Dekalog umowy SaaS 18 października 2017 Tomasz Zalewski Radca prawny Wierzbowski Eversheds Sutherland
Dekalog chmuroluba http://www.giodo.gov.pl/259/id_art/6271/j/pl 2
Saas, Paas i IaaS 3
Trzy akty prawne Ustawa o prawie autorskim i prawa pokrewnych (PrAut) Ustawa o usługach świadczonych drogą elektroniczną (Usude) Rozporządzenie ogólne o ochronie danych osobowych (RODO) 4
Prawo autorskie Korzystanie z chmury w modelu SaaS wymaga przede wszystkim licencji prawnoautorskiej Autorskie prawa majątkowe do programu komputerowego obejmują bowiem: prawo do trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie; w zakresie, w którym dla wprowadzania, wyświetlania, stosowania, przekazywania i przechowywania programu komputerowego niezbędne jest jego zwielokrotnienie, czynności te wymagają zgody uprawnionego 5
Usude Saas to przede wszystkim usługa świadczona drogą elektroniczną świadczenie usługi drogą elektroniczną - wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjne 6
RODO SaaS to przede wszystkim przetwarzanie danych osobowych Zwłaszcza, że RODO wprowadza srogie sankcje finansowe za nieprzestrzeganie przepisów Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. RODO reguluje także szczegółowo kwestie związane z przetwarzaniem danych przez osobę trzecią, które wprost są stosowalne do SaaS 7
Trzy akty prawne razem Saas to jednak przede wszystkim umowa Umowa, w której trzeba uregulować: Zasady korzystania z usługi SaaS Oferowane funkcjonalności i pakiety usług Zasady dostępu do usługi Zasady płatności Zasady przedłużania/rozwiązania Zasady usuwania błędów i awarii Zasady przetwarzania danych osobowych Zasady zmiany zakresu funkcjonalności Zasady wzajemnej kontroli przez strony jej przestrzegania Etc. 8
SaaS to całkowicie nowy model korzystania z oprogramowania Tradycyjne instalowane oprogramowanie Software as a Service Licencja zwykle na czas nieoznaczony Możliwość zbycia Korzystanie przez czas płacenia abonamentu Nie można przenieść Nowe wersje płatne oddzielnie Nowe wersje w cenie Odrębnie płatny serwis/maintenance Serwis w cenie 9
Różne drogi do SaaS - historia Producenci oprogramowania w modelu tradycyjnym (dystrybucja oprogramowania komputerowego), którzy zaczęli oferować je w modelu SaaS SaaS równolegle z modelem tradycyjnym SaaS jako metoda sprzedaży dla nowych produktów Proponują zwykle umowę licencyjną na korzystanie z oprogramowania w chmurze Dostawcy, którzy nigdy nie oferowali tradycyjnego oprogramowania proponują umowę o świadczenie usług drogą elektroniczną czasami oferują także model on-premises, czyli SaaS instalowany w infrastrukturze klienta 10
Różne drogi do SaaS konsekwencje w proponowanych umowach Umowa licencyjna na korzystanie z oprogramowania w chmurze Punkt ciężkości to udzielenie licencji Długa lista obowiązków usługobiorcy Brak uwzględnienia specyfiki usługi świadczonej drogą elektroniczną Umowa o świadczenie usługi drogą elektroniczną Ma formę standardowego regulaminu Często prawie takiego jak w sklepie internetowym Trudno w niej odnaleźć postanowienia uwzględniające to, że SaaS jest funkcjonalnym odpowiednikiem oprogramowania komputerowego 11
Dekalog SaaS propozycja checklisty dla użytkownika i dostawcy SaaS to przeważnie zawieranie umów poprzez akceptację regulaminu SaaS to konieczność ujednolicenia nie tylko usługi ale i zasad korzystania z niej Jeśli regulamin jest jednostronny, to wielu klientów zrezygnuje z usługi Jak zatem uregulować zagadnienia istotne dla obu stron i tak, aby obie uznały je za satysfakcjonujące? Dekalog SaaS próba stworzenia listy kontrolnej W każdej umowie SaaS muszą być uregulowane zagadnienia z Dekalogu 12
Przykazanie pierwsze wskaż, jaką usługę dostarczasz Regulamin to umowa Klienta interesuje jednak w pierwszej kolejności, co konkretnie kupuje: jakie funkcjonalności jakie są ograniczenia tych funkcjonalności czy planowane są nowe czy planowane są zmiany do czego zobowiązuje się dostawca (czy do należytej staranności czy do konkretnego rezultatu?) Dostawca też lepiej będzie zabezpieczony, jeśli: wskaże dokładnie co oferuje, a co nie określi planowane zmiany w tym zakresie Opis niekoniecznie w regulaminie, raczej w odrębnym dokumencie Czy dostawca gwarantuje zgodność usługi np. z obowiązującym prawem? 13
Przykazanie drugie wskaż, w jaki zapewniona będzie jakość usług Service Level Agreement (SLA) Standardy świadczenia usług (dostępność, zasady kalkulacji wskaźników etc.) Zasady raportowania o jakości usług Zasady postępowania w razie problemów (usuwanie błędów i awarii, czas reakcji, czas usunięcia problemu) Zasady postępowania, gdy jakość jest poniżej gwarantowanego (np. tzw. kredyty) Zasady przeprowadzania prac konserwacyjnych 14
Przykazanie trzecie opisz, jak świadczysz usługę W przypadku SaaS nie obowiązuje zasada, że klienta nie powinno interesować, jak dostawca zapewnia świadczenie usługi Dostawca powinien wskazać klientowi: Gdzie znajdują się fizycznie serwery i inna infrastruktura, z których korzysta do świadczenia usługi (i powiadomić o zmianach) Czy korzysta z podwykonawców, a jeśli tak, to z których konkretnie i co oni robią (i powiadomić klienta o zmianach) Dane te są potrzebne: w celu oceny ryzyk prawnych W celu oceny ryzyk faktycznych W celu oceny kwestii dotyczących przetwarzania danych osobowych 15
Przykazanie czwarte opisz, jak zapewnione będzie bezpieczeństwo świadczonych usług Zobowiązania umowne dotyczące poufności są zobowiązaniami formalnymi Usługobiorca powinien wiedzieć konkretnie, jak poufność i bezpieczeństwo jego danych będzie zapewnione Jeśli oferowane jest szyfrowanie, stosowany mechanizm powinien być dokładnie opisany Klient powinien być powiadamiany o wszystkich incydentach bezpieczeństwa! Dostawca powinien wskazać klientowi: Jakie stosuje środki bezpieczeństwa w odniesieniu do swojej infrastruktury? Jak klient może uzyskać dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych dot. bezpieczeństwa? Jak robi kopie bezpieczeństwa? Jak często? Zapewnienia dotyczące bezpieczeństwa danych powinny być weryfikowalne Zgodność z normami ISO potwierdzona Regularny audyt plus audyty w razie incydentów bezpieczeństwa Dostęp klienta do wyników audytów 16
Przykazanie piąte opisz zasady odpowiedzialności SaaS jest funkcjonalnym odpowiednikiem umowy licencyjnej na program komputerowy, ale ryzyko dla użytkownika jest znacznie wyższe! Awaria u dostawcy może oznaczać paraliż działalności klienta! Dostawcy bardzo ograniczają swą odpowiedzialność, w zamian często powołując się na swoją wiarygodność biznesową Cyberbezpieczeństwo to klasyczny ruchomy cel można starać się je zapewnić, ale nie zagwarantować Umowa powinna: wskazywać wyraźnie na wyłączenia odpowiedzialności wskazywać, czy dostawca jest ubezpieczony 17
Przykazanie szóste opisz jak są przetwarzane dane osobowe Na podstawie RODO odpowiedzialność za naruszenie przepisów o ochronie danych osobowych ponosi zarówno klient jak i dostawca (jako administrator i jako podmiot przetwarzający dane) Umowa powinna zawierać postanowienia wymagane dla zawarcia umowy o powierzenie przetwarzania danych osobowych, która powinna wskazywać m.in: przedmiot i czas przetwarzania danych, ich rodzaj, charakter, a także cel przetwarzania, zastosowanie przez dostawcę chmury odpowiednich środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danym osobowym zaakceptowania przez administratora danych (usługobiorcę) wykorzystywania przez dostawcę podwykonawców oraz, jeśli mają oni świadczyć usługi, nałożenia na nich takich samych obowiązków w zakresie przetwarzania danych osobowych, jakie ciążą na dostawcy Dostawca musi zapewnić usunięcie lub zwrot danych osobowych po zakończeniu świadczenia usług Klient jako administrator musi otrzymywać informacje od dostawcy o zakresie ochrony danych oraz przeprowadzeniu audytu Dostawca musi spełnić szczególne warunki w sytuacji transferu danych osobowych za granicę, do kraju innego niż należący do EOG 18
Przykazanie siódme opisz jak klient może odzyskać swoje dane z usługi Na podstawie RODO dostawca musi zapewnić przenoszalność danych osobowych To wymaganie to wierzchołek góry lodowej Wiele SaaS przetwarza dane nieosobowe np. dotyczących sprzedaży, towarów, stanów magazynowych Dostawca musi zapewnić klientowi przenoszalność danych Umowa musi być szczegółowa w zakresie przenoszalności danych: format danych odpowiednie terminów na dokonanie eksportu udostępnienie narzędzi do eksportu koszt eksportu w razie, gdy dostawca nie zapewnia stosownych narzędzi Przenoszalność danych staje się krytyczna w razie rozwiązania umowy SaaS! 19
Przykazanie ósme opisz jak wygląda zakończenie korzystania z usługi Zakończenie korzystania z SaaS to spory kłopot dla klienta Jeśli nie ma oprogramowania alternatywnego, musi znaleźć innego dostawcę i przenieść dane Zasady rozwiązywania umowy powinny być klarowne i jasne Co do zasady rozwiązanie przed terminem tylko w razie naruszenia umowy, w tym zaległości płatniczych Opisz dokładnie mechanizm przedłużania umowy na kolejne okresy Dostawcy chętnie ulegają pokusie stworzenia mechanizmu vendor lock-in, ale czy to się opłaca na dłuższą metę? A co w przypadku upadłości dostawcy? Czy klienci powinni oczekiwać rozwiązania od dostawcy (np. escrow?) 20
Przykazanie dziewiąte ureguluj kwestie specyficzne dla usługi świadczonej drogą elektroniczną Dostawca usługi SaaS nie ponosi odpowiedzialności za dane klienta, jednak jeśli zostanie powiadomiony, może zacząć za nie odpowiadać Dostawca nie ma obowiązku monitorowania danych klienta pod kątem nielegalnych treści Plany Komisji Europejskiej wprowadzenia zmian w odniesieniu do większych podmiotów Umowa musi przewidywać mechanizmy pozwalające na szybkie reagowanie w razie otrzymania zawiadomienia przez dostawcę, że dane klienta mogą naruszać prawo 21
Przykazanie dziesiąte opisz zasady dostępu osób trzecich Media donoszą o kolejnych przypadkach, gdy dostawca usługi SaaS bez wiedzy klientów uzyskiwał dostęp do ich danych lub udostępnił taki dostęp policji, służbom specjalnym, prokuraturze etc. Problem backdoorów świadomie wbudowanych lub ukrytych tam przez hackerów Problem ustawodawstw innych państw, gdzie mogą być serwery Dostęp służb USA do danych innych podmiotów niż obywatele amerykańscy (The Patriot Act) Umowa powinna regulować wyraźnie kwestie związane z żądaniami osób trzecich dot. dostępu do danych klienta Najważniejsza jest transparentna informacja na linii dostawca - klient 22
Dekalog SaaS I. Pierwsze wskaż, jaką usługę dostarczasz II. Drugie wskaż, w jaki zapewniona będzie jakość usług III.Trzecie opisz, jak świadczysz usługę IV. Czwarte opisz, jak zapewnione będzie bezpieczeństwo usług V. Piąte opisz zasady odpowiedzialności VI. Szóste opisz, jak są przetwarzane dane osobowe VII.Siódme opisz, jak klient może odzyskać swoje dane z usługi VIII.Ósme opisz, jak wygląda zakończenie korzystania z usługi IX. Dziewiąte ureguluj kwestie specyficzne dla usługi świadczonej drogą elektroniczną X. Dziesiąte opisz zasady dostępu osób trzecich 23
Kontakt: Tomasz Zalewski Radca prawny T: +48 22 50 50 796 @tomasz_zalewski E: tomasz.zalewski@eversheds-sutherland.pl Wierzbowski Eversheds Sutherland Centrum Jasna ul. Jasna 14/16A 00-041 Warszawa eversheds-sutherland.pl Informacje zawarte w tym dokumencie nie stanowią porady prawnej. Osoby zainteresowane uzyskaniem porady prawnej lub bardziej szczegółowych informacji prosimy o bezpośredni kontakt ze wskazanym wyżej prawnikiem. This information pack is intended as a guide only. Whilst the information it contains is believed to be correct, it is not a substitute for appropriate legal advice. Wierzbowski Eversheds Sutherland can take no responsibility for actions taken based on the information contained in this pack. Wierzbowski Eversheds Sutherland 2017. All rights reserved. Wierzbowski Eversheds Sutherland jest członkiem Eversheds Sutherland (Europe) Limited Wierzbowski Eversheds Sutherland is a member of Eversheds Sutherland (Europe) Limited