiniowane i określone zostają ich parametry. Te podstawowe obejmują gwarantowany poziom dostępności danych, wydajność i odpowiedzialność w przypadku utraty lub uszkodzenia danych. Elementem wchodzącym w zakres SLA jest określenie poziomu wsparcia dostawcy.
Ważne jest wskazanie parametrów określających ryzyka i zmniejszających ich skutki wynikające z wielomiejscowości świadczenia czy z łączenia zasobów z innymi użytkownikami (wielodzierżawności), np. overbookingu. Ważne w związku z tym jest określenie możliwości w zakresie elastyczności dostępnych i wykorzystywanych zasobów oraz środków naprawczych w przypadku przestoju. Rozróżniamy przestój zaplanowany i niezaplanowany. Przy czym w szczególności określenie długości pojedynczych przerw w ramach postoju niezaplanowanego (a nie zbiorczego czasu, np. w miesiącu) może wpłynąć na przewidywalność korzystania z usługi. Często zresztą podawane przez dostawcę parametry są bardzo ogólne i podane w skrótowej formie, co ma ujemny wpływ na ich ewentualne egzekwowanie. Kolejną kwestią do określenia w umowie jest prawo lub obowiązek dostawcy ujawniania informacji osobom trzecim, przykładowo organom (poza wymogami ustawowymi). Biorąc po uwagę częste podejście wielopoziomowe jednym z elementów bezpieczeństwa będzie dokładne określenie tożsamości podmiotów faktycznie świadczących usługi.
Jest wiele innych standardowych elementów, na które trzeba zwrócić uwagę, jak możliwości rozwiązania umowy i cennik opłat w zależności od poziomu wykorzystania, a także zakres pomocy oferowanej przez dostawcę w okresie przejściowym, kwestie związane z prawami autorskimi czy prawo właściwe i właściwość sądów, którym podlega umowa. W tym ostatnim przypadku pomocne mogą być wskazania Grupy Roboczej art. 29 zawarte m.in. w opinii nr 8/2010 „o prawie właściwym” przyjętej 16 grudnia 2010 r. (WP179). Zwrócono w nim m.in. uwagę, iż ścisły związek pomiędzy prawem właściwym a administratorem może stanowić gwarancję efektywności i wykonalności szczególnie w sytuacji, w której ustalenie położenia zbioru danych może być trudne, a w niektórych przypadkach niemożliwe do ustalenia, jak w przypadku cloud computing.
Złożoność ram prawnych wymusza obecnie funkcjonowanie w chmurach obliczeniowych w oparciu o skomplikowane i różnorodne umowy mogące narzucać jednostronne i niepełne rozwiązania, stąd też Komisja Europejska – na bazie przeprowadzonych konsultacji – opowiada się za przyjęciem w tym zakresie wzorca umownego.
Dr Bogdan Fischer
Radca Prawny, Partner
Chałas i Wspólnicy Kancelaria Prawna
