Na čo pri cloude myslí právnik

Cloud sa stáva súčasťou podnikania. Dokonca, podľa štúdie amerického magazínu American Lawyer, už aj advokáti prelomili odveký konzervativizmus a dve tretiny z nich využívajú niektorú z cloudových služieb.

Rozhodnutie o využití cloud computingu v každom podnikaní prináša dve obavy. Po prvé, obavu z neznáma, pretože dáta sa presunú mimo firmy, kde sa o ne bude starať externý poskytovateľ služby. Druhá obava sa týka potenciálnych právnych komplikácií.

Rýchly vývoj technológií, ako zvyčajne, aj v oblasti cloudu predbieha právnu reguláciu. Tá potom reaguje až spätne a so značným oneskorením. Legislatíva je tak nezriedka neaktuálna, nejasná a pomerne často sa mení.

Osobné údaje v cloude

Európska únia si už tiež uvedomila ekonomický potenciál cloudu a v roku 2012 vydala stratégiu, ktorá definuje kroky na jeho podporu. Patrí medzi ne najmä podpora väčšieho používania jednotných štandardov, napríklad v oblasti bezpečnosti údajov a certifikačných schém ich dodržiavania, ako aj príprava modelových zmlúv pre cloudové služby.

Pri používaní cloudu dôjde takmer vždy k prenosu osobných údajov, napríklad zamestnancov a klientov, od zákazníka k poskytovateľovi služby. Podmienky spracovania a ochrany osobných údajov sú preto jednou z najdôležitejších tém, na ktoré musia každý cloudový provider a jeho zákazník myslieť.

Úrad na ochranu osobných údajov pripravil nový zákon o ochrane osobných údajov, ktorý – okrem iného – zjednodušuje ich prenos do USA, sídla množstva cloudových hráčov. Tento zákon by mal vstúpiť do účinnosti v júni tohto roka.

Navyše, o dva roky by Európska únia mala mať nové nariadenie o ochrane osobných údajov. Jeho úlohou bude zjednotiť právnu úpravu, zjednodušiť spracovanie údajov a ich prenosy mimo únie, ako aj posilniť ochranu práv jednotlivcov.

Je zjavné, že iný prístup a opatrnosť si vyžaduje využívanie napríklad SaaS služby na správu databázy kontaktov na marketingové účely a iný na správu a používanie citlivých informácií, napríklad zdravotných údajov. Zmluvné strany by mali mať jasno v tom, či sú dáta šifrované v procese prenosu, ako aj počas ich uloženia na serveroch. A tiež či boli implementované iné bezpečnostné opatrenia a štandardy na prístup k údajom. Pri niektorých službách bude možno potrebný nezávislý bezpečnostný audit. Alebo vedomosť o identite subdodávateľov cloudového providera, ktorí v určitom momente môžu mať prístup k dátam.

Kde sú dáta

Správna voľba rozhodného práva pre zmluvný vzťah s poskytovateľom služieb môže znamenať pre podnikateľa veľký prínos. Počnúc úsporou nákladov v prípade slovenského práva, keď nemusí vynaložiť prostriedky na zahraničných právnych poradcov. A končiac jednoduchosťou každodennej práce so zmluvou: rozumie jej, pretože sa obdobnými vzťahmi zaoberá často a neprekvapí ho žiadne, na prvý pohľad nejasné ustanovenie cudzieho práva. Ako napríklad zákaz alebo, naopak, možnosť limitácie náhrady škody.

Zásadné právne dôsledky bude mať to, kde sa budú dáta fyzicky nachádzať. Je nevyhnutné umiestnenie serverov správne ošetriť – mnohí veľkí cloudoví poskytovatelia umožňujú výber medzi jednotlivými lokalitami. Dôvodov je viacero.

Jednotlivé krajiny sa líšia šírkou oprávnení orgánov pristupovať k dátam, napríklad v rámci trestného či daňového konania. Slovenské bankové, lekárske či advokátske tajomstvo preto zrejme nebude rešpektované americkými úradmi a naopak.

Fyzické umiestnenie má význam aj z pohľadu ochrany osobných údajov. V niektorých prípadoch je na transfery mimo EÚ potrebné uzavrieť dodatočné štandardné zmluvné doložky a v iných vyžiadať súhlas úradu s prenosom. V niektorých prípadoch bude taktiež nevyhnutné v rámci auditov na mieste overiť integritu dát: v takom prípade môže vhodná voľba lokality znamenať značné finančné úspory.

Mlčať je zlato

Vo viacerých prípadoch sú používatelia cloudových služieb voči klientom viazaní zmluvnou povinnosťou mlčanlivosti, zvyčajne pod vysokými sankciami. Alebo povinná mlčanlivosť v prípade lekárov, bánk či advokátov vyplýva priamo zo zákona: tú treba zmluvne preniesť na poskytovateľa služby. A nezabúdať pritom na presné mechanizmy pre prípad jej porušenia vrátane minimalizácie následkov, analýzy narušenia bezpečnosti, spoločného postupu voči verejnosti a úradom, ako aj otázky náhrady škody a zmluvných pokút.

Pri niektorých typoch cloudových služieb určených skôr pre širšiu verejnosť sa možno stretnúť s ustanoveniami, ktoré ich vylučujú z okruhu služieb využiteľných podnikateľom. Ide napríklad o niektoré webové úložiská vrátane tých najväčších, ktorým sú pri registrácii udelené oprávnenia na využívanie nahraného obsahu. Na druhej strane, poskytovateľ môže žiadať záruky používateľa za obsah, ktorý na jeho servery uloží.

Pochopiteľne, poskytovateľ služby potrebuje možnosť jednostranne zmeniť všeobecné obchodné podmienky. To však môže znamenať problém pre zákazníka, ktorý v takýchto prípadoch musí mať flexibilitu v rozhodovaní, či v používaní služby bude alebo nebude pokračovať.

Dobrý právnik sa bude venovať aj podmienkam ukončovania zmluvného vzťahu z pohľadu oboch zmluvných strán vrátane spôsobu prevodu dát a služby k inému poskytovateľovi a príslušných platieb.

Na detailoch záleží

Aj malé ustanovenia môžu mať veľký finančný dosah. Kľúčové bývajú právne formulácie v dojednaní o úrovni služieb (SLA), dohoda o spôsobe a časovaní odstraňovania chýb alebo o spôsobe riešenia sporov a poskytovaní služieb počas prípadného sporu. Dôležitou môže byť aj povinnosť poskytovateľa služby oznámiť zákazníkovi únik dát napríklad z dôvodu hackerských útokov alebo záväzok zlikvidovať dáta po skončení využívania služby.

Je zrejmé, že vzťah s poskytovateľom cloudového riešenia, tak ako každý iný obchodný vzťah, vyžaduje určitú mieru dôvery. Tá dôvera však musí byť budovaná na pevných základoch vhodne zvoleného právneho riešenia. Takéto riešenie dobrý obchodník spolu s dobrým právnikom vždy nájde aj podľa súčasnej právnej úpravy, ak bude právnym otázkam včas venovať dostatočnú pozornosť. A nezmieri sa len s aplikáciou štandardných obchodných podmienok.

Autori sú právnici advokátskej kancelárie Havel, Holásek & Partners.

Na čo v oblakoch dáva pozor právnik