2017-06-02
Cloud computing – i proste, i trudne. Cz. 1
Autor: Goście
Komentarzy: (0) Tagi: cloud computing, dane osobowe, licencje, RODO, SaaS

Kolejne sektory, branże i firmy zaczynają poważnie myśleć o wdrożeniu rozwiązań w modelu cloud computing – czyli dostarczaniu oprogramowania oraz infrastruktury IT w formie usługi świadczonej drogą elektroniczną. Postęp w tym zakresie jest ciągle w wielu sektorach powolny, ale nieuchronny. Niebawem od rozwiązań opartych na cloud computingu nie będzie w praktyce odwrotu. W wielu przypadkach okaże się, że wybór rozwiązań tradycyjnych oznaczać będzie uboższą ofertę rynkową, większe koszty na inwestycje we własną infrastrukturę informatyczną, a także często zwiększone ryzyko prawne. Chciałbym w związku z tym zasygnalizować kilka problemów, które występują w praktyce przy zawieraniu umów w modelu cloud computing oraz wskazać sposoby na ich rozwiązanie.

Praktyka dotycząca tworzenia i negocjowania umów chmurowych dopiero się kształtuje. Wiele z tych umów ma postać ogólnych warunków, które poddawane są ewentualnie niewielkim indywidualnym modyfikacjom, dlatego też bardzo ważne jest, aby wytworzyła się właściwa praktyka w tym zakresie. Zachęcam do dzielenia się przemyśleniami dotyczącymi analizy, tworzenia i negocjacji umów chmurowych.

Oprogramowanie w modelu SaaS

Wskazane wyżej trendy dotyczące cloud computing szczególnie wyraźnie widać na przykładzie oprogramowania w modelu SaaS – Software as a Service (oprogramowanie jako usługa). Wielu producentów oprogramowania oferuje nadal oprogramowanie tradycyjnie instalowane w infrastrukturze klienta równolegle obok możliwości skorzystania z tego samego programowania w modelu SaaS, jednak coraz częściej nowe produkty programistyczne oferowane są już tylko w modelu chmurowym. Często też funkcjonalność wersji SaaS i wersji tradycyjnej nie jest taka sama, ze wskazaniem na wersję SaaS.

Składa się na to wiele czynników. Usługi chmurowe są łatwiejsze do wdrożenia, łatwiej skalowalne, a ich koszt rozkłada się w czasie. Powoli – za sprawą coraz lepszych technologii cyberbezpieczeństwa – zanika obawa przed utratą danych lub zagrożeniem ataku hakerskiego. Trend ten wspierają producenci oprogramowania, którzy uzyskują stabilne źródło przychodów z subskrypcji SaaS w miejsce często jednorazowych przychodów licencyjnych lub wdrożeniowych. Nabywca tradycyjnego oprogramowania może bowiem zrezygnować na wiele lat z kolejnych wersji oprogramowania, zadowalając się wersją dotychczasową (przykładowo wielu mogłoby nadal korzystać z edytora tekstu MS Word w wersji sprzed lat), tymczasem w modelu SaaS użytkownik płaci regularnie za prawo korzystania z oprogramowania.

Problemy praktyczne i prawne

Niestety, podjęcie decyzji o rozpoczęciu przygody z cloud computingiem i pokonanie wielu barier stojących na tej drodze (w tym przekonanie wszystkich wewnętrznych interesariuszy) to zazwyczaj dopiero początek. Na drodze stoi także wiele barier formalnych i prawnych. Omawiam poniżej kilka najistotniejszych w odniesieniu do modelu SaaS, w którym występuje ich najwięcej.

Umowa licencyjna czy regulamin?

Dostawców rozwiązań SaaS w pewnym uproszczeniu można podzielić na dwie grupy. Pierwsza grupa to dostawcy oprogramowania w modelu tradycyjnym, którzy zaczynają oferować je także w modelu SaaS. Druga to dostawcy, którzy nigdy nie oferowali tradycyjnego oprogramowania i od razu rozpoczęli od modelu SaaS, czasami tylko na życzenie klientów dołączając do swej oferty model on-premises, czyli SaaS instalowany w infrastrukturze klienta (i który z prawnego punktu widzenia ma zwykle niewiele wspólnego z SaaS).

W ślad za tym podziałem idzie także podział dotyczący treści umów proponowanych klientom do zawarcia.

Pierwsi często proponują umowy, w których wyraźnie widoczne jest ich archetypiczne pochodzenie od umowy licencyjnej dostosowanej do specyfiki cloud computingu. Drudzy z kolei proponują umowy o charakterze standardowego, typowego regulaminu świadczenia usługi drogą elektroniczną, gdzie trudno odnaleźć postanowienia uwzględniające to, że oferowana usługa jest funkcjonalnym odpowiednikiem oprogramowania komputerowego.

Oba podejścia nie są właściwe, każde z nich gubi specyfikę usługi cloud computingu w modelu Saas i zazwyczaj nie reguluje wystarczająco precyzyjnie kwestii kluczowych dla użytkowników takiego oprogramowania.

Nie można przy przygotowywaniu lub ocenie umów na SaaS zapominać, że funkcjonalnie jest to odpowiednik umowy licencyjnej, często z elementami umowy wdrożeniowej. Dlatego tego też za najwłaściwsze uważam podejście, które łączy ze sobą koncepcję usługi świadczonej drogą elektroniczną z uwzględnieniem doświadczeń wynikających z wielu lat tworzenia i wykonywania umów dotyczących klasycznego – instalowanego – oprogramowania komputerowego.

Usługa czy licencja

Wciąż brak jest zdecydowanych wypowiedzi w naszej doktrynie prawniczej na temat charakteru prawnego korzystania z oprogramowania w modelu SaaS (przegląd różnych stanowisk znajduje się np. w publikacji „Prawne aspekty świadczenia usług w modelu SaaS przez przedsiębiorcę telekomunikacyjnego” Łukasza Pirożka). Ja opowiadam się za stanowiskiem, że SaaS to usługa świadczona drogą elektroniczną, w ramach której nie jest konieczne udzielanie użytkownikowi jakiegokolwiek uprawnienia o charakterze prawno autorskim, w tym licencji. Nie zmienia tego dostarczanie użytkownikom aplikacji mobilnych, specyficznych pluginów do przeglądarki internetowej lub tzw. oprogramowania klienckiego, które ma celu wyłącznie ułatwienie korzystania z usługi. Na produkty te, instalowane w urządzeniach użytkowników, licencja jest potrzebna, na korzystanie z samej usługi – już nie.

Dane osobowe i RODO a SaaS

Często zagadnienia prawne dotyczące umów SaaS sprowadza się de facto do zagadnień dotyczących uregulowania przetwarzania danych osobowych, pozostałe kwestie traktując marginalnie. Nie jest to podejście właściwe, o czym dalej, choć oczywiście zagadnienia tego nie można pomijać, tym bardziej, że w ramach modelu SaaS dostawca oprogramowania pełni zupełnie inną rolę z punktu widzenia ochrony danych osobowych niż w tradycyjnym modelu licencyjnym.

Dostawca oprogramowania w chmurze jest bowiem co do zasady podmiotem przetwarzającym dane osobowe w imieniu użytkownika - administratora danych, podczas gdy w modelu licencyjnym producent często nie wchodził w interakcję z danymi osobowymi licencjobiorcy poza przypadkami interwencji serwisowej. Umowa o powierzenie danych osobowych do przetwarzania w modelu licencyjnym często zawierana była niejako na wszelki wypadek, podczas, gdy w modelu SaaS jest jednym z essentialia negoti umowy o korzystanie z oprogramowania w chmurze

Nadchodzące zmiany w przepisach ochrony danych osobowych, a zwłaszcza wejście w życie unijnego rozporządzenia o danych osobowych (RODO), podniosą i tak dość wysoko zawieszoną poprzeczkę w tym zakresie, w szczególności ze względu na wprowadzenie administracyjnych kar pieniężnych zarówno dla administratora danych jak i dla podmiotu przetwarzającego dane, których wysokość za najpoważniejsze naruszenia przepisów może sięgnąć aż 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.

Dostawca oprogramowania w modelu SaaS musi zatem być świadomy tego, że odmiennie niż w modelu licencyjnym jego odpowiedzialność za naruszenie zasad przetwarzania danych osobowych umieszczonych przez użytkowników jest na zdecydowanie wyższym poziomie, a także, że odpowiedzialność ta – z wejściem w życie RODO – stanie się odpowiedzialnością bezpośrednią wobec osób, których dane są przetwarzane w infrastrukturze dostawcy oprogramowania w modelu SaaS.

Reforma wdrożona przez RODO paradoksalnie może się przyczynić do przechodzenia wielu użytkowników na model SaaS. RODO wprowadza bowiem zasadniczą zmianę w modelu odpowiedzialności administratora danych za zabezpieczenie danych osobowych. W miejsce modelu formalnego polegającego na zapewnieniu ochrony takiej, jak opisana w przepisach wykonawczych do ustawy o ochronie danych osobowych, wchodzi bowiem model oparty na wymaganiu zapewnienia ochrony adekwatnej do charakteru przetwarzanych danych i okoliczności. O ile zatem do tej pory często wystarczało spełnienie formalnych wymogów wynikających np. z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – przykładowo w zakresie długości hasła i częstotliwości jego zmieniania – od maja 2018 roku środki techniczne i organizacyjne będą musiały być dobierane samodzielnie z uwzględnieniem wielu czynników takich jak stan wiedzy technicznej, koszt wdrażania, prawdopodobieństwo wystąpienia i waga danego zagrożenia, a także specyfika przetwarzanych danych.

Wobec narastającego zagrożenia cyberprzestępczością i nieustannego pojawiania się nowych ryzyk, wydaje się mało prawdopodobne, aby zwykły przeciętny administrator danych osobowych był w stanie bieżąco na to reagować i zapewniać adekwatny poziom bezpieczeństwa.

Paradoksalnie zatem dostawca oprogramowania w modelu SaaS – profesjonalnie przygotowany do spełnienia takich wymogów – może zapewniać bardziej adekwatny do okoliczności poziom ochrony niż niejeden administrator danych osobowych jest w stanie zapewnić samemu przy użyciu własnej infrastruktury i zainstalowanego na niej oprogramowania.

W kolejnej części omówię dodatkowo zagadnienia:

  • przenoszalności danych i exit planu
  • opisu oprogramowania – czyli co dokładnie jest oferowane w ramach chmury i jak to sprawdzić
  • weryfikowalności deklarowanych zobowiązań umownych
  • modeli dystrybucyjnych umów chmurowych – czyli z kim zawieramy umowę.

 

Autorem wpisu jest Tomasz Zalewski

« powrót



Dodaj komentarz
Nick/Pseudonim
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


O serwisie

Zwięźle i praktycznie o nowych technologiach oraz prawie własności intelektualnej i jego zastosowaniu w sieci.

BLOG ARCHIWALNY

O autorach
Goście
Prawo konsumenckie
Zignorowanie reklamacji oznacza jej uznanie
Konsumenckie ADR – obowiązki przedsiębiorców
Wybór prawa jako klauzula abuzywna w umowach konsumenckich zawieranych przez Internet
Przejrzystość w e-handlu to podstawa udanych zakupów
Ostatnie komentarze
Wiolka komentuje Strategia i jeszcze raz strategia
Mat komentuje Strategia i jeszcze raz strategia
Parts Store komentuje Strategia i jeszcze raz strategia
Daria komentuje Królewski ślub, królewskie dobra osobiste & własność intelektualna
Ewa komentuje Królewski ślub, królewskie dobra osobiste & własność intelektualna
Archiwum
2019
2018
2017
2016
2015
2014
2013
2012
2011
Tagi
prawo autorskie (33)e-commerce (20)Internet (18)artykuły prasowe (18)Nowe prawo konsumenckie (17)
naruszenie prawa w internecie (14)dane osobowe (13)orzecznictwo TSUE (13)konsumenci (13)cloud computing (12)znaki towarowe (11)regulaminy (11)e-handel (11)opłaty reprograficzne (11)sklep internetowy (11)e-sklep (11)licencje (10)Trybunał Sprawiedliwości Unii Europejskiej (10)orzecznictwo sądów polskich (10)numer IP (10)e-sprzedaż (9)własność intelektualna (8)webinarium (8)sprzedaż w internecie (8)klauzule abuzywne (8)handel elektroniczny (8)udostępnianie danych osobowych (7)informatyka śledcza (7)bezpieczeństwo danych (7)identyfikacja po numerze IP (7)linkowanie (7)opłaty od urządzeń i czystych nośników (7)copyright levies (7)prawo europejskie (7)odpowiedzialność host provider'ów (6)identyfikacja sprawcy w internecie (6)Znalezione Polubione (6)hosting provider (6)sprawy sądowe (6)nowe technologie (6)dyrektywy (6)licencja (6)utwory (6)TSUE (6)oprogramowanie (6)platforma ODR (5)kopia (5)embeding (5)prawnicy (5)prawo konsumenckie (5)umowy prawnoautorskie (5)forum internetowe (5)service provider (5)poufność (5)dowody (5)orzeczenia (5)technologie (5)spory konsumenckie (5)dozwolony użytek (5)embedding (5)utwór (4)blockchain (4)embed (4)usługi świadczone drogą elektroniczną (4)umowy prawno-autorskie (4)linking (4)autorskie prawa majątkowe (4)wyczerpanie prawa (4)retencja danych (4)wyszukiwarka (4)RODO (4)użytek prywatny (4)prawa pokrewne (4)chmura (4)reklama (4)rozpowszechnianie (4)ustawa o świadczeniu usług drogą elektroniczną (4)dane (4)telekomunikacja (4)program komputerowy (4)copyrights (4)embedowanie (4)ADR (4)dokumenty elektroniczne (4)bazy danych (4)zamówienia publiczne (4)sprzedaż (4)monitorowanie użytkowników (3)baza danych (3)ryzyka cloud computing (3)Usedsoft (3)inwigilacja w sieci (3)sprzedaż programu (3)link (3)treści (3)bitcoin (3)ochrona baz danych (3)utwory przyszłe (3)EuroZamowienia.pl (3)monitorowanie treści (3)hosting (3)Oracle (3)umowy o przeniesienie praw autorskich (3)art. 14 uśude (3)domeny (3)ukierunkowane (2)udostępnianie utworu (2)ustawa o krajowym systemie cyberbezpieczeństwa (2)metawyszukiwarka (2)reklamacje (2)właściwości pliku (2)blog (2)sklepy internetowe (2)cyberbezpieczeństwo (2)dyrektywa o handlu elektronicznym (2)przeniesienie autorskich praw majątkowych (2)NDA (2)naruszenia praw autorskich (2)Chambers & Partners (2)Uber (2)prawa autorskie do strony (2)Google (2)tajemnica przedsiębiorstwa (2)zakupy internetowe (2)legalny użytkownik (2)strona internetowa (2)kancelaria prawna (2)LegalTech (2)wiarygodna wiadomość (2)koszt retencji danych (2)ukierunkowana (2)promocja (2)Facebook (2)prawa producentów fonogramów (2)metawyszukiwarki (2)licencja pudełkowa (2)varia (2)ankiety online (2)GIODO (2)SaaS (2)UOKiK (2)internet rzeczy (2)SABAM. Scarlet Extended (2)Platformy internetowe (2)umowa o zachowaniu poufności (2)aplikacje mobilne (2)spory transgraniczne (2)dyrektywa 2001/29 (2)cookies (2)Svensson (2)organizacje zbiorowego zarządzania prawami autorskimi (2)usługi prawne (2)nadania (2)dyrektywa w sprawie ochrony programów komputerowych (2)FinTech (2)sztuczna inteligencja (2)dystrybucja (2)audyt oprogramowania (2)prawo angielskie (2)cloud computing dla prawników (2)administrator forum internetowego (2)UKE (1)egzemplarz (1)Procurement Explorer (1)sieci peer-to-peer (1)atak hakerski (1)fan page (1)bring your own device (1)prawo odstąpienia (1)Dostawcy treści online (1)ACTA (1)artystyczne wykonanie (1)MS Word (1)tłumaczenie (1)Proseed (1)nowa ustawa (1)samochody autonomiczne (1)cross-border portability (1)prawa artystów wykonawców (1)usługi cyfrowe (1)Deutsche Grammophon (1)domena krajowa (1)artificial intelligence (1)eksport danych (1)korzystanie z dzieła w domenie publicznej (1)e-discovery (1)partnerstwo innowacyjne (1)QC Leisure (1)Pinckney C-170/12 (1)Urząd Unii Europejskiej ds. Własności Intelektualnej (1)Google Reader (1)konkurs w internecie (1)zmowy przetargowe (1)mechanizm opt-out (1)ochrona dóbr osobistych (1)public viewing (1)dyrektywa 2009/24 (1)trade secrets (1)rozporządzenia Rady (WE) nr 44/2001 (1)OHIM (1)Aula Polska (1)odtwarzanie muzyki w miejscach publicznych (1)ochrona wizerunku (1)prawo do nadań (1)odpowiedzialność pośredników (1)rejestracja domen (1)kwalifikowany certyfikat (1)nadawcy radiowi i telewizyjni (1)wprowadzenie do obrotu (1)BSA (1)ograniczenia przeniesienia praw (1)plagiat ukryty (1)WIPO (1)trwały nośnik (1)cyfrowa transformacja (1)ICANN (1)ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (1)Europejski Trybunał Praw Człowieka (1)aplikacja mobilna (1)plagiat (1)wspólnotowy znak towarowy (1)operatorzy witryn indeksujących (1)dane nieosobowe (1)gry hazardowe (1)podpis elektroniczny (1)umowy na odległość (1)druk 3D (1)smart contracts (1)adaptacje filmowe utworów (1)patent (1)serwis społecznościowy (1)RODO w ubezpieczeniach (1)BYOD (1)ustawa inwigilacyjna (1)Jednolity rynek cyfrowy (1)koszty cloud computing (1)patenty (1)dostawcy usług cyfrowych (1)pobranie (1)właściwość sądu (1)odpowiedzialność za szkody (1)geoblokowanie (1)dyrektywa 2011/77/UE (1)screening (1)klasyfikacja nicejska (1)operator usług kluczowych (1)Coditel no. 1. (1)stosowne wynagrodzenie (1)jurysdykcja (1)baza EBD (1)sprzedaż serwisu (1)usługi dotyczące opakowań z cudzym znakiem (1)ambush marketing (1)domena publiczna (1)non disclosure agreement (1)startup (1)Royal Wedding (1)Murphy (1)Creative Commons (1)Coty Germany C-360/12 (1)EUIPO (1)prawo właściwe (1)prawa do fotografii produktów (1)czytnik (1)odbiorniki RTV w pokojach hotelowych (1)ochrona prywatności (1)transmisja (1)Pez Hejduk (C-441/13) (1)YouTube (1)monitoring internetu (1)ochrona opisów produktów (1)kwalifikowany podpis elektroniczny (1)alternatywne metody rozstrzygania sporów (1)podatki (1)statystyka (1)Unijne rozporządzenie nr 2015/2424 (1)sunrise period (1)zasady etyki (1)synchronizacja (1)korzystanie z utworów w postępowaniach sądowych (1)certyfikat (1)social media (1)plagiat jawny (1)unijny znak towarowy (1)usługi płatnicze (1)ETIAS (1)loterie (1)podpis elektroniczny weryfikowany kwalifikowanym certyfikatem (1)wiarygodne zawiadomienie (1)ethereum (1)
więcej...
Poznaj inne nasze serwisy

Blog W ramach regulacji
Blog EuroZamowienia.pl
Blog kodeksWpracy.pl
Blog PrzepisNaEnergetyke.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję