2017-06-02
Cloud computing – i proste, i trudne. Cz. 1

Kolejne sektory, branże i firmy zaczynają poważnie myśleć o wdrożeniu rozwiązań w modelu cloud computing – czyli dostarczaniu oprogramowania oraz infrastruktury IT w formie usługi świadczonej drogą elektroniczną. Postęp w tym zakresie jest ciągle w wielu sektorach powolny, ale nieuchronny. Niebawem od rozwiązań opartych na cloud computingu nie będzie w praktyce odwrotu. W wielu przypadkach okaże się, że wybór rozwiązań tradycyjnych oznaczać będzie uboższą ofertę rynkową, większe koszty na inwestycje we własną infrastrukturę informatyczną, a także często zwiększone ryzyko prawne. Chciałbym w związku z tym zasygnalizować kilka problemów, które występują w praktyce przy zawieraniu umów w modelu cloud computing oraz wskazać sposoby na ich rozwiązanie.

Praktyka dotycząca tworzenia i negocjowania umów chmurowych dopiero się kształtuje. Wiele z tych umów ma postać ogólnych warunków, które poddawane są ewentualnie niewielkim indywidualnym modyfikacjom, dlatego też bardzo ważne jest, aby wytworzyła się właściwa praktyka w tym zakresie. Zachęcam do dzielenia się przemyśleniami dotyczącymi analizy, tworzenia i negocjacji umów chmurowych.

Oprogramowanie w modelu SaaS

Wskazane wyżej trendy dotyczące cloud computing szczególnie wyraźnie widać na przykładzie oprogramowania w modelu SaaS – Software as a Service (oprogramowanie jako usługa). Wielu producentów oprogramowania oferuje nadal oprogramowanie tradycyjnie instalowane w infrastrukturze klienta równolegle obok możliwości skorzystania z tego samego programowania w modelu SaaS, jednak coraz częściej nowe produkty programistyczne oferowane są już tylko w modelu chmurowym. Często też funkcjonalność wersji SaaS i wersji tradycyjnej nie jest taka sama, ze wskazaniem na wersję SaaS.

Składa się na to wiele czynników. Usługi chmurowe są łatwiejsze do wdrożenia, łatwiej skalowalne, a ich koszt rozkłada się w czasie. Powoli – za sprawą coraz lepszych technologii cyberbezpieczeństwa – zanika obawa przed utratą danych lub zagrożeniem ataku hakerskiego. Trend ten wspierają producenci oprogramowania, którzy uzyskują stabilne źródło przychodów z subskrypcji SaaS w miejsce często jednorazowych przychodów licencyjnych lub wdrożeniowych. Nabywca tradycyjnego oprogramowania może bowiem zrezygnować na wiele lat z kolejnych wersji oprogramowania, zadowalając się wersją dotychczasową (przykładowo wielu mogłoby nadal korzystać z edytora tekstu MS Word w wersji sprzed lat), tymczasem w modelu SaaS użytkownik płaci regularnie za prawo korzystania z oprogramowania.

Problemy praktyczne i prawne

Niestety, podjęcie decyzji o rozpoczęciu przygody z cloud computingiem i pokonanie wielu barier stojących na tej drodze (w tym przekonanie wszystkich wewnętrznych interesariuszy) to zazwyczaj dopiero początek. Na drodze stoi także wiele barier formalnych i prawnych. Omawiam poniżej kilka najistotniejszych w odniesieniu do modelu SaaS, w którym występuje ich najwięcej.

Umowa licencyjna czy regulamin?

Dostawców rozwiązań SaaS w pewnym uproszczeniu można podzielić na dwie grupy. Pierwsza grupa to dostawcy oprogramowania w modelu tradycyjnym, którzy zaczynają oferować je także w modelu SaaS. Druga to dostawcy, którzy nigdy nie oferowali tradycyjnego oprogramowania i od razu rozpoczęli od modelu SaaS, czasami tylko na życzenie klientów dołączając do swej oferty model on-premises, czyli SaaS instalowany w infrastrukturze klienta (i który z prawnego punktu widzenia ma zwykle niewiele wspólnego z SaaS).

W ślad za tym podziałem idzie także podział dotyczący treści umów proponowanych klientom do zawarcia.

Pierwsi często proponują umowy, w których wyraźnie widoczne jest ich archetypiczne pochodzenie od umowy licencyjnej dostosowanej do specyfiki cloud computingu. Drudzy z kolei proponują umowy o charakterze standardowego, typowego regulaminu świadczenia usługi drogą elektroniczną, gdzie trudno odnaleźć postanowienia uwzględniające to, że oferowana usługa jest funkcjonalnym odpowiednikiem oprogramowania komputerowego.

Oba podejścia nie są właściwe, każde z nich gubi specyfikę usługi cloud computingu w modelu Saas i zazwyczaj nie reguluje wystarczająco precyzyjnie kwestii kluczowych dla użytkowników takiego oprogramowania.

Nie można przy przygotowywaniu lub ocenie umów na SaaS zapominać, że funkcjonalnie jest to odpowiednik umowy licencyjnej, często z elementami umowy wdrożeniowej. Dlatego tego też za najwłaściwsze uważam podejście, które łączy ze sobą koncepcję usługi świadczonej drogą elektroniczną z uwzględnieniem doświadczeń wynikających z wielu lat tworzenia i wykonywania umów dotyczących klasycznego – instalowanego – oprogramowania komputerowego.

Usługa czy licencja

Wciąż brak jest zdecydowanych wypowiedzi w naszej doktrynie prawniczej na temat charakteru prawnego korzystania z oprogramowania w modelu SaaS (przegląd różnych stanowisk znajduje się np. w publikacji „Prawne aspekty świadczenia usług w modelu SaaS przez przedsiębiorcę telekomunikacyjnego” Łukasza Pirożka). Ja opowiadam się za stanowiskiem, że SaaS to usługa świadczona drogą elektroniczną, w ramach której nie jest konieczne udzielanie użytkownikowi jakiegokolwiek uprawnienia o charakterze prawno autorskim, w tym licencji. Nie zmienia tego dostarczanie użytkownikom aplikacji mobilnych, specyficznych pluginów do przeglądarki internetowej lub tzw. oprogramowania klienckiego, które ma celu wyłącznie ułatwienie korzystania z usługi. Na produkty te, instalowane w urządzeniach użytkowników, licencja jest potrzebna, na korzystanie z samej usługi – już nie.

Dane osobowe i RODO a SaaS

Często zagadnienia prawne dotyczące umów SaaS sprowadza się de facto do zagadnień dotyczących uregulowania przetwarzania danych osobowych, pozostałe kwestie traktując marginalnie. Nie jest to podejście właściwe, o czym dalej, choć oczywiście zagadnienia tego nie można pomijać, tym bardziej, że w ramach modelu SaaS dostawca oprogramowania pełni zupełnie inną rolę z punktu widzenia ochrony danych osobowych niż w tradycyjnym modelu licencyjnym.

Dostawca oprogramowania w chmurze jest bowiem co do zasady podmiotem przetwarzającym dane osobowe w imieniu użytkownika - administratora danych, podczas gdy w modelu licencyjnym producent często nie wchodził w interakcję z danymi osobowymi licencjobiorcy poza przypadkami interwencji serwisowej. Umowa o powierzenie danych osobowych do przetwarzania w modelu licencyjnym często zawierana była niejako na wszelki wypadek, podczas, gdy w modelu SaaS jest jednym z essentialia negoti umowy o korzystanie z oprogramowania w chmurze

Nadchodzące zmiany w przepisach ochrony danych osobowych, a zwłaszcza wejście w życie unijnego rozporządzenia o danych osobowych (RODO), podniosą i tak dość wysoko zawieszoną poprzeczkę w tym zakresie, w szczególności ze względu na wprowadzenie administracyjnych kar pieniężnych zarówno dla administratora danych jak i dla podmiotu przetwarzającego dane, których wysokość za najpoważniejsze naruszenia przepisów może sięgnąć aż 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.

Dostawca oprogramowania w modelu SaaS musi zatem być świadomy tego, że odmiennie niż w modelu licencyjnym jego odpowiedzialność za naruszenie zasad przetwarzania danych osobowych umieszczonych przez użytkowników jest na zdecydowanie wyższym poziomie, a także, że odpowiedzialność ta – z wejściem w życie RODO – stanie się odpowiedzialnością bezpośrednią wobec osób, których dane są przetwarzane w infrastrukturze dostawcy oprogramowania w modelu SaaS.

Reforma wdrożona przez RODO paradoksalnie może się przyczynić do przechodzenia wielu użytkowników na model SaaS. RODO wprowadza bowiem zasadniczą zmianę w modelu odpowiedzialności administratora danych za zabezpieczenie danych osobowych. W miejsce modelu formalnego polegającego na zapewnieniu ochrony takiej, jak opisana w przepisach wykonawczych do ustawy o ochronie danych osobowych, wchodzi bowiem model oparty na wymaganiu zapewnienia ochrony adekwatnej do charakteru przetwarzanych danych i okoliczności. O ile zatem do tej pory często wystarczało spełnienie formalnych wymogów wynikających np. z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – przykładowo w zakresie długości hasła i częstotliwości jego zmieniania – od maja 2018 roku środki techniczne i organizacyjne będą musiały być dobierane samodzielnie z uwzględnieniem wielu czynników takich jak stan wiedzy technicznej, koszt wdrażania, prawdopodobieństwo wystąpienia i waga danego zagrożenia, a także specyfika przetwarzanych danych.

Wobec narastającego zagrożenia cyberprzestępczością i nieustannego pojawiania się nowych ryzyk, wydaje się mało prawdopodobne, aby zwykły przeciętny administrator danych osobowych był w stanie bieżąco na to reagować i zapewniać adekwatny poziom bezpieczeństwa.

Paradoksalnie zatem dostawca oprogramowania w modelu SaaS – profesjonalnie przygotowany do spełnienia takich wymogów – może zapewniać bardziej adekwatny do okoliczności poziom ochrony niż niejeden administrator danych osobowych jest w stanie zapewnić samemu przy użyciu własnej infrastruktury i zainstalowanego na niej oprogramowania.

W kolejnej części omówię dodatkowo zagadnienia:

  • przenoszalności danych i exit planu
  • opisu oprogramowania – czyli co dokładnie jest oferowane w ramach chmury i jak to sprawdzić
  • weryfikowalności deklarowanych zobowiązań umownych
  • modeli dystrybucyjnych umów chmurowych – czyli z kim zawieramy umowę.



Dodaj komentarz
Nick/Pseudonim
E-mail (ukryty)
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Archiwum
2017
Tagi
prawo autorskie (31)e-commerce (20)artykuły prasowe (18)Internet (17)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)e-sklep (11)cloud computing (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)dane osobowe (10)licencje (10)orzecznictwo sądów polskich (10)numer IP (10)znaki towarowe (9)e-sprzedaż (9)Trybunał Sprawiedliwości Unii Europejskiej (9)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)webinarium (8)własność intelektualna (8)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)hosting provider (6)sprawy sądowe (6)dyrektywy (6)licencja (6)orzeczenia (5)spory konsumenckie (5)embedding (5)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)utwory (5)zamówienia publiczne (4)sprzedaż (4)dozwolony użytek (4)utwór (4)embed (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)użytek prywatny (4)prawa pokrewne (4)reklama (4)rozpowszechnianie (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)technologie (3)domeny (3)art. 14 uśude (3)monitorowanie użytkowników (3)baza danych (3)blockchain (3)ryzyka cloud computing (3)usługi świadczone drogą elektroniczną (3)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)treści (3)nowe technologie (3)chmura (3)ochrona baz danych (3)ustawa o świadczeniu usług drogą elektroniczną (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)dyrektywa 2001/29 (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)dystrybucja (2)audyt oprogramowania (2)cloud computing dla prawników (2)administrator forum internetowego (2)ukierunkowane (2)udostępnianie utworu (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)sklepy internetowe (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)SaaS (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)bitcoin (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)UOKiK (2)internet rzeczy (2)SABAM. Scarlet Extended (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)sunrise period (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)FinTech (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)prawo angielskie (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)UKE (1)egzemplarz (1)Procurement Explorer (1)sieci peer-to-peer (1)fan page (1)bring your own device (1)prawo odstąpienia (1)ACTA (1)artystyczne wykonanie (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)Jednolity rynek cyfrowy (1)prawa artystów wykonawców (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)geoblokowanie (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)Uber (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)rejestracja domen (1)prawo do nadań (1)odpowiedzialność pośredników (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)koszty cloud computing (1)BYOD (1)ustawa inwigilacyjna (1)Dostawcy treści online (1)patenty (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)cross-border portability (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)eksport danych (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)RODO (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję