Dodávka SaaS řešení je v prvé řadě stále dodávkou softwaru, proto pro příslušné smlouvy platí v zásadě stejná doporučení jako pro dodávky standardní on-premise dodávky. Je potřeba věnovat dostatečnou pozornost vymezení předmětu a účelu smlouvy, aby bylo i v případě sporu jasné, co je předmětem plnění a s jakými cíli smluvní strany dodávku realizují. Významnou částí obsahu smlouvy budou dodací a platební milníky, aby nebylo pochyb, kdy má dodavatel co dodat a kdy má zákazník co zaplatit. Je vhodné myslet také na nastavení smluvních sankcí, odpovědnosti za škodu a jejím limitacím. U složitějších dodávek je namístě upravit projektové řízení. Ve větším detailu jsme se IT smlouvám z pohledu dodavatele obecně věnovali v jednom z minulých článků.

Mezi zásadní odlišnosti mezi dodávkou SaaS a on-prem řešení patří licenční ujednání, resp. podmínky užívání softwaru, platební podmín­ky, a zejm. dohoda o úrovni služeb (Service-level Agreement – SLA).

Licence a podmínky užití

Otázka licencování SaaS má spíše teoreticko-právní charakter přesahující předmět tohoto textu. Pro dodavatele je podstatné, že i v odborných kruzích se liší názory na to, zda používání SaaS je užíváním díla v autorskoprávním smyslu, tedy zda je k němu nezbytná licence. Je tomu tak proto, že legislativa nestanoví přesně, jaké nakládání s autorským dílem je užitím, což dává prostor pro odlišné interpretace. Časté je, že podmínky užití SaaS řešení nějakou formu licence obsahují, i když podle nás není nezbytná.

Model SaaS se využívá často v případě, kdy dodavatel vyvinul řešení, které provozuje na své (či třeba pronajaté) infrastruktuře a poskytuje většímu počtu zákazníků. V takovém případě je efektivní, aby dodavatel vypracoval podmínky užití či podobný dokument, který vymezí práva a povinnosti zákazníků při používání softwarového řešení jednotně. Vztahy dodavatele se zákazníky jsou pak nastaveny jednotně, což dodavateli šetří čas a prostředky, které by jinak vynaložil na individuální sjednávání a správu podmínek pro různé zákazníky. Také obchodním podmínkám jsme věnovali jeden z minulých článků v IT Systems.

Platební model

Platební podmínky jsou u SaaS zpravidla odlišné od on-prem řešení, což je dáno typově jiným způsobem provozu řešení. Dodavatel SaaS zajišťuje nejen samotný software, ale také infrastrukturu, na které software běží, což s sebou nese náklady, které je nezbytné přenést na zákazníka. Tento model však také umožňuje flexibilitu v množství prostředků, které v daný okamžik software využívá – jinými slovy lze škálovat výkon řešení či třeba počet uživatelů podle aktuálních, v čase se měnících potřeb. Tyto parametry by se pak měly promítnout do ceny řešení.

Z uvedených důvodů je obvyklé, že SaaS řešení se poskytuje v subskripčním modelu, tedy za pravidelnou platbu za každý měsíc, rok apod. Ve smlouvě či podmínkách je důležité upravit především způsob výše subskripce, protože mnohdy nepůjde o fixní částku. Cena se pak může lišit podle parametrů, jako jsou počet souběžných či unikátních uživatelů, výpočetní prostředky, úložný prostor, provozní doba řešení, resp. service desku, zaručená míra dostupnosti řešení nebo doby reakcí na hlášení incidentů a jejich odstranění.

Uvedený specifický platební model je pro zákazníka zajímavý tím, že reflektuje kvalitu a kvantitu služeb, jaké zákazník odebírá. Dodavatel si však musí být jistý, že nastavení sjednané ve smlouvě umí fakticky dodat s ohledem na infrastrukturu, kterou má k dispozici.

SLA

Patrně nejvýznamnější částí smluv na poskytování SaaS řešení je dohoda o úrovni služby – Service Level Agreement, neboli SLA. Jde o soubor ujednání, která zásadně ovlivňují poskytování služeb a práva a povinnosti obou smluvních stran.

Mezi základní ujednání v SLA patří jasné nastavení, v jakých časových oknech jsou poskytovány jaké služby, a tedy kdy se počítají které lhůty. Ne vždy zákazník potřebuje nepřetržitý (24/7), tedy i nákladnější provoz řešení. Často postačí provoz v běžnou pracovní dobu ve všední dny, provozní dobu je však třeba přesně vymezit. To neznamená, že mimo dané časy řešení nebude fungovat, jen zákazník nebude očekávat reakce na incidenty či jejich řešení a výpadky mimo provozní dobu se nebudou počítat do sjednané míry dostupnosti řešení.

Právě dostupnost je častým parametrem SLA, sjednávaným v procentu vyjadřujícím poměr požadované a reálné dostupnosti řešení za určitou jednotku času, např. měsíc. Vyšší míra dostupnosti je nákladnější, a proto zákazníci mnohdy volí určitou kompromisní hodnotu. Z praxe lze konstatovat, že 99% dostupnost je vcelku standardní, zatímco míra na další desetinná místa (99,9 % apod.) již vyjadřuje vysokou dostupnost. S dostupností souvisí i sjednání pravidelných odstávek pro údržbu systému – je vhodné nastavit četnost a termíny, případně způsob jejich určení.

Časté je také sjednání termínů pro řešení výpadků a jiných incidentů. V takovém ujednání je potřeba určit mechanismus hlášení incidentů, tedy zpravidla definovat určitý servis desk a jeho provozní dobu. Stejně tak je důležité určit, jaké incidenty vyřeší sám zákazník a jaké bude eskalovat na dodavatele, a dále kdo a podle jakého klíče bude incidenty klasifikovat. Následně by měly být jasně stanoveny doby reakce na incident (potvrzení přijetí hlášení a zda postačuje automatizované), případně doby vyřešení incidentu (odstranění vady a zda postačuje implementace náhradního řešení, workaroundu). Tyto doby budou zpravidla odlišné pro různé kategorie incidentů, podle závažnosti. Sjednání doby řešení je méně obvyklé a zpravidla pro zákazníky dražší, protože dodavatel na sebe závazkem na čas řešení přebírá větší riziko.

Součástí podmínek poskytování SaaS řešení mohou být další služby související s SLA. Patří mezi ně služby jako řešení uživatelských požadavků (např. drobných změn konfigurace produktu), konzultační činnosti či povinnosti související se zajištěním kybernetické bezpečnosti aj.

Další ujednání

Významným tématem pro smluvní úpravu dodávky SaaS řešení jsou zákaznická data, jejich ukládání a zabezpečení a další nakládání s nimi. Pro zákazníky je velmi důležitá ochrana dat a kontrola nad nimi, byť jsou tato uložena někde ve vzdálené infrastruktuře dodavatele. Je vhodné, aby podmínky SaaS nebo smlouva se zákazníkem jasně určily zákazníkovy požadavky na uložení a zabezpečení dat, vč. např. jejich zálohování, je-li požadováno. Dodavatel by měl vědět, zda zákaznická data mohou obsahovat osobní údaje ve smyslu GDPR – v takovém případě bude nezbytné uzavření příslušné smlouvy o zpracování osobních údajů.

Zákaznická data by měla vždy být předmětem práv zákazníka a ten by měl mít možnost si je kdykoli vyžádat zpět nebo je například odstranit z infrastruktury dodavatele či toto odstranění požadovat. V případě, že poskytováním služeb vzniknout data nová, měl by být stanoven jejich formát, alespoň pro případný export na žádost zákazníka či v rámci ukončení poskytování služeb.

Zásadní otázkou jsou také sankce, které se obvykle počítají jako určitá sleva z ceny subskripce v případě porušení některého z parametrů SLA či jiné smluvní povinnosti. To však nevylučuje ani sankce stanovené pevnou částkou, ať už jednorázovou, nebo za jednotku času trvajícího nevyhovujícího stavu (např. prodlení s vyřešením incidentu). S nastavením smluvních sankcí souvisí jejich limitace, která bývá obvykle vyjádřena poměrnou částí ceny subskripce a podle síly postavení dodavatele a zákazníka se lze na trhu setkat s velkým rozpětí limitací.

V neposlední řadě poskytování cloudových služeb je specifické, pokud je zákazníkem orgán veřejné správy. V takovém případě je možné, že služba bude souviset s provozem informačního systému veřejné správy a dodavatel i zákazník budou vázáni dalšími povinnostmi, zejména podle zákona o informačních systémech veřejné správy. Jde o povinnosti související s povinností zápisu dodavatele a příslušných služeb do katalogu cloud computingu, což je samostatné a velmi obsáhlé téma.

Mgr. et Mgr. Ing. Jan Tomíšek, CIPP/E Autor článku je advokátem a partnerem ROWAN LEGAL. Věnuje se softwarovému právu, elektronickému podepisování a identifikaci, kybernetické bezpečnosti, ochraně osobních údajů a ochraně spotřebitele.

Mgr. David Sláma Autor článku je advokát v advokátní kanceláři ROWAN LEGAL. Věnuje se oblasti práva ICT, duševního vlastnictví či ochrany osobních údajů, a to s přesahem do veřejného sektoru.