Coraz więcej osób gromadzi swoje dane, takie jak zdjęcia, dokumenty tekstowe, nagrania, filmy czy kontakty, w tzw. „chmurze”. Sprawia to, że dostęp do internetu pozwala na korzystanie z tych zasobów w sposób nieograniczony. Można je przeglądać, modyfikować, wysyłać innym osobom i nie trzeba do tego dysków USB, płyt czy jakichkolwiek innych nośników. Niewątpliwie więcej niż połowa użytkowników internetu miała styczność z umową chmurową, czasami może nie zdając sobie z tego sprawy. To opracowanie wskaże, z jakimi regulacjami prawnymi wiąże się umowa chmurowa.
Czym jest umowa chmurowa?
Chmura, a raczej chmura obliczeniowa, z angielskiego „cloud computing”, to przestrzeń w sieci internetowej, która pozwala na przechowywanie danych informatycznych. Nad definicją tego pojęcia pochylił się Parlament Europejski, który wydał co najmniej kilka aktów prawnych dotyczących świadczenia usług chmurowych.
W Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii wskazano jasno, że „chmura” jest usługą cyfrową umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania.
Można wyróżnić chmury:
- publiczne;
- prywatne;
- hybrydowe.
Definicje dotyczące „chmury” są zatem bardzo ogólne i na pewno nie dają odpowiedzi na wszystkie pytania nasuwające się osobom, które taką umowę będą chciały zawrzeć. Stąd też w takich regulacjach to umowa pomiędzy odbiorcą usług a dostawcą rozwiązań chmurowych jest bardzo istotna.
Umowy te są zazwyczaj adhezyjne – stanowią nienegocjowalne wzory umów, do których umieszcza się nazwisko odbiorcy i wskazuje, z jakiego „pakietu” chmury korzystać będzie odbiorca.
Przystępując do jej zawarcia, odbiorca akceptuje wszystkie warunki umowy, które zawarte są w regulaminie, ogólnych warunkach umowy.
Dostawca powinien dostarczyć regulacje dotyczące warunków umowy przed jej zawarciem, nieodpłatnie. Może to zrobić w formie papierowej, choć w przypadku takich usług dużo popularniejsze jest przekazanie jej w formie elektronicznej, udostępnionej w taki sposób, aby możliwe było jej przechowywanie i odtwarzanie w zwykłym toku czynności. Najpopularniejszy jest nadal przekazywany plik w PDF.
Czy umowa chmurowa uregulowana jest w polskich przepisach prawa?
Umowy w Polsce, w głównej mierze, uregulowane są w ustawie Kodeks cywilny. To właśnie tam znajdują się wszystkie podstawowe umowy, które codziennie stosowane są przez miliony polskich obywateli oraz cudzoziemców.
Również w innych ustawach znajdziemy umowy, na przykład w ustawie o prawie autorskim i prawach pokrewnych – umowa przeniesienia autorskich praw majątkowych.
Jednak ani w Kodeksie cywilnym, ani w innych ustawach nie ma informacji o umowie chmurowej. W naszym systemie nie została ona nazwana wprost, można ją zatem traktować jako „umowę nienazwaną”.
Mimo to – jej ustawowego nienazwania – wskazuje się, że do umowy tej należy zastosować przepisy umów o świadczenie usług, a co za tym idzie – umowy zlecenia.
Jedna strona powierza drugiej, za wynagrodzeniem, przechowywanie danych informatycznych w sieci, a druga jej tę sieć udostępnia, zobowiązując się do wykonywania umowy z zachowaniem należytej staranności.
Co powinno zostać zawarte w regulaminie, ogólnych warunkach usług chmurowych?
W umowie takiej należy zawrzeć ogół istotnych elementów, które są niezbędne dla wszystkich umów, tj.:
- strony umowy – prawidłowo wskazać dostawcę i odbiorcę usług, z podaniem adresów, numerów we właściwych rejestrach;
- przedmiot umowy – wskazać, jaki to rodzaj chmury – prywatna, publiczna, hybrydowa;
- wskazać wynagrodzenie, jakie jest należne dostawcy;
- czas trwania umowy, okres wypowiedzenia, sposoby rozwiązania umowy;
- przepisy, które będą miały zastosowanie w przypadku sporu, sąd właściwy (dla Polaków korzystne będzie wskazanie prawa polskiego oraz sądu w Polsce);
- prawa i obowiązki stron;
- kwestie związane z przetwarzaniem danych osobowych odbiorcy usług przez dostawcę, RODO w zakresie stron pochodzących z terytorium Unii Europejskiej.
Dodatkowe elementy, właściwe dla umowy chmury, to na przykład:
- wymagania techniczne, jakie musi spełniać sprzęt, aby system teleinformatyczny dostawcy chmury z nim współpracował;
- informacje o tym, jakie treści nie mogą być transferowane do chmury;
- tryb postępowania reklamacyjnego.
Rezygnacja z umowy chmurowej
Umowa, zwłaszcza zawarta na dłuższy czas, powinna gwarantować obu stronom możliwość jej wypowiedzenia lub rozwiązania bez podawania żadnych przyczyn, z zachowaniem określonego ewentualnie okresu wypowiedzenia.
Może to być bowiem spowodowane, na przykład, brakiem potrzeby gromadzenia danych w chmurze i rezygnacji z usług, ale też zmianą warunków obowiązującej umowy. W świetle gwałtownego wzrostu cen niewykluczone jest podwyższanie stawek przez oferujących usługi, co może powodować, że nie będzie się to po prostu opłacało. Odbiorca może też znaleźć korzystniejszą ofertę i chcieć zrezygnować z dotychczasowych usług.
Zasady wypowiedzenia umowy powinny wynikać z regulaminu świadczenia usługi, który dostawca musi dostarczyć przed jej zawarciem.
Jeśli jednak umowa na ten temat milczy, zastosowanie mają przepisy prawa państwa członkowskiego Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) – strony umowy o Europejskim Obszarze Gospodarczym, na którego terytorium dostawca usług chmurowych ma miejsce zamieszkania lub siedzibę, chyba że strony dokonają wyboru innego prawa.
Brak regulacji powoduje korzystniejszą sytuację dla dostawcy, który może pochodzić z różnych zakątków Europy, a regulacje prawne tam obowiązujące mogą znacznie różnić się od tych w Polsce.
Jeżeli problem wynikły na tle realizacji usługi chmurowej będzie dotyczył umów z udziałem konsumentów – gdy odbiorcą usługi jest konsument, który zawarł umowę niezwiązaną z prowadzoną działalnością gospodarczą – w zakresie, w jakim ochronę praw konsumentów zapewniają przepisy odrębne, lub praw własności intelektualnej, wskazane powyżej reguły nie znajdą zastosowania. Wtedy stosowane będą przepisy obowiązujące w kraju, w którym usługa jest realizowana.
W Polsce aktualnie umowę o dzieło można rozwiązać w każdym czasie, jednakże należy zwrócić dostawcy wydatki poniesione przez niego w związku ze świadczoną usługą i uregulować wynagrodzenie za usługi, które zostały zrealizowane dotychczas.
Bezpieczeństwo gromadzonych danych
Przed zawarciem umowy chmurowej warto zweryfikować:
- do kogo należy infrastruktura, która składa się na chmurę;
- kto kontroluje tę infrastrukturę;
- gdzie są zlokalizowane elementy tej infrastruktury;
- czy i jak raportowany jest stan wykonanych usług;
- jakie środki, narzędzia są wykorzystywane w celu zapewnienia bezpieczeństwa danych w chmurze.
Te kwestie są bardzo istotne – należy sprawdzić, czy dane są w konkretnej chmurze bezpieczne i czy dostawca podjął należyte środki w celu udaremnienia ewentualnych ataków hakerskich. Niejednokrotnie bowiem w chmurze są przechowywane dokumenty, które zawierają dane wrażliwe, na przykład dokumentację medyczną.
Fakt, że dany dostawca usługi chmurowej wdrożył standardy zarządzania bezpieczeństwem informacji (norma ISO/IEC 27000), jak również poddał się audytowi według amerykańskiego standardu SOC (Standard Organization Control), może potwierdzić, że podjął kroki w celu należytego zabezpieczenia danych swoich odbiorców w chmurze.