2011-12-08
Prawnicy w chmurze

Pisaliśmy już na tym blogu o technologii „z chmury”. Jedną z konkluzji naszego wpisu było, że papierkiem lakmusowym bezpieczeństwa korzystania z usług w chmurze będzie włączenie tej technologii do arsenału IT firm prawniczych. Wynikało to z obserwacji, że dla prawników ryzyko związane z poufnością informacji będzie zawsze pierwszoplanową kwestią.

Nie ukrywam, że właśnie z tego powodu śledzę regularnie wypowiedzi na ten temat przedstawicieli korporacji prawniczych w różnych krajach. Ostatnio o zgodności z etyką prawniczą korzystania z usług w chmurze wypowiedziały się komisje etyki wykonywania zawodu w Stanach Zjednoczonych, a dokładniej w Północnej Karolinie oraz Pensylwanii (informacja via blog LawSites Roberta Amrogi).

W obu tych stanach pozytywnie oceniono możliwość zgodnego z etyką korzystania przez prawników z usług cloud computing pod warunkiem, że podjęte zostaną działania w celu zminimalizowania ryzyka nieautoryzowanego ujawnienia informacji chronionych tajemnicą zawodową oraz w celu uchronienia informacji i dokumentów należących do klienta od ryzyka ich utraty.

Z takim stwierdzeniem nie można się nie zgodzić. Nadal jednak pozostaje pytanie, co konkretnie zrobić powinien prawnik i jakie działania podjąć oraz jakie postanowienia w umowie zawrzeć, aby można było uznać, że dołożył w tym zakresie należytej staranności.

North Carolina State Bar ograniczyła się w tym zakresie do kilku ogólnych rekomendacji,  jednak już wskazówki udzielane przez Pennsylvania Bar Association są bardziej szczegółowe. Przedstawiciele tej korporacji rekomendują, aby prawnik przed zawarciem umowy upewnił się, że dostawca usługi:

  • Wyraźnie oświadcza, że nie posiada żadnych praw do przechowywanych danych.
  • Jest skutecznie zobowiązany do zapewnienia bezpieczeństwa danych.
  • Powiadomi prawnika w przypadku, gdyby otrzymał wezwanie do przekazania danych osobie trzeciej i umożliwi mu odpowiedź na to wezwanie przed wydaniem takich danych.
  • Korzysta z technologii zapewniającej odparcie wszelkich rozsądnie możliwych do przewidzenia prób wykradzenia danych (w tym z testów penetracyjnych – tj. testów sprawdzających zabezpieczenia systemu).
  • Określa w proponowanej umowy procedury postępowania z informacjami poufnymi.
  • Daje klientowi prawo do audytu swoich procedur bezpieczeństwa i otrzymania kopii wszelkich innych przeprowadzonych audytów.
  • Przechowuje dane na urządzeniach (serwerach) zlokalizowanych we wskazanej lokalizacji geograficznej.
  • Daje prawnikowi możliwość odzyskania przechowywanych danych.
  • Udostępnia możliwość przeniesienia danych z serwerów dostawcy na serwery prawnika lub stworzenia przez prawnika własnej kopii zapasowej offline.

Warto zauważyć, że powyższe zagadnienia dotykają nie tyle kwestii ściśle prawnych (w znaczeniu formalnym), co raczej tych aspektów wykonywania umowy, które mają dać prawnikowi (jako usługobiorcy) pewną kontrolę nad działaniem usługodawcy.

W polskiej praktyce można częściowo wspierać się na doświadczeniach sektora bankowego z outsourcingiem, a także na rekomendacjach polskiej Komisji Nadzoru Finansowego dotyczących zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym (np. Rekomendacja D).

Z polskiej perspektywy dodałbym do tej listy co najmniej kwestie związane z ochroną danych osobowych (np. kwestia powierzenia dostawcy usługi cloud computing przetwarzania danych osobowych). Zagadnieniem spornym może być także odpowiedzialność usługodawcy, który zgodnie ze standardami obowiązującymi w branży IT będzie chciał ją ograniczyć (zapewne do wartości swojego wynagrodzenia plus wyłączyć utracone korzyści), podczas gdy prawnik będzie chciał wprost przeciwnie – pozostawić ją nieograniczoną. Wskazówką może być art. 6b prawa bankowego dotyczący outsourcingu bankowego, który wyraźnie zakazuje wyłączania lub ograniczania odpowiedzialności usługodawcy.

Jednak kluczem do podbicia serc prawników, którzy chcieliby skorzystać z oferty cloud computing, jest przede wszystkim zaufanie i reputacja usługodawcy. Nawet najlepsza umowa nie zabezpieczy przed niesolidnym usługodawcą, który nie będzie jej respektował.

Wiele potencjalnie atrakcyjnych usług w chmurze jest oferowanych przez stosunkowo młode firmy, co dla wielu zainteresowanych stwarza barierę zaufania, choć nie zawsze, o czym świadczy zawrotna kariera firmy Dropbox, która stała się niemal wzorcowym przykładem do naśladowania przez technologiczne start-upy. Z drugiej strony media regularnie donoszą o wpadkach nawet dużych firm, którym ich niekwestionowana reputacja i doświadczenie nie pomogły w uniknięciu ujawnienia danych swoich użytkowników (np. sprawa włamania do Playstation Network zarządzanego przez Sony z maja 2011 r. lub wykradzenia danych właścicieli kart kredytowych Citi z czerwca 2011 r.).

Rozwiązaniem tego problemu mogłoby być stworzenie mechanizmu regularnego audytu usługodawcy przeprowadzanego przez podmiot trzeci, niezwiązany z usługodawcą. Na pewno zwiększyłoby to cenę usługi, ale jednocześnie podwyższyłoby jej standard – być może do poziomu akceptowalnego przez prawników i inne, podobnie konserwatywnie podchodzące do kwestii ryzyka, branże.

Osobiście uważam, że korzystanie z usług w chmurze może być bezpieczniejsze niż inne sposoby udostępniania i przesyłania informacji, z których korzystamy na co dzień i nad których bezpieczeństwem zwykle się nie zastanawiamy jak np. przesyłanie zwykłej, nieszyfrowanej poczty elektronicznej. Często podkreśla się, że najsłabszym ogniwem zabezpieczeń jest człowiek. Co ciekawe, zwykle sami uważamy, że jest dokładnie odwrotnie – że to my najlepiej zabezpieczymy poufność informacji, a każdą technologię można złamać. Przeczy temu powszechne używanie laptopów (i smartfonów) niezabezpieczonych hasłem, które przecież od czasu do czasu giną lub są kradzione. Wystarczy też odbyć podróż dowolnym pociągiem Intercity po kraju, by poznać sporo potencjalnie poufnych informacji z ekranów komputerów na kolanach naszych współpasażerów (na ten temat polecam tekst londyńskiego prawnika – via Zawód: Mecenas).

Choć oferta usług typu cloud computing dla prawników na rynku amerykańskim ciągle się poszerza (rekomendacja American Bar Association zawiera przykładową listę takich usług) nie znam żadnej tego typu usługi na rynku polskim. A może są takie? Proszę o podpowiedzi w komentarzach – chętnie je przetestujemy i ocenimy. 


Komentarze
ps: Zdecydowanie najlepszy polski tekst o chmurze i prawnikach jaki czytałem. Uważam, że rozważanie dopuszczalności korzystania przez prawników z chmury w kontekście zasad etyki jest nieporozumieniem. Bądźmy szczerzy: my, prawnicy znamy się na przepisach, ale nie jesteśmy specjalistami od IT. A specjaliści od IT - w miarę zgodnie - twierdzą, że standardy dot. bezpieczeństwa danych zapewniane przez dostawców usług w chmurze są nieporównywalnie wyższe od tych, które kancelarie byłyby w stanie zapewnić sobie same. Pozostaje problem pracowników takich dostawców, którzy z przyczyn oczywistych mają dostęp do terminali. Tyle, że dane przechowywane są w różnych lokalizacjach, a ich \\\\\\\\\\\\\\\"zebranie\\\\\\\\\\\\\\\" byłoby dość trudne... Sadzę, ze spór w tym zakresie polega bardziej na tym czy \\\\\\\\\\\\\\\"czucie i wiara\\\\\\\\\\\\\\\" czy \\\\\\\\\\\\\\\"mędrca szkiełko i oko\\\\\\\\\\\\\\\" (abstrahując od problematyki np. transferu danych osobowych). W pełni podpisuję się pod konkluzjami w poście. Z badań ABA wynika, że mniej niż 25% amerykańskich prawników szyfruje pocztę elektroniczną (choć jest to prosta opcja w outlooku). A jaki procent polskich prawników zabezpiecza w ten sposób przesyłane dane? Hmm. Ktoś wie?
2011-12-08

Szymon Kwiatkowski: Problem dostępu pracowników do danych może być częściowo rozwiązany przez właściwe procedury wprowadzone u dostawcy usługi... Umożliwienie Kancelarii dostępu do procedur nawet w zakresie dotyczącym dostępu do plików może zmniejszyć albo potwierdzić ryzyko przechowywania plików w chmurze :) pozdrawiam Szymon Kwiatkowski www.marketingprawa.pl
2011-12-10

Tomasz Zalewski (autor): Dziękuję za komentarze. Więcej na temat już konkretnych problemów dotyczących usług w chmurze przy okazji recenzji Neokancelaria.pl: http://www.ipwsieci.pl/wpis,25,neoKancelaria__8211_pierwszy_polski_system_do_zarzadzania_kancelaria_prawna_w_modelu_SaaS.html
2012-04-13




Dodaj komentarz
Nick/Pseudonim
E-mail (ukryty)
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

O autorach
Prawo konsumenckie
Ostatnie komentarze
Archiwum
2018
Tagi
prawo autorskie (32)e-commerce (20)artykuły prasowe (18)Internet (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)orzecznictwo TSUE (13)konsumenci (13)cloud computing (12)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)dane osobowe (10)e-sprzedaż (9)webinarium (8)własność intelektualna (8)klauzule abuzywne (8)sprzedaż w internecie (8)handel elektroniczny (8)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)hosting provider (6)sprawy sądowe (6)dyrektywy (6)licencja (6)utwory (6)TSUE (6)oprogramowanie (6)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)dowody (5)poufność (5)orzeczenia (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)nowe technologie (4)użytek prywatny (4)prawa pokrewne (4)chmura (4)reklama (4)rozpowszechnianie (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)treści (3)bitcoin (3)ochrona baz danych (3)ustawa o świadczeniu usług drogą elektroniczną (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)technologie (3)domeny (3)art. 14 uśude (3)monitorowanie użytkowników (3)baza danych (3)ryzyka cloud computing (3)ukierunkowane (2)udostępnianie utworu (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)sklepy internetowe (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)SaaS (2)UOKiK (2)internet rzeczy (2)SABAM. Scarlet Extended (2)Platformy internetowe (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)FinTech (2)dystrybucja (2)audyt oprogramowania (2)cloud computing dla prawników (2)administrator forum internetowego (2)ACTA (1)artystyczne wykonanie (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)prawa artystów wykonawców (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)RODO (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)rejestracja domen (1)prawo do nadań (1)odpowiedzialność pośredników (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)ICANN (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)koszty cloud computing (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)patenty (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)sunrise period (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)prawo angielskie (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)UKE (1)egzemplarz (1)Procurement Explorer (1)sieci peer-to-peer (1)fan page (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)
więcej...
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrawoMówni.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję