W pierwszej części wpisu opisałem zagadnienia związane z modelem prawnym umowy cloud computing oraz te dotyczące ochrony danych osobowych. Dziś czas na kolejne kwestie.
Umowy SaaS
Jak już wskazałem wcześniej, mimo wzrostu wiedzy na temat zalet i wad oprogramowania dostarczanego w formule cloud computing, nadal umowy dotyczące korzystania z takiego oprogramowania konstruuje się często podobnie jak umowy licencyjne na oprogramowanie, nie dostrzegając zasadniczych różnic pomiędzy tymi umowami. W szczególności w przypadku usług chmurowych nie jest najczęściej potrzebne udzielanie licencji prawnoautorskiej (chyba że następuje instalacja w infrastrukturze klienta), natomiast konieczne jest zadbanie o kwestie, które albo nie występowały w modelu licencyjnym, albo nie było potrzebne ich dokładne regulowanie.
Przenoszalność danych – czyli eksport
Do takich zagadnień, które często bywają traktowane powierzchownie, a są kluczowe dla wielu usługobiorców, to zadbanie o możliwość eksportu danych w taki sposób, aby zapewnić ich łatwą przenoszalność do innego systemu. Należy bowiem pamiętać, że za zalety modelu chmurowego płacimy m.in. brakiem możliwości kontynuowania korzystania z oprogramowania w razie braku płatności subskrypcyjnych. W modelu tradycyjnym licencjobiorca mógł zwykle zrezygnować z kolejnych upgrade’ów i usług serwisowych i zachować poprzednią wersję oprogramowania bez dalszych płatności, a w ramach tego oprogramowania nadal korzystać ze zgromadzonych w nim danych. W modelu SaaS usługobiorca musi być zawsze gotowy do pobrania swoich danych i przeniesienia ich do innego systemu, dlatego też kluczowe jest precyzyjne uregulowanie tej kwestii w umowie.
Kwestia ta bywa poruszona w kontekście tzw. przenoszalności danych osobowych, tj. jednego z wymogów, które wprowadza RODO, ale należy pamiętać, że w wielu przypadkach dane osobowe to zaledwie ułamek wszystkich danych wprowadzanych do oprogramowania. Systemy ERP w modelu SaaS mogą być tu dobrym przykładem – dane będą dotyczyły sprzedaży, towarów, stanów magazynowych, a dane osobowe znajdą się w nim tylko marginalnie.
Prawie wszystkie (ale nie wszystkie!) umowy SaaS zawierają postanowienia o eksporcie danych, ale nie zawsze są to postanowienia wystarczające, zwłaszcza gdy pomijają milczeniem detale dotyczące formatu danych, odpowiednio długich terminów na dokonanie eksportu lub kosztów takiego eksportu w razie, gdy dostawca nie zapewnia stosownych narzędzi.
Należy pamiętać, że rozwiązanie umowy SaaS to sytuacja, na którą powinniśmy patrzeć jako sytuację kryzysową, której powodzenie może mieć olbrzymi wpływ na dalsze sprawne funkcjonowanie firmy. Rozwiązanie takiej umowy oznacza brak możliwości dalszego przetwarzania naszych danych! Wyobraźmy sobie, że nagle pozostajemy z bazami danych bez możliwości ich przejrzenia i edycji np. że nagle nie mamy narzędzia do otwarcia dokumentów. Nie będzie zatem przesadą opisanie dokładne obowiązków stron związanych z zakończeniem współpracy i określenie go jako tzw. exit plan – plan pozwalający na zarządzenie procesem zakończenia korzystania z jednego narzędzia i rozpoczęcie korzystania z nowego.
Opis oprogramowania
Umowy SaaS często pomijają całkowicie milczeniem opis funkcjonalności oprogramowania. W modelu licencyjnym użytkownik wiedział dokładnie, jaką funkcjonalność ma oprogramowanie, dostawał także informację o zmianach w funkcjonalnościach w kolejnych wersjach, na które mógł się zdecydować lub nie. W modelu SaaS oprogramowanie jest nieustannie ulepszane i poprawiane. Dzieje się to w tle, często w sposób niedostrzegalny dla użytkownika. W ramach płaconej opłaty ma on zawsze dostęp do najnowszej wersji oprogramowania. Oznacza to jednak także, że jeśli dostawca zdecyduje się na zmiany, które z punktu widzenia użytkownika będą niekorzystne, użytkownik może co najwyżej nie przedłużyć umowy na kolejny okres. Jeśli decyzja o wyborze konkretnego rozwiązania została podjęta ze względu na określone funkcjonalności oferowane przez dostawcę, warto w umowie SaaS wyżej wskazane kwestie uregulować – poprzez opis oferowanej konfiguracji będącej podstawą decyzji o zawarciu umowy lub poprzez zagwarantowanie sobie odpowiednich praw w wypadku zmiany takich kluczowych funkcjonalności.
Przy tej okazji warto także dookreślić sposób realizacji konkretnych funkcjonalności. Postanowienie o zapewnieniu szyfrowania danych użytkownika może oznaczać, że dostawca stosuje szyfrowanie, w którym oprócz użytkownika także i dostawca zna klucze szyfrujące. Szyfrowanie zabezpiecza wówczas dane wobec osób trzecich, ale nie wobec dostawcy i jego personelu. Takie szyfrowanie może być niewiele warte dla użytkownika zobowiązanego do zachowania poufności – należy zatem na takie kwestie zwracać uwagę.
Weryfikowalność zobowiązań umownych
Wiele z zobowiązań umownych po stronie dostawcy ma charakter deklaratywny. Dostawca zobowiązuje się np. do podjęcia odpowiednich środków dla zabezpieczenia danych użytkowników lub do zapewnienia ograniczonego dostępu do tych danych przez swoich pracowników. Zobowiązania te bez dookreślonych sposobów ich weryfikacji przez użytkownika mogą pozostać pustymi deklaracjami, które nigdy nie zostaną wypełnione, o czym użytkownik może przekonać się boleśnie dopiero wówczas, gdy np. jego dane zostaną bez jego wiedzy usunięte lub skopiowane przez osoby nieuprawnione. Gdy dodać to tego okoliczność, że umowa SaaS zawierana jest i wykonywana na odległość, uregulowanie tych kwestii w umowie staje się kluczowe. Rozwiązaniem może być audyt zaufanej osoby trzeciej, są też inne możliwości – ale trzeba o nich pomyśleć przed zawarciem umowy. Tu kluczowe jest to, co proponuje w tym zakresie dostawca oprogramowania w chmurze – jego inicjatywa może mieć w obecnych realiach wręcz decydujące znaczenie dla świadomych klientów myślących o rozwiązaniach SaaS.
Z kim zawiera się umowę SaaS – modele dystrybucyjne
Mimo rozpowszechnienia się oprogramowania dostarczanego w formule cloud computing wielu producentów, zwłaszcza tych, którzy model biznesowy opierał się na sprzedaży licencji na oprogramowanie, próbuje kontynuować stosowanie dotychczasowych modeli sprzedaży oprogramowania. Polega on zazwyczaj na dystrybucji usług chmurowych za pośrednictwem partnerów handlowych, podobnie jak w modelu dystrybucji oprogramowania. W koncepcji tej umowę zawiera się z partnerem, za pośrednictwem którego następuje fakturowanie i który zwykle świadczy dodatkowe usługi doradztwa związanego z korzystaniem z usługi, natomiast właściwa umowa o świadczenie usług chmurowych zawierana jest w formie standardowej umowy o świadczenie usług opartej na warunkach ogólnych, które nie podlegają negocjacjom. Niestety oznacza to, że jeśli kwestie istotne dla usługobiorcy są niewłaściwe uregulowane w tych warunkach ogólnych (najczęściej zbyt ogólnie lub pominiętych milczeniem), nie ma on możliwości uzyskania satysfakcjonującego go rozwiązania w drodze negocjacji z właściwym usługodawcą. Dlatego też użytkownicy oprogramowania dostarczanego w modelu SaaS powinni dążyć do zawierania umów chmurowych zawsze bezpośrednio z usługodawcami (w modelu direct), co wydaje się najwłaściwszym sposobem zawierania umów tego typu.
Podsumowanie
Powyższy opis zagadnień związanych z umowami dotyczącymi cloud computing nie jest oczywiście wyczerpujący. Miał on na celu zasygnalizowanie problemów, które występują w praktyce oraz wskazanie sposobów na ich rozwiązanie. Dotychczasowe doświadczenie uczy, że kluczem do dobrej umowy w modelu chmurowym jest zrozumienie specyfiki danej usługi oraz wyzwań prawnych i regulacyjnych, które nie mogą jednak przesłaniać potrzeby analizy każdej sytuacji oddzielnie oraz uwzględnienia potrzeb i wyzwań stojących przed stronami takiej umowy, które muszą być odzwierciedlone w ramach postanowień umownych.
Jesteśmy na początku kształtowania się praktyki tworzenia i negocjowania umów chmurowych. Zachęcam zatem do dzielenia się przemyśleniami i doświadczeniami, aby ukształtowana praktyka była jak najlepsza.
Blockchain i smart kontrakty – wideo