Zmluvy v oblasti Cloud Computingu

Tomáš Nielsen, publikace Green IT

Nové trendy na trhu ICT spočívajúce vo virtualizácii technologického zázemia firiem zasahujú do mnohých oblastí. Popri technologických a obchodných aspektoch majú pomerne zásadné dopady aj do oblasti právnej. Oproti minulosti musia užívatelia služieb ICT riešiť otázky ochrany dát, ochrany autorských práv tretích strán, musia však tiež inovovať svoje existujúce zmluvy s dodávateľmi moderných systémov tak, aby dostatočne ochránili svoje záujmy a zabezpečili, že budú i cez transfer svojich informácií a dát na tretiu osobu stále schopní splniť svoje zmluvné i zákonné povinnosti.

Nové trendy so sebou prinášajú i ďalšie novinky z hľadiska doposiaľ zažitého modelu spolupráce medzi užívateľom a dodávateľom ICT. Jedným z nich je internacionalizácia obchodných vzťahov. Nielenže rad dodávateľov dnes už sídli mimo Slovenskej republiky (a niekedy i mimo Európy), ale aj ich služby sú poskytované zo zahraničia. S tým potom súvisí napríklad aj to, že dáta užívateľov sú často umiestňované mimo územia SR.

Aj keď sa súčasní poskytovatelia Cloud Computingu snažia poukazovať na to, že pre užívateľov prestáva byť významné technologické zaistenie služieb, a jedinou otázkou tak zostává dostupnosť dát z onoho virtuálneho mraku, z právneho hľadiska doposiaľ je (a zrejme ešte dlho bude) veľmi podstatné vedieť, z akého štátu sú služby poskytované, kde sú umiestnené dáta apod. Táto otázka je zásadná napríklad pri spracovaní osobných údajov (kde domáce právo často reguluje i údaje, týkajúce sa zahraničných subjektov, spracovávané zahraničnou osobou, pokiaľ sú umiestnené v systémoch daného štátu).

Je tak nevyhnutné pri prechode na nové spôsoby využívania informačných a komunikačných technológii postupovať skutočne obozretne a nepodceniť tento proces v žiadnej fáze jeho realizácie, najmä vo fáze predzmluvnej.

Vymedzenie predmetu zmluvy

Aj keď pojem "Cloud Computing" začína byť všeobecne známy, jeho obsah nevníma každý rovnako. Preto je nutné predmet zmluvy, t. j. práva a povinnosti zmluvných strán, formulovať skutočne presne. Zmluva by vždy mala obsahovať popis jednotlivých činností a výkonov, ku ktorým sa poskytovateľ služieb zaväzuje, a to tak, aby jeho činnosť bola merateľná (kontrolovateľná). Záujem o kontrolovateľnosť pritom neleží iba na strane užívateľa, ktorý samozrejme požaduje možnosť dohľadu nad tým, či za cenu, ktorú poskytovateľovi platí, dostáva dohodnutú protihodnotu. Merateľnosť dohodnutého plnenia je zásadná aj pre poskytovateľa. Umožňuje mu totiž v prípade potreby preukázať (a to voči zákazníkovi, v prípade sporu, potom voči súdu), že svoje záväzky splnil skutočne riadne, a že mu tak naozaj vznikol nárok na dohodnutú cenu. Navyše pre neho znamená istotu v tom, že po ňom zákazník nebude požadovať plnenia, ktoré poskytovateľ do ceny služieb nezahrnul a s ktorými pri uzatvorení zmluvy nepočítal.

Ochrana obchodného tajomstva

Pri špecifikácii predmetu zmluvy je nutné identifikovať i povahu dát, ktoré majú v rámci Cloud Computingu smerovať do mraku. V prípade vlastných dát typu know-how, cenníkov, obchodných procesov apod. je to otázka, ktorú musí posúdiť výhradne vedenie spoločnosti. Zákon z tohto hľadiska neukladá firmám žiadne povinnosti. Tieto dáta obvykle nie sú chránené inak, než ako tzv. obchodné tajomstvo danej spoločnosti. A ochrana obchodného tajomstva je plne v rukách firmy. Aby toto tajomstvo podliehalo ochrane, musí spĺňať zákonné podmienky. Často podceňovanou, a pritom kľúčovou, je podmienka uvedená na konci ustanovenia § 17 obchodného zákonníka, a to, že za obchodné tajomstvo je možné považovať len také skutočnosti, ktoré "majú byť podľa vôle podnikateľa utajené a podnikateľ zodpovedajúcim spôsobom ich utajenie zaisťuje".

Zmluvy upravujúce presun firemného know-how k tretej osobe, by preto mali obsahovať rozhodnutia o ochrane informácií, a to na úrovni detailu zodpovedajúcemu hodnote týchto informácií. Štatutárni zástupcovia spoločností by navyše nemali podceniť ani výber osoby, ktorej odovzdajú firemné dáta, a súčasne zaistiť (najmä zmluvne) ochranu týchto dát, aby udržali ich status obchodného tajomstva. Zanedbanie ochrany obchodného tajomstva nemusí znamenať "len" stratu ich štatútu, a tým aj zákonnej ochrany. Ak vznikne v dôsledku chybne uzatvorenej zmluvy a následného zneužitia obchodného tajomstva spoločnosti škoda, nedá sa vylúčiť zodpovednosť štatutárnych zástupcov spoločnosti za takú škodu, pokiaľ ju mohli zmluvnou úpravou obmedziť či vylúčiť.

Osobné údaje

Ak majú byť v rámci poskytovania služieb Cloud Computingu prenášané a do vzdialených mrakov ukladané dáta, ktoré majú povahu osobných údajov, je nutné posúdiť, či poskytovateľ služieb bude dáta spracovávať, teda či bude tzv. sprostredkovateľom osobných údajov v zmysle zákona o ochrane osobných údajov. Odpoveď na túto otázku nie je zďaleka jednoduchá. Zákon totiž pod pojmom "spracovanie" zahŕňa radu úkonov, vrátane napríklad "sprístupňovania osobných údajov" alebo ich "uchovávanie". Ak je poskytovateľ služieb Cloud Computingu rovnako sprostredkovateľom osobných údajov spracovávaných užívateľom jeho služieb, je nutné, aby s ním tento užívateľ uzavrel písomnú zmluvu o spracovaní osobných údajov, ktorých povinné náležitosti stanoví zákon (príp. aby ho ku spracovaniu písomne poveril).

Splnenie zákonných povinností nerobí problémy pri klasických outsourcingových projektoch, kde na jednej strane stojí užívateľ - prevádzkovateľ osobných údajov, teda firma, ktorá zbiera a spracováva osobné údaje, napríklad svojich zamestnancov, na strane druhej poskytovateľ služieb - sprostredkovateľ, ktorý je vlastníkom hardware a programov, v ktorých k ukladaniu a ďalšiemu spracovaniu dát dochádza. Oveľa problematickejším je však splnenie zákonných povinností v Cloud Computingu, založenom na tom, že za poskytovateľom služieb stojí ešte skupina subjektov, ktoré poskytujú danému "mraku" fyzickú infraštruktúru. Pokiaľ sú teda predmetom spracovania osobné údaje, je nutné, aby užívateľská firma mala jednoznačný prehľad o tom, kým budú dáta spracovávané.

Podobne zásadná (a opäť v Cloud Computingu nie vždy jednoducho zodpovedateľná) je otázka miesta, kde ku spracovaniu osobných údajov dochádza. Podľa rady právnych úprav sa totiž miestna regulácia ochrany osobných údajov vzťahuje nielen na údaje o osobách, ktoré sú občanom daného štátu, alebo na údaje spracovávané osobami, registrovanými v danom štáte. Regulácia sa často použije i na dva zahraničné subjekty, pokiaľ k spracovaniu údajov dochádza v danom štáte.

Súčinnosť strán

Ďalšou dôležitou súčasťou zmlúv v oblasti Cloud Computing je rozdelenie zodpovednosti strán.                A, samozrejme, aj s tým spojené mechanizmy zabezpečujúce dodržiavanie záväzkov strán, ktoré by vždy mali svojou dôraznosťou reflektovať priority jednotlivých záväzkov (napríklad omeškanie poskytovateľa služieb s predložením správy o fungovaní systému o týždeň, je takmer vždy bezvýznamným prehreškom v porovnaní s nedodržaním termínu odstránenie havarijného stavu, kedy dáta užívateľa sú úplne nedostupné apod.).

Jedným z najobvyklejších nástrojov zaistenia záväzkov sú zmluvné pokuty. Ide síce o nástroj relatívne jednoduchý, nie vždy je však skutočne účelný. Aj keď totiž pre poškodenú stranu znamená (pri správnom nastavení) jednoduchý spôsob, ako pokryť vzniknuté škody, nemusí riešiť to najpodstatnejšie - odstránenie chybného stavu. Pritom výpadok informačného systému či služby ICT môže mať pre niektoré firmy fatálne následky. Aj preto je vhodné namiesto zmluvných pokút uvažovať aj o iných zaisťovacích mechanizmoch, ideálne preventívnych (kontrola plnenia apod.).

Ostatné špecifiká IT zmlúv

Pri formulácii zmluvy o poskytovaní služieb Cloud Computingu je nutné sa tiež zaoberať ďalšími otázkami, ktoré viac-menej vyplývajú z právnych predpisov. Nemožno napríklad ignorovať udelenie príslušných licencií na užívanie počítačového programu, ktorý je v rámci projektu dodávaný. Zmluvné strany by si mali dohodnúť rozsah užívania, dobu trvania licencie a jej územné či množstevné obmedzenie. Je pritom nevyhnutné mať na mysli to, že slovenské právo (na rozdiel od väčšiny právnych poriadkov EU) doposiaľ uznáva iba písomné licenčné zmluvy. Absencie úpravy licenčných vzťahov tak môže viesť k tomu, že užívateľ služieb i nechcene zasiahne do autorských práv tretích osôb.

Ďalšou dôležitou dohodou je dohoda o zárukách, a to o zárukách za právne i faktické chyby, chyby skryté, príp. chyby, ktoré sa vyskytnú až po zahájení spolupráce. Tu zákon ponecháva (na rozdiel od klasických spotrebiteľských zmlúv) stranám pomerne značnú voľnosť. Napriek tomu (alebo snáď práve preto) sa možno stále stretnúť s tým, že poskytovatelia služieb ICT nemajú jasný prehľad o tom, aké chyby a akým spôsobom je možné garantovať, a tak rad zmlúv býva v tejto časti dosť nejasných (so všetkými z toho vyplývajúcimi rizikami).

Zmluvy by mali počítať tiež s ukončením spolupráce a obsahovať pre tento prípad mechanizmus, zaisťujúci užívateľovi prístup k jeho dátam (a prípadne aj ich migráciu do iného systému). A to nielen pre prípady zániku zmluvy dohodou strán (alebo uplynutím času), ale aj pre situácie v zásade nepriateľského zániku zmluvy, typicky odstúpením. Hoci je úprava podmienok ukončenia spolupráce najmä v záujme užívateľa, ani poskytovatelia by tuto otázku nemali ignorovať a naopak by mali proaktívne ponúkať vlastné riešenie. Dôvodov, aby to bol poskytovateľ, kto ponúkne riešenie takých situácii, je hneď niekoľko. V prvom rade je to starostlivosť o potreby zákazníka znakom zodpovedného poskytovateľa so záujmom o dlhodobé pôsobenie na trhu. Neexistuje pritom dôvod, prečo takto zásadnú otázku nechávať otvorenú a realizovať projekt s vidinou blížiaceho sa sporu. Uvedený prístup zo strany poskytovateľa má i obchodný aspekt. Predstavuje totiž príležitosť pre ponuku ďalšej služby (transfer Cloud Computingu, a to späť na zákazníka alebo na nového poskytovateľa), t. j. ďalší potenciálny zdroj príjmu.

Bez ohľadu na právne rozmery rokovania o outsourcingových zmluvách je nutné upozorniť na to, že základnou podmienkou kvalitnej zmluvy a kvalitného projektu outsourcingu je najmä otvorenosť, a to od samého začiatku. Akékoľvek partnerstvo, ktoré nie je založené na vzájomnej dôvere, nie je perspektívne. A dlhodobé ICT projekty by mali byť skutočným partnerstvom. Pokiaľ niektorá zo strán tuší potenciálny budúci problém, mala by ho pri rokovaní otvoriť a pokúsiť sa ho vyriešiť.