Korzyści dla firmy z korzystania z chmury

Technologia ta wykorzystując outsourcing bazy danych rozwiązuje problemy z wydajnością systemu informatycznego, które pojawiają się wraz z rozwojem firmy. Znika wówczas konieczność zakupu nowych, większych serwerów i budowania dużych serwerowni. Chmura naturalnie rozszerza się w miarę potrzeb firmy. Usprawnia się tym samym komunikacja między firmami, pojawiają się oszczędności choćby w związkiem z tym, że firma nie buduje swojej sieci IT. Cloud computing w tłumaczeniu na polski to chmura obliczeniowa, czyli technologia IT służąca do przetwarzania i przechowywania danych. W nieco szerszym ujęciu, to model przetwarzania umożliwiający dogodny, realizowany na żądanie dostęp do współdzielonej puli konfigurowalnych zasobów informatycznych (np. sieci, serwerów, pamięci, aplikacji i usługi), które mogą zostać natychmiast zaalokowane i udostępnione poprzez dostęp sieciowy z minimalnym wysiłkiem zarządzania oraz na minimalnym poziomie interwencji członków personelu usługodawcy chmurowego.

Do podstawowych cech tej bardzo już dość powszechnej technologii należą: samoobsługowość, dostęp przez sieć, współdzielenie wykorzystywanych zasobów, alokowanie zasobów, mierzalność usług, różnorodność modeli świadczenia usług.

Dla prawnika chmura obliczeniowa to sposób świadczenia usług za pośrednictwem Internetu.

Cloud computing i zarządzanie firmą

Z rozwiązań chmurowych korzystają m.in. sklepy internetowe, platformy e-learningowe, wyszukiwarki, platformy społecznościowe, platformy hostingowe, platformy SaaS.

Istnieje wiele klasyfikacji chmur, ale z punktu widzenia biznesowego istotny jest następujący podział:

- prywatne (private cloud), będące częścią organizacji, aczkolwiek jednocześnie autonomicznym dostawcą usługi;

- publiczne (public cloud), będące zewnętrznym, ogólnie dostępnym dostawcą (np. Amazon Web Services, Google Cloud Platform, Microsoft Azure, itp.);

- wspólnotowe (community cloud), infrastruktura chmury jest wdrożona do wyłącznego użytku przez określoną wspólnotę użytkowników z organizacji, które łączą wspólne obszary zainteresowań (misja, wymagania związane z bezpieczenstwem itd.);

- hybrydowe (hybrid), będące połączeniem zasad funkcjonowania chmury prywatnej i publicznej. Pewna część aplikacji i infrastruktury danego klienta pracuje w chmurze prywatnej, a część jest umiejscowiona w przestrzeni chmury publicznej.

Nie ma żadnego aktu prawnego, który regulowałby całościowo zagadnienie chmury obliczeniowej. Stanowi ona rodzaj umowy o świadczenie usług, uregulowanej przede wszystkim w Kodeksie cywilnym, do której zastosowanie mają też regulacje prawa autorskiego, przepisy ustawy o świadczeniu usług drogą elektroniczną, ustawy o zwalczaniu nieuczciwej konkurencji, ustawy o ochronie danych osobowych, rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego oraz o ochronie informacji niejawnych i inne.

Duży wpływ dla omawianej materii będzie mieć wejście w życie „RODO", zwane także „GDPR" lub „Ogólnym Rozporządzeniem o Ochronie Danych". To Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Są poważne ryzyka

Z wykorzystaniem rozwiązań chmurowych wiąże się szereg istotnych ryzyk. Do najważniejszych z nich należy zaliczyć kwestie dotyczące:

- danych osobowych – co wynika w dużej mierze ze znaczących zmian prawnych w tym obszarze,

- informacji niejawnych – ustawa o ochronie informacji niejawnych przewiduje specjalne warunki przetwarzania informacji niejawnych we wszelkiego rodzaju systemach teleinformatycznych,

- kontraktowania w obszarze usług chmurowych – gdzie stosowane są umowy adhezyjne (tzn. nienegocjowalne lub negocjowalne w niewielkim zakresie), referujące do zewnętrznych wzorców (regulaminów) umownych, których treść jest dosyć swobodnie modyfikowana przez dostawców chmurowych,

- vendor lock-in – tj. uzależnienia od dostawcy, które może wynikać przede wszystkim z postanowień dotyczących wynagrodzenia oraz z braku planu rezygnacji z danych usług chmurowych

- integracji z innymi zasobami IT usługobiorcy.

Ochrona danych osobowych

Usługodawca świadczy usługi chmurowe, a usługobiorca powierza mu dane do przetwarzania, w tym dane osobowe osób przebywających w UE, zatem pełni w świetle zarówno UODO, jak i RODO rolę podmiotu przetwarzającego dane.

RODO przewiduje w szczególności konieczność zawarcia między stronami umowy o powierzenie przetwarzania danych osobowych, która powinna wskazywać zwłaszcza przedmiot i czas przetwarzania danych, ich rodzaj, charakter, a także cel przetwarzania. Przewiduje także zastosowanie przez dostawcę chmury odpowiednich środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danym osobowym (czego obowiązek powinna uwzględniać umowa z dostawcą). Kolejnym obowiązkiem jest zaakceptowanie przez administratora danych (usługobiorcę) wykorzystywania przez dostawcę podwykonawców oraz, jeśli mają oni świadczyć usługi, nałożenia na nich takich samych obowiązków w zakresie przetwarzania danych osobowych, jakie ciążą na dostawcy. Innym jest też obowiązek usunięcia lub zwrotu danych osobowych po zakończeniu świadczenia usług oraz umożliwienia administratorowi (usługobiorcy) otrzymywania informacji od dostawcy o zakresie ochrony danych oraz przeprowadzania audytu. RODO wymaga wreszcie spełnienia szczególnych warunków w sytuacji transferu danych osobowych za granicę, do kraju innego niż należący do EOG lub Konfederacji Szwajcarskiej.

Generalnie, RODO nie wprowadza nowych instytucji dotyczących konkretnie rozwiązań chmurowych, ale dostawcy usług chmurowych zmuszeni są do wypełniania szeregu obowiązków, które do tej pory dotyczyły głównie administratorów. Nieprzestrzeganie tych obowiązków może wiązać się z sankcjami, w tym w szczególności dotkliwą karą finansową, której wysokość sięgać może do 20 milionów euro lub 4 proc. całkowitego, globalnego obrotu osiągniętego przez organizację w poprzednim roku obrotowym.

W związku z tym, że zgodnie z przepisami RODO umowa powierzenia przetwarzania powinna określać zarówno zakres obowiązków administratora, jak i podmiotu przetwarzającego dane w jego imieniu, usługobiorca ma możliwość dokładnego wytyczenia granicy odpowiedzialności za przetwarzanie danych osobowych między nim a usługodawcą chmury, co może znacząco obniżyć ponoszone przez administratora ryzyko, związane z potencjalnym naruszeniem bezpieczeństwa tych danych, i tym samym skutkować wyłączeniem lub ograniczeniem zakresu sankcji z nim związanych.

Poufność

Ustawa o ochronie informacji niejawnych przewiduje specjalne warunki przetwarzania informacji niejawnych we wszelkiego rodzaju systemach teleinformatycznych. W ich wyniku przetwarzanie informacji niejawnych w chmurze publicznej może okazać się w praktyce niemożliwe. Ale nie musi to dotyczyć chmury prywatnej, nad której fizyczną infrastrukturą usługobiorca może mieć pełną kontrolę. Z kolei analiza w stosunku do chmury wspólnotowej lub hybrydowej musiałaby być przeprowadzona odrębnie dla każdego przypadku, w zależności od jej właściwości.

Kluczowe znaczenie mają przepisy ustawy o zwalczaniu nieuczciwej konkurencji, w szczególności art. 11 ust. 1, definiujący czyn nieuczciwej konkurencji, którym jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej. Przepisy ustawy o zwalczaniu nieuczciwej konkurencji, w tym jej art. 11, stosuje się wyłącznie do przedsiębiorców w rozumieniu art. 2 u.z.n.k., czyli do osób fizycznych, osób prawnych oraz jednostek organizacyjnych niemających osobowości prawnej, które prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową, uczestniczą w działalności gospodarczej.

Z uwagi na ten fakt szczególnego znaczenia nabiera porozumienie o zachowaniu poufności (Non-Disclosure Agreement, NDA), które należy zawrzeć w ramach umowy o świadczenie usług chmurowych. Jego brak lub niepełność może prowadzić do znaczących strat. Trzeba pamiętać, że udostępniając swoje poufne informacje do chmury, usługobiorca nie będzie miał nad nią kontroli, ani najpewniej nawet wiedzy o jej strukturze, zasadach działania, zasadach dostępu do niej i lokalizacji jej infrastruktury.

Kontraktowanie

Kontrakty na usługi w chmurze obliczeniowej bywają złożone i wieloaspektowe. Poza ogólnymi postanowieniami, muszą się w nich znaleźć takie, które odnoszą się do zachowania odpowiedniego poziomu bezpieczeństwa, obowiązków w zakresie przetwarzania danych, kwestii związanych z prawami autorskimi do oprogramowania, czy klauzule dotyczące wyboru sądu i prawa właściwego dla zobowiązania. Dobrze przygotowana umowa musi zawierać wszystkie te elementy, aby zapewnić podstawowe gwarancje dla obu stron.

Poza ogólnymi przepisami dotyczącymi stosunków cywilnoprawnych, w Kodeksie cywilnym został przewidziany przepis dotyczący umów o świadczenie usług, które nie są uregulowane innymi przepisami, czyli art. 750 k.c. Zgodnie z nim należy stosować odpowiednio do takich umów przepisy o zleceniu (art. 734 i n. k.c.). Umowy takie określa się mianem umów podobnych do zlecenia. Przepis art. 750 k.c. jest dość lakoniczny w związku z czym jego interpretacja budzi problemy. Wskazane w nim „odpowiednie stosowanie" oznacza, że zależnie od treści konkretnej umowy niektóre przepisy o zleceniu będą stosowane wprost, inne z pewnymi modyfikacjami, a jeszcze inne w ogóle nie znajdą zastosowania.

Vendor lock-in

Jest to sytuacja, gdy niemożliwe jest przeniesienie aplikacji do innego dostawcy (sprzedawcy), gdyż postanowienia umowy pierwotnej w istotny sposób taką możliwość ograniczają. Klient nie będzie mógł zatem dokonać prostego transferu danych, które umieścił w aplikacji lub będzie mógł to uczynić, ale po uiszczeniu dodatkowej opłaty.