Nowe technologie to jednak nowe problemy, szczególnie w zakresie prawa, którego przepisy nie nadążają i chyba nigdy nie będą nadążać za zmieniającą się rzeczywistością. Poniżej postaram się nakreślić główne problemy praktyczne i prawne związane z „usługami w chmurze” (o zaletach można poczytać wszędzie). Dziś aspekty prawne.
Aspekty prawne
Świadczenie usług typu cloud computing dla biznesu staje się coraz bardziej powszechne w naszym kraju, jednak nadal liderami światowego rynku po stronie usługodawców pozostają podmioty zagraniczne. To oznacza, iż większość kontraktów na usługi świadczone w chmurze zawierane przez polskich przedsiębiorców to umowy transgraniczne. W takim przypadku należy zwrócić szczególną uwagę na kwestie związane z wyborem jurysdykcji (który sąd?) i prawa właściwego dla danego kontraktu (jakie prawo?).
Problem pojawia się również w przypadku, gdy usługodawca świadczy nam usługę przy pomocy podwykonawców, co zdaje się być regułą, szczególnie w zakresie wsparcia infrastrukturalnego („farmy serwerów”). Pomimo powszechności tego zjawiska kontrakty na usługi w chmurze rzadko kiedy zawierają wzmianki na ten temat. Jeśli natomiast to czynią, ograniczają się przeważnie do stwierdzenia, iż dostawca upewni się, iż infrastruktura jego podwykonawców zapewnia bezpieczeństwo na odpowiednim poziomie. Najczęściej brak natomiast zapisów dotyczących zakresu odpowiedzialności, kwestii związanych z danymi osobowymi etc.
W zakresie odpowiedzialności dostawcy usług za potencjalne szkody, związane np. z nieprawidłowym działaniem usługi, najczęściej „proponują” zapisy ograniczające tą odpowiedzialność, bądź całkowicie ją wyłączające, na co trzeba zwrócić uwagę.
Ludzie nie lubią czytać regulaminów. W przypadku jednak usług świadczonych w chmurze warto poświęcić kilka dodatkowych minut i sprawdzić, co usługodawca w takim regulaminie zawarł. W krajach UE (także EFTA) usługodawcy mają prawny obowiązek przygotowania i przedstawienia regulaminu. W Polsce jest on nałożony artykułem 8 Ustawy o świadczeniu usług drogą elektroniczną (UŚUDE). Jednak nawet tam, gdzie nie jest to obowiązkowe, przeważająca większość dostawców oferuje regulaminy w ramach standardowych dobrych praktyk. W regulaminie znajdując się ogólne postanowienia związane z usługą, gdzie szukać szczegółowych? Powinny znajdować się w samej umowie, której najważniejszą częścią będzie service level agreement, w której usługi zostają zdefiniowane oraz określone zostają ich parametry (ich dostępności, wydajności, poziomu wsparcia dostawcy, klauzule regulujące poziom bezpieczeństwa danych oraz metody ich ochrony, a także środki naprawcze na wypadek przestoju).
Kolejny prawny problem związany z cloud computing związany jest z prawem autorskim. Mianowicie pojawia się kontrowersja związana z SaaS (softwere as a service – oprogramowanie jako usługa). Czy w przypadku korzystania z oprogramowania dostępnego w chmurze dochodzi do zawarcia licencji? Albo inaczej, czy zawarcie umowy licencyjnej w takim przypadku jest konieczne?
Zgodnie z art. 74 ust. 4 pkt 1 ustawy o prawie autorskim i prawach pokrewnych monopolem autorskim objęte jest trwałe lub czasowe zwielokrotnianie programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie. Jeżeli natomiast korzystanie z programu nie powoduje wspomnianego zwielokrotniania, zgoda uprawnionego z tytułu praw autorskich nie jest wymagana. Pytanie do techników, czy w przypadku korzystania z programu komputerowego zainstalowanego w chmurze dochodzi do zwielokrotnienia tego programu na komputerze korzystającego?
Jeśli do korzystania z takiego oprogramowania niezbędna jest instalacja, choćby tylko jakiegoś rodzaju wtyczki na sprzęcie usługobiorcy, sytuacja jest jasna i licencja powinna zostać zawarta. Jeśli jednak program jest jedynie wyświetlany na monitorze („przelatuje” przez pamięć operacyjną)? W tym drugim przypadku nie będziemy mieli do czynienia z czasowym zwielokrotnianiem (art. 74), a raczej z przejściowym i incydentalnym (art. 23).
Możemy spotkać się z kilkoma różnymi stanowiskami związanymi z tą kwestią. Jedni prawnicy twierdzą, że w przypadku braku instalacji na komputerze usługobiorcy czegokolwiek licencja nie jest konieczna. Inni natomiast podnoszą, że nie jest istotne to, gdzie faktycznie oprogramowanie jest zainstalowane, tylko fakt korzystania z niego i licencja jest niezbędna. Orzecznictwa brak. Sprawa ta natomiast ma niebagatelne znaczenie, np. w zakresie podatkowym i kosztów związanych z prowadzona działalnością. Przyjmując stanowisko o konieczności zawarcia licencji kontrowersje mogą pojawić się również w przypadku, gdy postanowienia licencyjne nie znajdą się w umowie dotyczącej SaaS, natomiast znajdą się tam zastrzeżenia rezerwujące wszystkie prawa producenta (all rights reserved).
Należy pamiętać, iż świadczenie usług w ramach modelu cloud computing wiąże się często z przetwarzaniem danych osobowych, a dostawcy tego typu rozwiązań muszą stosować się do licznych regulacji, które często utrudniają ich działalność. Mowa tu oczywiście o polskiej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz o dyrektywie Parlamentu Europejskiego i Rady z 24 października 1995 r. nr 95/46/WE.
W zakresie danych osobowych szczególne znaczenie ma treść zapisów umownych, ponieważ ta może prowadzić do uznania usługodawcy bądź jedynie za przetwarzającego dane (obowiązki związane z bezpieczeństwem), bądź za administratora danych, jeśli usługodawca określi cele i środki przetwarzania danych (obowiązki oczywiście dużo dalej idące). Natomiast w przypadku umów transgranicznych oraz częstej praktyce korzystania przez usługodawców z podwykonawców, mających siedziby rozsiane po całym świecie, dodatkowe problemy wiążą się z kwestią przekazywanie danych osobowych do państwa trzeciego (poza obszar UE). Zarówno polskie przepisy, jak i dyrektywa unijna wprowadzają bardzo wysokie standardy związane z bezpieczeństwem danych osobowych przetwarzanych w chmurze, co przez niektórych uznawane jest za jedna z barier hamujących rozwój sektora cloud computing w UE.
