facebook LinkedIN LinkedIN - follow
Cloud computing a virtualizace IT , Cloud a virtualizace IT , IT právo

Vybrané právní aspekty cloudových služeb

Matěj Petrásek


DigilionSmlouva o poskytování cloudových služeb je obchodní smlouva, která se od běžných obchodních smluv liší určitými specifiky. V tomto krátkém článku bych se chtěl těmto specifikům věnovat a nastínit několik základních smluvních ustanovení, která by měl každý zákazník pečlivě zhodnotit před podpisem smlouvy s dodavatelem cloudových služeb. Jsou to: základní práva a povinnosti, ochrana dat zákazníka s důrazem na osobní údaje, omezení náhrady škody a tzv. Service Level Agreement.


Základním právům a povinnostem se při revizi smlouvy často nepřikládá přílišná váha. Přesto z těchto ustanovení mohou vznikat mnohé konflikty mezi zákazníkem a dodavatelem. Zákazník by v první řadě měl požadovat ve smlouvě od dodavatele jasný závazek, jaké služby dodavatel poskytne a s jakými vlastnostmi. V tomto směru lze dále doporučit též sjednání garance ze strany dodavatele, že veškeré nové verze dodávaného produktu významným způsobem nesníží funkčnost produktu, kterou měl produkt při začátku zákazníkova předplatného.

Mezi nejčastější povinnosti zákazníka pak často patří zajištění souladu jeho užití služeb s rozsáhlými přílohami smlouvy, které mohou být přiloženy i formou hypertextového odkazu. Současně je ze strany zákazníka nezbytné se podrobně seznámit s veškerými případnými omezeními užití cloudových služeb. Zákazník může takto zjistit, že účel, ke kterému zamýšlel cloudovou službu použít, je ve skutečnosti ve smlouvě zakázán. V případě nejasností je vhodné ve smlouvě výslovně upřesnit, že dané užití je povoleno.

Ochrana dat je již delší dobu v zahraničí tématem číslo jedna. V Česku se o této problematice začíná hovořit zejména v souvislosti s účinností nového Obecného nařízení o ochraně osobních údajů (GDPR), která nastane v květnu 2018. Obecně lze říci, že díky tlaku amerického a především západoevropského trhu jsou mezinárodní dodavatelé cloudových služeb v ochraně dat na velmi vysoké úrovni. Přesto se nevyplatí při ochraně dat bezvýhradně spoléhat na zvučné jméno dodavatele a je potřeba ve smlouvě konkrétní práva a povinnosti mezi zákazníkem a dodavatelem osobních údajů vymezit. V čl. 28 GDPR jsou uvedena ustanovení, která by ve smlouvě s dodavatelem neměla chybět.

Dobře ve smlouvě nastavené omezení náhrady škody může být klíčovým nástrojem ochrany zákazníka. Výše omezení náhrady škody zpravidla odpovídá výši poplatku uhrazeného zákazníkem za poskytované služby za dobu 3 až 12 měsíců. V případě smluv s vyšším objemem poskytovaných cloudových služeb bývá často možné vyjednat s dodavatelem i vyšší limity náhrady škody.

Klíčovou je však u omezení náhrady škody otázka vyloučení určitých kategorií škod. Oborovým standardem je vyloučení nepřímých škod, a především ušlého zisku. Často však bývají tato ustanovení v cloudových smlouvách daleko komplexnější a zahrnují též značné množství výjimek. Je proto vhodné se zamyslet zejména nad tím, které škody zákazník považuje za relevantní, a tyto naopak výslovně zařadit do náhrady škody. Příkladem mohou být pokuty od regulátora, které by dle mého názoru do náhrady škody zahrnuty být měly.

Posledním smluvním ustanovením je tzv. Service Level Agreement. Jedná se o přílohu smlouvy, ve které se dodavatel zavazuje poskytnout určitou úroveň kvality služeb. V praxi jde nejčastěji o závazek dostupnosti služeb měřený hodnotou v procentech, např. 99 %. Do této doby se obvykle nezapočítávají např. události mimo kontrolu dodavatele či pravidelná údržba. Zde doporučuji pečlivě zvážit, jak kritická cloudová aplikace pro zákazníka bude a jaký na něj mohou mít případné odstávky dopad. Podle toho je vhodné si spočítat, na jakou dobu může dodavatel službu odstavit, a přesto stále splňovat závazek dostupnosti. Součástí tohoto zhodnocení bude i pokuta za nedodržení závazku.

Jak je patrné z tohoto krátkého výčtu, je smlouva o poskytování cloudových služeb velmi specifická a vyžaduje podrobnou znalost cloudových služeb. Ve většině případů lze doporučit pro její vyjednání služeb odborníka znalého právních i technických aspektů cloudu.

Matěj Petrásek (DigiLion s.r.o.) Matěj Petrásek (DigiLion s.r.o.)
Autor článku je IT právník věnující se dlouhodobě vyjednávání smluv a poradenství v oblasti ochrany osobních údajů. Pracoval několik let v Londýně jako komerční právník pro společnost Salesforce, globálního lídra v oblasti SaaS cloudu. Má jak právní, tak technologické vzdělání a rád kombinuje ve své práci oba tyto obory. www.digilion.cz.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.