Vzhledem k právní vynutitelnosti tzv. „click-wrap dohod“ si při uzavírání smlouvy druhá strana mnohdy ani neuvědomí rozsah limitace odpovědnosti poskytovatele cloudových služeb. Často se můžeme setkat s tím, že je smluvně vyloučena odpovědnost za jakékoli přerušení nebo pozastavení poskytování služeb a omezení přístupu k uloženým datům. V extrémních případech se někdy objevuje také vyloučení odpovědnosti za ztrátu, poškození nebo únik dat či jakoukoli škodu, která v této souvislosti vznikla nebo může zákazníkovi vzniknout.

Obdobně možná není nejlepší, pokud budou cloudové služby poskytovány prostřednictvím několika na sobě nezávislých osob, popř. velká část služeb poskytovatele bude zajištěna ze strany jeho subdodavatelů. V takovém případě je celý systém více náchylný k výpadkům nebo jiným problémům spojeným s přístupem a prací s daty. Současně často chybí jediné kontaktní místo a dílčí problémy je nutné řešit se všemi osobami, které problematickou část služeb zajišťují. Nadto není výjimečné, že subdodavatelé nebo jiné zprostředkovatelské subjekty sídlí v jiném členském státě EU, nebo dokonce za jejími hranicemi, kde je právní regulace ochrany dat minimální.

Vendor Lock-In

Důvodů, proč obchodní společnosti často volí cloud jako primární úložiště pro svá data, může být několik. Tím nejčastějším je bezesporu snadná dostupnost dat téměř odkudkoli. Zatímco se ale přechod na novou datovou infrastrukturu může zdát relativně bezproblémový, změna poskytovatele cloudových služeb už bývá často provázána mnoha komplikacemi.

Jedním ze souvisejících problémů může být nemožnost přesunu dat k novému poskytovateli přímo, ale nutnost je nejprve předat zpět zákazníkovi. Důvodem může být např. speciální kódování, úprava dat dosavadního poskytovatele, která znemožňuje jejich využití mimo jeho infrastrukturu, nebo úplná absence možnosti data z této infrastruktury exportovat. V takovém případě je většinou nevyhnutelná zdlouhavá ruční úprava dat do univerzálnějšího formátu nebo jejich extrakce. Naneštěstí pro zákazníka mnohdy není zpětvzetí dat možné, neboť již nadále nedisponuje potřebnou infrastrukturou.

Veškeré výše uvedené bariéry vznikají z důvodu omezení migrace zákazníků, kteří si často při uzavírání smlouvy na poskytování cloudových služeb neuvědomují možná rizika a problémy spojené s ukončením takové smlouvy. Poskytovatelé se často cíleně snaží „uzavřít“ zákazníka do jedné smlouvy bez možnosti jejího bezproblémového ukončení a přechodu ke konkurenci (tzv. „vendor lock-in“). Poté, co totiž zákazník získá představu o celém procesu migrace dat, včetně úskalí, která jsou spojena s nepříliš příznivě nastavenými smluvními podmínkami, si svůj záměr velmi rychle rozmyslí. Většinou je časově i finančně méně nákladné přetrpět určitý diskomfort než podstoupit komplikovaný a rizikový proces migrace.

Samostatná právní úprava oblasti poskytování cloudových služeb neexistuje, a je proto až na výjimky pouze na smluvních stranách, jak si vzájemná práva a povinnosti upraví. Každý, kdo uvažuje o cloudcomputingovém způsobu správy dat, by měl tedy v první řadě věnovat pozornost způsobu, jak svá data získá v případě potřeby zpět, a náročnosti tohoto procesu.

Ukončení smlouvy

Vedle výše uvedeného se u tohoto typu smluv často objevuje možnost poskytovatele cloudových služeb smlouvu jednostranně vypovědět. Není potřeba zdůrazňovat, že vzhledem k tomu, jaké problémy mohou být spojeny s nenadálým zamezením přístupu do datového úložiště, je pro zákazníka mnohdy přijatelnější trvání smlouvy i za méně výhodných podmínek než její náhlé ukončení. V tom lepším případě poskytovatel umožní další trvání smlouvy, v tom druhém může dojít k paralyzování každodenního chodu obchodní činnosti zákazníka a vzniku nikoli bezvýznamné škody.

Pokud k ukončení smlouvy skutečně dojde, bývá nejdůležitější otázka zpětného převzetí dat. Opět je potřeba této oblasti ve smlouvě věnovat náležitou pozornost, neboť náklady za soudní či jiné spory (vzhledem k často přeshraničnímu aspektu ve vztahu poskytovatel–zákazník) mohou být velmi vysoké. Stejně tak i např. sjednání postupu při úpadku poskytovatele ve vztahu k dalšímu nakládání s daty zákazníka nelze než doporučit. Finanční a časová náročnost spojená s vyjednáváním smluvních podmínek bude totiž ve většině případů nesrovnatelně nižší než řešení této otázky až v situaci, kdy je poskytovatel v úpadku nebo došlo k jednostrannému ukončení smlouvy.

Dohoda o úrovni poskytovaných služeb

Je-li dohoda smluvních stran o tom, jaká by měla být úroveň poskytovaných služeb, důležitá v rámci každé servisní smlouvy, pak v kontextu poskytování cloudových služeb hovoříme o její nezbytnosti. Pozornost by měla být věnována především výpočtu dostupnosti služby. Může být velkým rozdílem, zdali je míra dostupnosti služeb stanovena na bázi jednoho výpadku na šest minut nebo deseti výpadků na hodinu. Ve druhém případě může být kumulativní délka nedostupnosti služeb pro zákazníka už překážkou, která by mohla ovlivnit fungování jeho podnikání.

Dalším důležitým bodem může být možnost měření výkonnosti poskytovaných služeb prostřednictvím nezávislé osoby. Takové ujednání umožňuje objektivnější hodnocení kvality a na jeho základě je možné lépe stanovit výši případné kompenzace nebo nastavit podmínky pro další zlepšení. Možnost zásahu třetí osoby do poskytovatelovy infrastruktury ale nebývá ze strany poskytovatelů příliš vítána, a není-li explicitně vyjednána, objevuje se ve smlouvách tohoto typu spíše výjimečně.

V souvislosti s předchozím odstavcem je důležitý také způsob kompenzace pro případ nedostatečné úrovně poskytovaných služeb. Jak je již zmiňováno na začátku tohoto článku, je běžné, že poskytovatel cloudových služeb se svou odpovědnost snaží limitovat v co nejširším rozsahu. Ale i tehdy, sjednají-li si strany v rámci smlouvy smluvní pokutu za nedostatečnou kvalitu poskytovaných služeb z důvodů na straně poskytovatele, jeví se tato náhrada jako dvousečná zbraň. Zákazník se na jednu stranu, je-li to schopen prokázat, domůže určité kompenzace, ale současně s touto kompenzací mu zaniká právo na náhradu jakékoli další škody, která mu vinou nedostatečné úrovně poskytovaných služeb vznikla. Smluvní pokuta je totiž chápána jako paušální náhrada škody, a byť by skutečná škoda sjednanou smluvní pokutu několikanásobně převyšovala, není možné se jí v takovém případě domáhat, jestliže si toto smluvní strany explicitně nesjednají.

Závěrem

Obecně lze uzavřít, že smlouva o poskytování cloudových služeb je relativně standardní typ smlouvy, nicméně vzhledem k absenci rozsáhlejší úpravy v zákoně by si v ideálním případě smluvní strany měly smluvně sjednat vzájemná práva a povinnosti způsobem, který je oboustranně vyhovující a vyvážený. Často však zákazník získá představu o tom, jakým způsobem by tento smluvní vztah měl fungovat, teprve až narazí na první problémy a zjistí, že není schopen rozumným způsobem získat svá data zpět nebo změnit poskytovatele.

Přesunu datové struktury do virtuálního prostoru cloud computingu a uzavření smlouvy, která takový přesun umožní, by měly předcházet zejména následující otázky. Jak budou data chráněna? Jaká bude forma kompenzace v případě, že vznikne škoda? A také, jakým způsobem lze data získat zpět?

Martin Brázdil Autor článku je právníkem advokátní kanceláře PwC Legal. Během své dosavadní praxe získal zkušenosti v předních českých právních kancelářích, kde poskytoval poradenství v rámci vnitrostátních i přeshraničních projektů. Martin se specializuje zejména na oblasti IP/IT, M&A, právo evropské a právo obchodní.