Čo by ste o cloude mali vedieť
Za vyššiu formu outsourcingu služieb IT môžeme považovať poskytovanie cloudových služieb. Z právneho hľadiska ide o klasický právny vzťah založený na zmluvnom základe, ktorý upravuje práva a povinnosti poskytovateľa cloudových služieb a zákazníka, a to s určitými špecifikami typickými pre cloudové služby.
Samozrejme, v určitých prípadoch, predovšetkým u zákazníkov s rozsiahlymi informačnými systémami, bude nielen vhodné, ale i nevyhnutné, aby si zákazník softvér kúpil a cloudové služby užíval len v určitom rozsahu. Kombinované riešenia môžu byť optimálne napr. pre subjekty verejnej správy alebo subjekty, ktoré z rôznych dôvodov požadujú mať dáta „u seba“ a v neposlednom rade môžu byť efektívne v prípade, kedy zákazník už má naimplementované on premise riešenia a chce ich užívať v spojení s cloudom. V naznačených prípadoch hovoríme o tzv. integrácii cloudových riešení s riešeniami on premise, pričom takéto špecifické požiadavky považujeme za potrebné upraviť v zmluvnom vzťahu medzi zákazníkom a poskytovateľom služieb.
Pri cloudových službách je teda zrejmé, že zákazník užíva produkty a služby nachádzajúce sa u tretej osoby, zväčša u poskytovateľa služieb. Aj preto pri cloude nehovoríme o funkčnosti alebo nefunkčnosti systému, ale o dostupnosti služby. Z pohľadu zákazníka je teda potrebné v zmluve dbať nielen na výber konkrétnej cloudovej služby, úroveň poskytovania služieb (SLA), ale i na dostatočné zadefinovanie rozsahu dostupnosti cloudovej služby, ktorej nezabezpečenie zo strany poskytovateľa služieb môže byť predmetom sankcie alebo zľavy. Špecifickým znakom zmluvy o poskytovaní cloudových služieb by mala byť aj úprava nakladania s dátami po skončení zmluvy. Zákazník by vždy mal dbať na to, aby bol poskytovateľ služieb povinný v prípade záujmu zákazníka transferovať zákazníkove dáta na zákazníkove on premise systémy.
Nevyhnutnou a takmer ťažiskovou súčasťou (nielen právneho) vzťahu pri poskytovaní cloudových služieb je dostatočné zabezpečenie pred stratou, poškodením alebo zneužitím dát zákazníka. Na tomto úseku by mal poskytovateľ služieb preukázať predovšetkým faktické zabezpečenie ochrany dát, hoci samozrejme, to neznižuje potrebu riadnej úpravy zodpovednosti na tomto úseku v zmluve. Súčasťou ochrany dát je nepochybne aj zabezpečenie ochrany osobných údajov. Vo vzťahu k ochrane osobných údajov zmluvné strany musia dbať na dodržiavanie domácej legislatívy a od 25.05.2018 aj na Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, ktoré harmonizuje pravidlá ochrany osobných údajov v Európskej únii. Zmluvné strany by si mali v prvom rade zadefinovať, či osobné údaje skutočne nevyhnutne musia byť predmetom poskytovania cloudových služieb. V prípade, že áno, bude potrebné upraviť v zmluvnom vzťahu povinnosti v zmysle Nariadenia, ako aj zabezpečiť ich dodržiavanie v praxi. Špeciálne na úseku ochrany osobných údajov vo vzťahu ku cloudovým službám by mal mať zákazník ako základnú vedomosť o mieste spracúvania osobných údajov. To znamená, že zákazník sa musí zaujímať o to, z akého miesta sa cloudové služby poskytujú a teda kde sa dáta spracúvajú a uchovávajú. Nariadenie totiž zásadne diferencuje medzi krajinami únie a tretími krajinami s primeranou úrovňou ochrany od krajín, ktoré za bezpečné považované nie sú, od čoho sa ďalej odvíjajú ďalšie povinnosti zákazníka a poskytovateľa služieb.
JUDr. Ivan Biacovský,
advokát
MST PARTNERS, s. r. o.
Laurinská 3
811 01 Bratislava
Tel.: +421 2 59 30 80 86
e-mail: recepcia@mstpartners.sk
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk