;

Právní aspekty při práci s cloudem

9. 9. 2015
Doba čtení: 11 minut

Sdílet

 Autor: leowofert (Fotolia.com)
Pojem cloud computing je v poslední době často skloňovaný nejen v oblasti IT, ale stal se běžnou součástí i jiných oblastí - práva, medicíny či účetních služeb. Pojďme se podívat na to, jak předejít případným právním rizikům.

Není bez zajímavosti, že existuje několik definic, co v sobě vlastně pojem cloud zahrnuje, jak se liší například od jednoznačněji chápaných IT pojmů hosting či outsourcing. Zatím totiž nikdo přesně nevymezil jasné hranice ani náplň pojmu. Což na jednu stranu znesnadňuje situaci a orientaci pro toho, kdo se s tímto pojmem seznamuje, na stranu druhou to dává širokou paletu možností při práci s tímto pojmem a každý subjekt jej může definovat podle potřeby. Situace je tedy momentálně taková, že jakkoliv dva subjekty používají stejné označení, každý může mínit něco zcela jiného s naprosto odlišnými dopady.

Tento článek si neklade za cíl definovat pojem cloud nebo stanovit jednotná pravidla pro jeho popis, ale spíše upozornit na možná rizika, která plynou právě z toho, že jakkoliv může jít v komunikaci o jeden jazyk, jeden výraz, jeho skutečný obsah a vnímání může být velmi odlišné. Samotná interpretace pak může přispět k tomu, že každá strana - například v případě sporu - bude mít vlastní pravdu.

I přestože jsem se setkal s tím, že právo se dnes dá praktikovat v cloudu - tedy že existují takzvaní cloud právníci - vše se týkalo prakticky jen faktů, že služba se dnes dá poskytovat nepoměrně laciněji, když jediné, co právník potřebujem je počítač a připojení k internetu. To podpořené myšlenkou, že kanceláře a jiné fixní náklady již dnes mohou zcela vymizet. Osobně se s tímto přístupem ani hodnocením nemohu ztotožnit, stejně jako se stanovením ceny služby na základě fixních nákladů, což by měl být ukazatel hodnoty služby, ale o tom třeba v jiném článku.

Pojďme se ale věnovat cloudu v oblasti IT, tedy pojmu „cloud computing“, což je na internetu založený model vývoje a používání počítačových technologií. Lze ho také charakterizovat jako poskytování služeb či programů uložených na serverech na internetu s tím, že uživatelé k nim mohou přistupovat například pomocí webového prohlížeče nebo klienta dané aplikace a používat je prakticky odkudkoliv. Uživatelé neplatí (za předpokladu, že je služba placená) za vlastní software, ale za jeho užití.

Tímto se do značné míry řeší fixní náklady spojené s majetkem, především pak licence, které je třeba evidovat a účetně jej několik let odepisovat. Z tohoto pohledu se může jevit způsob použití programového vybavení formou cloud computingu jako velmi zajímavé řešení, a to i z hlediska nákladů, které jsou přímo uznatelné (tedy bez nutnosti účtování a evidování takového majetku).

Z hlediska vlastního použití je tento model jednoduchý a mohlo by se zdát, že je pro obě strany ideálním řešením. Proč tedy ani v době, kdy technologický rozvoj umožňuje přenést do cloudu „takřka cokoli“, není využíván více? Nebrání tomu nějaké právní překážky? Osobně se kloním k názoru, že skutečně není zcela logicky vysvětlitelné, proč přechod k této nové, dostupné a ekonomicky zdánlivě nejvýhodnější alternativě použití IT přešlo tak málo firem. Obzvláště když si uvědomíme, že cloud ve své podstatě je koncept, který zde existuje již řadu let a bez větších problémů jej využíváme (například freemailové služby). Protože v otázkách právních je odpověď jednoduchá – překážky zpravidla neexistují.

Situace je však přece jen složitější. Což odpovídá i realitě dnešního trhu, jakkoliv pomalu si firmy uvědomují, že cloud se dá velmi dobře využít, jsou zde i rizika, která je třeba zvažovat. Z hlediska možného nastavení či využití cloudových služeb lze v IT rozlišovat:

  • Veřejný (public cloud computing) — model, kdy je služba poskytnuta a nabídnuta široké veřejnosti (např. Skype nebo seznam.cz) z důvodu, že jsou určeny pro celou populaci nebo pro velký počet klientů a pro všechny většinou poskytuje stejnou nebo velmi podobnou funkcionalitu.
  • Soukromý (private cloud computing) — model, kdy je služba poskytnuta pouze pro organizaci, a to buď firmou samotnou, nebo třetí stranou.
  • Hybridní (hybrid cloud computing) — hybridní cloudy kombinují jak veřejné, tak soukromé cloudy. Navenek vystupují jako jeden cloud, ale jsou propojeny pomocí standardizačních technologií.
  • Komunitní (comunity cloud computing) — Jde o model, kdy je infrastruktura cloudu sdílena mezi několika organizacemi, skupinou lidí, kteří ji využívají. Tyto společnosti může spojovat bezpečnostní politika, stejný obor zájmu.

Jak uživatele jistě napadne, základními otázkami, které je třeba řešit, je problematika dostupnosti dané služby, její bezpečnost, nahraditelnost a flexibilita. Z hlediska vlastního funkčního zajištění, jak již bylo popsáno výše, není problém tuto službu využívat téměř odkukoli, v závislosti na připojení k internetu. Flexibilita je pojem velmi proměnlivý a tzv. standarizované služby jsou flexibilní tak, jak flexibilní je jejich uživatel, protože právě princip univerzality umožňuje držet provozní náklady na poskytování takové služby ve velmi rozumné úrovni. To se nepřímou úměrou mění v situaci, kdy požadujeme, aby služba byla tzv. na míru právě specifickým požadavkům. Tedy vše je možné, pokud máte dost peněz anebo (dnes již okřídlené Fordovo) můžete mít službu jakoukoliv, pokud si vyberete právě tu naši standardní.

Bezpečnost a tzv. nahraditelnost, tedy přechod od jednoho poskytovatele k jinému, jsou oblasti, které působí značné problémy. V právním prostředí IT, kde se ve značné míře projevuje vliv právní úpravy především z USA, je třeba mít stále na paměti, že náhrady škody, smluvní pokuty a odpovědnosti jsou velmi limitovány. To ovlivňuje finanční model a také míru jistoty, která je mnohdy dána spíše renomé a velikostí poskytovatele než samotnou smluvní dokumentací a ochotou akceptovat přísné požadavky plynoucí nejen z právního prostředí střední Evropy, ale také zkušenostmi v rámci plnění služeb na trhu.

Tento aspekt může hrát zcela zásadní roli v nastavení podmínek a finančním modelu. Tak jak je dnes vyžadována dostupnost systému v 99,7 % pod přísnými sankcemi, neomezenou náhradou škody, a to nejen v druzích takové škody, ale i co do výše, je tento model nepředstavitelný pro „tradičního“ poskytovatele cloud služeb, který sídlí v USA. Jak nahlédnutím do standardní smluvní dokumentace (dostupné na webech poskytovatelů), tak při samotném obchodním jednání jakmile dojde na otázku záruk, dostupnosti, náhrad škod a smluvních pokut, mění se obsah a realizovatelnost smluvních vztahů v poměrně nedostupnou vizi.

Je otázkou, zda a do jaké míry je nezbytné mít tyto podmínky smlouvy pod vidinou sankce, na druhou stranu je legitimní otázka, co lze požadovat, když by ani sankce, ani dostupnost nebyly smluvně garantovány. Oba pohledy jsou legitimní a záleží jen na tom, které z uvedených hledisek či obchodních modelů zvítězí. V této otázce teprve čas ukáže, zda takzvané americké podmínky jsou životaschopné jinde než právě na americkém kontinentu.

Bezpečnost a nahraditelnost takové služby jsou, z mého pohledu, mnohem důležitější než samotné smluvní sankce, které budou vyžadovat (když nedojde k dohodě) soudní spor,který jak zkušenosti napovídají, může dopadnout zcela nepředvídatelně. Bezpečnost je téma, které se objevuje, z mé zkušenosti, jako určitý odpuzovač konceptu cloudu.

Víme, že naše data jsou mnohonásobně uložena na nejrůznějších místech nejen státní správy, ale také soukromých subjektů, náš e-mail koluje mezi přáteli stejně jako nepřáteli, a to bez ohledu na stanovisko Úřadu pro ochranu osobních údajů, že i díky e-mailu je jedinec identifikovatelný, tedy jde z pohledu úředního o osobní údaj. Přesto je to nejčastější argument proti cloud službám.

Lze souhlasit, že bez ověření míry zabezpečení není dobré uvažovat o využití takové služby, na druhou stranu si myslím, že dnes rovněž nezkoumáme, jaké trezory jsou v bankách, kde jsou uloženy naše finanční prostředky, a spoléháme na to, že míra zabezpečení je dostatečná. Rozdíl v tomto ohledu nečiníme mezi tradičními bankami a takzvanými low-cost bankami, kde ani nepředpokládáme, že by míra zabezpečení byla nižší.

Domnívám se, že i pro služby cloudu je již dnes standard bezpečnosti vysoko, a záleží jen na míře důvěry v takové opatření, ať technické, technologické či lidské. Skutečnost, že čas od času můžeme slyšet či číst, že ta či ona IT společnost přišla o data svých klientů, je pravdou, ale stejně neméně často slyšíme či čteme, že ta či ona banka byla vykradena. Snižuje taková informace míru bezpečí, myslím, že opak je pravdou, když právě tyto bezpečnostní incidenty pomáhají nastavit lepší, méně prolomitelná opatření pro zvýšení zajištění a našeho pocitu.

Nedomnívám se, že někdy nastane situace, že by se zcela zamezilo přepadání bank, stejně jako se zcela nevymítí prolamování bezpečnostních opatření IT systémů. Ze shora uvedených druhů cloud compoutingu plyne, že lze kombinovat modely, které v podobě firemních či hybridních nabízejí alternativu služby s akcentem bezpečnosti, která bude hrát zcela zásadní roli.

Posledním aspektem je tedy nahraditelnost služby přechodem na jinou službu. Vzhledem k tomu, že služby cloudu jsou poskytovány poměrně krátkou dobu, zkušenost s přechodem od jednoho poskytovatele k jinému zatím příliš není, ale z hlediska vlastní nahraditelnosti vidím tento aspekt jako neproblematičtější. To plyne hned z několika důvodů.

První je, že nemáme, jak zcela nezávisle předat naše data (uložená v cloud) bez onoho poskytovatele, bez jeho součinnosti. Druhý je, že množství dat a jejich přenos bude vyžadovat značnou náročnost. Třetím je jejich struktura, využitelnost u jiného poskytovatele. V neposlední řadě to budou motivovanost a ochota ke spolupráci poskytovatele, od kterého odcházíme, tedy z hlediska obchodního nejsložitější otázka k řešení. V takovém případě smluvní pokuty, náhrada škody a podobně nemusí působit dostatečně preventivně, protože jsou to právě ekonomická prosperita a úspěšnost, která daného poskytovatele bude držet ve schopnosti (a ochotě) takový přenos uskutečňovat.

bitcoin_skoleni

Pak se ale nabízí otázka, zda odcházet od úspěšného a prosperujícího poskytovatele, když právě on má největší motivaci si zákazníka udržet i za cenu možných cenových ústupků. Osobně tento aspekt, tedy nahraditelnost cloud služby jinou cloud službou, vidím jako nejproblematičtější. Až teprve čas ukáže a praktické zkušenosti odhalí, zda právě tato okolnost bude nejvýznamnější, protože zatím mnoho úvah (při zvažování přechodu na cloud služby) tímto směrem neplyne.

Autor je zakladatelem AK Matzner et al.