Kolejne sektory, branże i firmy zaczynają poważnie myśleć o wdrożeniu rozwiązań w modelu cloud computing – czyli dostarczaniu oprogramowania oraz infrastruktury IT w formie usługi świadczonej drogą elektroniczną. Postęp w tym zakresie jest ciągle w wielu sektorach powolny, ale nieuchronny. Niebawem od rozwiązań opartych na cloud computingu nie będzie w praktyce odwrotu. W wielu przypadkach okaże się, że wybór rozwiązań tradycyjnych oznaczać będzie uboższą ofertę rynkową, większe koszty na inwestycje we własną infrastrukturę informatyczną, a także często zwiększone ryzyko prawne. Chciałbym w związku z tym zasygnalizować kilka problemów, które występują w praktyce przy zawieraniu umów w modelu cloud computing oraz wskazać sposoby na ich rozwiązanie.
Praktyka dotycząca tworzenia i negocjowania umów chmurowych dopiero się kształtuje. Wiele z tych umów ma postać ogólnych warunków, które poddawane są ewentualnie niewielkim indywidualnym modyfikacjom, dlatego też bardzo ważne jest, aby wytworzyła się właściwa praktyka w tym zakresie. Zachęcam do dzielenia się przemyśleniami dotyczącymi analizy, tworzenia i negocjacji umów chmurowych.
Oprogramowanie w modelu SaaS
Wskazane wyżej trendy dotyczące cloud computing szczególnie wyraźnie widać na przykładzie oprogramowania w modelu SaaS – Software as a Service (oprogramowanie jako usługa). Wielu producentów oprogramowania oferuje nadal oprogramowanie tradycyjnie instalowane w infrastrukturze klienta równolegle obok możliwości skorzystania z tego samego programowania w modelu SaaS, jednak coraz częściej nowe produkty programistyczne oferowane są już tylko w modelu chmurowym. Często też funkcjonalność wersji SaaS i wersji tradycyjnej nie jest taka sama, ze wskazaniem na wersję SaaS.
Składa się na to wiele czynników. Usługi chmurowe są łatwiejsze do wdrożenia, łatwiej skalowalne, a ich koszt rozkłada się w czasie. Powoli – za sprawą coraz lepszych technologii cyberbezpieczeństwa – zanika obawa przed utratą danych lub zagrożeniem ataku hakerskiego. Trend ten wspierają producenci oprogramowania, którzy uzyskują stabilne źródło przychodów z subskrypcji SaaS w miejsce często jednorazowych przychodów licencyjnych lub wdrożeniowych. Nabywca tradycyjnego oprogramowania może bowiem zrezygnować na wiele lat z kolejnych wersji oprogramowania, zadowalając się wersją dotychczasową (przykładowo wielu mogłoby nadal korzystać z edytora tekstu MS Word w wersji sprzed lat), tymczasem w modelu SaaS użytkownik płaci regularnie za prawo korzystania z oprogramowania.
Problemy praktyczne i prawne
Niestety, podjęcie decyzji o rozpoczęciu przygody z cloud computingiem i pokonanie wielu barier stojących na tej drodze (w tym przekonanie wszystkich wewnętrznych interesariuszy) to zazwyczaj dopiero początek. Na drodze stoi także wiele barier formalnych i prawnych. Omawiam poniżej kilka najistotniejszych w odniesieniu do modelu SaaS, w którym występuje ich najwięcej.
Umowa licencyjna czy regulamin?
Dostawców rozwiązań SaaS w pewnym uproszczeniu można podzielić na dwie grupy. Pierwsza grupa to dostawcy oprogramowania w modelu tradycyjnym, którzy zaczynają oferować je także w modelu SaaS. Druga to dostawcy, którzy nigdy nie oferowali tradycyjnego oprogramowania i od razu rozpoczęli od modelu SaaS, czasami tylko na życzenie klientów dołączając do swej oferty model on-premises, czyli SaaS instalowany w infrastrukturze klienta (i który z prawnego punktu widzenia ma zwykle niewiele wspólnego z SaaS).
W ślad za tym podziałem idzie także podział dotyczący treści umów proponowanych klientom do zawarcia.
Pierwsi często proponują umowy, w których wyraźnie widoczne jest ich archetypiczne pochodzenie od umowy licencyjnej dostosowanej do specyfiki cloud computingu. Drudzy z kolei proponują umowy o charakterze standardowego, typowego regulaminu świadczenia usługi drogą elektroniczną, gdzie trudno odnaleźć postanowienia uwzględniające to, że oferowana usługa jest funkcjonalnym odpowiednikiem oprogramowania komputerowego.
Oba podejścia nie są właściwe, każde z nich gubi specyfikę usługi cloud computingu w modelu Saas i zazwyczaj nie reguluje wystarczająco precyzyjnie kwestii kluczowych dla użytkowników takiego oprogramowania.
Nie można przy przygotowywaniu lub ocenie umów na SaaS zapominać, że funkcjonalnie jest to odpowiednik umowy licencyjnej, często z elementami umowy wdrożeniowej. Dlatego tego też za najwłaściwsze uważam podejście, które łączy ze sobą koncepcję usługi świadczonej drogą elektroniczną z uwzględnieniem doświadczeń wynikających z wielu lat tworzenia i wykonywania umów dotyczących klasycznego – instalowanego – oprogramowania komputerowego.
Usługa czy licencja
Wciąż brak jest zdecydowanych wypowiedzi w naszej doktrynie prawniczej na temat charakteru prawnego korzystania z oprogramowania w modelu SaaS (przegląd różnych stanowisk znajduje się np. w publikacji „Prawne aspekty świadczenia usług w modelu SaaS przez przedsiębiorcę telekomunikacyjnego” Łukasza Pirożka). Ja opowiadam się za stanowiskiem, że SaaS to usługa świadczona drogą elektroniczną, w ramach której nie jest konieczne udzielanie użytkownikowi jakiegokolwiek uprawnienia o charakterze prawno autorskim, w tym licencji. Nie zmienia tego dostarczanie użytkownikom aplikacji mobilnych, specyficznych pluginów do przeglądarki internetowej lub tzw. oprogramowania klienckiego, które ma celu wyłącznie ułatwienie korzystania z usługi. Na produkty te, instalowane w urządzeniach użytkowników, licencja jest potrzebna, na korzystanie z samej usługi – już nie.
Dane osobowe i RODO a SaaS
Często zagadnienia prawne dotyczące umów SaaS sprowadza się de facto do zagadnień dotyczących uregulowania przetwarzania danych osobowych, pozostałe kwestie traktując marginalnie. Nie jest to podejście właściwe, o czym dalej, choć oczywiście zagadnienia tego nie można pomijać, tym bardziej, że w ramach modelu SaaS dostawca oprogramowania pełni zupełnie inną rolę z punktu widzenia ochrony danych osobowych niż w tradycyjnym modelu licencyjnym.
Dostawca oprogramowania w chmurze jest bowiem co do zasady podmiotem przetwarzającym dane osobowe w imieniu użytkownika – administratora danych, podczas gdy w modelu licencyjnym producent często nie wchodził w interakcję z danymi osobowymi licencjobiorcy poza przypadkami interwencji serwisowej. Umowa o powierzenie danych osobowych do przetwarzania w modelu licencyjnym często zawierana była niejako na wszelki wypadek, podczas, gdy w modelu SaaS jest jednym z essentialia negoti umowy o korzystanie z oprogramowania w chmurze
Nadchodzące zmiany w przepisach ochrony danych osobowych, a zwłaszcza wejście w życie unijnego rozporządzenia o danych osobowych (RODO), podniosą i tak dość wysoko zawieszoną poprzeczkę w tym zakresie, w szczególności ze względu na wprowadzenie administracyjnych kar pieniężnych zarówno dla administratora danych jak i dla podmiotu przetwarzającego dane, których wysokość za najpoważniejsze naruszenia przepisów może sięgnąć aż 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.
Dostawca oprogramowania w modelu SaaS musi zatem być świadomy tego, że odmiennie niż w modelu licencyjnym jego odpowiedzialność za naruszenie zasad przetwarzania danych osobowych umieszczonych przez użytkowników jest na zdecydowanie wyższym poziomie, a także, że odpowiedzialność ta – z wejściem w życie RODO – stanie się odpowiedzialnością bezpośrednią wobec osób, których dane są przetwarzane w infrastrukturze dostawcy oprogramowania w modelu SaaS.
Reforma wdrożona przez RODO paradoksalnie może się przyczynić do przechodzenia wielu użytkowników na model SaaS. RODO wprowadza bowiem zasadniczą zmianę w modelu odpowiedzialności administratora danych za zabezpieczenie danych osobowych. W miejsce modelu formalnego polegającego na zapewnieniu ochrony takiej, jak opisana w przepisach wykonawczych do ustawy o ochronie danych osobowych, wchodzi bowiem model oparty na wymaganiu zapewnienia ochrony adekwatnej do charakteru przetwarzanych danych i okoliczności. O ile zatem do tej pory często wystarczało spełnienie formalnych wymogów wynikających np. z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – przykładowo w zakresie długości hasła i częstotliwości jego zmieniania – od maja 2018 roku środki techniczne i organizacyjne będą musiały być dobierane samodzielnie z uwzględnieniem wielu czynników takich jak stan wiedzy technicznej, koszt wdrażania, prawdopodobieństwo wystąpienia i waga danego zagrożenia, a także specyfika przetwarzanych danych.
Wobec narastającego zagrożenia cyberprzestępczością i nieustannego pojawiania się nowych ryzyk, wydaje się mało prawdopodobne, aby zwykły przeciętny administrator danych osobowych był w stanie bieżąco na to reagować i zapewniać adekwatny poziom bezpieczeństwa.
Paradoksalnie zatem dostawca oprogramowania w modelu SaaS – profesjonalnie przygotowany do spełnienia takich wymogów – może zapewniać bardziej adekwatny do okoliczności poziom ochrony niż niejeden administrator danych osobowych jest w stanie zapewnić samemu przy użyciu własnej infrastruktury i zainstalowanego na niej oprogramowania.
W kolejnej części omówię dodatkowo zagadnienia:
- przenoszalności danych i exit planu
- opisu oprogramowania – czyli co dokładnie jest oferowane w ramach chmury i jak to sprawdzić
- weryfikowalności deklarowanych zobowiązań umownych
- modeli dystrybucyjnych umów chmurowych – czyli z kim zawieramy umowę.
Cloud computing – i proste, i trudne. #2