Strona główna / Mobilna firma / Chmura zgodna z prawem
wtorek 21 czerwiec 2011 | Barbara Mejssner
Chmura zgodna z prawem
Usługi w chmurze są coraz powszechniejsze. Jednak korzystanie z nich wiąże się z koniecznością dostosowania się do wielu regulacji i aktów prawnych dotyczących transferu wrażliwych danych i miejsca ich przetwarzania. Trzeba też wiedzieć, do jakiego sądu się udać w przypadku ewentualnego sporu.

Od chmury nie ma ucieczki. Ponad 60 proc. europejskich małych i średnich przedsiębiorstw, jak wynika z raportu VMware, przeniosło jakąś cześć swojej infrastruktury informatycznej do chmury. Problemy prawne związane z korzystaniem z usług w modelu cloud computing dotyczą więc lub będą dotyczyć w różnym zakresie większości firm.

Cloud computing a prawo

Cloud computing jest nową koncepcją, w niewielkim stopniu wpisującą się w realia, na których oparte jest prawo związane z tradycyjnie rozumianą informatyką. Wynika to stąd, iż chmura obliczeniowa nie jest kategorią jednorodną, ale modelem biznesowym opartym na użytkowaniu różnorodnych usług dostarczonych przez podmioty zewnętrzne. Taki sposób ich użytkowania niesie za sobą wiele zupełnie nowych problemów natury prawnej. Dotyczą one sposobu zawierania umów, licencjonowania, ochrony danych osobowych, gwarancji ciągłości i bezpieczeństwa usług, wskazania właściwego prawa i właściwej jurysdykcji do rozstrzygania sporów.

Uwaga na licencje i standardowe umowy

Na rynku od dawna są dostępne usługi IT świadczone w outsourcingu, czyli dostarczane przez zewnętrznych dostawców. Model ten wydaje się więc bardzo podobny do założeń cloud computingu. Umowy, na których opiera się cloud są, oczywiście, podobne do umów outsourcingowych, jednak ich charakterystyczną cechą jest niewielka elastyczność. Są one krótkie i standardowe, dopasowane do usługi, a nie do konkretnego klienta. Klient może je zaakceptować lub nie. Z powodu masowego, standardowego charakteru umów w chmurze tylko naprawdę duże firmy mają możliwość ich negocjowania, np. urząd miasta Los Angeles wynegocjował autorską umowę z Google. Dlatego przed podpisaniem umowy na świadczenie usług w chmurze trzeba dokładnie oszacować ryzyko, jakie wiąże się z podpisaniem umowy w proponowanej formie. Umowy mgliście zaznaczają poziom bezpieczeństwa, dlatego należy szukać konkretów, np. wymogu kodowania SSL, firewalli, częstotliwości wykonywania kopii zapasowych, miejsca, gdzie będą przechowywane dane, jak długo będą przechowywane i na jakiej zasadzie będą udostępniane odbiorcy. Dobrą praktyką jest regulowanie ewentualności wypowiedzenia umowy w przypadku nagminnego łamania limitów przestoju przez dostawcę.

Kontrowersyjną sprawą w chmurze są też umowy licencyjne. Prawo zakłada, że program zainstalowany w chmurze nie wkracza w domenę umów licencyjnych jeśli nie jest powielany na komputerze odbiorcy. Jeśli taka instalacja jest konieczna, potrzebna jest umowa licencyjna z dostawcą.

Jak tłumaczy radca prawny Stefan Cieśla, stwierdzenie, czy na korzystanie z usług typu SaaS licencja została udzielona, jest istotne z punktu widzenia podatkowego. Zakup tworzy element wartości niematerialnych w firmie i wydatek na jego zakup nie jest zaliczany w koszty działania przedsiębiorstwa.

„Oferta udostępniana w systemie chmury jest ofertą świadczenia usługi. Oznacza to, że odbiorcy nie nabywają praw do programu (np. licencji), a jedynie korzystają z praw udostępnianych im przez usługodawców. Ma to swoje przełożenie np. na odpowiedzialność z tytułu prawa autorskiego lub kwalifikację kosztów pod względem podatkowym. Natomiast przedmiot świadczenia usługi jest, z punktu widzenia prawa, obojętny. Ten sam model prawny ma zastosowanie do najmu powierzchni dyskowej w chmurze, do najmu platformy operacyjnej czy też konkretnego oprogramowania użytkowego” dodaje Stefan Cieśla.

Ochrona danych osobowych – pięta achillesowa chmury

Zanim jakiekolwiek dane pojawią się w chmurze, firma kupująca usługę musi zdefiniować, które informacje są najbardziej poufne (np. stanowią tajemnicę przedsiębiorstwa, są informacjami niejawnymi). Często konieczne jest w tym celu przeprowadzenie audytu wewnętrznego u samego przedsiębiorcy oraz audytu zabezpieczeń danych oferowanych przez dostawcę usług. Dopiero na tej podstawie można podjąć decyzję, jakie informacje przekazuje się dostawcy. Najwięcej ograniczeń prawnych związanych jest z ustawowym obowiązkiem ochrony danych osobowych, dotyczy to obu stron kontraktu.

Dane do GIODO

Każdy administrator ma obowiązek zgłosić zbiór danych osobowych do rejestracji przez Głównego Inspektora Ochrony Danych Osobowych. Jest to spore utrudnienie administracyjne, jednak w 2010 r. GIODO stwierdził, że jest to konieczne również w kontekście cloud computingu. Kwestie dotyczące danych osobowych reguluje ustawa o ochronie danych osobowych z 1997 r. (UODO) zgodna z wytycznymi unijnej dyrektywy 95/46/EC.W obrębie UE dyrektywa jest obowiązującym dokumentem, sprawy komplikują się w wypadku przekazywania danych do centrów danych zlokalizowanych poza Europejskim Obszarem Gospodarczym. Ponieważ wiele centrów danych, z których świadczone są usługi cloud, leży poza tym obszarem, problem nabiera dużego znaczenia.

Ochrona adekwatna

W takiej sytuacji dane mogą, oczywiście, być przekazane, ale ich przekazanie wymaga spełnienia, co najmniej jednej z przesłanek wymienionych w ustawie o ochronie danych osobowych, spośród których podstawową jest zapewnienie, iż kraj docelowy daje gwarancję adekwatnej ochrony danych, tj. ochrony na poziomie, co najmniej takim, jak w Polsce. Spełnienie przesłanki adekwatnej ochrony w przypadku niektórych krajów (np. USA, Argentyny, Kanady, Szwajcarii) zostało potwierdzone decyzją Komisji Europejskiej. Jeśli ten warunek nie jest spełniony, przesłankami usprawiedliwiającymi przekazywanie danych osobowych do państw trzecich są np.: wykonywanie umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych i dostawcą; uzyskanie zgody Generalnego Inspektora Ochrony Danych Osobowych; uzyskanie pisemnej zgody osoby, której dane dotyczą. Takie powierzenie danych wymaga zawarcia pisemnej umowy. Dostawca „chmury”, przed rozpoczęciem przetwarzania danych, musi podjąć środki zabezpieczające ich zbiór przewidziane w przepisach ustawy i może przetwarzać dane tylko w zakresie i celu przewidzianym w umowie.

Dyrektywa UE

Najważniejszym aktem prawnym w kontekście danych osobowych ciągle pozostaje dyrektywa nr 95/46/EC. Restrykcje nałożone przez dyrektywę związane z transferem danych poza obszar Unii są obecnie uznawane za jedną z największych barier hamujących rozwój sektora cloud computingu w Europie. Niedostatecznie uregulowane kwestie prawne mogą wręcz ograniczać konkurencyjność europejskich firm. Kwestia przetwarzania danych, które nie stanowią danych osobowych, nie jest bezpośrednio regulowana prawnie, dane takie, jak tajemnice przedsiębiorstwa, są ogólnie chronione Ustawą o zwalczaniu nieuczciwej konkurencji.

Sąd właściwy – istotne ustalenie

Dostawcy rozwiązań w modelu cloud mają swoje siedziby w różnych krajach: USA, Chinach, Indiach, Niemczech, etc. A co za tym idzie, podlegają prawom tych krajów. W większości międzynarodowych kontraktów dotyczących usług w chmurze można znaleźć klauzule wyboru forum prawa, jednak z praktyki wynika, że wybór ten niemal zawsze pada na sądy i prawo właściwe dla siedziby odbiorcy. Wybór jurysdykcji i prawa właściwego jest regulowany przez szereg konwencji i aktów prawnych. W Polsce najważniejsze są rozporządzenia UE: w sprawie jurysdykcji Rozporządzenie nr 44/2001 („Bruksela I”); w sprawie wyboru prawa właściwego Rozporządzenie nr 593/2008 („Rzym I”). Obie regulacje dotyczą podmiotów mających siedzibę w krajach UE. W Norwegii, Szwecji, Islandii problem ten reguluje Konwencja Lugano z 1986 r., w przypadku innych państw są to przepisy polskiego Kodeksu postępowania cywilnego art. 1104. W sprawach, gdy przynajmniej jedna ze stron nie ma swojej siedziby w UE, stosuje się przepisy polskiej ustawy Prawo międzynarodowe prywatne z 1965 r. Nie należy bagatelizować kwestii wyboru prawa właściwego. Procesy międzynarodowe wiążą się z ogromnymi kosztami, które często zniechęcają klientów do ich inicjowania.

Standardy potwierdzają bezpieczeństwo

Aby mieć pewność, że dostawca będzie działać zgodnie z prawem i dostarczy usług na odpowiednim poziomie, na pewno dobrze jest wybierać ośrodki atestowane, w których wdrożono standardy gwarantujące odpowiednią jakość usług oraz bezpieczeństwo danych w warunkach chmur obliczeniowych. Wdrożone standardy są też doskonałą rekomendacją dla dostawców. Obecnie standardami związanymi z certyfikacja usług w chmurze jest Standard SAS 70, wydawany przez Amerykański Instytut Biegłych Rewidentów AICPA (American Institute of Certified Public Accountants), w USA zastępowany standardem SSAE16, oraz standard ISAE 3000 wydany przez IAASB (The International Auditing and Assurance Standards Board). W Polsce najczęściej wykorzystywanym standardem jest SAS 70 i, od 2011 r., ISAE3402. SAS 70 jest amerykańskim standardem audytu dla firm prowadzących biznes oparty na zaawansowanej infrastrukturze informatycznej. Wykorzystywany jest dotąd głównie przez firmy świadczące usługi outsourcingu, ale może z powodzeniem służyć również do atestacji chmur obliczeniowych.

Kwestie prawne w chmurze – na co powinno się zwracać uwagę przy zawieraniu umów na świadczenie usług w chmurze

Klienci

Dostawcy

zapewnienie kontroli nad procesem przetwarzania danych osobowych przez dostawcę oraz przestrzeganiem przez niego zasad ich przetwarzania

zobowiązania dostawcy do zastosowania środków zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, uszkodzeniem lub zniszczeniem

wskazanie zakresu danych, których dotyczy powierzenie. Klient powinien zdefiniować, jakie informacje uważa za poufne; często konieczne jest przeprowadzenie audytu wewnętrznego u przedsiębiorcy oraz audytu zabezpieczeń danych oferowanych przez dostawcę usług

określenie sposobu postępowania przez dostawcę z powierzoną do przetwarzania bazą danych w sytuacji, gdy przestanie być ona użyteczna, oraz wskazania zakresu i celu przetwarzania danych osobowych

wskazanie prawa właściwego dla danego zobowiązania umownego, w celu uniknięcia pułapek prawnych związanych z wykonywaniem kontraktu rządzonego obcym prawem

w zależności od stosunków łączących administratora danych z dostawcą, zastrzeżenia kar umownych za naruszenie postanowień umowy

wskazanie podmiotu, który będzie świadczył usługi na rzecz klienta, tzn. czy będzie to dostawca, z którym podpisujemy umowę, czy też inny podmiot, któremu dostawca przekaże otrzymane dane osobowe

 

(źródło: Katarzyna Krupa, Kancelaria Prawna Spaczyński, Szczepaniak i Wspólnicy sp.k.)

Źródło: ITReseller


 

Podobne artykuły
Komentarze
comments powered by Disqus
zobacz więcej
Video
więcej
Video"
więcej
Facebook
więcej