2011-12-08
Prawnicy w chmurze

Pisaliśmy już na tym blogu o technologii „z chmury”. Jedną z konkluzji naszego wpisu było, że papierkiem lakmusowym bezpieczeństwa korzystania z usług w chmurze będzie włączenie tej technologii do arsenału IT firm prawniczych. Wynikało to z obserwacji, że dla prawników ryzyko związane z poufnością informacji będzie zawsze pierwszoplanową kwestią.

Nie ukrywam, że właśnie z tego powodu śledzę regularnie wypowiedzi na ten temat przedstawicieli korporacji prawniczych w różnych krajach. Ostatnio o zgodności z etyką prawniczą korzystania z usług w chmurze wypowiedziały się komisje etyki wykonywania zawodu w Stanach Zjednoczonych, a dokładniej w Północnej Karolinie oraz Pensylwanii (informacja via blog LawSites Roberta Amrogi).

W obu tych stanach pozytywnie oceniono możliwość zgodnego z etyką korzystania przez prawników z usług cloud computing pod warunkiem, że podjęte zostaną działania w celu zminimalizowania ryzyka nieautoryzowanego ujawnienia informacji chronionych tajemnicą zawodową oraz w celu uchronienia informacji i dokumentów należących do klienta od ryzyka ich utraty.

Z takim stwierdzeniem nie można się nie zgodzić. Nadal jednak pozostaje pytanie, co konkretnie zrobić powinien prawnik i jakie działania podjąć oraz jakie postanowienia w umowie zawrzeć, aby można było uznać, że dołożył w tym zakresie należytej staranności.

North Carolina State Bar ograniczyła się w tym zakresie do kilku ogólnych rekomendacji,  jednak już wskazówki udzielane przez Pennsylvania Bar Association są bardziej szczegółowe. Przedstawiciele tej korporacji rekomendują, aby prawnik przed zawarciem umowy upewnił się, że dostawca usługi:

  • Wyraźnie oświadcza, że nie posiada żadnych praw do przechowywanych danych.
  • Jest skutecznie zobowiązany do zapewnienia bezpieczeństwa danych.
  • Powiadomi prawnika w przypadku, gdyby otrzymał wezwanie do przekazania danych osobie trzeciej i umożliwi mu odpowiedź na to wezwanie przed wydaniem takich danych.
  • Korzysta z technologii zapewniającej odparcie wszelkich rozsądnie możliwych do przewidzenia prób wykradzenia danych (w tym z testów penetracyjnych – tj. testów sprawdzających zabezpieczenia systemu).
  • Określa w proponowanej umowy procedury postępowania z informacjami poufnymi.
  • Daje klientowi prawo do audytu swoich procedur bezpieczeństwa i otrzymania kopii wszelkich innych przeprowadzonych audytów.
  • Przechowuje dane na urządzeniach (serwerach) zlokalizowanych we wskazanej lokalizacji geograficznej.
  • Daje prawnikowi możliwość odzyskania przechowywanych danych.
  • Udostępnia możliwość przeniesienia danych z serwerów dostawcy na serwery prawnika lub stworzenia przez prawnika własnej kopii zapasowej offline.

Warto zauważyć, że powyższe zagadnienia dotykają nie tyle kwestii ściśle prawnych (w znaczeniu formalnym), co raczej tych aspektów wykonywania umowy, które mają dać prawnikowi (jako usługobiorcy) pewną kontrolę nad działaniem usługodawcy.

W polskiej praktyce można częściowo wspierać się na doświadczeniach sektora bankowego z outsourcingiem, a także na rekomendacjach polskiej Komisji Nadzoru Finansowego dotyczących zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym (np. Rekomendacja D).

Z polskiej perspektywy dodałbym do tej listy co najmniej kwestie związane z ochroną danych osobowych (np. kwestia powierzenia dostawcy usługi cloud computing przetwarzania danych osobowych). Zagadnieniem spornym może być także odpowiedzialność usługodawcy, który zgodnie ze standardami obowiązującymi w branży IT będzie chciał ją ograniczyć (zapewne do wartości swojego wynagrodzenia plus wyłączyć utracone korzyści), podczas gdy prawnik będzie chciał wprost przeciwnie – pozostawić ją nieograniczoną. Wskazówką może być art. 6b prawa bankowego dotyczący outsourcingu bankowego, który wyraźnie zakazuje wyłączania lub ograniczania odpowiedzialności usługodawcy.

Jednak kluczem do podbicia serc prawników, którzy chcieliby skorzystać z oferty cloud computing, jest przede wszystkim zaufanie i reputacja usługodawcy. Nawet najlepsza umowa nie zabezpieczy przed niesolidnym usługodawcą, który nie będzie jej respektował.

Wiele potencjalnie atrakcyjnych usług w chmurze jest oferowanych przez stosunkowo młode firmy, co dla wielu zainteresowanych stwarza barierę zaufania, choć nie zawsze, o czym świadczy zawrotna kariera firmy Dropbox, która stała się niemal wzorcowym przykładem do naśladowania przez technologiczne start-upy. Z drugiej strony media regularnie donoszą o wpadkach nawet dużych firm, którym ich niekwestionowana reputacja i doświadczenie nie pomogły w uniknięciu ujawnienia danych swoich użytkowników (np. sprawa włamania do Playstation Network zarządzanego przez Sony z maja 2011 r. lub wykradzenia danych właścicieli kart kredytowych Citi z czerwca 2011 r.).

Rozwiązaniem tego problemu mogłoby być stworzenie mechanizmu regularnego audytu usługodawcy przeprowadzanego przez podmiot trzeci, niezwiązany z usługodawcą. Na pewno zwiększyłoby to cenę usługi, ale jednocześnie podwyższyłoby jej standard – być może do poziomu akceptowalnego przez prawników i inne, podobnie konserwatywnie podchodzące do kwestii ryzyka, branże.

Osobiście uważam, że korzystanie z usług w chmurze może być bezpieczniejsze niż inne sposoby udostępniania i przesyłania informacji, z których korzystamy na co dzień i nad których bezpieczeństwem zwykle się nie zastanawiamy jak np. przesyłanie zwykłej, nieszyfrowanej poczty elektronicznej. Często podkreśla się, że najsłabszym ogniwem zabezpieczeń jest człowiek. Co ciekawe, zwykle sami uważamy, że jest dokładnie odwrotnie – że to my najlepiej zabezpieczymy poufność informacji, a każdą technologię można złamać. Przeczy temu powszechne używanie laptopów (i smartfonów) niezabezpieczonych hasłem, które przecież od czasu do czasu giną lub są kradzione. Wystarczy też odbyć podróż dowolnym pociągiem Intercity po kraju, by poznać sporo potencjalnie poufnych informacji z ekranów komputerów na kolanach naszych współpasażerów (na ten temat polecam tekst londyńskiego prawnika – via Zawód: Mecenas).

Choć oferta usług typu cloud computing dla prawników na rynku amerykańskim ciągle się poszerza (rekomendacja American Bar Association zawiera przykładową listę takich usług) nie znam żadnej tego typu usługi na rynku polskim. A może są takie? Proszę o podpowiedzi w komentarzach – chętnie je przetestujemy i ocenimy. 


Komentarze
ps: Zdecydowanie najlepszy polski tekst o chmurze i prawnikach jaki czytałem. Uważam, że rozważanie dopuszczalności korzystania przez prawników z chmury w kontekście zasad etyki jest nieporozumieniem. Bądźmy szczerzy: my, prawnicy znamy się na przepisach, ale nie jesteśmy specjalistami od IT. A specjaliści od IT - w miarę zgodnie - twierdzą, że standardy dot. bezpieczeństwa danych zapewniane przez dostawców usług w chmurze są nieporównywalnie wyższe od tych, które kancelarie byłyby w stanie zapewnić sobie same. Pozostaje problem pracowników takich dostawców, którzy z przyczyn oczywistych mają dostęp do terminali. Tyle, że dane przechowywane są w różnych lokalizacjach, a ich \\\\\\\\\\\\\\\"zebranie\\\\\\\\\\\\\\\" byłoby dość trudne... Sadzę, ze spór w tym zakresie polega bardziej na tym czy \\\\\\\\\\\\\\\"czucie i wiara\\\\\\\\\\\\\\\" czy \\\\\\\\\\\\\\\"mędrca szkiełko i oko\\\\\\\\\\\\\\\" (abstrahując od problematyki np. transferu danych osobowych). W pełni podpisuję się pod konkluzjami w poście. Z badań ABA wynika, że mniej niż 25% amerykańskich prawników szyfruje pocztę elektroniczną (choć jest to prosta opcja w outlooku). A jaki procent polskich prawników zabezpiecza w ten sposób przesyłane dane? Hmm. Ktoś wie?
2011-12-08

Szymon Kwiatkowski: Problem dostępu pracowników do danych może być częściowo rozwiązany przez właściwe procedury wprowadzone u dostawcy usługi... Umożliwienie Kancelarii dostępu do procedur nawet w zakresie dotyczącym dostępu do plików może zmniejszyć albo potwierdzić ryzyko przechowywania plików w chmurze :) pozdrawiam Szymon Kwiatkowski www.marketingprawa.pl
2011-12-10

Tomasz Zalewski (autor): Dziękuję za komentarze. Więcej na temat już konkretnych problemów dotyczących usług w chmurze przy okazji recenzji Neokancelaria.pl: http://www.ipwsieci.pl/wpis,25,neoKancelaria__8211_pierwszy_polski_system_do_zarzadzania_kancelaria_prawna_w_modelu_SaaS.html
2012-04-13




Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Notariusz Szamotuły komentuje Aplikacja i strona to nie wszystko
Archiwum
2018
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)dane osobowe (12)cloud computing (12)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)własność intelektualna (8)webinarium (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)udostępnianie danych osobowych (7)informatyka śledcza (7)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)utwory (6)licencja (6)TSUE (6)oprogramowanie (6)odpowiedzialność host provider'ów (6)Znalezione Polubione (6)identyfikacja sprawcy w internecie (6)platforma ODR (5)kopia (5)embeding (5)prawo konsumenckie (5)prawnicy (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)technologie (5)spory konsumenckie (5)embedding (5)dozwolony użytek (5)retencja danych (4)wyszukiwarka (4)użytek prywatny (4)prawa pokrewne (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)chmura (4)reklama (4)dane (4)copyrights (4)telekomunikacja (4)program komputerowy (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)treści (3)RODO (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)domeny (3)art. 14 uśude (3)baza danych (3)monitorowanie użytkowników (3)ryzyka cloud computing (3)inwigilacja w sieci (3)Usedsoft (3)sprzedaż programu (3)link (3)sklepy internetowe (2)cyberbezpieczeństwo (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Uber (2)Chambers & Partners (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)prawa autorskie do strony (2)Google (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)metawyszukiwarki (2)prawa producentów fonogramów (2)licencja pudełkowa (2)varia (2)GIODO (2)ankiety online (2)SaaS (2)UOKiK (2)internet rzeczy (2)Platformy internetowe (2)SABAM. Scarlet Extended (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)cookies (2)FinTech (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)sztuczna inteligencja (2)prawo angielskie (2)dystrybucja (2)audyt oprogramowania (2)administrator forum internetowego (2)cloud computing dla prawników (2)ukierunkowane (2)udostępnianie utworu (2)ustawa o krajowym systemie cyberbezpieczeństwa (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)e-discovery (1)partnerstwo innowacyjne (1)korzystanie z dzieła w domenie publicznej (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)QC Leisure (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)Google Reader (1)konkurs w internecie (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)public viewing (1)dyrektywa 2009/24 (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)odpowiedzialność pośredników (1)rejestracja domen (1)prawo do nadań (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)aplikacja mobilna (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)gry hazardowe (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)adaptacje filmowe utworów (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)koszty cloud computing (1)BYOD (1)patenty (1)dostawcy usług cyfrowych (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)pobranie (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)dyrektywa 2011/77/UE (1)jurysdykcja (1)baza EBD (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)non disclosure agreement (1)startup (1)Royal Wedding (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)Coty Germany C-360/12 (1)EUIPO (1)Murphy (1)Creative Commons (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)transmisja (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)ochrona opisów produktów (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)sunrise period (1)podatki (1)certyfikat (1)social media (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)loterie (1)sieci peer-to-peer (1)atak hakerski (1)UKE (1)egzemplarz (1)Procurement Explorer (1)prawo odstąpienia (1)Dostawcy treści online (1)fan page (1)bring your own device (1)ACTA (1)artystyczne wykonanie (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)MS Word (1)tłumaczenie (1)Proseed (1)usługi cyfrowe (1)prawa artystów wykonawców (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)Deutsche Grammophon (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję