Dekalog umowy SaaS. 18 października 2017 Tomasz Zalewski Radca prawny Wierzbowski Eversheds Sutherland

Podobne dokumenty
Dekalog chmuroluba 2018 wprowadzenie

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Chmura w sektorze finansowym: jakie wymogi prawne muszą być spełnione i czego uczą nas doświadczenia banków

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna

Przechowanie dokumentów w chmurze odpowiedzialność usługodawcy a ryzyko usługobiorcy

REGULAMIN KORZYSTANIA Z APLIKACJI SYSTEM SOKRATES- GENERATOR OCENY PRACY NAUCZYCIELA

Maciej Kawecki Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, Kraków

Obrót dokumentami elektronicznymi w chmurze

KANCELARIA ADWOKACKA ANNA ZUBKOWSKA-ROJSZCZAK

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ POSTANOWIENIA OGÓLNE

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ W KONSALNET HOLDING S.A.

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

Dane osobowe w data center

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ. Stowarzyszenie Zdrowa Praca. Dane Usługodawcy: Dane osoby odpowiedzialnej: Data:

Umowy IT problematyka prawna. Kraków, 10 czerwiec 2010r.

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ w APRIL Polska Service Sp. z o.o.

Regulamin świadczenia Usługi dostępu do Systemu Publishers Panel

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ SERWISU ŁATWA RATKA

Regulamin świadczenia usług drogą elektroniczną w CAT LC Polska Sp. z o.o. WSTĘP

Zakres Prac związanych ze wsparciem dotyczącym używania systemu i5/os oraz jego znanych defektów

1 Postanowienia ogólne

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

REGULAMIN SYSTEMU OBSŁUGI SERWISOWEJ FIRMY SPUTNIK SOFTWARE SP. Z O.O. Obowiązujący od dnia 25 maja 2018 roku

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ w ARION Szpitale Sp. z o. o.

1.1. Niniejszy regulamin został ustanowiony przez uprawnione organy Iveco Poland sp. z o.o. w dniu r. w Warszawie.

1 Definicje. 1. Użyte w niniejszym regulaminie określenia posiadają następujące znaczenie:

Regulamin usług świadczonych drogą elektroniczną dla strony

Regulamin korzystania z bazy WiseBase

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

Regulamin świadczenia usług drogą elektroniczną przez Ennergy GmbH

Regulamin świadczenia usług drogą elektroniczną KRN Media Sp. z o.o.

REGULAMIN KORZYSTANIA ZE STRONY INTERNETOWEJ

Regulamin świadczenia usług

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ w Uzdrowisko Rabka S.A.

Chmura obliczeniowa. Sieci komputerowe laboratorium A1 (praca grupowa w chmurze)

Umowa powierzenia przetwarzania danych osobowych,

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ w Stowarzyszeniu Lokalna Grupa Działania Partnerstwo Integracja Turystyka

Szczegółowe warunki korzystania z usługi Kreator.online

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

Regulamin usługi dostępu do 12 raportów z serii Nowe ramy ochrony danych osobowych w UE.

Regulamin świadczenia usług drogą elektroniczną przez NDE sp. z o.o

Regulamin Portalu

POLITYKA PRYWATNOŚCI

UMOWA LICENCYJNA NA OPROGRAMOWANIE ROLNIKON

Zarządzanie relacjami z dostawcami

Przetwarzanie danych w chmurze

REGULAMIN ŚWIADCZENIA USŁUG DROGÑĄ ELEKTRONICZNÑĄ w ODO MANAGEMENT GROUP Sp. z o. o.

Umowa o świadczenie usług dostępu do sieci Internet

Service Level Agreement Pisemna gwarancja jakości

WSTĘP. Rozdział 1 Postanowienia ogólne. Rozdział 2 Rodzaje i zakres świadczonych usług drogą elektroniczną

REGULAMIN STRONY. 4. Warunki świadczenia i zawierania umów o świadczenie usług elektronicznych

REGULAMIN SERWISU WITKAC.PL z dnia 3 lipca 2014 r Regulaminie rozumie się przez to niniejszy Regulamin.

Katalog usług informatycznych

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

UMOWA NIP:......

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ w PBL DEVELOPMENT Sp. z o.o.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

WZÓR UMOWY NR. Załącznik nr 3. zawarta w dniu r. w Mielnie pomiędzy:

Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o.

I. TERMIN OCZEKIWANIA NA PRZYŁĄCZENIE DO SIECI, TERMIN ROZPOCZĘCIA ŚWIADCZENIA USŁUG

Przetwarzanie danych w chmurze Cloud Computing

REGULAMIN REZERWACJI ONLINE

Ustawa ma zastosowanie do umów zawieranych przez przedsiębiorcę z konsumentami.

Postanowienia wstępne

UMOWA POWIERZENIA ( Umowa ) zawierana w związku z zawarciem umowy na podstawie. Regulaminu Świadczenia usług platformy SKY-SHOP.PL.

Usługi dostępu do informacji o rachunku. Co musisz wiedzieć o AIS?

Radom, 13 kwietnia 2018r.

Regulamin świadczenia usługi rozpatrywania roszczeń z tytułu Umowy ubezpieczenia drogą elektroniczną w ramach portalu WWW

Regulamin świadczenia usług drogą elektroniczną z dnia 12 lutego 2015 roku.

Regulamin świadczenia usługi Wyszukiwarka Kandydatów. 2. Definicje Definicje, którymi posługuje się niniejszy Regulamin, mają następujące znaczenie:

I. Postanowienia ogólne. a. Definicje

REGULAMIN DOSTĘPU DO PANELU KLIENTA KLIENT.SYSTEM3.PL

Umowa powierzenia danych

Regulamin Usług Ochrony WWW

Korporacyjny Program Compliance dla Grupy Saferoad

Dokument SLA. I. Definicje

Umowa powierzenia przetwarzania danych osobowych zawarta w dniu 2018 r. pomiędzy:

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ

Polityka prywatności aplikacji mobilnej i serwisu internetowego tenis4u

Zakres i cel przetwarzania danych

Regulamin usług świadczonych drogą elektroniczną dla Ministrony Grupy EWE w Polsce

Czy cloud computing to sposób na rozwiązanie problemu piractwa?

Regulamin świadczenia usług drogą elektroniczną KRN Media Sp. z o.o. Rozdział 1 Postanowienia ogólne

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ NEWSLETTER

fryzjer-salon.com.pl Regulamin serwisu Obowiązuje od: REGULAMIN SERWISU fryzjer-salon.com.pl POSTANOWIENIA OGÓLNE... 2 DEFINICJE...

REGULAMIN świadczenia usług drogą elektroniczną przez GlobTroper Podróże Aktywne Anna Markowska obowiązuje od dnia r.

Regulamin świadczenia przez GAZ-SYSTEM S.A. usługi drogą elektroniczną polegającej na przesyłaniu do Usługobiorcy informacji w formie Newslettera.

$ $ MIP. Co musisz wiedzieć? Czym jest Mała Instytucja Płatnicza (MIP)? Co może, a czego nie może robić MIP? Nie może: Może:

REGULAMIN PORTALU INTERNETOWEGO WSPIERAJĄCEGO WSPÓŁPRACĘ PARTNERSKĄ I MIĘDZYNARODOWĄ

Regulamin świadczenia usług drogą elektroniczną

Transkrypt:

Dekalog umowy SaaS 18 października 2017 Tomasz Zalewski Radca prawny Wierzbowski Eversheds Sutherland

Dekalog chmuroluba http://www.giodo.gov.pl/259/id_art/6271/j/pl 2

Saas, Paas i IaaS 3

Trzy akty prawne Ustawa o prawie autorskim i prawa pokrewnych (PrAut) Ustawa o usługach świadczonych drogą elektroniczną (Usude) Rozporządzenie ogólne o ochronie danych osobowych (RODO) 4

Prawo autorskie Korzystanie z chmury w modelu SaaS wymaga przede wszystkim licencji prawnoautorskiej Autorskie prawa majątkowe do programu komputerowego obejmują bowiem: prawo do trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie; w zakresie, w którym dla wprowadzania, wyświetlania, stosowania, przekazywania i przechowywania programu komputerowego niezbędne jest jego zwielokrotnienie, czynności te wymagają zgody uprawnionego 5

Usude Saas to przede wszystkim usługa świadczona drogą elektroniczną świadczenie usługi drogą elektroniczną - wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjne 6

RODO SaaS to przede wszystkim przetwarzanie danych osobowych Zwłaszcza, że RODO wprowadza srogie sankcje finansowe za nieprzestrzeganie przepisów Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. RODO reguluje także szczegółowo kwestie związane z przetwarzaniem danych przez osobę trzecią, które wprost są stosowalne do SaaS 7

Trzy akty prawne razem Saas to jednak przede wszystkim umowa Umowa, w której trzeba uregulować: Zasady korzystania z usługi SaaS Oferowane funkcjonalności i pakiety usług Zasady dostępu do usługi Zasady płatności Zasady przedłużania/rozwiązania Zasady usuwania błędów i awarii Zasady przetwarzania danych osobowych Zasady zmiany zakresu funkcjonalności Zasady wzajemnej kontroli przez strony jej przestrzegania Etc. 8

SaaS to całkowicie nowy model korzystania z oprogramowania Tradycyjne instalowane oprogramowanie Software as a Service Licencja zwykle na czas nieoznaczony Możliwość zbycia Korzystanie przez czas płacenia abonamentu Nie można przenieść Nowe wersje płatne oddzielnie Nowe wersje w cenie Odrębnie płatny serwis/maintenance Serwis w cenie 9

Różne drogi do SaaS - historia Producenci oprogramowania w modelu tradycyjnym (dystrybucja oprogramowania komputerowego), którzy zaczęli oferować je w modelu SaaS SaaS równolegle z modelem tradycyjnym SaaS jako metoda sprzedaży dla nowych produktów Proponują zwykle umowę licencyjną na korzystanie z oprogramowania w chmurze Dostawcy, którzy nigdy nie oferowali tradycyjnego oprogramowania proponują umowę o świadczenie usług drogą elektroniczną czasami oferują także model on-premises, czyli SaaS instalowany w infrastrukturze klienta 10

Różne drogi do SaaS konsekwencje w proponowanych umowach Umowa licencyjna na korzystanie z oprogramowania w chmurze Punkt ciężkości to udzielenie licencji Długa lista obowiązków usługobiorcy Brak uwzględnienia specyfiki usługi świadczonej drogą elektroniczną Umowa o świadczenie usługi drogą elektroniczną Ma formę standardowego regulaminu Często prawie takiego jak w sklepie internetowym Trudno w niej odnaleźć postanowienia uwzględniające to, że SaaS jest funkcjonalnym odpowiednikiem oprogramowania komputerowego 11

Dekalog SaaS propozycja checklisty dla użytkownika i dostawcy SaaS to przeważnie zawieranie umów poprzez akceptację regulaminu SaaS to konieczność ujednolicenia nie tylko usługi ale i zasad korzystania z niej Jeśli regulamin jest jednostronny, to wielu klientów zrezygnuje z usługi Jak zatem uregulować zagadnienia istotne dla obu stron i tak, aby obie uznały je za satysfakcjonujące? Dekalog SaaS próba stworzenia listy kontrolnej W każdej umowie SaaS muszą być uregulowane zagadnienia z Dekalogu 12

Przykazanie pierwsze wskaż, jaką usługę dostarczasz Regulamin to umowa Klienta interesuje jednak w pierwszej kolejności, co konkretnie kupuje: jakie funkcjonalności jakie są ograniczenia tych funkcjonalności czy planowane są nowe czy planowane są zmiany do czego zobowiązuje się dostawca (czy do należytej staranności czy do konkretnego rezultatu?) Dostawca też lepiej będzie zabezpieczony, jeśli: wskaże dokładnie co oferuje, a co nie określi planowane zmiany w tym zakresie Opis niekoniecznie w regulaminie, raczej w odrębnym dokumencie Czy dostawca gwarantuje zgodność usługi np. z obowiązującym prawem? 13

Przykazanie drugie wskaż, w jaki zapewniona będzie jakość usług Service Level Agreement (SLA) Standardy świadczenia usług (dostępność, zasady kalkulacji wskaźników etc.) Zasady raportowania o jakości usług Zasady postępowania w razie problemów (usuwanie błędów i awarii, czas reakcji, czas usunięcia problemu) Zasady postępowania, gdy jakość jest poniżej gwarantowanego (np. tzw. kredyty) Zasady przeprowadzania prac konserwacyjnych 14

Przykazanie trzecie opisz, jak świadczysz usługę W przypadku SaaS nie obowiązuje zasada, że klienta nie powinno interesować, jak dostawca zapewnia świadczenie usługi Dostawca powinien wskazać klientowi: Gdzie znajdują się fizycznie serwery i inna infrastruktura, z których korzysta do świadczenia usługi (i powiadomić o zmianach) Czy korzysta z podwykonawców, a jeśli tak, to z których konkretnie i co oni robią (i powiadomić klienta o zmianach) Dane te są potrzebne: w celu oceny ryzyk prawnych W celu oceny ryzyk faktycznych W celu oceny kwestii dotyczących przetwarzania danych osobowych 15

Przykazanie czwarte opisz, jak zapewnione będzie bezpieczeństwo świadczonych usług Zobowiązania umowne dotyczące poufności są zobowiązaniami formalnymi Usługobiorca powinien wiedzieć konkretnie, jak poufność i bezpieczeństwo jego danych będzie zapewnione Jeśli oferowane jest szyfrowanie, stosowany mechanizm powinien być dokładnie opisany Klient powinien być powiadamiany o wszystkich incydentach bezpieczeństwa! Dostawca powinien wskazać klientowi: Jakie stosuje środki bezpieczeństwa w odniesieniu do swojej infrastruktury? Jak klient może uzyskać dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych dot. bezpieczeństwa? Jak robi kopie bezpieczeństwa? Jak często? Zapewnienia dotyczące bezpieczeństwa danych powinny być weryfikowalne Zgodność z normami ISO potwierdzona Regularny audyt plus audyty w razie incydentów bezpieczeństwa Dostęp klienta do wyników audytów 16

Przykazanie piąte opisz zasady odpowiedzialności SaaS jest funkcjonalnym odpowiednikiem umowy licencyjnej na program komputerowy, ale ryzyko dla użytkownika jest znacznie wyższe! Awaria u dostawcy może oznaczać paraliż działalności klienta! Dostawcy bardzo ograniczają swą odpowiedzialność, w zamian często powołując się na swoją wiarygodność biznesową Cyberbezpieczeństwo to klasyczny ruchomy cel można starać się je zapewnić, ale nie zagwarantować Umowa powinna: wskazywać wyraźnie na wyłączenia odpowiedzialności wskazywać, czy dostawca jest ubezpieczony 17

Przykazanie szóste opisz jak są przetwarzane dane osobowe Na podstawie RODO odpowiedzialność za naruszenie przepisów o ochronie danych osobowych ponosi zarówno klient jak i dostawca (jako administrator i jako podmiot przetwarzający dane) Umowa powinna zawierać postanowienia wymagane dla zawarcia umowy o powierzenie przetwarzania danych osobowych, która powinna wskazywać m.in: przedmiot i czas przetwarzania danych, ich rodzaj, charakter, a także cel przetwarzania, zastosowanie przez dostawcę chmury odpowiednich środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danym osobowym zaakceptowania przez administratora danych (usługobiorcę) wykorzystywania przez dostawcę podwykonawców oraz, jeśli mają oni świadczyć usługi, nałożenia na nich takich samych obowiązków w zakresie przetwarzania danych osobowych, jakie ciążą na dostawcy Dostawca musi zapewnić usunięcie lub zwrot danych osobowych po zakończeniu świadczenia usług Klient jako administrator musi otrzymywać informacje od dostawcy o zakresie ochrony danych oraz przeprowadzeniu audytu Dostawca musi spełnić szczególne warunki w sytuacji transferu danych osobowych za granicę, do kraju innego niż należący do EOG 18

Przykazanie siódme opisz jak klient może odzyskać swoje dane z usługi Na podstawie RODO dostawca musi zapewnić przenoszalność danych osobowych To wymaganie to wierzchołek góry lodowej Wiele SaaS przetwarza dane nieosobowe np. dotyczących sprzedaży, towarów, stanów magazynowych Dostawca musi zapewnić klientowi przenoszalność danych Umowa musi być szczegółowa w zakresie przenoszalności danych: format danych odpowiednie terminów na dokonanie eksportu udostępnienie narzędzi do eksportu koszt eksportu w razie, gdy dostawca nie zapewnia stosownych narzędzi Przenoszalność danych staje się krytyczna w razie rozwiązania umowy SaaS! 19

Przykazanie ósme opisz jak wygląda zakończenie korzystania z usługi Zakończenie korzystania z SaaS to spory kłopot dla klienta Jeśli nie ma oprogramowania alternatywnego, musi znaleźć innego dostawcę i przenieść dane Zasady rozwiązywania umowy powinny być klarowne i jasne Co do zasady rozwiązanie przed terminem tylko w razie naruszenia umowy, w tym zaległości płatniczych Opisz dokładnie mechanizm przedłużania umowy na kolejne okresy Dostawcy chętnie ulegają pokusie stworzenia mechanizmu vendor lock-in, ale czy to się opłaca na dłuższą metę? A co w przypadku upadłości dostawcy? Czy klienci powinni oczekiwać rozwiązania od dostawcy (np. escrow?) 20

Przykazanie dziewiąte ureguluj kwestie specyficzne dla usługi świadczonej drogą elektroniczną Dostawca usługi SaaS nie ponosi odpowiedzialności za dane klienta, jednak jeśli zostanie powiadomiony, może zacząć za nie odpowiadać Dostawca nie ma obowiązku monitorowania danych klienta pod kątem nielegalnych treści Plany Komisji Europejskiej wprowadzenia zmian w odniesieniu do większych podmiotów Umowa musi przewidywać mechanizmy pozwalające na szybkie reagowanie w razie otrzymania zawiadomienia przez dostawcę, że dane klienta mogą naruszać prawo 21

Przykazanie dziesiąte opisz zasady dostępu osób trzecich Media donoszą o kolejnych przypadkach, gdy dostawca usługi SaaS bez wiedzy klientów uzyskiwał dostęp do ich danych lub udostępnił taki dostęp policji, służbom specjalnym, prokuraturze etc. Problem backdoorów świadomie wbudowanych lub ukrytych tam przez hackerów Problem ustawodawstw innych państw, gdzie mogą być serwery Dostęp służb USA do danych innych podmiotów niż obywatele amerykańscy (The Patriot Act) Umowa powinna regulować wyraźnie kwestie związane z żądaniami osób trzecich dot. dostępu do danych klienta Najważniejsza jest transparentna informacja na linii dostawca - klient 22

Dekalog SaaS I. Pierwsze wskaż, jaką usługę dostarczasz II. Drugie wskaż, w jaki zapewniona będzie jakość usług III.Trzecie opisz, jak świadczysz usługę IV. Czwarte opisz, jak zapewnione będzie bezpieczeństwo usług V. Piąte opisz zasady odpowiedzialności VI. Szóste opisz, jak są przetwarzane dane osobowe VII.Siódme opisz, jak klient może odzyskać swoje dane z usługi VIII.Ósme opisz, jak wygląda zakończenie korzystania z usługi IX. Dziewiąte ureguluj kwestie specyficzne dla usługi świadczonej drogą elektroniczną X. Dziesiąte opisz zasady dostępu osób trzecich 23

Kontakt: Tomasz Zalewski Radca prawny T: +48 22 50 50 796 @tomasz_zalewski E: tomasz.zalewski@eversheds-sutherland.pl Wierzbowski Eversheds Sutherland Centrum Jasna ul. Jasna 14/16A 00-041 Warszawa eversheds-sutherland.pl Informacje zawarte w tym dokumencie nie stanowią porady prawnej. Osoby zainteresowane uzyskaniem porady prawnej lub bardziej szczegółowych informacji prosimy o bezpośredni kontakt ze wskazanym wyżej prawnikiem. This information pack is intended as a guide only. Whilst the information it contains is believed to be correct, it is not a substitute for appropriate legal advice. Wierzbowski Eversheds Sutherland can take no responsibility for actions taken based on the information contained in this pack. Wierzbowski Eversheds Sutherland 2017. All rights reserved. Wierzbowski Eversheds Sutherland jest członkiem Eversheds Sutherland (Europe) Limited Wierzbowski Eversheds Sutherland is a member of Eversheds Sutherland (Europe) Limited

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres