.gif){kind=small}
Artykuły
Prawne aspekty Cloud Computing - raport (cz. I)
Usługi oferowane w chmurze podzielić można na trzy najważniejsze kategorie:
1. SaaS (Software as a Service), czyli oprogramowanie zainstalowane w środowisku chmury;
2. IaaS (Infrastructure as a Service), czyli infrastruktura umieszczona w środowisku chmury;
3. PaaS (Platform as a Service), czyli zdalnie udostępniana platforma do rozwoju aplikacji umieszczona w chmurze.
Chmura obliczeniowa często porównywana jest do klasycznych modeli outsourcingowych, od których różni się jednak wyraźnie zarówno z organizacyjnego, jak i prawnego punktu widzenia. Tradycyjnie rozumiany układ outsourcingowy jest znacznie mniej elastyczny niż chmura, która pozwala użytkownikom na proste, bieżące dostosowanie portfolio wykorzystywanych produktów w zależności od aktualnego zapotrzebowania. Rozwiązanie to pozwala m.in. na skuteczniejszą optymalizację kosztów utrzymania infrastruktury IT.
Chmura obliczeniowa różni się od innych modeli outsourcingowych jeszcze jednym: dane przechowywane w chmurze mogą zmieniać swoją lokalizację niezwykle często. Dostawcy rozwiązań cloud bardzo często korzystają z ogromnych ilości podwykonawców, którzy utrzymują dane powierzone dostawcy przez jego klientów na swoich własnych serwerach. Znajdują się one na farmach serwerów dostawcy lub jego podwykonawców i z punktu widzenia odbiorcy lokalizacja jest nieistotna, z tym wyjątkiem, iż musi odpowiadać normom bezpieczeństwa, za których zagwarantowanie odpowiada dostawca.
Chmura obliczeniowa jest nową koncepcją, w niewielkim stopniu wpisującą się w realia na których oparte jest prawo związane z informatyką. Niewiele jest również wyroków sądowych związanych z problematyką cloud, co dodatkowo utrudnia interpretację przepisów w tym kontekście.
Umowy, na których opiera się cloud computing są dość podobne do tych używanych w przypadku innych modeli outsourcingowych. Analizując dokumentację chmury napotkać można takie kategorie zapisów, jak Service Level Agreement, sekcje poświęcone ochronie danych, czy sekcje poświęcone kluczowym aspektom stosunku prawnego pomiędzy dostawcą a odbiorcą usługi.
Urokiem rozwiązań oferowanych w chmurze jest ich łatwa dostępność – najczęściej jedynie po zaakceptowaniu umowy, odbiorca zostaje automatycznie „podłączony” do systemu. Fakt ten wiąże się z pewnymi szczególnymi cechami takich umów. Przede wszystkim, umowy dotyczące cloud computing są zazwyczaj krótkie – zapomnieć można o opasłych plikach stronic normalnych kontraktów outsourcingowych. W chmurze liczy się masowość.
Niestety, rezultatem takiego zmasowanego podejścia do świadczenia usług jest niewielka elastyczność umów przedstawianych przez dostawców – w wielu przypadkach odbiorcy nie mają żadnej możliwości negocjowania ich zapisów. W efekcie, jedynym wyjściem dla licznych podmiotów szukających odpowiedniego dla siebie rozwiązania w chmurze jest próba znalezienia dostawcy, który nie tylko oferuje właściwe usługi, lecz również czyni to na akceptowalnych warunkach.
Dotyczy to zarówno mniejszych podmiotów, jak i tych największych – w październiku 2010 r. administracja federalna w USA zrezygnowała z oferty usług Google na rzecz Microsoft właśnie ze względu na umownie określone gwarancje bezpieczeństwa danych. Istnieją oczywiście wyjątki (np. urząd miasta Los Angeles wynegocjował autorską umowę z Google), lecz ogólną zasadą jest całkowita standaryzacja kontraktów.
Terms of service: regulamin
Regulaminy usług oferowanych w chmurze zawierają nieco inne komplety postanowień, niż te spotykane w umowach z dostawcami infrastruktury technologicznej czy oprogramowania w klasycznym modelu. W niniejszej sekcji przedstawione są wybrane zagadnienia związane z tą problematyką; niektóre z nich, takie jak przetwarzanie danych, opisane są również bardziej szczegółowo w dalszej części Raportu.
Regulaminy w chmurze
Regulamin na usługi świadczone w chmurze obliczeniowej zawiera zazwyczaj kilka kategorii umów: regulamin korzystania z usług, service level agreement, oraz ogólne postanowienia umowne (w polskim prawie jest to umowa zlecenie).
Dostawcy chmury mający siedzibę w obrębie terytorium Unii Europejskiej oraz państw członkowskich Europejskiego Porozumienia o Wolnym Handlu mają prawny obowiązek przygotowania i przedstawienia regulaminu; w Polsce jest on nałożony artykułem 8 Ustawy o świadczeniu usług drogą elektroniczną (UŚUDE). Tym niemniej, przeważająca większość dostawców działających z innych państw oferuje regulaminy w ramach standardowych dobrych praktyk.
Art. 8 ust. 3 UŚUDE definiuje zawartość regulaminu korzystania z usług. Muszą być w nim zawarte “(1) rodzaje i zakres usług świadczonych drogą elektroniczną, (2) warunki świadczenia usług drogą elektroniczną, w tym: (a) wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca, (b) zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym, (3) warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną, (4) tryb postępowania reklamacyjnego.”.
Prawo do zmiany opłat
W klasycznych umowach outsourcingowych kwestia dopuszczalnych zmian w systemie opłat jest zazwyczaj bardzo starannie określana, zaś progi wzrostu opłat opierane są często na zewnętrznych wskaźnikach, np. stopie inflacji. W większości umów o cloud computing takie mechanizmy nie są jednak niestety stosowane. Wiele z nich ogranicza się wręcz wyłącznie do określenia terminu powiadomienia odbiorcy o fakcie zaistnienia planowanej podwyżki!
Niektórzy przeciwnicy rozwiązań opartych o chmurę obliczeniową (np. Larry Ellison, twórca Oracle, oraz Richard Stallman, twórca GNU Open Source) utrzymują, iż ich najwięksi dostawcy celowo konstruują w ten sposób umowy, by najpierw kusić odbiorców niskimi cenami które następnie planują dramatycznie podnieść w stosunkowo krótkim czasie.
Wprawdzie jest to pogląd dość kontrowersyjny, ponieważ chociażby same realia rynkowe zmuszają dostawców do zachowania rozsądnych stawek, to jednak trzeba przyznać, iż możliwe podwyżki w opłatach są trudne to przewidzenia i określenia, a co za tym idzie stanowią pewne zagrożenie z biznesowego punktu widzenia, które powinno być uwzględnione w procesie decyzyjnym.
Ograniczenie odpowiedzialności
Ograniczenie odpowiedzialności dostawcy za szkody wynikłe z korzystania z usług w umowach dot. cloud computing jest jednym z bardziej kontrowersyjnych zagadnień w tym modelu dystrybucyjnym. Znaczna większość dostawców rekompensuje straty odbiorcy w postaci umożliwienia bezpłatnego korzystania z usługi przez określony czas, zaś odpowiedzialność bezpośrednią ogranicza do stawek równowartych kilku- lub kilkunastu miesięcznym opłatom wynikającym z umowy, zaś całkowicie wyłącza odpowiedzialność za faktycznie poniesione szkody (consequential loss) a tym bardziej za utracone korzyści.
Prawo do wypowiedzenia umowy
Odpowiednio skonstruowane umowy dot. cloud computing określają warunki wypowiedzenia umowy. Zazwyczaj są to postanowienia gwarantujące prawo do wypowiedzenia np. w przypadku, w którym przeciwna strona umowy nie wywiązuje się ze swoich obowiązków lub łamie regulamin usługi.
Zdarzają się jednak również klauzule, które gwarantują prawo do wypowiedzenia umowy w przypadku, w którym jedna ze stron ogłasza upadłość. Wprawdzie prawo polskie wyklucza możliwość zawierania takich postanowień w umowie (art. 83 Ustawy prawo upadłościowe i naprawcze z dnia 9 kwietnia 2003), jednak niektóre inne jurysdykcje, w tym amerykańska, dopuszczają ich stosowanie. W konsekwencji, umowy zawierające tego rodzaju stwierdzenia, a podlegające obcemu prawu, mogą być ważne również na terytorium polskim.
Fuzje i przejęcia
Fuzje i przejęcia są naturalnym aspektem funkcjonowania podmiotów gospodarczych. Dochodzi do nich zarówno wśród odbiorców cloud computing, jak i ich dostawców. W trakcie procesów M&A analizowany jest zawsze stan posiadania biorących w nim udział podmiotów (due dilligence), w tym również kwestie posiadania oprogramowania używanego w firmie odbiorcy. Oprogramowanie i infrastruktura technologiczna stanowią bowiem zazwyczaj integralny element w przedsiębiorstwie, a jego utrata spowodować może znaczne obniżenie wartości podmiotu.
Dlatego też przed rozpoczęciem współpracy z dostawcą odbiorca powinien upewnić się, iż przedstawiona przez tego pierwszego umowa zawiera klauzule gwarantujące ciągłość świadczenia usług w przypadku przejęcia lub fuzji jednej ze stron z innym podmiotem.
Większość dobrze skonstruowanych umów zawiera tzw. assignment clause - klauzulę, która zezwala na przeniesienie umowy na inny podmiot za pisemną zgodą stron. Tym niemniej, istnieją przypadki umów w sektorze cloud computing, które zabraniają przeniesienia umowy na innego odbiorcę – w tym na podmiot, który przejął przedsiębiorstwo odbiorcy lub połączył się z nim w drodze fuzji. Przykładem takiej umowy jest standardowa umowa SAP on demand, która zezwala na przeniesienie jej łącznie w wypadku przejęcia SAP przez inny podmiot.
SaaS a prawa autorskie
Jednym z najbardziej kontrowersyjnych elementów umów na szczególny rodzaj rozwiązań w chmurze obliczeniowej – aplikacji (SaaS) – jest kwestia licencjonowania tego rodzaju programów. Kwestia ta prowokuje wiele dyskusji wśród prawników, zaś brak bezpośrednich orzeczeń sądowych na ten temat oraz różnorodność rozwiązań technicznych stosowanych w aplikacjach SaaS tym bardziej utrudnia wypracowanie jednoznacznego stanowiska.
Wiodącą interpretacją przepisów jest stwierdzenie, iż program zainstalowany w chmurze nie wkracza w domenę umów licencyjnych, jeżeli nie jest on powielany w komputerze odbiorcy. W konsekwencji, zawieranie licencji w takim przypadku nie jest potrzebne, zaś nawet jeżeli strony podpiszą kontrakt nazwany 'licencją', nie będzie on miał prawnych konsekwencji właściwych dla umów tego typu.
Jak stanowi bowiem art. 74 ust.4 pkt.1 Ustawy prawo autorskie, jeżeli korzystanie z programu nie powoduje „trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie” przez użytkownika, nie potrzebna jest licencja. Umowa licencyjna jest wymagana tylko jeżeli użytkownik, aby korzystać z programu, musi dokonać wyżej przedstawione czynności.
W wielu umowach dotyczących SaaS dostawcy umieszczają klauzulę, która rezerwuje wszelkie prawa autorskie do oprogramowania dla dostawcy (lub autora oprogramowania, jeżeli jest to inny podmiot niż dostawca). Jest to stwierdzenie nieszkodliwe, zaś może być ono nieważne w przypadku, w którym okaże się, iż wbrew twierdzeniom dostawcy program jest zwielokrotniany w trakcie użytkowania przez komputer odbiorcy. Odbiorca wkracza bowiem wtedy w zakres praw autorskich, a co za tym idzie – automatycznie nadawana mu jest „licencja ustawowa” (wynikająca z art 23 ust. 2 Ustawy prawo autorskie), a więc prawo autorskie!
Sytuacja ta jest oczywiście odmienna, jeżeli do uruchomienia SaaS wymagane jest zainstalowanie odpowiedniego programu lub wtyczki w komputerze odbiorcy. Wtedy bowiem stwierdzić można, iż prawie na pewno odbiorca będzie musiał zawrzeć z dostawcą umowę licencyjną przed rozpoczęciem korzystania z programu.
Niektórzy prawnicy twierdzą jednak, iż nawet jeżeli instalacja jakiegokolwiek dodatkowego programu nie jest konieczna w celu rozpoczęcia korzystania z aplikacji SaaS, licencja powinna zostać zawarta. Wynika to z szerokiej interpretacji art. 74 ust. 4 pkt. 1 Ustawy prawo autorskie, według której to nie fizyczna lokalizacja zainstalowanego oprogramowania, lecz zakres korzystania z niego wyznacza granice prawa autorskiego.
Stwierdzenie, czy na korzystanie z usług typu SaaS zawarta została licencja jest istotne z punktu widzenia podatkowego. Zakup licencji na program tworzy bowiem w firmie element kategorii "wartości niematerialnych i prawnych", więc wydatek na zakup tego rodzaju dobra nie jest zaliczany w koszta działania przedsiębiorstwa, a podlega amortyzacji, podobnie jak środki trwałe.
W przypadku korzystania z SaaS bez licencji, przedsiębiorstwo nie nabywa prawa do oprogramowania a jedynie korzysta z usługi korzystania z oprogramowania. Oznacza to, iż w firmie nie powstają "wartości niematerialne i prawne", a normalny koszt pozyskania przychodów.
Koniec części I - kolejna już za tydzień (09.06.2011)
Autorzy raportu
Stefan Cieśla - radca prawny
Jest ekspertem ds. zagadnień prawnych związanych z informatyką i wdrażaniem rozwiązań technologicznych w przedsiębiorstwach i jednostkach administracji publicznej. Doradza on przy licencjonowaniu, transakcjach kupna-sprzedaży (również w drodze przetargów) i wdrażaniu systemów informatycznych. Ponadto, mec. Cieśla specjalizuje się w problematyce Cloud Computing i ochrony danych.
W trakcie swojej kariery zawodowej pełnił on również obowiązki prezesa zarządu w licznych instytucjach finansowych, gdzie zdobył praktyczne doświadczenie w zarządzaniu transakcjami IT. Mec. Cieśla jest członkiem Warszawskiej Izby Radców Prawnych. Ukończył on z wyróżnieniem studia na Wydziale Prawa i Administracji Uniwersytetu Wrocławskiego, a następnie podyplomowe studium legislacyjne na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.
Adres www kancelarii: www.radcaprawny-ciesla.pl
Thomas Helbing - rechtsanwalt (niem. radca prawny)
Dr. Thomas Helbing w latach 2004-2009 zatrudniony był w wiodącej międzynarodowej kancelarii prawniczej w dziale technologii, mediów i telekomunikacji. Obecnie jest on niezależnym prawnikiem działającym w Niemczech jako konsultant prawny wspierający regionalne i międzynarodowe przedsiębiorstwa.
Doradza w zakresie problematyki ochrony danych, prywatności, informatyki, licencjonowania oraz prawa internetowego. Ponadto, Dr. Thomas Helbing jest odpowiedzialny za globalny program ochrony danych wiodącego niemieckiego koncernu przemysłowego z indeksu DAX, skupiającego 30 największe niemieckie społki giełdowe.
Dr. Helbing jest członkiem grupy "Law and Compliance" wewnątrz organizacji EuroCloud Deutschland (www.eurocloud.de) oraz współautorem kodu dobrych praktyk "Chmura Obliczeniowa & Ochrona Danych". Pan Helbing regularnie występuje w roli prelegenta na spotkaniach dotyczących chmury obliczeniowej, takich jak niedawne CloudConf2010 (www.cloudconf.de) w Stuttgart i CloudSlam (www.clodslam10.com).
Adres www kancelarii: www.thomashelbing.com
