Branża nowych technologii rozwija się niezwykle szybko, usługi chmurowe są jednym z dynamiczniej rozwijających się sektorów. Niestety, akty prawne nie dotrzymują kroku temu dynamicznemu wzrostowi. Postaram się krótko opisać regulacje związane z prawnymi aspektami usług chmurowych, które są już stosowane na rynku.
Co to takiego ta chmura obliczeniowa (Cloud computing).
Na wstępie należy podkreślić, że „chmura obliczeniowa” to termin używany głównie w marketingu i biznesie informatycznym, gdzie istnieje wiele definicji tego pojęcia.
Najprościej mówiąc, jest to model przetwarzania zasobów komputerowych na żądanie, bez bezpośredniego aktywnego zarządzania przez użytkownika. Chodzi tu głównie o przechowywanie danych i moc obliczeniową.
Warto zwrócić uwagę na definicję chmury obliczeniowej zawartą w uchwale nr 97 Rady Ministrów z 11.09.2019 r. w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” 2, zgodnie z którą:
chmura obliczeniowa to „model przetwarzania umożliwiający powszechny i wygodny dostęp za pośrednictwem sieci do wspólnej puli konfigurowalnych zasobów przetwarzania (np. sieci, serwerów, pamięci masowych, aplikacji i usług), które są szybko udostępniane z katalogu usług przy minimalnym wysiłku ze strony zespołów zarządzania lub dostawcy usług, składający się z trzech modeli usług (SaaS, PaaS, IaaS), czterech sposobów wdrażania chmur (chmura prywatna, chmura wspólnotowa, chmura publiczna, chmura hybrydowa) oraz charakteryzujący się pięcioma zasadniczymi cechami (samoobsługą na żądanie, szerokim dostępem do sieci, dynamicznym gromadzeniem zasobów, szybkim i elastycznym przydzielaniem i zwalnianiem zasobów, pomiarami i optymalizacją usług), w którym stosowana jest zasada współdzielonej odpowiedzialności między dostawcą i odbiorcą usług chmurowych, a kluczowe technologie wykorzystywane do budowy tego modelu obejmują: szybkie i wydajne sieci rozległe, wydajne oraz relatywnie niedrogie serwery (uwzględniając ich liczbę) oraz wysokowydajną wirtualizację sprzętu”.
Z tej definicji wynika, że istnieje kilka modeli korzystania z chmury obliczeniowej jako usługi:
– Infrastruktura (IaaS-infrastructure as a Service)
– Platforma (PaaS-Platform as a Service)
– Oprogramowanie (SaaS-Software as a Service)
Warto także wspomnieć o technologiach bezserwerowych (Serverless Technologies) lub przetwarzaniu bezserwerowym (Serverless Computing).
Istnieją 3 typy chmury obliczeniowej w zależności od rodzaju ich dostępności:
– dla wszystkich-chmury publiczne (Public Cloud)
– dedykowane konkretnemu odbiorcy-chmury prywatne (Private Cloud)
– łączące oba typy-chmury hybrydowe (Hybrid Cloud)
Chmura wspólnotowa występuje w kontekście administracji publicznej. Wtedy infrastruktura jest przeznaczona do wyłącznego użytku przez określoną grupę organizacji mających wspólne założenia (m.in. misję, wymagania bezpieczeństwa, politykę, zgodność z regulacjami), może być własnością jednej lub więcej organizacji wchodzącej w skład grupy, strony trzeciej lub ich kombinacji bądź może być przez nie zarządzana i obsługiwana i jest zainstalowana w siedzibie organizacji lub poza nią.
To, co wspólne dla wszystkich rodzajów chmur to zasada, że operator serwerów chmurowych (dostawca) w pełni odpowiada za funkcjonowanie chmury. Zadaniem chmury jest bezpieczeństwo danych, optymalizacja i usprawnienie działania użytkownika.
Wśród korzyści korzystania z chmury obliczeniowej można wymienić „elastyczność, skalowalność, uniwersalny dostęp, niskie koszty rozpoczęcia korzystania z usług (ang. low entry cost), elastyczny sposób rozliczeń, łatwy sposób mierzenia usług, a także wygodny sposób monitorowania usług”. (A. Krasuski, Chmura obliczeniowa. Prawne aspekty zastosowania, Warszawa 2017, s. 68.)
Usługi chmurowe cechuje współdzielenie zasobów, mierzalność i skalowalność usług, optymalizacja kosztów i dostępność na żądanie.
Z perspektywy użytkownika istotna jest umowa, na podstawie której usługa chmurowa będzie świadczona.
Definicja prawna usługi chmurowej zawarta jest np. w Dyrektywie UE 2016/1148 i zgodnie z nią jest to usługa cyfrowa umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania, ale jak widać, jest ona bardzo ogólna.
Wzór umowy chmurowej.
Po pierwsze takie nie istnieje. Poniżej wskazujemy, co powinno się w takiej umowie znaleźć. Pamiętać jednak należy, że na rynku chmurowym to dostawcy mają na ogół na tyle silną pozycję, że narzucają swoje wzory umów.
W takich umowach trudno jest negocjować warunki SLA czy zasady odpowiedzialności oraz samą treść umowy, która ma bardzo często charakter umowy adhezyjnej.
Jednak takie firmy jak Microsoft czy Google często działają poprzez swoich dystrybutorów, którzy są dużo bardziej skorzy do ustępstw. Dlatego poniżej wskazujemy, jaki charakter ma umowa chmurowa i na co warto zwrócić uwagę.W naszym prawie umowa chmurowa to tzw. umowa o świadczenie usług. Poza standardowymi postanowieniami (zawarcie, rozwiązanie, określenie przedmiotu umowy), zawiera również:
-opłaty za korzystanie, przy czym usługi chmurowe np. w modelu IaaS rozliczane są często według rzeczywistego wykorzystania (w modelu pay as you go);
-kwestie odnoszące się do bezpieczeństwa usług- postanowienia dotyczące przetwarzania danych osobowych uwzględniające specyfikę usług chmurowych
– indywidualne gwarancje związane z zagwarantowanie dostępności komponentów
chmurowych i postanowienia dotyczące sposobu zgłaszania i usuwania awarii
-wymagania techniczne, jakie musi spełniać sprzęt użytkownika
– postanowienia regulujące zakaz transferu do chmury treści o charakterze bezprawnym
To nie są łatwe tematy, dlatego tak ważna jest współpraca z kancelarią prawną zajmującą się tą tematyką. Odpowiednia umowa chroni Twój obie strony: dostawcę i użytkownika.
A co na to RODO.
W przepisach RODO nie ma nic na temat usług chmurowych. Oznacza to, że zastosowanie znajdą ogólne przepisy związane z przetwarzaniem danych osobowych, które odnoszą się również do przetwarzania danych osobowych w chmurze.
Przy udostępnieniu dostawcy usług chmurowych danych osobowych przez administratora należy pamiętać o z konieczności zawarcia umowy o powierzeniu przetwarzania danych osobowych.
Zawarcie takiej umowy powinno być poprzedzone na przeprowadzonej analizie ryzyka oraz ocenie podmiotu oferującego świadczenie usług w chmurze. Będzie miało to znaczenie w razie wystąpienia ewentualnego incydentu.
Dodatkowo w przypadku przetwarzania danych przez dostawcę chmurowego nie wolno zapomnieć o m.in. obowiązkach informacyjnych w stosunku, do której osoby dane są przetwarzane, o jej prawach związanych z przetwarzanymi danymi oraz o warunkach ewentualnego powierzenia przetwarzania danych. Szczególnie istotne jest to w związku z przetwarzaniem danych poza Europejskim Obszarem Gospodarczym (EOG).
W tym wypadku w umowie na świadczenie usług chmurowych powinny znaleźć się postanowienia dotyczące lokalizacji serwera lub serwerów dostawcy usługi chmurowej. Miejsce lokalizacji serwerów może się okazać kluczowe choćby w związku z ustaleniem, czy dochodzi do przekazania danych osobowych poza EOG (co tworzy dodatkowe obowiązki po stronie dostawcy usługi chmurowej) oraz podczas ustalania miejsca naruszenia.
Chmura obliczeniowa a prawa autorskie.
W przypadku usług chmurowych pojawia się wątpliwość, jak takie usługi powinny być kwalifikowane na gruncie prawa autorskiego. Może być przecież tak, że udostępnienie oprogramowania do korzystania jest ich głównym elementem, ale nie zawsze. Czasami jest to głównie udostępnienie infrastruktury i urządzeń umożliwiających użytkownikowi korzystanie z określonej mocy obliczeniowej, a wątek prawno-autorski jest marginalny.
W praktyce rynkowej wiele osób przyjmuje, iż usługi chmurowe polegają na udostępnieniu określonych programów pozwalających usługobiorcy na korzystanie z nich bez potrzeby posiadania licencji. Jest to jednak spore uproszczenie.
Poza chmurą obliczeniową oprogramowanie udostępniane jest najczęściej po jego wdrożeniu u korzystającego. Aby legalnie korzystać z takiego oprogramowania, niezbędne jest co najmniej udzielenie przez dostawcę oprogramowania licencji.
Problemy praktyczne rodzi brzmienie art. 74 ust. 4 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych. Zgodnie z tym przepisem trwałe lub czasowe zwielokrotnienie programu komputerowego, w całości lub w części, jakimikolwiek środkami i w jakiejkolwiek formie, wchodzi w zakres majątkowego prawa autorskiego do programu komputerowego.
W modelu chmurowym nie dochodzi do instalacji oprogramowania w środowisku użytkownika. Jednak korzystając z oprogramowania, dochodzi do zwielokrotnienia oprogramowania w pamięci operacyjnej komputera użytkownika. Jednak część osób twierdzi, iż jest to tylko element ubocznym tego procesu. Dzieje się to automatycznie na urządzeniu, nie zapisuje tego człowiek. Nie powinno to być uznane więc za zwielokrotnianie.
Inni komentatorzy twierdzą, iż w ramach korzystania z programu w chmurze dochodzi do jego zwielokrotnienia na serwerach dostawcy, a skoro przepis nie precyzuje, gdzie ma dochodzić do zwielokrotnienia, to nawet zwielokrotnienie w infrastrukturze usługodawcy wymaga licencji.
W tym zakresie wciąż trwa dyskusja, chociaż z mojej praktyki wynika, iż przeważający jest jednak pogląd, iż nie mamy do czynienia w takiej sytuacji z licencją. Niemniej jednak na wszelki wypadek w takich umowach występują postanowienia ograniczające zakres pól eksploatacji.