Inominátní smlouva - o poskytování služeb cloud computingu

Cloud computing je model poskytování služeb, kde ke sdílitelným a konfigurovatelným výpočetním prostředkům byl zajištěn pro uživatele pohodlný a na jejich žádost realizovaný přístup, a to rychle, s minimálními požadavky na uživatele a také s minimálními požadavky na komunikaci s poskytovatelem, prostředků.¹⁾

Uživatel nemá uložena data na svém vlastním počítači, ale připojuje se na vzdálená zařízení poskytovatele, který mu tyto služby poskytuje a kterému za takovou činnost platí odměnu. Systém je samoobslužný, tzn., že uživatel může nastavovat úroveň poskytovaných služeb bez nutnosti zásahu pracovníka poskytovatele.

Mezi výhody této služby patří snížené náklady na vlastnictví IT infrastruktury²⁾, možnost využít propracovanou IT infrastrukturu, vyškolené techniky, velká zálohovací centra, bezpečnostní mechanismy, zkušenosti poskytovatele.

Zároveň je možné alespoň částečně rozložit odpovědnost za případnou škodu.

Nevýhodou může být menší stupeň kontroly prostředí ICT a vyšší riziko pro bezpečnost dat.

Smlouvy o poskytování služeb cloud computingu bývají často uzavírány takzvaným adhezním způsobem. Adhezní smlouvy jsou takové smlouvy, kde nedochází mezi smluvními stranami k vyjednávání o obsahu smlouvy, neboť poskytovatel služby má nastavený určitý model služby předem. Jsou obvykle založeny na principu „take it or leave“, přičemž jedna strana předloží znění smlouvy a druhá strana návrh buď přijme, či odmítne. Smluvní podmínky jsou stanoveny ekonomicky silnější stranou (poskytovatelem služby), přičemž v tomto smluvním vztahu slabší strana (uživatel) nemá možnost obsah takové smlouvy ovlivnit. Pro tento typ služby však takový typ smlouvy není vhodný. Uživatel by měl mít možnost smlouvu modifikovat tak, aby vyhovovala především jeho potřebám.

Uživatel by měl mít možnost především upravit následující parametry.

Klíčové jsou příslušné parametry SLA³⁾ a vlastní definice povinností poskytovatele ve vztahu k dané službě. Cena za poskytované služby bude dozajista ovlivněna volbou parametrů SLA (čím přísnější požadavky na službu, tím bude pravděpodobně vyšší cena). Plnění bude poskytováno formou služby, je tedy nezbytné sledovat, jakým způsobem jsou dané povinnosti formulovány a budou dodržovány. Je možné zaplatit za přísnější parametry SLA, ale v případě, že je závazek poskytovatele omezen (např. vyvinutím veškerého možného úsilí), pak zvýšená cena případný problém nemusí vyřešit. Parametry SLA je vhodné nastavit dle vlastních potřeb a požadavků na dostupnost systémů či dat. Je např. zbytečné vyžadovat dostupnost systému NONSTOP, když vlastní pracovní doba je od 8:00 – 17:00 hod apod. Bývá zvykem sladit dané parametry SLA, tak aby odpovídaly parametrům SLA u dalších navazujících systémů, které uživatel také používá, tak aby bylo zajištěno, že jednotlivé systémy budou funkční po celou dobu, kdy je uživatel potřebuje. Nastavení parametrů SLA má do značné míry vliv na cenu, proto je nezbytné, aby této části uživatel věnoval dostatečnou pozornost a především, aby tyto parametry měl zaneseny písemně. Nedodržení parametrů SLA by mělo být řešeno ve smlouvě a měly by z nich plynout příslušné sankce pro poskytovatele. Obvykle za určitou časovou periodu by poskytovatel měl uživateli předložit informace o tom, jak jednotlivé SLA byly dodržovány.

Jakmile je nadefinována kvalita služby, je nezbytné nastavit ještě parametry ochrany osobních údajů. Samotné prohlášení ze strany poskytovatele, že jeho služba má zajištěnu ochranu osobních údajů, by nemělo být pro uživatele dostatečné. Proč? Protože není nikde definováno, jak poskytovatel služby zajistil ochranu osobních údajů. Proto pro prokázání zajištění zabezpečení ochrany osobních údajů je vhodné doplnit smlouvu o přílohu, která bude obsahovat ochrany osobních údajů, kde je popsáno, jak poskytovatel danou ochranu zabezpečuje. Opatření by měla obsahovat informace o tom, jak se s daty zachází, kdo a za jakých podmínek k nim má přístup, jak se k datům bude přistupovat, kdo a proč má k datům přistoupit, seznam automatizovaných činností přistupujících k datům, jaké aplikace apod.

Daná opatření by měl uživatel následně nejprve zkontrolovat a vyhodnotit, zda jsou pro něj dostatečná, a pokud nejsou, musí s ohledem na ochranu svých osobních údajů buď přimět poskytovatele, aby daná opatření zvýšil na požadovanou úroveň, anebo poskytovatele vyměnit. Je nezbytně nutné si uvědomit, že tyto parametry mohou do budoucna mít zásadní vliv na prokázání zavinění a případné škody ze strany poskytovatele.

Dalším důležitým ustanovením je odpovědnost poskytovatele, včetně případných sankcí a smluvních pokut. Toto je velice důležité zejména z pohledu právní úpravy pro ochranu osobních údajů. Co by mělo být především sjednáno, je formulace odpovědnosti za nedostupnost služby, nesplnění parametrů SLA, nedodržení Technicko-organizačních opatření, případně za ztrátu či kompromitaci svěřených dat, je-li vůbec možnost o ní jednat. I zde je potřeba sledovat, jakým způsobem je tato odpovědnost specifikována včetně toho, v jakém rozsahu bude případná škoda hrazena (například pouze škoda skutečná; částka odpovídající roční ceně za poskytované plnění a podobně).

Pozornost by měla být rovněž věnována způsobům, jakým lze měnit parametry poskytované služby. Možnost poskytovatele jednostranně měnit tyto parametry nemusí být pro uživatele akceptovatelná. A pokud nelze docílit, aby taková změna podléhala dohodě, pak by minimálně měla být upravena předchozí notifikační povinnost, včetně možnosti uživatele v případě změny smlouvu ukončit.

Ochrana a bezpečnost dat jsou jednou z nejdůležitějších otázek, které někteří potenciální uživatelé označují jako důvod, proč s přechodem na cloud stále váhají. Otázky týkající se zejména lokace datového centra, ochrany a bezpečnosti dat i ve vztahu k povinnostem, které k některým datům uživatele vyplývají z příslušných právních předpisů, jsou zásadní, pokud už má dojít ke ztrátě kontroly uživatele nad jejich umístěním.

Dalším okruhem, který nelze podceňovat, je také doba uchovávání dat pro případ ukončení cloudových služeb (například přístupnost dat v okamžiku ukončení; ochranná doba pro získání dat; zpoplatnění takové služby a podobně).

Na straně uživatele je potřeba také pamatovat na to, že výhoda možnosti dynamicky měnit za běhu rozsah služby musí být vyvážena důsledným nastavením pravidel pro změnové řízení (kdo má oprávnění měnit rozsah služby a tak dále).

Musíme si uvědomit, že provedením příslušné změny je tato služba zkonzumována a nelze ji jen tak jednoduše vrátit (princip „pay as you go“).

Smlouva by měla výslovně stanovit, že poskytovatel nesmí sdělovat údaje třetím stranám, s výjimkou subdodavatelů, pokud uživatel souhlasil s jejich zapojením. Zároveň by měla být uvedena povinnost poskytovatele informovat uživatele v situaci, kdy státní orgán vyžaduje přístup k uloženým datům. Poskytovatel by měl také uvést seznam lokalit, kde budou data uložena. Data mohou být uložena na různých místech v různých zemích. Poskytovatel by proto měl uživatele informovat o tom, ve kterých zemích jsou data umístěna.

Subjekty, které hrají hlavní roli při zpracování osobních údajů, jsou správce a zpracovatel. Správce nese hlavní odpovědnost za zpracování osobních údajů, včetně toho, aby zpracování bylo plně v souladu s Nařízením Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Poskytovatel pak bude ve většině případů vystupovat jako zpracovatel osobních údajů, který byl pověřen ke zpracovávání osobních údajů tím, že si u něj byla objednána služba cloudu, do kterého jsou následně osobní údaje ukládány.

Mezi správcem a zpracovatelem musí být uzavřena písemná smlouva o zpracování, která musí naplnit všechny parametry podle článku 28 Obecného nařízení. Podle článku 28 Obecného nařízení smí správce pro zpracování využít pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.

Smlouva musí obsahovat:

Článek 28 Obecného nařízené uvádí, že , je zjevné, že jedná o povinné náležitosti, ale nikoli o výčet. Smlouva o zpracování může obsahovat celou řadu dalších povinností a práv a ujednání, jejichž obsah si mohou určit v rámci smluvní volnosti samy smluvní strany a které namodelují smlouvu zcela podle jejich potřeb.

V neposlední řadě také přílohu Technicko-organizační opatření, tak jak byla popsána výše.

Na závěr lze říci, že v důsledku rozvoje IT, snaze uživatelů ušetřit výdaje a také snaze poskytovatelů nabízet na trhu komplexnější řešení pro dané uživatele bude význam cloud computingu či jeho případných mutací vzrůstat. Uživatelé budou hledat celkově vyhovující řešení, což souvisí i s obsahem příslušné smlouvy. K ní by měli přistupovat zodpovědně. K tomu kromě jiného patří i dostatečná praxe (znalost) osob, které je budou posuzovat. U poskytovatelů bude zajímavé sledovat, do jaké míry budou v tržním prostředí ochotni své služby customizovat, respektive upravovat na míru příslušným uživatelům, což se týká i toho, v jakém rozsahu bude návrh smlouvy k jednání.