ITLAW SODELOVAL KOT PREDAVATELJ NA 2. DNEVIH PRAVA ZASEBNOSTI IN SVOBODE IZRAŽANJA NA TEMO DOBRIH PRAKS NA PODROČJU POGODBENEGA UREJANJA RAČUNALNIŠTVA V OBLAKU

Dobre prakse na področju pogodbenega urejanja računalništva v oblaku

1.  OPREDELITEV RAČUNALNIŠTVA V OBLAKU

Za namene tega prispevka opredeljujem pojem računalništva v oblaku kot tehnološko implementiran storitveni model nudenja oziroma najema računalniških zmogljivosti za potrebe zajemanja, shranjevanja, posredovanja podatkov oziroma informacij in priprave oziroma obdelave takšnih informacij za odločanje, ki je dostopen od koderkoli in v neomejeni količini (pogoj je le dostop do interneta).

Računalništvo v oblaku v veliki večini nadomešča tradicionalno implementacijo informacijskih sistemov. Tradicionalni informacijski sistem je večinoma fizično lociran pri uporabniku informacijskega sistema in ga sestavlja kombinacija strežnikov, vmesnikov, podatkov, procesov, računalniških aplikacij, omrežij in strojne opreme, telekomunikacijskih tehnologij ter ljudi.

Obstaja več načinov in modelov računalništva v oblaku, kot so infrastruktura kot storitev, platforma kot storitev in programska oprema kot storitev oziroma zasebni, javni in hibridni oblak, vsak s svojimi posebnostmi.[1]

Glede na naravo računalništva v oblaku je njegova največja prednost poleg tehnično lažjega upravljanja računalniških zmogljivosti in povečane učinkovitosti uporabe informacijskih sistemov cenovna dostopnost sicer dragih računalniških zmogljivosti, kar predvsem majhnim in srednjim podjetjem močno olajša konkurenčno nastopanje na trgu, saj stroške najema storitev v oblaku spremeni iz investicijskih odhodkov v odhodke iz poslovanja.

Čeprav je računalništvo v oblaku moden koncept, ki ga ponujajo že vsi največji (in tudi manjši) tehnološki in telekomunikacijski ponudniki, ga spremlja še veliko dvomov, ki predvsem v Evropi (ZDA so koncept oblaka v popolnosti sprejele) otežujejo prehod in prenos poslovanja v oblak. Za problematična veljajo predvsem vprašanja, ki se pojavljajo v zvezi z izvajanjem nadzora in navodil uporabnika oziroma najemnika oblačnih storitev (upravljavca osebnih podatkov), postopkov in ukrepov za varovanje podatkov (poleg osebnih podatkov tudi pravic intelektualne lastnine in poslovnih skrivnosti) ter tudi lokacije pogodbenega obdelovalca in možnosti pogodbenega podobdelovanja zunaj Evropskega gospodarskega prostora. Nadalje so problematična vprašanja povezana z interoperabilnostjo posameznih ponudnikov tehnologij (obstoj interoperabilnosti namreč preprečuje odvisnost najemnika storitev od ponudnika).

Veliko dvomov je zelo upravičenih predvsem z vidika varnosti podatkov in pravne nepredvidljivosti zaradi globalne narave teh storitev. Prav tako je zaskrbljenost upravičena zaradi slabe interoperabilnosti med različnimi ponudniki globalnih platform in storitev računalništva v oblaku. Precej dvomov pa je tudi neupravičenih in se tako računalništva v oblaku zaradi neznanja in nepoznavanja njegovih prednosti in tehnološkega napredka v Evropi še drži slab sloves.

V zadnjih letih so največji svetovni ponudniki računalništva v oblaku storili več pomembnih korakov in uvedli veliko tehnoloških inovacij s ciljem bolj učinkovitih tehnologij, ki so temelj upravljanja teh storitev predvsem z vidika zagotavljanja varnosti podatkov in interoperabilnosti platform. Na trgu ponudnikov storitev v oblaku se tako poleg velikih lastniških ponudnikov tehnologij, ki poudarjajo pomen sistema lastništva nad tehnologijo računalništva v oblaku, kot sta Amazon in Microsoft, delujejo tudi odprtokodni sistemi, kot na primer OpenStack in OneOps, ki zagotavljajo učinkovitejšo interoperabilnost in nevezanost najemnika storitev na ponudnika oblaka. Hitro pa se razvija tudi standardizacija storitev v oblaku, ki naj zagotovi varnost, zanesljivost in kakovost teh storitev.[2]

Ne moremo pa prezreti počasnih premikov v pripravljenosti velikih ponudnikov, da bi prisluhnili potrebam najemnikom storitev (predvsem velikih strank) in jim zagotovili večjo preglednost poslovanja z razkrivanjem pomembnih okoliščin,[3] ki bi najemnikom takšnih storitev zagotavljala bolj preudarno odločitev o uporabi oblaka in boljše upravljanje tveganj.

 

2. PRAVNI OKVIR RAČUNALNIŠTVA V OBLAKU

 a. Splošno

Poslovni modeli, ki temeljijo na novih tehnologijah, močno posegajo v tradicionalne pravne koncepte. Računalništvo v oblaku je dober primer tehnološko modernega poslovnega modela, ki lahko tudi zaradi zakonodaje, neprilagojene tehnološkemu razvoju, ustvarja pravno negotovost za obe strani. Pravno negotovost pa povzroča že sama narava takega čezmejnega prenosa podatkov in nepredvidljivost posledic, kot se je na primer zgodilo ob odločitvi Sodišča EU iz oktobra 2015 o razveljavitvi dogovora Varni pristen (Safe Harbour) iz leta 2000 o izmenjavi podatkov med EU in ZDA.^[4]

Oblaka zaradi njegove narave ni mogoče uvrstiti na samo eno pravno področje, ampak se pri njem prepleta več pravnih področij, poleg obligacijskega prava predvsem tudi pravo intelektualne lastnine in pravo, povezano z varstvom osebnih podatkov.

Storitve računalništva v oblaku kot storitve čezmejne in večplastne narave prinašajo v pravno razmerje med pogodbenimi strankami tudi izzive, povezane z določitvijo pristojnosti in prava, ki se uporablja za pravna razmerja, povezana z računalništvom v oblaku. Z vidika zasebnega prava obstajajo na nekaterih področjih enotna evropska pravila o pristojnosti in priznavanju ter izvrševanju sodnih odločb in kolizijska pravila, zlasti pri pogodbenih in nepogodbenih obveznostih. Ta pravila urejajo takšne težave znotraj Evropske unije. Kolizijska pravila na mednarodni ravni pa niso dovolj razvita, kar vodi k nerešenim kolizijam zakonov zunaj Unije. Ta večplastnost na mednarodni ravni zahteva posebno vrsto pravne previdnosti.

Vse takšne različne specifike različnih pravnih področij, v katere oblak posega, in samo naravo oblaka kot čezmejne storitve je treba upoštevati pri pripravi in interpretaciji pogodb o teh storitvah.^[5]

Večina pravnikov opredeljuje pogodbe o teh storitvah kot sui generis pogodbe, ki so še najbliže najemnim razmerjem. Glede na močno in harmonizirano regulacijo področja varovanja osebnih podatkov v Evropi je še največ pravne dobre prakse na področju storitev v oblaku s področja varovanja osebnih podatkov in na splošno varovanja podatkov v oblaku, medtem ko obligacijsko področje in sistem intelektualne lastnine v tem trenutku odpirata več pravnih neznank in negotovosti. Zaradi pomanjkanja pravne prakse je težko opredeliti vse pravne posledice takšnih pogodb.

Čeprav se konkurenca med ponudniki storitev v oblaku nenehno krepi in sili ponudnike v bolj fleksibilne pogodbe, ki omogočajo najemniku storitev več pravic in pogajalske svobode, pa se v Sloveniji tako kot na mnogih drugih področjih prava informacijske tehnologije tudi pri računalništvu v oblaku množično (prevečkrat nekritično) uporabljajo tipske pogodbe in splošni pogoji poslovanja, ki so pripravljeni po anglosaških vzorcih in o katerih se večinoma sploh ni mogoče pogajati, kaj šele, da bi jih lahko dobro razumeli.

V zadnjih letih je sicer v Evropi močno opazen pojav samoregulacije in kodificiranja dobre prakse in pravnih specifik poslovanja v oblaku neposredno pri ponudnikih oblačnih storitev. Kot primer naj navedem priporočila na področju varovanja osebnih podatkov^[6] ali priporočila o načinu zagotavljanja storitev v oblaku.^[7] V Sloveniji deluje zveza slovenskih ponudnikov teh storitev, ki je sprejel svoja priporočila.^[8] 

 

b. Tipična struktura pogodbe o najemu storitev v oblaku

Primerjalno gledano za storitev v oblaku v večini primerov ne obstaja standardizirana pogodba, ki bi na enem mestu na nekaj straneh urejala vse vidike takšnih storitev ter pravice in obveznosti pogodbenih strank. Tipična struktura teh pogodb glede na večplastnost storitve računalništva v oblaku je kombinacija več različnih pravnih dokumentov, ki včasih delujejo nepregledno in nekonsistentno ter tvorijo (včasih nekonsistentno) celoto:

• komercialni in pravni pogoji najema teh storitev;


• dokument, ki definira način zagotavljanja in merjenja kvalitete teh storitev in časovnega razpona, ko se storitve zagotavljajo (services level agreement – SLA);


• dokument, ki definira način zagotavljanja varstva podatkov tako zaupnih podatkov kot podatkov, ki imajo za najemnika komercialno vrednost;


• dokument, ki opredeljuje način uporabe teh storitev s strani najemnika storitve (na primer pogoji podeljevanja pravic dostopa posameznikov do podatkov v oblaku).

 

c. Deli pogodb o najemu storitev v oblaku, ki zahtevajo največ pravne pozornosti

Navajam samo dele pogodb, ki od pravnika, ki se ukvarja s pogodbami o storitvah v oblaku, zahtevajo največ pozornosti. Zaradi omejenega obsega prispevka ne ponudim vseh pravno relevantnih odgovorov.

• Določitev prava, ki se uporabi za interpretacijo pogodbe in pristojni organ, ki odloča o zahtevkih strank zaradi kršitve oziroma neizpolnjevanja pogodbenih zavez – veliki ponudniki navadno določijo eno pravo in pristojni organ za zahtevke, povezane z varovanjem osebnih podatkov, in spet drugo pravo in pristojni organ za druga pogodbena razmerja med strankama.

• Jasna razdelitev nalog, obveznosti in odgovornosti med pogodbenima strankama (med upravljavcem osebnih podatkov in pogodbenim obdelovalcem, med drugim glede obveze določanja in klasifikacije podatkov, ki se prenašajo v oblak, naloge migracije podatkov, pravice posameznika v razmerju do upravljavca in obdelovalca, na katere se nanašajo osebni podatki).

• Uporaba in primerno razkritje pogodbenih podobdelovalcev ter morebitna uporaba Sklepa Evropske komisije o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah.^[9] Pomembno je, da najemnik izve, kateri podatkovni centri se bodo uporabili. Vse bolj je opazno, da imajo veliki globalni ponudniki teh storitev podatkovne centre locirane na območju EU in tako upravljavcem osebnih podatkov s sedežem v EU zagotavljajo uporabo svojih ali podizvajalskih podatkovnih centrov. Velikim ponudnikom teh storitev v praksi povzroča težave mnenje informacijskega pooblaščenca, da je v primeru, ko se že vnaprej ve, da se bodo posamezna opravila obdelave osebnih podatkov prenesla na podobdelovalca, najprimerneje, da upravljavec s pogodbenim upravljavcem in podobdelovalcem sklene tripartitno pogodbo, v kateri morajo biti jasno določena pooblastila pogodbenemu obdelovalcu in podobdelovalcu, poleg tega pa mora takšna pogodba vsebovati tudi dogovor o postopkih in ukrepih za zavarovanje osebnih podatkov.^[10]

• Spremembe pogodbenih določil. Velikokrat ponudniki storitev v oblaku zahtevajo možnost enostranske spremembe pogodbenih določil zaradi sprememb v tehnologiji in zakonodaji.

• Interoperabilnost in prenos podatkov. Veliki ponudniki s pogodbenimi določili zaradi svojih specifičnih tehnologij in relativne tehnološke nepovezanosti različnih tehnoloških družb in platform najemodajalce vežejo na svoje tehnologije in de facto onemogočajo prenos podatkov k drugim ponudnikom . Zelo je pomembno, da se v pogodbah dogovorita tehnična forma in format, ki bosta omogočala hiter prenos podatkov od enega ponudnika k drugemu.^[11]

• Prenehanje veljavnosti pogodbe in odpoved pogodbe. Glede na naravo pogodb o storitvah računalništva v oblaku je treba ob prenehanju pogodbe iz kateregakoli razloga zagotoviti vrnitev prenesenih podatkov in obvezno določiti pregleden in uporaben format, v katerem se podatki vrnejo, in okoliščine, ki ponudniku storitev v oblaku dopuščajo, da zadrži podatke. Ob prenehanju pogodbe mora ponudnik takoj prenehati z dejavnostjo obdelave Pomembno je tudi upravljavcu podatkov zagotoviti možnost nadzora, ali ponudnik izpolnjuje takšne zaveze.

• Odgovornost za izpolnjevanje pogodbenih zavez. Redki ponudniki storitev privolijo v neomejeno odgovornost v primeru škode, povzročene najemniku storitev. Veliki evropski ponudniki so pripravljeni prevzeti omejeno zavezo, da bodo najemnikom storitev povrnili škodo zaradi sankcij, ki so jih tem izrekli regulatorni organi s področja varstva osebnih podatkov.

• Pravice intelektualne lastnine. Na področju prava intelektualne lastnine so najpogostejši problemi: dopustnost zaščite te tehnologije s pravicami intelektualne lastnine, še posebej delov, ki dopuščajo interoperabilnost z drugimi platformami računalništva v oblaku; imetništvo pravic na novo ustvarjenih vsebinah (ki nastajajo ob prenosu podatkov v oblak); odgovornost za kršitev pravic intelektualne lastnine na podatkih, ki se prenesejo v oblak, in nasploh uveljavljanje pravic intelektualne lastnine zoper ponudnike teh storitev (določitev naveznih okoliščin); uporaba in licenciranje programske opreme v oblaku s strani imetnika pravic, ki ni stranka pogodbe za storitve v oblaku.^[12]

  

3. Sklep

Nobena tehnologija ni statična, tudi računalništvo v oblaku ne. V prihodnosti se bo regulativa tega področja morala hitreje razvijati, da bo zajela vsa pravna tveganja, ki izhajajo iz uporabe takšnih storitev. Do takrat pa bo tudi naloga pravnikov, ki se bodo morali skladno z vsesplošno digitalizacijo vse bolj posvečati razumevanju in poznavanju tehnoloških tem, da bodo s potrebnim razumevanjem in skrbnostjo zaznavali tveganja poslovanja v oblaku in primerno umeščali nove tehnološke koncepte in poslovne metode v včasih neelastične tradicionalne pravne okvire.

Vesna Stanković Juričić, dipl. univ. pravnica
vesna.stankovic-juricic@itlaw-vsj.si
www.itlaw-vsj.si

Objavljeno v Zborniku 2. dnevi prava zasebnosti in svobode izražanja, Kranjska Gora, 7. in 8. april 2016, ki ga je izdal in založil IUS SOFTWARE d.o.o., GV Založba
 

Opombe:

[1] Za več o tem glej na primer OECD (2014), Cloud Computing: The concept, Impacts and the Role of Governmental Policy, OECD Digital Economy papers, No. 240, OECD Publishing, ali tudi na primer Unleashing the potential of Cloud Computing in Europe (2012) in tudi The EU Digital Market Strategy.

[2] Glej na primer mednarodne strandarde za storitve računalništva v oblaku ISO, http://iso.org.

[3] Splošno je znana praksa Amazon Web Service, da niti drugi pogodbeni stranki ne razkrije točne lokacije svojih podatkovnih centrov.

[4] Odločitev Sodišča EU v zadevi C-362/4, Maximillian Schrems v. Data Protection Commissioner.

[5] Tako na primer tudi v: Hon, W. Kuan, Millard, Ch., Walden, I., Negotiating Cloud Contracts – Looking at Clouds from Both Sides Now (May 9, 2012). 16 STAN. TECH. L. REV. 81 (2012); Queen Mary School of Law Legal Studies Research Paper No. 117/2012. Dostopno