Usługi w chmurze stają się coraz bardziej popularne, a przedsiębiorstwa coraz chętniej korzystają z możliwości ograniczenia kosztów. Rzadko zauważalnym problemem jest brak regulacji prawnych, co powoduje, że dostawcy usług nie odpowiadają lub odpowiadają w ograniczonym zakresie za zgromadzone w chmurze dane.
Zdaniem prawników z kancelarii Gajek i Wspólnicy przedsiębiorstwa nie powinny realizować w chmurze newralgicznych procesów. „Tak jak w wielu dziedzinach, szczególnie w informatyce, prawo nie nadąża za rozwojem technologicznym i gospodarczym. Brak precyzyjnych zapisów ustawowych w powiązaniu z często dominującą pozycją usługodawcy powodują, że bezpieczniej jest wykorzystywać cloud do obsługi drugorzędnych procesów biznesowych, takich jak HR czy marketing ” uważa mecenas Marek Gajek, partner z kancelarii Gajek i Wspólnicy, specjalizującej się w prawie nowych technologii.
Według prawników umowy dotyczące cloud computingu można obecnie kwalifikować jako usługi w rozumieniu art.750 k.c., połączone z udzieleniem prawa do korzystania z aplikacji, na zasadzie licencji lub w modelu usługowym (SaaS). A to powoduje, że jak w klasycznych umowach licencyjnych, także w zakresie cloud computingu, istotnie ograniczana jest odpowiedzialność cywilna usługodawcy. W świetle zawieranych umów nie odpowiada on m.in. za wybór usługi lub aplikacji czy też za jej efekty.
– Wśród niekorzystnych dla firm zapisów jest także ograniczenie odpowiedzialności usługodawcy za brak dostępności usługi lub opóźnienia w usuwaniu błędów – komentuje Marek Gajek z kancelarii Gajek i Wspólnicy. – Rezultatem tego, jest znikoma szansa na ewentualne odszkodowanie dla firmy z racji niedostępności usługi – dodaje.
Brak rozwiązań prawnych regulujących kwestie odpowiedzialności dostawców powoduje, że zdaniem prawników bezpieczniej jest wykorzystywać usługi w chmurze do obsługi drugorzędnych procesów biznesowych, takich jak HR czy marketing. Brakuje też przepisów regulujących kwestie poufności danych oraz tajemnicy przedsiębiorstw, a istniejące regulują te kwestie w sposób niewystarczający. Choć usługodawcy zapewniają użytkowników o pełnej ochronie danych, to w praktyce, zapis ten nie zawiera zobowiązania, iż poufne dane nie zostaną ujawnione, lecz jedynie zobowiązanie, że zastosowane zostaną określone zabezpieczenia techniczne.
– Gdyby doszło więc do ujawnienia poufnych danych, to usługodawca będzie odpowiadał jedynie za niedołożenie należytej staranności w zabezpieczeniu danych, a nie za sam fakt ich ujawnienia. W tym zakresie odpowiedzialność będzie spoczywać na zamawiającym – ostrzega Marek Gajek.
Z drugiej strony inne przepisy wyłączają w ogóle zastosowanie rozwiązań w chmurze z uwagi na brak możliwości przekazywania danych do przetwarzania/przechowywania osobom trzecim. Na odbiorcy usługi spoczywa odpowiedzialność w zakresie przetwarzania danych osobowych i to on ma zapewnić, że usługodawca zapewnia odpowiednie rozwiązania chroniące dane osobowe oraz zagwarantować, że będą przetwarzane wyłącznie przez osoby do tego upoważnione.
– Realizacja tej funkcji kontrolnej jest bardzo utrudniona. Warto więc przy zawieraniu umowy dodać postanowienie zobowiązujące usługodawcę do rejestrowania wszystkich czynności przeprowadzanych na zbiorze oraz określić warunku jego usunięcia po zakończeniu współpracy – podsumowuje Marek Gajek.
