Kolejne sektory, bran\u017ce i firmy zaczynaj\u0105 powa\u017cnie my\u015ble\u0107 o wdro\u017ceniu rozwi\u0105za\u0144 w modelu cloud computing \u2013 czyli dostarczaniu oprogramowania oraz infrastruktury IT w formie us\u0142ugi \u015bwiadczonej drog\u0105 elektroniczn\u0105. Post\u0119p w tym zakresie jest ci\u0105gle w wielu sektorach powolny, ale nieuchronny. Niebawem od rozwi\u0105za\u0144 opartych na cloud computingu nie b\u0119dzie w praktyce odwrotu. W wielu przypadkach oka\u017ce si\u0119, \u017ce wyb\u00f3r rozwi\u0105za\u0144 tradycyjnych oznacza\u0107 b\u0119dzie ubo\u017csz\u0105 ofert\u0119 rynkow\u0105, wi\u0119ksze koszty na inwestycje we w\u0142asn\u0105 infrastruktur\u0119 informatyczn\u0105, a tak\u017ce cz\u0119sto zwi\u0119kszone ryzyko prawne. Chcia\u0142bym w zwi\u0105zku z tym zasygnalizowa\u0107 kilka problem\u00f3w, kt\u00f3re wyst\u0119puj\u0105 w praktyce przy zawieraniu um\u00f3w w modelu cloud computing oraz wskaza\u0107 sposoby na ich rozwi\u0105zanie.<\/p>\n\n\n\n
Praktyka dotycz\u0105ca tworzenia i negocjowania um\u00f3w chmurowych dopiero si\u0119 kszta\u0142tuje. Wiele z tych um\u00f3w ma posta\u0107 og\u00f3lnych warunk\u00f3w, kt\u00f3re poddawane s\u0105 ewentualnie niewielkim indywidualnym modyfikacjom, dlatego te\u017c bardzo wa\u017cne jest, aby wytworzy\u0142a si\u0119 w\u0142a\u015bciwa praktyka w tym zakresie. Zach\u0119cam do dzielenia si\u0119 przemy\u015bleniami dotycz\u0105cymi analizy, tworzenia i negocjacji um\u00f3w chmurowych.<\/p>\n\n\n\n
Wskazane wy\u017cej trendy dotycz\u0105ce cloud computing szczeg\u00f3lnie wyra\u017anie wida\u0107 na przyk\u0142adzie oprogramowania w modelu SaaS \u2013 Software as a Service (oprogramowanie jako us\u0142uga). Wielu producent\u00f3w oprogramowania oferuje nadal oprogramowanie tradycyjnie instalowane w infrastrukturze klienta r\u00f3wnolegle obok mo\u017cliwo\u015bci skorzystania z tego samego programowania w modelu SaaS, jednak coraz cz\u0119\u015bciej nowe produkty programistyczne oferowane s\u0105 ju\u017c tylko w modelu chmurowym. Cz\u0119sto te\u017c funkcjonalno\u015b\u0107 wersji SaaS i wersji tradycyjnej nie jest taka sama, ze wskazaniem na wersj\u0119 SaaS.<\/p>\n\n\n\n
Sk\u0142ada si\u0119 na to wiele czynnik\u00f3w. Us\u0142ugi chmurowe s\u0105 \u0142atwiejsze do wdro\u017cenia, \u0142atwiej skalowalne, a ich koszt rozk\u0142ada si\u0119 w czasie. Powoli \u2013 za spraw\u0105 coraz lepszych technologii cyberbezpiecze\u0144stwa \u2013 zanika obawa przed utrat\u0105 danych lub zagro\u017ceniem ataku hakerskiego. Trend ten wspieraj\u0105 producenci oprogramowania, kt\u00f3rzy uzyskuj\u0105 stabilne \u017ar\u00f3d\u0142o przychod\u00f3w z subskrypcji SaaS w miejsce cz\u0119sto jednorazowych przychod\u00f3w licencyjnych lub wdro\u017ceniowych. Nabywca tradycyjnego oprogramowania mo\u017ce bowiem zrezygnowa\u0107 na wiele lat z kolejnych wersji oprogramowania, zadowalaj\u0105c si\u0119 wersj\u0105 dotychczasow\u0105 (przyk\u0142adowo wielu mog\u0142oby nadal korzysta\u0107 z edytora tekstu MS Word w wersji sprzed lat), tymczasem w modelu SaaS u\u017cytkownik p\u0142aci regularnie za prawo korzystania z oprogramowania.<\/p>\n\n\n\n
Niestety, podj\u0119cie decyzji o rozpocz\u0119ciu przygody z cloud computingiem i pokonanie wielu barier stoj\u0105cych na tej drodze (w tym przekonanie wszystkich wewn\u0119trznych interesariuszy) to zazwyczaj dopiero pocz\u0105tek. Na drodze stoi tak\u017ce wiele barier formalnych i prawnych. Omawiam poni\u017cej kilka najistotniejszych w odniesieniu do modelu SaaS, w kt\u00f3rym wyst\u0119puje ich najwi\u0119cej.<\/p>\n\n\n\n
Dostawc\u00f3w rozwi\u0105za\u0144 SaaS w pewnym uproszczeniu mo\u017cna podzieli\u0107 na dwie grupy. Pierwsza grupa to dostawcy oprogramowania w modelu tradycyjnym, kt\u00f3rzy zaczynaj\u0105 oferowa\u0107 je tak\u017ce w modelu SaaS. Druga to dostawcy, kt\u00f3rzy nigdy nie oferowali tradycyjnego oprogramowania i od razu rozpocz\u0119li od modelu SaaS, czasami tylko na \u017cyczenie klient\u00f3w do\u0142\u0105czaj\u0105c do swej oferty model on-premises, czyli SaaS instalowany w infrastrukturze klienta (i kt\u00f3ry z prawnego punktu widzenia ma zwykle niewiele wsp\u00f3lnego z SaaS).<\/p>\n\n\n\n
W \u015blad za tym podzia\u0142em idzie tak\u017ce podzia\u0142 dotycz\u0105cy tre\u015bci um\u00f3w proponowanych klientom do zawarcia.<\/p>\n\n\n\n
Pierwsi cz\u0119sto proponuj\u0105 umowy, w kt\u00f3rych wyra\u017anie widoczne jest ich archetypiczne pochodzenie od umowy licencyjnej dostosowanej do specyfiki cloud computingu. Drudzy z kolei proponuj\u0105 umowy o charakterze standardowego, typowego regulaminu \u015bwiadczenia us\u0142ugi drog\u0105 elektroniczn\u0105, gdzie trudno odnale\u017a\u0107 postanowienia uwzgl\u0119dniaj\u0105ce to, \u017ce oferowana us\u0142uga jest funkcjonalnym odpowiednikiem oprogramowania komputerowego.<\/p>\n\n\n\n
Oba podej\u015bcia nie s\u0105 w\u0142a\u015bciwe, ka\u017cde z nich gubi specyfik\u0119 us\u0142ugi cloud computingu w modelu Saas i zazwyczaj nie reguluje wystarczaj\u0105co precyzyjnie kwestii kluczowych dla u\u017cytkownik\u00f3w takiego oprogramowania.<\/p>\n\n\n\n
Nie mo\u017cna przy przygotowywaniu lub ocenie um\u00f3w na SaaS zapomina\u0107, \u017ce funkcjonalnie jest to odpowiednik umowy licencyjnej, cz\u0119sto z elementami umowy wdro\u017ceniowej. Dlatego tego te\u017c za najw\u0142a\u015bciwsze uwa\u017cam podej\u015bcie, kt\u00f3re \u0142\u0105czy ze sob\u0105 koncepcj\u0119 us\u0142ugi \u015bwiadczonej drog\u0105 elektroniczn\u0105 z uwzgl\u0119dnieniem do\u015bwiadcze\u0144 wynikaj\u0105cych z wielu lat tworzenia i wykonywania um\u00f3w dotycz\u0105cych klasycznego \u2013 instalowanego \u2013 oprogramowania komputerowego.<\/p>\n\n\n\n
Wci\u0105\u017c brak jest zdecydowanych wypowiedzi w naszej doktrynie prawniczej na temat charakteru prawnego korzystania z oprogramowania w modelu SaaS (przegl\u0105d r\u00f3\u017cnych stanowisk znajduje si\u0119 np. w publikacji \u201ePrawne aspekty \u015bwiadczenia us\u0142ug w modelu SaaS przez przedsi\u0119biorc\u0119 telekomunikacyjnego<\/a>\u201d \u0141ukasza Piro\u017cka). Ja opowiadam si\u0119 za stanowiskiem, \u017ce SaaS to us\u0142uga \u015bwiadczona drog\u0105 elektroniczn\u0105, w ramach kt\u00f3rej nie jest konieczne udzielanie u\u017cytkownikowi jakiegokolwiek uprawnienia o charakterze prawno autorskim, w tym licencji. Nie zmienia tego dostarczanie u\u017cytkownikom aplikacji mobilnych, specyficznych plugin\u00f3w do przegl\u0105darki internetowej lub tzw. oprogramowania klienckiego, kt\u00f3re ma celu wy\u0142\u0105cznie u\u0142atwienie korzystania z us\u0142ugi. Na produkty te, instalowane w urz\u0105dzeniach u\u017cytkownik\u00f3w, licencja jest potrzebna, na korzystanie z samej us\u0142ugi \u2013 ju\u017c nie.<\/p>\n\n\n\n Cz\u0119sto zagadnienia prawne dotycz\u0105ce um\u00f3w SaaS sprowadza si\u0119 de facto do zagadnie\u0144 dotycz\u0105cych uregulowania przetwarzania danych osobowych, pozosta\u0142e kwestie traktuj\u0105c marginalnie. Nie jest to podej\u015bcie w\u0142a\u015bciwe, o czym dalej, cho\u0107 oczywi\u015bcie zagadnienia tego nie mo\u017cna pomija\u0107, tym bardziej, \u017ce w ramach modelu SaaS dostawca oprogramowania pe\u0142ni zupe\u0142nie inn\u0105 rol\u0119 z punktu widzenia ochrony danych osobowych ni\u017c w tradycyjnym modelu licencyjnym.<\/p>\n\n\n\n Dostawca oprogramowania w chmurze jest bowiem co do zasady podmiotem przetwarzaj\u0105cym dane osobowe w imieniu u\u017cytkownika – administratora danych, podczas gdy w modelu licencyjnym producent cz\u0119sto nie wchodzi\u0142 w interakcj\u0119 z danymi osobowymi licencjobiorcy poza przypadkami interwencji serwisowej. Umowa o powierzenie danych osobowych do przetwarzania w modelu licencyjnym cz\u0119sto zawierana by\u0142a niejako na wszelki wypadek, podczas, gdy w modelu SaaS jest jednym z essentialia negoti umowy o korzystanie z oprogramowania w chmurze<\/p>\n\n\n\n Nadchodz\u0105ce zmiany w przepisach ochrony danych osobowych, a zw\u0142aszcza wej\u015bcie w \u017cycie unijnego rozporz\u0105dzenia o danych osobowych (RODO), podnios\u0105 i tak do\u015b\u0107 wysoko zawieszon\u0105 poprzeczk\u0119 w tym zakresie, w szczeg\u00f3lno\u015bci ze wzgl\u0119du na wprowadzenie administracyjnych kar pieni\u0119\u017cnych zar\u00f3wno dla administratora danych jak i dla podmiotu przetwarzaj\u0105cego dane, kt\u00f3rych wysoko\u015b\u0107 za najpowa\u017cniejsze naruszenia przepis\u00f3w mo\u017ce si\u0119gn\u0105\u0107 a\u017c 20 000 000 EUR lub 4% ca\u0142kowitego rocznego \u015bwiatowego obrotu przedsi\u0119biorcy z poprzedniego roku obrotowego.<\/p>\n\n\n\n Dostawca oprogramowania w modelu SaaS musi zatem by\u0107 \u015bwiadomy tego, \u017ce odmiennie ni\u017c w modelu licencyjnym jego odpowiedzialno\u015b\u0107 za naruszenie zasad przetwarzania danych osobowych umieszczonych przez u\u017cytkownik\u00f3w jest na zdecydowanie wy\u017cszym poziomie, a tak\u017ce, \u017ce odpowiedzialno\u015b\u0107 ta \u2013 z wej\u015bciem w \u017cycie RODO \u2013 stanie si\u0119 odpowiedzialno\u015bci\u0105 bezpo\u015bredni\u0105 wobec os\u00f3b, kt\u00f3rych dane s\u0105 przetwarzane w infrastrukturze dostawcy oprogramowania w modelu SaaS.<\/p>\n\n\n\n Reforma wdro\u017cona przez RODO paradoksalnie mo\u017ce si\u0119 przyczyni\u0107 do przechodzenia wielu u\u017cytkownik\u00f3w na model SaaS. RODO wprowadza bowiem zasadnicz\u0105 zmian\u0119 w modelu odpowiedzialno\u015bci administratora danych za zabezpieczenie danych osobowych. W miejsce modelu formalnego polegaj\u0105cego na zapewnieniu ochrony takiej, jak opisana w przepisach wykonawczych do ustawy o ochronie danych osobowych, wchodzi bowiem model oparty na wymaganiu zapewnienia ochrony adekwatnej do charakteru przetwarzanych danych i okoliczno\u015bci. O ile zatem do tej pory cz\u0119sto wystarcza\u0142o spe\u0142nienie formalnych wymog\u00f3w wynikaj\u0105cych np. z rozporz\u0105dzenia Ministra Spraw Wewn\u0119trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunk\u00f3w technicznych i organizacyjnych, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych<\/a> \u2013 przyk\u0142adowo w zakresie d\u0142ugo\u015bci has\u0142a i cz\u0119stotliwo\u015bci jego zmieniania \u2013 od maja 2018 roku \u015brodki techniczne i organizacyjne b\u0119d\u0105 musia\u0142y by\u0107 dobierane samodzielnie z uwzgl\u0119dnieniem wielu czynnik\u00f3w takich jak stan wiedzy technicznej, koszt wdra\u017cania, prawdopodobie\u0144stwo wyst\u0105pienia i waga danego zagro\u017cenia, a tak\u017ce specyfika przetwarzanych danych.<\/p>\n\n\n\n Wobec narastaj\u0105cego zagro\u017cenia cyberprzest\u0119pczo\u015bci\u0105 i nieustannego pojawiania si\u0119 nowych ryzyk, wydaje si\u0119 ma\u0142o prawdopodobne, aby zwyk\u0142y przeci\u0119tny administrator danych osobowych by\u0142 w stanie bie\u017c\u0105co na to reagowa\u0107 i zapewnia\u0107 adekwatny poziom bezpiecze\u0144stwa.<\/p>\n\n\n\n Paradoksalnie zatem dostawca oprogramowania w modelu SaaS \u2013 profesjonalnie przygotowany do spe\u0142nienia takich wymog\u00f3w \u2013 mo\u017ce zapewnia\u0107 bardziej adekwatny do okoliczno\u015bci poziom ochrony ni\u017c niejeden administrator danych osobowych jest w stanie zapewni\u0107 samemu przy u\u017cyciu w\u0142asnej infrastruktury i zainstalowanego na niej oprogramowania.<\/p>\n\n\n\nDane osobowe i RODO a SaaS<\/strong><\/h2>\n\n\n\n