Migrace představuje první fázi v rámci přechodu na cloudové řešení poskytování softwarových služeb a nelze ji v žádném případě podceňovat. Jakákoliv ztráta dat by byla pro uživatele velmi problematická a stejně tak i prodlení s přenosem dat v návaznosti na „spuštění“ cloudu může způsobit nemalé problémy. Přechod se mnohdy realizuje mezi třemi osobami, a to uživatelem, IT firmou realizující migraci a poskytovatelem softwarových služeb, který provozuje i datová centra, kam data budou směrována. Některé IT firmy však mají vlastní datová centra a vztah se pak odehrává v podobě dvoustranné smlouvy a její realizace.
Uživatel by měl samozřejmě migraci ošetřit písemnou smlouvou, která bude obsahovat ty nejzákladnější ustanovení garantující hladký průběh migrace. K těm zásadním náležitostem migrační smlouvy patří následující oblasti:

Zálohování dat

Dřív než dojde k samotnému přesunu dat, je třeba provést zálohu migrovaných dat na datové nosiče, tak aby v případě nutnosti bylo možné data v určité podobě obnovit. I v rámci těchto záloh, které jsou samostatnou migrací, je vhodné určit, která data se budou zálohovat na jaký nosič, kdo je fyzicky bude zálohovat a kdo nese odpovědnost za vady procesu zálohování. Porušení povinností či ztráta dat v jejich důsledku by měla být doplněna sankcemi formou smluvních pokut. Ukončení zálohování by pak mělo být zachyceno protokolárně s tím, že teprve v návaznosti na ukončení procesu záloh může započít vlastní migrace dat do cloudového prostředí.
V praxi jsme se setkali s problémem ztráty dat během migrace, kdy bylo nutné realizovat jejich obnovu ze záložních zdrojů. Všechny tyto úkony však nesly posunutí termínů jednotlivých etap přechodu na cloud. Proto by ve smlouvě neměla chybět odpovědnost a povinnost součinnosti v rámci takové obnovy dat, včetně dopadů na posunutí termínů.

Plán migrace

Každá migrace vyžaduje harmonogram konkrétních činností, které budou provedeny v určité časové posloupnosti. Plán migrace vychází z analýzy IT prostředí zákazníka (uživatele) a zahrnuje postup zálohování, spuštění přenosu dat, testování dostupnosti migrovaných dat z cloudového prostředí v prostředí uživatele. Jednotlivé fáze migrace je třeba fixovat určitými termíny, a to konkrétními daty nebo například počtem dnů navazujících na ukončení každé předchozí fáze migrace.
Vzhledem k tomu, že plán migrace vypracovávají všechny zainteresované subjekty, pak je třeba vyvinout maximální úsilí na dostatečné konkrétnosti takového plánu. Z praktického hlediska je vhodné uskutečnit koordinační schůzky klíčových osob pro vyjasnění migračního postupu. Tento plán migrace pak musí z právního hlediska korespondovat s textem smlouvy, což bývá často nedostatek smluvní dokumentace.

Definice stávajícího a cílového migračního prostředí

Definice „odkud kam“ je podstatná z pohledu obou smluvních stran migrační smlouvy. Uživatel tak musí umožnit přístup IT firmě realizující migraci k datovému centru (resp. vlastním serverům), kde má uložena svá data, tzn. datové centrum dostatečně identifikovat. IT firma zase musí specifikovat místo, kde data budou uložena (tj. kde se nachází datové centrum poskytovatele softwarových služeb), což je nejčastější požadavek na informaci ze strany uživatele.

Předmět migrace

Předmětem migrace jsou pak samotné závazky smluvních stran, tj. závazek IT firmy provést migraci dle migračního plánu na straně jedné a závazek uživatele poskytnout v rámci migrace součinnost a uhradit cenu migrace na straně druhé.
Z vlastní zkušenosti můžeme doporučit, že cenu jednotlivých migračních prací je třeba definovat naprosto konkrétně a z pohledu zákazníka zajistit dostatečnou kontrolu nad jakýmikoliv vícepracemi. Z praxe je známo, že po ukončení migrace se mnohdy v ceně za migraci vyskytnou položky, s nimiž zákazník nepočítal a které tvoří nemalou součást ceny.

Testování a migrační protokol

Výsledkem celé migrace dat je pak logicky podpis migračního protokolu, který by měl potvrdit bezvadnost transferu dat a jejich dostupnost uživateli z datového centra poskytovatele cloud computingu. Tomuto podpisu musí předcházet testování dostupnosti dat a také odezvy. Je nepochybné, že odezva dostupnosti bude závislá na rychlosti datového (internetového) spojení, což by mělo být zmíněno migrační smlouvou a promítnuto do akceptačních kritérií, jestliže jsou definována.

Součinnost, projektové a změnové řízení

Naprosto klíčovou povinností obou smluvních stran v procesu migrace je pak součinnost. Každá fáze migrace vyžaduje maximální odpovědnost klíčových osob. Uživatel musí být zavázán umožnit IT firmě jak fyzický, tak vzdálený přístup k migrovaným datům. IT firma musí zase součinnost poskytnout zejména při testování dostupnosti dat. V celé fázi migrace by IT firma měla postupovat tak, aby omezila provoz uživatele v co nejmenším rozsahu. Veškerá tato součinnost navazuje na projektové řízení zahrnující jmenování odpovědných osob za migraci na každé straně, konání projektových schůzek atd. Na project management by mělo navazovat změnové řízení (change management), pokud se v průběhu některé fáze migrace dospěje k poznatku, že migraci je nutné s ohledem na nové skutečnosti či potřeby uživatele provést v jiném rozsahu nebo jiným způsobem, než stanoví smlouva. Opomenout nelze v tomto změnovém řízení ani dopady na cenu, a zejména termíny sjednané v plánu migrace.
Jak jsme se již v praxi přesvědčili, je definice součinnosti naprosto klíčová jak u menších projektů, tak u migrace softwaru a dat velké firmy se stovkami uživatelů. U velké firmy lze doporučit vytvoření projektového týmu s přesně formulovanou odpovědností za konkrétní procesy migrace.

Bezpečnost migrace, mlčenlivost a ochrana osobních údajů

Vzhledem k tomu, že migrovaná data mohou být z pohledu uživatele naprosto klíčová, pak je nutné bezpečnosti migrace rovněž věnovat zvýšenou pozornost. Ta by se měla projevit jednak v zabezpečeném (např. šifrovaném) přenosu dat a jednak ve formě mlčenlivost všech osob podílejících se na migraci. Bezpečnost je vhodné upravit i ve vztahu k cílovému úložišti dat, které by mělo být zabezpečeno jak proti internetovému průniku třetích osob, tak proti vniknutí či živelným událostem (záplavy, požáry apod.).
Porušení mlčenlivosti ze strany IT firmy a jejích zaměstnanců musí být podřízeno přísné sankci v podobě smluvní pokuty a odpovědnosti za škodu. Zcela samostatnou a specifickou problematiku z pohledu ochrany dat představuje problematika ochrany osobních údajů v prostředí cloud computingu. Vzhledem k tomu, že se jedná o téma dosti rozsáhlé a zajímavé, bude jí věnována pozornost v některém z příštích článků.

Odpovědnost za škodu a sankce

Definice odpovědnosti za škodu v důsledku porušení povinností každé ze smluvních stran již bývá standardní úpravou smluv. Nicméně je zvykem vždy se dohadovat o míře tzv. limitace náhrady škody. Tato limitace se pak projevuje ve vyloučení odpovědnosti za ušlý zisk nebo stanovením maximální částky, do jejíž výše IT firma odpovídá za škodu. Sankce v podobě smluvních pokut by pak měly postihovat porušení klíčových povinností sjednaných ve smlouvě, například nedodržení harmonogramu, prodlení s úhradou ceny apod.
Pokud již dojde v daném případě k porušení povinností, které způsobí vznik škody například v podobě pozdního přechodu na cloud, pak doporučujeme zákazníkovi okamžitě monitorovat vznikající škodu, ať už skutečnou, nebo v podobě ušlého zisku. Na druhé straně v případě porušení povinností součinnosti zákazníkem, lze IT firmě doporučit okamžitou písemnou urgenci splnění této povinnosti, tak aby se předešlo později jakýmkoliv sporům.

Závěr

Z vlastní zkušenosti víme, jak náročné je po právní stránce zajistit celý proces migrace u větších projektů v rámci přechodu na cloud computing. Proto nelze než doporučit věnovat zvýšenou pozornost smluvní úpravě i v této první fázi. Pro uživatele je totiž zcela zásadní ochrana dat, která jsou zpřístupněna i během migrace zaměstnancům IT firem, a naopak pro IT firmu zase odpovědnosti za ztrátu dat při migraci a definice součinnosti, tak aby migrace proběhla bez jakýchkoliv obtíží.

Lukáš Jansa
Autor působí jako advokát v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři, kde se zabývá zejména softwarovým a internetovým právem.