Przechowanie dokumentów w chmurze odpowiedzialność usługodawcy a ryzyko usługobiorcy Prof. n. dr hab. Dariusz Szostek Szostek_Bar i Partnerzy Kancelaria Prawna
Czym jest dokument w ujęciu przechowywania w chmurze? Dokumentem jest nośnik informacji umożliwiający jej odtworzenie (proj. def. k.c.) Dokument elektroniczny każda treść przechowywana w postaci elektronicznej w szczególności tekst lub nagrania dźwiękowe, wizualne lub audiowizualne (eidas) Jednym z elementów dokumentu są dane
Wady przechowywania danych w chmurze Utrata fizycznej kontroli nad nośnikami Brak wpływu na lokalizację nośników na których zapisane są dane Ryzyko związane z ograniczeniem przez usługodawcę dostępu do danych (awaria, upadłość, działania podmiotów trzecich) Ryzyko uzależnienia swojej działalności gospodarczej (dostępu do danych) od podmiotu trzeciego (casus rosyjski) Problem uzależnienia się od jednego dostawcy Problem zwrotu danych Problem dyslokacji i przeniesienia danych Problem skasowania danych Problem interoperacyjności danych z usługami dostawcy chmury (np. linkowanie treści), w konsekwencji uzależniającymi od jednego dostawcy np. Facebook
Wady przechowywania danych w chmurze Ryzyko, w przypadku przechowywania danych w Państwie trzecim dotyczącę wymagań prawnych (obniżone bezpieczeństwo) co do transferu danych Ryzyko zmieniania się ról uczestników procesów w chmurze w zależności od warunków Podpowierzanie Nierówna pozycja stron umowy o usługi chmurowe Problem mapowania i alokacji zasobów (w skrajnych przypadkach ze względu na jeden pomiot/incydent brak dostępu do całej infrastruktury chmury dla innych podmiotów/usługobiorców
Jak się zabezpieczyć Odpowiednio skonstruowana umowa wybór właściwego prawa w przypadku usługodawcy zagranicznego Odpowiednie regulaminy, weryfikacja klauzul abuzywnych Zagwarantowanie w umowie prawa do audytów i weryfikacji bezpieczeństwa (certyfikaty) Tak konstrukcja kontraktu aby usługodawca odpowiadał na podstawie europejskich norm dotyczących: Odpowiedzialności kontraktowej Odpowiedzialności deliktowej Odpowiedzialności świadczącego usługi drogą elektroniczną
Dekalog Umowy Zagwarantowanie w umowie prawa do informacji o fizycznej lokalizacji serwerów na których są lub mogą być przetwarzane dane Zmiana lokalizacji powinna być podana z rozsądnym wyprzedzeniem Prawnie zagwarantowany dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych Jest to tajemnica przedsiębiorstwa Pełna informacja dotycząca podwykonawców i instytucji uczestniczących w realizacji usługi chmury
Dekalog Umowy Zagwarantowanie w umowie, iż każdy z podwykonawców i instytucji będzie związany takimi samymi klauzulami umownymi jak dostarczyciel usług chmury Podwykonawcy powinni działać wyłącznie zgodnie z instrukcjami usługodawcy Usługobiorca powinien pozostawać wyłącznym administratorem danych przekazanych do chmury Niektóre usługi dodane np. synchronizacja kalendarza i kontaktów powodują, iż usługodawca zostaje także administratorem przetworzonych danych Usługodawca nie powinien mieć prawa do decydowania o celach i sposobach przetwarzania danych
Dekalog Umowy Zagwarantowanie informacji o zobowiązaniach usługodawcy względem organów państwa: policji, prokuratury, służb specjalnych, organów ścigania Por ECPA Electronic Communications Privacy ACT Dostęp służb USA do danych innych podmiotów niż obywatele amerykańscy (The Patriot Act) Informowanie usługobiorcy o wszelkich wnioskach dotyczących udostępnienia danych, a także o samym udostępnieniu
Dekalog Umowy Dokładne ustalenie w umowie zasad przeszukiwania, retencji i usuwania danych dostarczanych przez usługodawcę Zagwarantowanie w umowie raportowania usługobiorcy o wszelkich incydentach bezpieczeństwa danych. Pomoc przy zwalczaniu skutków takich incydentów Dokładne określenie w umowie zasad wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi przy jej realizacji Minimalizacja niebezpieczeństwa przywiązania do pojedynczego dostarczyciela usług Zapewnienie interoperacyjności i przenaszalności danych
Umowa o usługi chmury z konsumentem Czyli niebezpieczeństw część dalsza i to tylko pod warunkiem wyboru polskiego prawa..
Związanie wzorcem umownym, regulaminem Art. 384 k.c. Ustalony przez jedną ze stron wzorzec umowy, w szczególności ogólne warunki umów, wzór umowy, regulamin, wiąże drugą stronę jeżeli został jej doręczony przed zawarciem umowy 2 w razie gdy posługiwanie się wzorcem w stosunkach danego rodzaju jest zwyczajowo przyjęte wiąże on także gdy strona mogła z łatwością się dowiedzieć o jego treści Nie dotyczy to umów z konsumentami, z wyjątkiem umów drobnych, w bieżących sprawach życia codziennego
Związanie wzorcem umownym, regulaminem. 385 1. 142) 1. Postanowienia umowy zawieranej z konsumentem nieuzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne). Nie dotyczy to postanowień określających główne świadczenia stron, w tym cenę lub wynagrodzenie, jeżeli zostały sformułowane w sposób jednoznaczny.
Związanie wzorcem umownym, regulaminem Art.. 385 1. 3. Nieuzgodnione indywidualnie są te postanowienia umowy, na których treść konsument nie miał rzeczywistego wpływu. W szczególności odnosi się to do postanowień umowy przejętych z wzorca umowy zaproponowanego konsumentowi przez kontrahenta. 4. Ciężar dowodu, że postanowienie zostało uzgodnione indywidualnie, spoczywa na tym, kto się na to powołuje.
Klauzule abuzywne Art. 385 3. W razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności: wyłączają lub istotnie ograniczają odpowiedzialność względem konsumenta za niewykonanie lub nienależyte wykonanie zobowiązania; zezwalają kontrahentowi konsumenta na przeniesienie praw i przekazanie obowiązków wynikających z umowy bez zgody konsumenta; przewidują wyłącznie dla kontrahenta konsumenta jednostronne uprawnienie do zmiany, bez ważnych przyczyn, istotnych cech świadczenia; uzależniają odpowiedzialność kontrahenta konsumenta od wykonania zobowiązań przez osoby, za pośrednictwem których kontrahent konsumenta zawiera umowę lub przy których pomocy wykonuje swoje zobowiązanie, albo uzależniają tę odpowiedzialność od spełnienia przez konsumenta nadmiernie uciążliwych formalności;
Konsekwencje Naruszenie zbiorowych interesów konsumentów Art.. 24 OchrKonkU możliwść nałożenia przez Prezesa UOKiK kary pieniężnej do 10 proc. przychodów osiągnietych w poprzednim roku podatkowym
Inne podstawy odpowiedzialności Art. 471. k.c. Dłużnik obowiązany jest do naprawienia szkody wynikłej z niewykonania lub nienależytego wykonania zobowiązania, chyba że niewykonanie lub nienależyte wykonanie jest następstwem okoliczności, za które dłużnik odpowiedzialności nie ponosi.
Inne podstawy odpowiedzialności Art. 415 k.c. Kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia.
Ustawa o świadczeniu usług drogą elektroniczną
Wymogi formalne Art. 6. Usługodawca jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o: 1) szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną; 2) funkcji i celu oprogramowania lub danych niebędących składnikiem treści usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego, którym posługuje się usługobiorca.
Wymogi formalne Art.. 8. 1. Usługodawca: określa regulamin świadczenia usług drogą elektroniczną, zwany dalej regulaminem ; 3. Regulamin określa w szczególności: 1) rodzaje i zakres usług świadczonych drogą elektroniczną; 2) warunki świadczenia usług drogą elektroniczną, w tym: a) wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca, b) zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym; 3) warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną; 4) tryb postępowania reklamacyjnego.
Wyłączenia odpowiedzialności Art.12 15 ustawy Przechowywanie, transmisja, usługa chmury
Wyłączenia odpowiedzialności Art. 14. 1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.
Wyłączenia odpowiedzialności 2. Usługodawca, który otrzymał urzędowe zawiadomienie o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie ponosi odpowiedzialności względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych.
Wyłączenia odpowiedzialności 3. Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu.
Dziękuję za uwagę. To tylko zagajenie problemu. Dziękuję dariusz.szostek@szostek-bar.pl dszostek@poczta.onet.pl