Podstata cloudových služeb spočívá v multitenancy čili ve sdíleném využívání IT technologií více uživateli, jejichž data jsou ukládána v datových úložištích poskytovatele této služby. Cloudová řešení představují úsporu nákladů, protože jsou bez počáteční investice na nákup hardware a uživatel platí pouze za infrastrukturu a služby, které skutečně využil. Uživatelům nabízejí nepřetržitý přístup k datům přes internet/aplikace a možnost pružné změny výpočetních zdrojů podle potřeby. Určitou daní, kterou uživatelé za tuto flexibilitu "platí", je fakt, že nemají plně pod vlastní kontrolou technologie, jež využívají. Jejich data nemusí mít pevné umístění a mohou migrovat mezi jednotlivými úložišti poskytovatele i do jiných zemí i mimo EU, což může být komplikací v případě, že jsou součástí dat také osobní údaje, jejichž ochrana podléhá zákonu České republiky.

Vždy je nutné zvážit, zda se cloudové řešení pro danou firmu hodí, a to analýzou potřeb a očekávání. Existuje mnoho variant: od veřejného, soukromého nebo hybridního typu cloudu až po různý rozsah nabízených služeb – infrastruktura jako služba (IaaS), software jako služba (SaaS) nebo platforma jako služba (PaaS).

Po zvážení všech alternativ a volbě vhodného modelu přichází na řadu příprava smlouvy. Správná formulace tohoto dokumentu je důležitá pro zvýšení právní jistoty a zabezpečení práv uživatele cloudových služeb. Na co se tedy při uzavírání cloudové smlouvy zaměřit?

• Vlastnictví dat – důležitým aspektem je vlastnictví práv k datům uloženým v cloudu, zda nepřechází na poskytovatele dané služby
• Přenositelnost – v jakém formátu převede poskytovatel služeb data při jejich transportu například k jinému poskytovateli
• Lokalizace dat – geografické umístění dat je důležité z pohledu dodržování místních zákonů uživateli cloudových služeb, například v souvislosti se zmíněným zákonem o ochraně osobních údajů a jeho omezeními pro "vývoz" dat mimo EU
• Garantovaná dostupnost dat – uváděná pravděpodobnost zajištění nepřetržité služby se většinou pohybuje na vysoké úrovni např. 99,95 %, 99,999 % k určitému časovému úseku (týden, měsíc, rok). Stojí za to si spočítat reálný čas, po který mohou data být nedostupná (bez jakékoli odpovědnosti poskytovatele) a zvážit, jestli je takový výpadek pro podnikání únosný
• Výkon – maximální doba odezvy by měla být garantována poskytovatelem a její nedodržení sankcionováno
• Zabezpečení dat – např. šifrování při přenosu může být žádoucí nejenom z obchodního hlediska (přístup nepovolaných osob, např. konkurence, k datům je nežádoucí) ale také z právního (některé specifické právní předpisy stanoví povinnost přijmout odpovídající bezpečnostní opatření, mezi než může šifrování patřit)
• Platební model – zde je možné třeba řešit nejen frekvenci plateb, ale zejména za jaké služby firma opravdu platí (např. zda jsou mimořádné výkyvy v poptávané výpočetní kapacitě "sankcionovány" nějakou přirážkou)
• Odpovědnost za případnou ztrátu/poškození dat – do jaké výše poskytovatel v takovýchto případech plní. Poskytovatelé mají plnění většinou nastavené do výše ročních poplatků zaplacených uživatelem, což je v mnohých případech příliš nízká částka, proto je vhodné zvážit ještě pojištění takových situací.

Také tzv. velká data (big data) jsou oblastí, které je třeba z pohledu zajištění věnovat pozornost. Vzhledem k tomu, že tato data jsou získávána z nejrůznějších zdrojů – od sociálních sítí a uživatelského chování na internetu, přes internet věcí až po záznamy údajů telekomunikačních poskytovatelů – je třeba při jejich zpracování brát v úvahu různé právní předpisy. V současné době neexistuje zákon, který by velká data samostatně reguloval. Obecně je proto nutné vycházet např. ze zákona o kybernetické bezpečnosti a zákona o ochraně osobních údajů, neboť ty jsou nedílnou součástí většiny velkých dat. Při jejich zpracování je potom nutné vzít v úvahu konkrétní sektor, jehož se dotýkají.

Uchovávání komunikačních a geolokačních údajů upravují telekomunikační předpisy. V mnohých případech figurují také zákony na ochranu duševního vlastnictví a ochranu spotřebitele, zároveň ale může být nutné využít specifičtější právní úpravy, jako je například zdravotnické právo v kombinaci s odpovědností za výrobek (v případě zpracování dat z nejrůznějších technologií nositelných na lidském těle, např. údaje z běhu zaznamenané chytrými hodinkami). Vždy je nutné přihlédnout ke konkrétním specifikům v jednotlivých situacích.

Stanislav Bednář Autor článku je seniorní advokát společnosti DLA Piper Prague.