Moc obliczeniowa oraz możliwości komputera są zasadniczo ograniczone możliwościami posiadanego przez nas sprzętu oraz oprogramowania. Jednak, co ma począć przedsiębiorca w sytuacji, gdy musi udostępnić swoim pracownikom kosztowne oprogramowanie i związaną z nim potężną infrastrukturę? Może to być szczególnie istotne w przypadku maszyn do edycji wideo w HD, programów do projektowania budynków, itp. Koszty dostarczenia, wdrożenia, aktualizacji, serwisu i obsługi elementów software oraz hardware są częstokroć bardzo wysokie. W celu obniżenia tych kosztów powstała nowa grupa usług w zakresie IT – cloud computing, czyli tzw przetwarzania w chmurze.

Próba definicji

W celu przybliżenia czytelnikowi znaczenia tego pojęcia, nie da się niestety uniknąć technicznych określeń. Zasadniczo, przetwarzanie w chmurze można opisać jako outsourcing usług IT poza własne przedsiębiorstwo. Pojęcie to jest związane z wirtualizacją. Przykładowo, w wirtualizacji, symulowany jest sprzęt komputerowy dla celów uruchamiania wielu systemów operacyjnych.

Cloud computing jest naturalną konsekwencją popularności wirtualizacji oraz outsourcingu. Jego celem jest zapewnienie zasobów IT (zarówno software jak i hardware) na żądanie użytkowników. Przetwarzanie nie odbywa się wewnątrz struktury przedsiębiorstwa, lecz poza nim, u usługodawcy.

Modele „techniczne” przetwarzania w chmurze

Kolokacja

Kolokacja w skrócie sprowadza się do tego, iż usługodawca udostępnia usługobiorcy jedynie przestrzeń na infrastrukturę sieciową jego organizacji, tj. tzw. serwerownię, meble – Server racks, usługi klimatyzacji, połączenia z siecią elektryczną, urządzeń UPS, dostępu do LAN, itp. Oprogramowanie oraz osprzęt pochodzi od usługobiorcy.

Kolokacja jest pojęciem prawnym. W rozumieniu art. 2 pkt 15 Prawa telekomunikacyjnego, oznacza ono:


udostępnianie fizycznej przestrzeni lub urządzeń
technicznych w celu umieszczenia i podłączenia
niezbędnego sprzętu operatora podłączającego swoją sieć
do sieci innego operatora lub korzystającego z dostępu do
lokalnej pętli abonenckiej.

Ponadto, warto nadmienić, iż przepis art. 29 ustawy o wspieraniu rozwoju usług i sieci telekomunikacyjnych zawiera określone obowiązki przedsiębiorcy telekomunikacyjnego w zakresie przekazywania informacji Prezesowi UKE o posiadanej infrastrukturze telekomunikacyjnej, publicznych sieciach telekomunikacyjnych i budynkach umożliwiających kolokację. Do tego przepisu zostało wydane rozporządzenie określające szczegóły tej inwentaryzacji.

Infrastructure as a Service (IaaS)

W modelu IaaS, usługodawca udostępnia, obsługuje, serwisuje osprzęt – tj. serwery, dyski twarde. Oprogramowanie, bazy danych, systemy operacyjne pozostają odpowiedzialnością usługobiorcy.

Platform as a Service (PaaS)

Poza udostępnianiem infrastruktury, w ramach PaaS, usługodawca zapewnia system operacyjny, na którym usługobiorca ma możliwość uruchamiania lub pisania własnego oprogramowania.

Software as a Service (SaaS)

Najdalej idący model przetwarzania w chmurze zakłada świadczenie usług w zakresie udostępniania infrastruktury, systemu operacyjnego oraz gotowych aplikacji. Przykładem zastosowania takiego modelu mogą być chociażby skrzynki e-mailowe udostępniane przez popularne witryny internetowe.

Kilka kwestii prawnych

Branża IT z naturalnych względów koncentruje się na możliwościach technologicznych. Często jednak nie idzie za tym dbałość o takie aspekty jak bezpieczeństwo danych czy kwestie prawne związane z wzajemną odpowiedzialnością stron umowy czy też ochroną praw własności intelektualnej lub danych osobowych.

  • Business Continuity oraz bezpieczeństwo danych

Pierwszym i oczywistym zagrożeniem będzie ryzyko działania hackerów. Skandale wywołane przez Wikileaks  potwierdzają, że dane mogą wyciec z chmury łatwo a straty np. reputacyjne mogą być trudne do skwantyfikowania.

Z punktu widzenia usługobiorcy korzystającego z usług cloud computing ważkie znaczenie ma zarówno bezpieczeństwo danych (tajemnice przedsiębiorstw, telekomunikacyjne, bankowe) jak i ciągłość dostarczanych usług.

W tym względzie istotne będą zapisy umowne dostosowane do konkretnej sytuacji, w szczególności te dotyczące ponoszenia odpowiedzialności przez strony, również w przypadku zdarzeń losowych – powodzi, pożaru, etc. Standardowe zapisy umowne, nawet te , które wystarczą dla (w uproszczeniu) „typowej”  umowy outsourcingu IT mogą nie wystarczyć. W przypadku chmury, to usługodawca „trzyma wtyczkę” i z punktu widzenia usługobiorcy, kluczowe będzie zapewnienie, że z błahego czasem powodu lub nieporozumienia, ciągłość prowadzenia biznesu nie będzie zagrożona.

  • Ochrona danych osobowych

Jedną z najdonioślejszych kwestii prawnych związanych z przetwarzaniem w chmurze będzie ochrona danych osobowych .

Podstawą modeli cloud computing jest przetwarzanie w miejscu poza siedzibą usługobiorcy. Oznacza to, iż serwery mogą znajdować się poza krajem tej siedziby. Jeżeli w ramach tego przetwarzania są dane osobowe, może to rodzić odpowiednie skutki w zakresie wymagań ustawy o ochronie danych osobowych.

Art. 47 ust 1. ustawy o ochronie danych osobowych stanowi:


Przekazanie danych osobowych do państwa trzeciego
może nastąpić, jeżeli państwo docelowe daje
gwarancje ochrony danych osobowych
na swoim terytorium przynajmniej takie,
jakie obowiązują na terytorium Rzeczypospolitej Polskiej.

Nie wchodząc w tym miejscu w bardziej szczegółowe rozważania ,należy jedynie zasygnalizować, iż szczególnie kwestie przetwarzania danych poza granicami Unii Europejskiej, ewentualne klauzule safe harbour, przepisy szczególne dotyczące no banków ,domagają się szczególnej uwagi w konstrukcji Cloud computing.

  • Prawo właściwe

Także kwestia prawa właściwego może nastręczać kłopotów zarówno usługobiorcy jak i usługodawcy. Problematyczna może się okazać konfiguracja, w której to usługodawca dzierżawi serwery od podmiotów trzecich z całego świata. Istotne znaczenie może tu mieć Rozporządzenie Parlamentu Europejskiego i Rady (WE) Nr 593/2008 z dnia 17 czerwca 2008 r. w sprawie prawa właściwego dla zobowiązań umownych (Rzym I). przetwarzania w chmurze.

  • Prawa autorskie

W ramach modelu PaaS oraz SaaS oprogramowanie tworzy lub częściej wykupuje usługodawca, po czym udostępnia korzystanie usługobiorcy.

Umowy licencyjne na programy operacyjne, bądź aplikacje mogą zawierać postanowienia uniemożliwiające korzystanie z nich w chmurze lub wprowadzać istotne ograniczenia. W przypadku naruszenia praw autorskich, uprawniony może dochodzić odszkodowania od wszystkich korzystających, tj. zarówno od usługodawcy, jak i usługobiorcy.

Zamiast konkluzji

Niniejszy wpis nie był zamierzony na wyczerpujące opracowanie tematów prawnych związanych z przetwarzaniem w chmurze. Wyobrażamy sobie , że już część zagadnień zasygnalizowanych powyżej , może stanowić kanwę do kolejnych artykułów, a są z pewnością  interesujące tematy jeszcze nawet nie wspomniane. Na forum w Davos w styczniu 2011 Neelie Kroes wezwała usługodawców cloud computing do zwiększenia poziomu ochrony danych. Komisja Europejska chce opracować we współpracy z branżą „strategię Cloud computing”, która w efekcie ma doprowadzić do zmiany przepisów prawa Unii Europejskiej. Tym bardziej, zachęcamy do śledzenia naszych wpisów!

Jakub Kubalski

Jakub Kubalski
Adwokat, Senior Associate

jakub.kubalski@dzp.pl

Janina Ligner-Żeromska

Janina Ligner-Żeromska


janina.ligner-zeromska@dzp.pl

komentarze 4

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *