Rzeczpospolita
Publicystyka

Odpowiedzialność dostawcy usług w chmurze obliczeniowej

Czy dostawca usług w chmurze obliczeniowej ponosi prawną odpowiedzialność za ewentualne awarie - zastanawia się prawniczka

Publikacja: 29.08.2012 19:28

Natalia Zawadzka

Natalia Zawadzka

Foto: archiwum prywatne

Natalia Zawadzka

4 czerwca 2012 roku doszło do awarii w jednej z największych polskich serwerowni, na skutek której nastąpiło uszkodzenie macierzy dyskowych. Konsekwencją zdarzenia może być uszkodzenie, a nawet nieodwracalna utrata danych przechowywanych przez klientów serwisu „w chmurze". Tymczasem chmura obliczeniowa to dziś jeden z najważniejszych trendów w rozwoju technologii informatycznych na świecie, coraz bardziej rozpowszechniony także wśród polskich przedsiębiorców. Nasuwa się więc pytanie o odpowiedzialność prawną dostawcy usługi za straty poniesione przez usługobiorców.

Zapewnienie prywatności i bezpieczeństwa danych przetwarzanych w chmurze jest podstawowym aspektem prawnym związanym z tą technologią. Usługobiorca w pewnej części rezygnuje z bezpośredniej kontroli nad swoimi zasobami IT, często kluczowymi dla prowadzonej działalności. Dlatego niezwykle ważne jest odpowiednie uregulowanie zasad odpowiedzialności dostawcy chmury. Relacje między dostawcami chmury a usługobiorcami są zasadniczo ustalane w regulaminie świadczenia usług, rzadziej – doprecyzowywane w indywidualnie zawieranych umowach.

Dobrze skonstruowana umowa

Umowa lub regulamin, poza poziomem świadczonych usług (IaaS, PaaS, SaaS), przede wszystkim powinny określać gwarantowany poziom dostępności danych i odpowiedzialność w przypadku utraty lub uszkodzenia danych; poziom izolacji danych; warunki elastyczności dostępnych i wykorzystywanych zasobów oraz cennik opłat w zależności od poziomu wykorzystania; prawo lub obowiązek dostawcy ujawniania informacji osobom trzecim, np. organom sądowym; dokładną tożsamość podmiotów faktycznie świadczących usługi; możliwości rozwiązania umowy i zakres pomocy oferowanej przez dostawcę w okresie przejściowym; prawo właściwe i właściwość sądów (krajowe lub międzynarodowe), którym podlega umowa, zwłaszcza w przypadku sporu. W idealnej z punktu widzenia usługobiorcy sytuacji taka umowa powinna uwzględniać postanowienia, które jednocześnie zwiększałyby odpowiedzialność dostawcy chmury i zabezpieczały interes usługobiorcy.

Wskazane byłoby uwzględnienie w umowie także postanowienia zobowiązującego dostawcę do przeprowadzania regularnych kontroli bezpieczeństwa, w ramach których badana byłaby zgodność stosowanych przez usługodawcę zabezpieczeń z niezależnymi standardami, a także nałożenie na dostawcę obowiązku powiadamiania o naruszeniu zasad bezpieczeństwa. Warto również rozważyć nałożenie na dostawcę kary umownej w przypadku utraty danych, co w istotny sposób ułatwia dochodzenie ewentualnych roszczeń z tego tytułu.

Faktem jednak jest, że umowy o usługi cloud computing rzadko podlegają negocjacjom – większość dostawców wymaga od potencjalnych klientów podpisania standardowego formularza, w którym nierzadko odpowiedzialność usługodawcy zostaje całkowicie lub w przeważającej części wyłączona.

Dopuszczalne wyłączenia odpowiedzialności

W sytuacji, gdy usługobiorcą jest konsument, klauzula wyłączająca lub istotnie ograniczająca odpowiedzialność za niewykonanie lub nienależyte wykonanie zobowiązania (a więc za utratę danych, które usługobiorca miał obowiązek przechowywać), zgodnie z art. 3853 pkt 2 k.c. będzie uznana za niedozwolone postanowienie umowne. Jednak w przypadku, gdy obie strony są przedsiębiorcami, takie wyłączenie zasadniczo jest dozwolone – za nieważne uznaje się jedynie wyłączenia odpowiedzialności za szkodę, którą usługodawca (a także jego pracownik, podwykonawca lub przedstawiciel) wyrządzi umyślnie. Oznacza to, że dostawca ponosi odpowiedzialność wtedy, gdy ma zamiar wyrządzenia usługobiorcy szkody, a więc gdy chce, aby taka szkoda powstała, albo przewidując, że ona wystąpi, godzi się na to. Nie ma natomiast przeciwwskazań, aby w umowie czy regulaminie wyłączono odpowiedzialność dostawcy w związku z działaniem nieumyślnym, choćby w postaci rażącego niedbalstwa, co usługodawcy skwapliwie wykorzystują. W takim przypadku usługobiorca nie może liczyć na odszkodowanie od dostawcy, nawet jeśli utrata czy uszkodzenie danych są dla niego niezwykle dotkliwe, a zachowanie dostawcy wyjątkowo lekkomyślne.

Zasady ogólne Jeżeli odpowiedzialności dostawcy nie określono w umowie lub określono w sposób niedopuszczalny, zastosowanie znajdą podstawowe przepisy kodeksu cywilnego. Dostawca będzie zobowiązany naprawić szkodę – pokryć straty, które poniósł usługobiorca, oraz korzyści, które usługobiorca mógłby osiągnąć, gdyby nie wyrządzono mu szkody – np. zyski możliwe do uzyskania, gdyby nie wystąpiła utrata danych. Należy jednak zwrócić uwagę, że zgodnie z przepisami kodeksu cywilnego od zobowiązanego (dostawcy) wymaga się jedynie należytej staranności. Oznacza to, że jeżeli dostawca realizuje podstawowe standardy bezpieczeństwa, nie poniesie odpowiedzialności np. z tytułu nieprzewidywalnej awarii zasilania.

Chmury zagraniczne

Dochodzenie odszkodowania w związku z utratą danych jest dodatkowo skomplikowane, gdy dostawca jest podmiotem zagranicznym. Znaczna część regulaminów usług „chmurowych" zawiera klauzulę jurysdykcyjną, to znaczy określa sąd i prawo właściwe dla łączącej usługodawcę i usługobiorcę umowy. Jest to rozwiązanie zalecane, pozwala bowiem uniknąć „konfliktu praw" - sytuacji, w której wewnętrzne przepisy dwóch państw wyznaczają dwa różne reżimy prawne lub właściwości sądów. W przypadku braku takiej klauzuli, odpowiednie rozwiązania zawiera zazwyczaj szereg aktów prawa europejskiego i konwencji międzynarodowych. Na przykład w sprawach dotyczących podmiotów mających swoją siedzibę w krajach członkowskich UE stosuje się dwie regulacje: Rozporządzenie nr 44/2001 ("Bruksela I"), koncentrujące się na kwestii jurysdykcji, oraz Rozporządzenie nr 593/2008 ("Rzym I") dotyczące wyboru prawa właściwego. Nie zawsze jednak zastosowanie przepisów międzynarodowych będzie możliwe – wówczas rozwiązanie konfliktu prawa może być niezwykle czasochłonne i kosztowne.

Chmura obliczeniowa oferuje istotne korzyści – szybkie wdrażanie i łatwe rozszerzanie systemu oraz możliwość „płacenia w miarę użytkowania". Nie można jednak zapominać o zachowaniu podstawowych zasada bezpieczeństwa – odpowiednim uregulowaniu stosunków umownych oraz wyborze zaufanego, wiarygodnego dostawcy.

Autorka jest aplikantką adwokacką w „Świeszkowski & Jóźwiak adwokat i radca prawny" sp.p. z siedzibą w Łodzi

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Publicystyka Finanse w Firmie

4 czerwca 2012 roku doszło do awarii w jednej z największych polskich serwerowni, na skutek której nastąpiło uszkodzenie macierzy dyskowych. Konsekwencją zdarzenia może być uszkodzenie, a nawet nieodwracalna utrata danych przechowywanych przez klientów serwisu „w chmurze". Tymczasem chmura obliczeniowa to dziś jeden z najważniejszych trendów w rozwoju technologii informatycznych na świecie, coraz bardziej rozpowszechniony także wśród polskich przedsiębiorców. Nasuwa się więc pytanie o odpowiedzialność prawną dostawcy usługi za straty poniesione przez usługobiorców.

Pozostało 91% artykułu
Mirosław Wróblewski: Ochrona prywatności i danych osobowych jako prawo człowieka
Opinie Prawne
Mirosław Wróblewski: Ochrona prywatności i danych osobowych jako prawo człowieka
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Prezydent RP Andrzej Duda (L) podczas uroczystości powołania Bogdana Święczkowskiego (P) na stanowis
Opinie Prawne
Tomasz Pietryga: Święczkowski nie zmieni TK, ale będzie bardziej subtelny niż Przyłębska
Ewa Szadkowska: Biznes umie liczyć, niech liczy na siebie
Opinie Prawne
Ewa Szadkowska: Biznes umie liczyć, niech liczy na siebie
Sędziowie Piotr Gąciarek, Igor Tuleya, Paweł Juszczyszyn podczas "Marszu Tysiąca Tóg" w 2020 r.
Opinie Prawne
Michał Romanowski: Opcja zerowa wobec neosędziów to początek końca wartości
Do 300 zł na święta dla rodziców i dzieci od Banku Pekao
Materiał Promocyjny
Do 300 zł na święta dla rodziców i dzieci od Banku Pekao
Tomasz Pietryga: Komisja Wenecka broni sędziów Trybunału Konstytucyjnego
Opinie Prawne
Tomasz Pietryga: Komisja Wenecka broni sędziów Trybunału Konstytucyjnego
Jaecoo J7 w leasingu od 1670 zł/mies.
Materiał Promocyjny
Jaecoo J7 w leasingu od 1670 zł/mies.
e-Wydanie