2017-06-02
Cloud computing – i proste, i trudne. Cz. 1

Kolejne sektory, branże i firmy zaczynają poważnie myśleć o wdrożeniu rozwiązań w modelu cloud computing – czyli dostarczaniu oprogramowania oraz infrastruktury IT w formie usługi świadczonej drogą elektroniczną. Postęp w tym zakresie jest ciągle w wielu sektorach powolny, ale nieuchronny. Niebawem od rozwiązań opartych na cloud computingu nie będzie w praktyce odwrotu. W wielu przypadkach okaże się, że wybór rozwiązań tradycyjnych oznaczać będzie uboższą ofertę rynkową, większe koszty na inwestycje we własną infrastrukturę informatyczną, a także często zwiększone ryzyko prawne. Chciałbym w związku z tym zasygnalizować kilka problemów, które występują w praktyce przy zawieraniu umów w modelu cloud computing oraz wskazać sposoby na ich rozwiązanie.

Praktyka dotycząca tworzenia i negocjowania umów chmurowych dopiero się kształtuje. Wiele z tych umów ma postać ogólnych warunków, które poddawane są ewentualnie niewielkim indywidualnym modyfikacjom, dlatego też bardzo ważne jest, aby wytworzyła się właściwa praktyka w tym zakresie. Zachęcam do dzielenia się przemyśleniami dotyczącymi analizy, tworzenia i negocjacji umów chmurowych.

Oprogramowanie w modelu SaaS

Wskazane wyżej trendy dotyczące cloud computing szczególnie wyraźnie widać na przykładzie oprogramowania w modelu SaaS – Software as a Service (oprogramowanie jako usługa). Wielu producentów oprogramowania oferuje nadal oprogramowanie tradycyjnie instalowane w infrastrukturze klienta równolegle obok możliwości skorzystania z tego samego programowania w modelu SaaS, jednak coraz częściej nowe produkty programistyczne oferowane są już tylko w modelu chmurowym. Często też funkcjonalność wersji SaaS i wersji tradycyjnej nie jest taka sama, ze wskazaniem na wersję SaaS.

Składa się na to wiele czynników. Usługi chmurowe są łatwiejsze do wdrożenia, łatwiej skalowalne, a ich koszt rozkłada się w czasie. Powoli – za sprawą coraz lepszych technologii cyberbezpieczeństwa – zanika obawa przed utratą danych lub zagrożeniem ataku hakerskiego. Trend ten wspierają producenci oprogramowania, którzy uzyskują stabilne źródło przychodów z subskrypcji SaaS w miejsce często jednorazowych przychodów licencyjnych lub wdrożeniowych. Nabywca tradycyjnego oprogramowania może bowiem zrezygnować na wiele lat z kolejnych wersji oprogramowania, zadowalając się wersją dotychczasową (przykładowo wielu mogłoby nadal korzystać z edytora tekstu MS Word w wersji sprzed lat), tymczasem w modelu SaaS użytkownik płaci regularnie za prawo korzystania z oprogramowania.

Problemy praktyczne i prawne

Niestety, podjęcie decyzji o rozpoczęciu przygody z cloud computingiem i pokonanie wielu barier stojących na tej drodze (w tym przekonanie wszystkich wewnętrznych interesariuszy) to zazwyczaj dopiero początek. Na drodze stoi także wiele barier formalnych i prawnych. Omawiam poniżej kilka najistotniejszych w odniesieniu do modelu SaaS, w którym występuje ich najwięcej.

Umowa licencyjna czy regulamin?

Dostawców rozwiązań SaaS w pewnym uproszczeniu można podzielić na dwie grupy. Pierwsza grupa to dostawcy oprogramowania w modelu tradycyjnym, którzy zaczynają oferować je także w modelu SaaS. Druga to dostawcy, którzy nigdy nie oferowali tradycyjnego oprogramowania i od razu rozpoczęli od modelu SaaS, czasami tylko na życzenie klientów dołączając do swej oferty model on-premises, czyli SaaS instalowany w infrastrukturze klienta (i który z prawnego punktu widzenia ma zwykle niewiele wspólnego z SaaS).

W ślad za tym podziałem idzie także podział dotyczący treści umów proponowanych klientom do zawarcia.

Pierwsi często proponują umowy, w których wyraźnie widoczne jest ich archetypiczne pochodzenie od umowy licencyjnej dostosowanej do specyfiki cloud computingu. Drudzy z kolei proponują umowy o charakterze standardowego, typowego regulaminu świadczenia usługi drogą elektroniczną, gdzie trudno odnaleźć postanowienia uwzględniające to, że oferowana usługa jest funkcjonalnym odpowiednikiem oprogramowania komputerowego.

Oba podejścia nie są właściwe, każde z nich gubi specyfikę usługi cloud computingu w modelu Saas i zazwyczaj nie reguluje wystarczająco precyzyjnie kwestii kluczowych dla użytkowników takiego oprogramowania.

Nie można przy przygotowywaniu lub ocenie umów na SaaS zapominać, że funkcjonalnie jest to odpowiednik umowy licencyjnej, często z elementami umowy wdrożeniowej. Dlatego tego też za najwłaściwsze uważam podejście, które łączy ze sobą koncepcję usługi świadczonej drogą elektroniczną z uwzględnieniem doświadczeń wynikających z wielu lat tworzenia i wykonywania umów dotyczących klasycznego – instalowanego – oprogramowania komputerowego.

Usługa czy licencja

Wciąż brak jest zdecydowanych wypowiedzi w naszej doktrynie prawniczej na temat charakteru prawnego korzystania z oprogramowania w modelu SaaS (przegląd różnych stanowisk znajduje się np. w publikacji „Prawne aspekty świadczenia usług w modelu SaaS przez przedsiębiorcę telekomunikacyjnego” Łukasza Pirożka). Ja opowiadam się za stanowiskiem, że SaaS to usługa świadczona drogą elektroniczną, w ramach której nie jest konieczne udzielanie użytkownikowi jakiegokolwiek uprawnienia o charakterze prawno autorskim, w tym licencji. Nie zmienia tego dostarczanie użytkownikom aplikacji mobilnych, specyficznych pluginów do przeglądarki internetowej lub tzw. oprogramowania klienckiego, które ma celu wyłącznie ułatwienie korzystania z usługi. Na produkty te, instalowane w urządzeniach użytkowników, licencja jest potrzebna, na korzystanie z samej usługi – już nie.

Dane osobowe i RODO a SaaS

Często zagadnienia prawne dotyczące umów SaaS sprowadza się de facto do zagadnień dotyczących uregulowania przetwarzania danych osobowych, pozostałe kwestie traktując marginalnie. Nie jest to podejście właściwe, o czym dalej, choć oczywiście zagadnienia tego nie można pomijać, tym bardziej, że w ramach modelu SaaS dostawca oprogramowania pełni zupełnie inną rolę z punktu widzenia ochrony danych osobowych niż w tradycyjnym modelu licencyjnym.

Dostawca oprogramowania w chmurze jest bowiem co do zasady podmiotem przetwarzającym dane osobowe w imieniu użytkownika - administratora danych, podczas gdy w modelu licencyjnym producent często nie wchodził w interakcję z danymi osobowymi licencjobiorcy poza przypadkami interwencji serwisowej. Umowa o powierzenie danych osobowych do przetwarzania w modelu licencyjnym często zawierana była niejako na wszelki wypadek, podczas, gdy w modelu SaaS jest jednym z essentialia negoti umowy o korzystanie z oprogramowania w chmurze

Nadchodzące zmiany w przepisach ochrony danych osobowych, a zwłaszcza wejście w życie unijnego rozporządzenia o danych osobowych (RODO), podniosą i tak dość wysoko zawieszoną poprzeczkę w tym zakresie, w szczególności ze względu na wprowadzenie administracyjnych kar pieniężnych zarówno dla administratora danych jak i dla podmiotu przetwarzającego dane, których wysokość za najpoważniejsze naruszenia przepisów może sięgnąć aż 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.

Dostawca oprogramowania w modelu SaaS musi zatem być świadomy tego, że odmiennie niż w modelu licencyjnym jego odpowiedzialność za naruszenie zasad przetwarzania danych osobowych umieszczonych przez użytkowników jest na zdecydowanie wyższym poziomie, a także, że odpowiedzialność ta – z wejściem w życie RODO – stanie się odpowiedzialnością bezpośrednią wobec osób, których dane są przetwarzane w infrastrukturze dostawcy oprogramowania w modelu SaaS.

Reforma wdrożona przez RODO paradoksalnie może się przyczynić do przechodzenia wielu użytkowników na model SaaS. RODO wprowadza bowiem zasadniczą zmianę w modelu odpowiedzialności administratora danych za zabezpieczenie danych osobowych. W miejsce modelu formalnego polegającego na zapewnieniu ochrony takiej, jak opisana w przepisach wykonawczych do ustawy o ochronie danych osobowych, wchodzi bowiem model oparty na wymaganiu zapewnienia ochrony adekwatnej do charakteru przetwarzanych danych i okoliczności. O ile zatem do tej pory często wystarczało spełnienie formalnych wymogów wynikających np. z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – przykładowo w zakresie długości hasła i częstotliwości jego zmieniania – od maja 2018 roku środki techniczne i organizacyjne będą musiały być dobierane samodzielnie z uwzględnieniem wielu czynników takich jak stan wiedzy technicznej, koszt wdrażania, prawdopodobieństwo wystąpienia i waga danego zagrożenia, a także specyfika przetwarzanych danych.

Wobec narastającego zagrożenia cyberprzestępczością i nieustannego pojawiania się nowych ryzyk, wydaje się mało prawdopodobne, aby zwykły przeciętny administrator danych osobowych był w stanie bieżąco na to reagować i zapewniać adekwatny poziom bezpieczeństwa.

Paradoksalnie zatem dostawca oprogramowania w modelu SaaS – profesjonalnie przygotowany do spełnienia takich wymogów – może zapewniać bardziej adekwatny do okoliczności poziom ochrony niż niejeden administrator danych osobowych jest w stanie zapewnić samemu przy użyciu własnej infrastruktury i zainstalowanego na niej oprogramowania.

W kolejnej części omówię dodatkowo zagadnienia:

  • przenoszalności danych i exit planu
  • opisu oprogramowania – czyli co dokładnie jest oferowane w ramach chmury i jak to sprawdzić
  • weryfikowalności deklarowanych zobowiązań umownych
  • modeli dystrybucyjnych umów chmurowych – czyli z kim zawieramy umowę.



Dodaj komentarz
Nick/Pseudonim
E-mail (ukryty)
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Notariusz Szamotuły komentuje Aplikacja i strona to nie wszystko
Pomoc prawna komentuje Aplikacja i strona to nie wszystko
Archiwum
2018
Tagi
prawo autorskie (32)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)cloud computing (12)sklep internetowy (11)e-sklep (11)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)numer IP (10)dane osobowe (10)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)e-sprzedaż (9)własność intelektualna (8)webinarium (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)utwory (6)licencja (6)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)Znalezione Polubione (6)identyfikacja sprawcy w internecie (6)hosting provider (6)sprawy sądowe (6)dyrektywy (6)kopia (5)embeding (5)prawo konsumenckie (5)prawnicy (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)spory konsumenckie (5)embedding (5)dozwolony użytek (5)platforma ODR (5)rozpowszechnianie (4)chmura (4)reklama (4)dane (4)copyrights (4)telekomunikacja (4)program komputerowy (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)nowe technologie (4)użytek prywatny (4)prawa pokrewne (4)ustawa o świadczeniu usług drogą elektroniczną (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)technologie (3)domeny (3)art. 14 uśude (3)baza danych (3)monitorowanie użytkowników (3)ryzyka cloud computing (3)inwigilacja w sieci (3)Usedsoft (3)sprzedaż programu (3)link (3)treści (3)bitcoin (3)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)metawyszukiwarki (2)prawa producentów fonogramów (2)varia (2)licencja pudełkowa (2)GIODO (2)ankiety online (2)SaaS (2)UOKiK (2)internet rzeczy (2)Platformy internetowe (2)SABAM. Scarlet Extended (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)cookies (2)FinTech (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)dystrybucja (2)audyt oprogramowania (2)administrator forum internetowego (2)cloud computing dla prawników (2)ukierunkowane (2)udostępnianie utworu (2)metawyszukiwarka (2)reklamacje (2)blog (2)właściwości pliku (2)sklepy internetowe (2)przeniesienie autorskich praw majątkowych (2)dyrektywa o handlu elektronicznym (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)prawa autorskie do strony (2)Google (2)strona internetowa (2)legalny użytkownik (2)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)aplikacja mobilna (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)gry hazardowe (1)patent (1)serwis społecznościowy (1)adaptacje filmowe utworów (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)koszty cloud computing (1)patenty (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)pobranie (1)screening (1)klasyfikacja nicejska (1)dyrektywa 2011/77/UE (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)Coditel no. 1. (1)non disclosure agreement (1)startup (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)Murphy (1)odbiorniki RTV w pokojach hotelowych (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)transmisja (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)ochrona opisów produktów (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)sunrise period (1)certyfikat (1)social media (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)prawo angielskie (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)loterie (1)sieci peer-to-peer (1)UKE (1)egzemplarz (1)Procurement Explorer (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)fan page (1)ACTA (1)artystyczne wykonanie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)MS Word (1)tłumaczenie (1)prawa artystów wykonawców (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)Deutsche Grammophon (1)e-discovery (1)partnerstwo innowacyjne (1)korzystanie z dzieła w domenie publicznej (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)RODO (1)QC Leisure (1)zmowy przetargowe (1)mechanizm opt-out (1)Google Reader (1)konkurs w internecie (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)public viewing (1)dyrektywa 2009/24 (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)odpowiedzialność pośredników (1)rejestracja domen (1)prawo do nadań (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję