facebook LinkedIN LinkedIN - follow
IT SYSTEMS 7-8/2011 , Cloud a virtualizace IT , IT právo

Právní aspekty cloud computingu



Fenomén tzv. cloud computingu již naplno zasáhnul i Českou republiku a mnoho zákazníků touží těžit z výhod, které tento způsob poskytování IT služeb nabízí, nicméně valná většina z nich se obává o bezpečnost svých dat, které leží někde „v oblacích“. Podstatou cloudcomputingových služeb je sdílené využívání IT technologií více uživateli za účelem efektivní utilizace výpočetního výkonu a aplikací. Tato kostrbatá definice je jen vyjádřením principu, že uživatel platí pouze za to, co spotřeboval. Daní za tuto flexibilitu je, že uživatel služby nemá plně pod kontrolou technologie, které jsou k poskytování služeb využívány, může se proto cítit méně v bezpečí než v situaci, kdy má onen server fyzicky u sebe. Cílem tohoto článku je stručně pojednat o právních aspektech cloud computingu, aby každý potenciální zákazník věděl, na co si má dávat pozor, až bude podepisovat smlouvu o poskytování cloudových služeb, případně aby poskytovatelé cloudových služeb byli kvalitně připraveni na dotazy zvídavých zákazníků.


Kvalitní smlouva


Jakkoliv se to zdá triviální, základem je znát svá práva a povinnosti, tedy mít uzavřenou srozumitelnou smlouvu a vědět, co je v ní napsané. Na světě bylo uzavřeno za posledních patnáct let několik desítek milionů cloudcomputingových smluv. Jen málokdo si uvědomuje, že těch několik kliknutí při aktivaci freemailových schránek bylo vlastně uzavřením cloudové smlouvy – oblíbené e-mailové servery (Google, Seznam, dříve Email.cz) byly totiž prvními efektivně nasazenými cloudovými službami a denně je využívá většina IT gramotné populace.

V případě freemailových schránek asi nebude uživatel denně listovat v uzavřené cloudové smlouvě s cílem žalovat poskytovatele freemailu, ale v případě obchodních společností, které prostřednictvím cloudu provozují nějakou svou důležitou aplikaci, je více než vhodně mít smlouvu s poskytovatelem v písemné podobě. Není na škodu, pokud smlouva je uzavřena elektronicky, nicméně podstatné je, aby obě smluvní strany měly shodnou kopii uzavřené smlouvy, respektive aby případné změny smlouvy zákazník vždy evidoval a nebyl v budoucnu nemile překvapen, že jeho práva vůči poskytovateli služby jsou jiná, než si myslel, když například dojde ke změně všeobecných obchodních podmínek.

Správná formulace smluvních povinností

Dříve zákazník obvykle přesně věděl, jakou IT technologii pořizuje – znal detailní technické parametry, znal značku daného serveru, zařízení byla pod jeho kontrolou, blikající diody ho ubezpečovaly, že server funguje, zkrátka předmět smlouvy byl obvykle „hmatatelný“ a zjevný. V prostředí cloud computingu je tomu poněkud jinak – technologie běží na serverech umístěných v různých koutech světa, aplikaci si uživatel spouští stejně jako jakoukoliv známou webovou stránku. Z pohledu uživatele tedy mizí onen prvek „hmatatelnosti“ a větší důraz je kladen na popis plnění, které uživatel očekává. V případě kupní smlouvy, jejímž předmětem byl server, česká právní úprava v obchodním zákoníku smluvním stranám přinášela relativní pocit právního bezpečí, protože server bylo „zboží“ stejné jako jakékoliv jiné. Na druhou stranu však u cloud computingu náš právní řád není tak flexibilní, aby institut cloud computingu jakkoliv zohlednil, a proto jakákoliv práva a povinnosti si strany musí detailně ujednat výhradně ve smlouvě. Je proto nezbytné dbát na správné formulace smluvních práv a závazků, protože je rozdíl mezi povinností a snahou – vezměme si například formulaci „poskytovatel je povinen zajistit, že aplikace bude zákazníkovi dostupná 95 procent provozní doby poskytování služby“ a její (zdánlivě vhodnější) alternativu „poskytovatel vyvine maximální úsilí k tomu, aby zákazník mohl aplikaci užívat 99,95 procenta provozní doby poskytování služby“. V druhém případě sice poskytovatel deklaruje vyšší dostupnost, ale zákazník se svého práva na takovou dostupnost nemusí vždy domoci, protože poskytovatel sice vyvinul maximální úsilí, ale ono to zkrátka nestačilo. Obdobný příklad se týká samotného parametru „dostupnost služby“, kdy může být lákavé mít smluvní závazek dostupnosti 99,95 procenta, ale pokud je dostupnost služby měřena za období jednoho roku, může být výpadek znatelně delší než v případě, kdy je dostupnost měřena na obvyklejší měsíční bázi.

Precizní změnové řízení

Zdánlivě lákavou vlastností cloud computingu je možnost dynamicky měnit rozsah poskytovaných služeb v závislosti na aktuálních potřebách uživatele, ale tato flexibilita nemusí být pro zákazníka vždy přínosem. Proces změny rozsahu cloudových služeb může být velmi jednoduchý a téměř by se dal přirovnat k nakupování v e-shopu, přičemž kapacity poskytovatelů jsou téměř neomezené. Pokud si však smluvní strany nestanoví jasná a striktní oprávnění pro změny parametrů služby, může se zákazníkovi stát, že jeho proaktivní (či naopak méně bystrý) zaměstnanec „vykliká“ v administrátorském rozhraní služby příliš veliký objem služeb, které jsou poskytovatelem okamžitě alokovány a spotřebovány uživateli zákazníka. Možnost reklamace takového čerpání služby jsou velmi limitované, protože služba už je jednoduše zkonzumovaná a nelze ji vrátit. Obdobně to platí i pro přidělování uživatelských práv, kdy paradoxně velmi častá porušení bezpečnostních opatření jsou způsobena udělením příliš širokých užívacích práv jednotlivým uživatelům, kteří se tak v systému „omylem“ dostanou i k informacím, jež by jim neměly být přístupné.

Další zásadou pro dobrou cloudcomputingovou smlouvu je tedy zavedení velmi striktních procesních pravidel pro realizaci změn (change management či demand management) a proces přidělování práv jednotlivým uživatelům.

Správná volba práva

Daní za flexibilitu je též určitá omezená dispozice s podmínkami poskytování služeb či s možností přizpůsobit cloudové aplikace potřebám zákazníka. V současné době jsou nejrozšířenější cloudové služby poskytovány nadnárodními IT společnostmi (např. Microsoft, Amazon, Google), které obvyklé sídlí mimo Českou republiku. Je pak zcela logické, že cloudové smlouvy uzavírané s takovými společnostmi se obvykle budou řídit cizím právním řádem. Proto se může stát, že ač je cloudová smlouva sebelepší, v případě soudního sporu může být i pro žalobce z České republiky místně příslušný soud třeba v Kalifornii.

Kromě poněkud obtížnější vymahatelnosti práva je však pro zdejší uživatele relevantní dodržování zákonů platných v České republice. Typickým příkladem je velmi komplexní právní úprava ochrany osobních údajů zákonem č. 101/2000 Sb., o ochraně osobních údajů. Tento zákon totiž může zásadně rozlišovat, zda se zpracovávané osobní údaje nacházejí na území České republiky, anebo mimo území EU. V případě cloudových služeb uživatel mnohdy netuší, kde přesně jsou jeho data uložena, a pokud taková data obsahují i osobní údaje, mohl by tak (byť i nevědomky) porušovat zákony České republiky.

Bezpečnost nade vše

Určitou daní za větší flexibilitu cloudových služeb je menší schopnost kontroly nad fyzickým umístěním dat zákazníka a zamezení neoprávněného přístupu k nim. Ač to nebývá standardem, je vhodné do cloudové smlouvy vložit taková ustanovení, která z právního pohledu zvýší jistotu a bezpečí zákazníka. Mezi taková ujednání může patřit například právo zákazníka:

  • provádět pravidelné bezpečnostní audity IT technologií poskytovatele, nebo mít alespoň přístup ke zprávám auditorů, pokud si poskytovatel takové bezpečnostní audity realizuje prostřednictvím renomovaných auditorských firem,
  • provádět penetrační testy za účelem ověření zabezpečení IT technologií poskytovatele,
  • vyžadovat, aby poskytovatel po celou dobu plnění cloudových služeb disponoval platnou certifikací ISO (např. řady 27001 či 22307),
  • mít on-line přístup k systémovým informacím a logům, ze kterých je možné zjistit aktuální lokaci jeho dat a přístupů k nim,
  • být okamžitě a detailně informován o všech výpadcích služby a technických aspektech takového výpadku.

Závěr

Dá se shrnout, že smlouva sama o sobě není schopná fyzicky zabránit kupříkladu odcizení datového nosiče s daty zákazníků, ale správně formulovaná cloudová smlouva vytváří kvalitní základ pro klidné užívání služeb bez komplikací. Pokud by snad čtenář nabyl dojmu, že cloudové služby jsou z bezpečnostního či právního hlediska rizikové, opak je pravdou! Stejně jako v případě tradičního pořizování IT, tak i v případě cloud computingu jde obvykle o dvoustranný obchodní vztah, který je založený na základě dobrovolně uzavřené smlouvy. Nikdo nenutí zákazníky uzavírat nevýhodné či nevhodné kontrakty a záleží jen na vůli stran, co bude obsahem uzavíraného kontraktu. Jsem přesvědčen, že správná cloudová smlouva ve spojitosti s renomovaným a spolehlivým poskytovatelem cloudových služeb jsou tou optimální kombinací, jak si zákazník může zajistit moderní technologie za zlomek nákladů, které by v porovnání s tradičním způsobem pořizování IT technologií jinak musel vynaložit.

Josef Donát
Autor působí v advokátní kanceláři Rowan Legal.
 

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.