Zalety wykorzystywania chmury obliczeniowej wymagają dokładnego przygotowania i wprowadzenia zmian zarówno w zakresie technologicznym, jak i organizacyjnym. Wyzwaniem jest dostosowanie oczekiwań zamawiającego do gotowych rozwiązań oraz warunków umowy, które dostawca usługi chmurowej oczekuje. W kontekście usług chmurowych dostawcy zazwyczaj posiadają silną pozycję, co może prowadzić do odwrócenia ról w procesie tworzenia umowy. Praktyka pokazuje, że to dostawca często narzuca swoje warunki, w tym warunki SLA i zasady odpowiedzialności, a umowa może mieć charakter umowy adhezyjnej, co utrudnia jej zmianę.

Czytaj też: Samorządowe centra usług wspólnych czeka rewolucja 4.0

Ujednolicenie warunków i zobowiązań

W obszarze usług typu PaaS lub IaaS, dostawcy często działają za pośrednictwem partnerów lub dystrybutorów. W takich przypadkach dostawca usług chmurowych nie będzie bezpośrednim wykonawcą zamówienia, lecz będzie działał jako podwykonawca partnera składającego ofertę i zawierającego umowę z zamawiającym. W związku z tym, projekt umowy, w szczególności projekt proponowany przez zamawiającego w ramach postępowania przetargowego, powinien uwzględniać dopuszczenie możliwości korzystania przez wykonawcę z usług podwykonawców, gwarancję spełnienia przez podwykonawców tych samych wymagań i obowiązków, które stawiane są wykonawcy, a także gwarancję, że warunki świadczenia usług przez podwykonawców zapewnią możliwość prawidłowej realizacji umowy.

Z drugiej strony, uwzględniając perspektywę partnerów lub resellerów dużych dostawców chmurowych, możliwe do powzięcia zobowiązania ograniczone są umowami i zabezpieczeniami podjętymi przez dostawców chmurowych. W innym zaś przypadku to partner ryzykuje, zgadzając się na zobowiązania, których nie jest w stanie spełnić.

Ważne jest zrozumienie, że usługi chmurowe różnią się od innych, dlatego pewne konstrukcje umowne mogą być niewłaściwe. Przykłady obejmują ustalanie wynagrodzenia na podstawie fikcyjnych parametrów, szczegółowe procedury odbiorcze, regulacje dotyczące zgłaszania i usuwania awarii oraz stosowanie kar umownych. Umowa musi być dostosowana do specyfiki usług chmurowych, jednocześnie zabezpieczając interesy obu stron.

Sprawdź w LEX: Jak opodatkować usługi wdrażania, instalacji i konfiguracji różnego oprogramowania na serwerach, zasobach chmurowych i komputerach użytkowników? >

Exit plan

Jednym z kluczowych aspektów dla odpowiedniego zabezpieczenia interesów zamawiającego jest zagwarantowanie sobie możliwości zmiany dostawcy usług chmurowych lub przeniesienia poszczególnych systemów lub procesów na własną infrastrukturę. W przeciwnym wypadku może się okazać, że migracja danych lub procesów od dostawcy chmury obliczeniowej będzie bardzo kosztowna lub skomplikowana z perspektywy technicznej, a w skrajnych przypadkach – okaże się niemożliwa bez utraty przynajmniej części danych. Projekt umowy na świadczenie usług przetwarzania w chmurze obliczeniowej powinien zatem zapewniać zamawiającemu niezależność od dostawcy usług w najszerszym możliwym zakresie. Można to osiągnąć poprzez chociażby zapewnienie zamawiającemu możliwości migracji danych w możliwym do odczytania formacie lub zobowiązanie dostawcy do przekazania zamawiającemu wszystkich informacji istotnych z perspektywy możliwości dalszego wykorzystania danych przechowywanych lub przetwarzanych w chmurze.

Należy również pamiętać, że migracja danych jest czasochłonnym procesem, który powinien zostać uwzględniony przy określeniu terminów wypowiedzenia umowy.

Sprawdź w LEX: Kiedy powstają przychody z pośrednictwa w udostępnianiu usług chmurowych? >

Bezpieczeństwo usług

Umowa na świadczenie usług przetwarzania w chmurze obliczeniowej powinna uwzględniać oczekiwane przez zamawiającego środki na rzecz cyberbezpieczeństwa właściwe proporcjonalnie i adekwatnie do oszacowanego poziomu ryzyka. Z uwagi na fakt, że usługa chmurowa ma charakter cyfrowy, zastosowanie znajdą regulacje wynikające z ustawy o świadczeniu usług drogą elektroniczną, wskazujące, że usługodawca musi zapewnić taki poziom bezpieczeństwa, by uniemożliwić osobom nieuprawnionym dostęp do treści przekazu składającego się na usługę. Niedopełnienie tego wymogu może być podstawą do pociągnięcia dostawcy usługi do odpowiedzialności, co szczególnie istotne z perspektywy partnerów i resellerów usług chmurowych. Ustawa nakłada na dostawców również obowiązek stworzenia regulaminu świadczenia usług drogą elektroniczną oraz jego nieodpłatnego udostępnienia usługobiorcy przed zawarciem umowy.

Zobacz nagranie szkolenia: Przetwarzanie danych osobowych w chmurze >

Przetwarzanie danych osobowych

W kwestii ochrony danych osobowych umowa musi uwzględniać przepisy RODO i odpowiednie zabezpieczenia danych. Dostawcy, w tym partnerzy czy resellerzy rozwiązań chmurowych, nie mogą zlecać przetwarzania danych osobowych bez zgody administratora.

Wskazując na zależności związane z bezpieczeństwem danych, zapewnieniem ich poufności oraz zabezpieczeniem procesów związanych z przetwarzaniem danych, z jednej strony wskazać należy, iż bez względu na zastosowane środki bezpieczeństwa oraz zobowiązania kontraktowe podmiot przetwarzający dane może zostać pociągnięty do odpowiedzialności, gdyby okazało się, że wykorzystywane przez niego zabezpieczenia okazały się być niewystarczające. 

Sprawdź w LEX: Czy konieczne jest wyznaczenie inspektora ochrony danych osobowych w firmie świadczącej rozwiązania chmurowe? >

Z drugiej strony należy pamiętać, że to na zamawiającym będącym administratorem danych, w szczególności danych osobowych, spoczywa podstawowa odpowiedzialność za ich ochronę. Dlatego też jego zadaniem jest wybranie wiarygodnego, rzetelnego, gwarantującego poprawne i bezpieczne przetwarzanie danych dostawcy usług chmurowych. Decyzja musi opierać się przede wszystkim na dokładnie przeprowadzonej analizie ryzyka oraz skrupulatnej ocenie kompetencji podmiotu oferującego świadczenie usług w chmurze. Incydent, który zdarzy się operatorowi przetwarzającemu dane, będzie miał bowiem wpływ również na sytuację prawną i wizerunek zamawiającego. Niedopełnienie tych obowiązków może prowadzić do odpowiedzialności obarczonej w szczególności wysokimi karami administracyjnymi.

Czytaj w LEX: RODO w IT: chmurowe przetwarzanie danych osobowych - typy chmur oraz ich wady i zalety >

Nowość

Nowość

Prawo sztucznej inteligencji i nowych technologii 2

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź  

Tajemnica przedsiębiorstwa i rozliczalność danych

W zakresie ochrony danych poufnych, zastosowanie będą miały zapisy ustawy o zwalczaniu nieuczciwej konkurencji oraz ustawy o ochronie informacji niejawnych. Ta ostatnia ustanawia specjalne warunki ich przetwarzania we wszelkiego rodzaju systemach teleinformatycznych, co może skutkować tym, że zastosowanie w praktyce chmury może okazać się niemożliwe lub co najmniej utrudnione. Warto więc zweryfikować możliwości przeniesienia usług do chmury przed podjęciem zaawansowanych negocjacji umowy.

Zobacz w LEX: Data Privacy Framework - transfery danych do USA po nowemu >

Warunki finansowe

Kwestie finansowe są istotne przy analizie umowy z uwagi na towarzyszącą im specyfikę. Usługi świadczone w chmurze, w szczególności w modelu IaaS lub PaaS rozliczane są z reguły według ich rzeczywistego wykorzystania (tj. w modelu pay as you go). Należy zatem sprawdzić dodatkowe opłaty i elastyczność umowy w przypadku chociażby zmian liczby użytkowników.

Zabezpieczenie realizacji zobowiązań umownych

Stosowanie kar umownych na wypadek niedochowania gwarantowanego poziomu świadczenia usług lub terminów usunięcia awarii zwykle nie są akceptowane przez dostawców chmury publicznej. W zamian jednak zamawiający może uzyskać właściwe zabezpieczenie poprzez uzgodnienie innego rodzaju rekompensat niż kary umowne, w tym upusty (tzw. credits) czy tokeny (możliwe do wykorzystania przez zamawiającego na inne usługi w późniejszym czasie lub obniżające wysokość wynagrodzenia należnego do zapłaty przez zamawiającego).

Jednostronna zmiana warunków umownych

Należy przenalizować czy i w jakim zakresie dostawca może jednostronnie zmieniać warunki umowy,
w szczególności czy dotyczy to kluczowych parametrów kontraktu. Niestety część dostawców chmurowych przyznaje sobie w tym zakresie bardzo duże uprawnienia, choć zazwyczaj przy właściwym podejściu i szacunku ryzyka są one możliwe do zmitygowania.

Powyższe kwestia istotna jest również z uwagi na zastrzeganą możliwość zmiany zakresu świadczeń przez dostawców chmurowych wynikającą chociażby z aktualizacji oprogramowania. Rozwój oprogramowania co do zasady stanowi zjawisko pożądane przez zamawiających, jednakże, jeśli zamawiający funkcjonuje w sektorze znacząco obwarowanym przepisami prawa, to wprowadzenie takich zmian w oprogramowaniu może okazać się bardzo dużym ryzykiem wymagającym każdorazowej analizy spełnienia warunków wymaganych przepisami prawa i wytycznych wydanych przez organy nadzorcze. Należy zatem przenalizować, jaki jest okres wprowadzania poprawek, monitowanie takich zmian, a wreszcie czy istnieje możliwość korzystania, a jeżeli tak – to przez jaki okres, z wersji usługi niezawierającej proponowanych przez dostawcę modyfikacji w oprogramowaniu.

Znaczna liczba rozproszonych przepisów, które mają wpływ na ostateczny kształt kontraktów chmurowych, sprawia, iż coraz bardziej znacząca staje się na gruncie działalności gospodarczej rola umów między dostawcami i użytkownikami rozwiązań chmurowych. Dzięki nim można bowiem w miarę precyzyjnie określić konkretne, wzajemne zobowiązania i relacje oraz dostosować oczekiwane rozwiązania do istniejących potrzeb i możliwości.

Czytaj w LEX: Jakie mogą być przeciwwskazania do przechowywania danych wrażliwych lub poufnych dla organizacji na serwerze zewnętrznym? >

Podsumowując, umowa na usługi chmurowe jest kluczowa dla zapewnienia skutecznego i bezpiecznego wykorzystania technologii chmurowych, również z uwagi na znaczną liczbę przepisów wymagających odpowiedniego zaadresowania z uwzględnieniem wzajemnych oczekiwań stron. Dokładna analiza ryzyka oraz profesjonalne negocjacje umożliwiają precyzyjne określenie wzajemnych zobowiązań i uprawnień, dostosowując warunki do zidentyfikowanych potrzeb obu stron umowy oraz chroniąc interesy każdej z nich.

Katarzyna Ożga, radca prawny w Deloitte