Právnická fakulta Masarykovy univerzity Ústav práva a technologií Obor Právo
Právní aspekty užití software jako služby Diplomová práce
Bc. Jan Tomíšek 2015
Prohlašuji, že jsem diplomovou práci na téma Právní aspekty software jako služby zpracoval sám. Veškeré prameny a zdroje informací, které jsem použil k sepsání této práce, byly citovány v poznámkách pod čarou a jsou uvedeny v seznamu použitých pramenů a literatury.
V Brně dne 31. 3. 2015
Jan Tomíšek 3
4
Na tomto místě bych rád poděkoval doc. JUDr. Radimu Polčákovi, Ph.D. za odborné vedení této práce a podnětné rady ohledně jejího zaměření, JUDr. Josefu Donátovi, LLM za inspiraci k tématu, JUDr. Matěji Myškovi, JUDr. Martinu Husovcovi a Mgr. MgA. Jakubu Míškovi za názory a podnětné připomínky, PaedDr. Aleně Culíkové za korekturu práce a v neposlední řadě své snoubence Markétce za podporu při psaní této práce a nejen při něm.
5
6
Abstrakt Tato práce analyzuje poskytování softwaru jako služby (SaaS) z hlediska licencí a ochrany osobních údajů. Obecná část práce diskutuje možnost využití modifikovaného open source softwaru pro poskytování SaaS bez zveřejnění zdrojových kódů, analyzuje pojem distribuce, vysvětluje, proč zákazník nepotřebuje pro využití SaaS licenci, a celkově hodnotí použitelnost tohoto institutu v kontextu současné praxe v oblasti vývoje a prodeje softwaru. Obsahem zvláštní části je analýza možných rolí zákazníka a poskytovatele SaaS z pohledu ochrany osobních údajů, shrnutí požadavků na obsah smlouvy mezi zákazníkem jako správcem a poskytovatelem jako zpracovatelem osobních údajů a srovnání smluv na Google Apps for Work a Microsoft Office 365 v kontextu těchto požadavků. Zvláštní část uzavírají úvahy de lege ferenda a kritické hodnocení připravované novely evropské regulace ochrany osobních údajů.
Abstract This thesis analyses the provision of software as a service (SaaS) in terms of licensing and data protection. The first part discusses the possibility of using modified open source software for provision of SaaS without disclosing the source code, analyses the concept of distribution, explains why the customer does not need license to use SaaS and provides overall assessment of the applicability of this concept in the context of current practice in software development and marketing. The second part contains analysis of possible roles of a client and a provider of SaaS in terms of protection of personal data, summary of requirements on contents of the contract between the client as a controller and the provider as a processor of personal data and comparison of contracts for Google Apps for Work and Microsoft Office 365 in the context of these requirements. The special part is closed by considerations de lege ferenda and critical evaluation of the prepared amendment to the European data protection regulation.
Klíčová slova software-as-a-service, SaaS, cloud, GPL, distribuce, licence, osobní údaje, smlouva, Google Apps, Office 365
Keywords software-as-a-service, SaaS, cloud, GPL, distribution, licence, data protection, contract, Google Apps, Office 365
7
8
Obsah 1
Úvod ......................................................................................................................................... 11
2
Software jako služba ............................................................................................................... 12
3
Licence při poskytování softwaru jako služby ....................................................................... 14
4
5
3.1
Licence z pohledu poskytovatele .................................................................................... 14
3.2
Distribuce ve smyslu licencí rodiny GPL ........................................................................ 17
3.3
Licence z pohledu zákazníka ..........................................................................................20
3.4
Dílčí závěr o licencích ..................................................................................................... 23
Ochrana osobních údajů při poskytování softwaru jako služby ...........................................24 4.1
Ochrana osobních údajů v cloudu ..................................................................................24
4.2
Požadavky na smlouvu o zpracování osobních údajů ...................................................28
4.3
Analýza smlouvy o poskytování Google Apps for Work................................................ 33
4.4
Analýza smlouvy o poskytování Microsoft Office 365 ................................................... 37
4.5
Srovnání smluv a diskuze................................................................................................39
4.6
Diskuze současné a budoucí právní úpravy ................................................................... 41
4.7
Dílčí závěr ....................................................................................................................... 44
Závěr ........................................................................................................................................47
Použité prameny ............................................................................................................................ 48 Právní předpisy a judikatura ..................................................................................................... 48 Monografie a časopisecké články .............................................................................................. 49 Ostatní literatura ........................................................................................................................50 Příloha č. 1 – Google Apps Enterprise (Online) Agreement..........................................................54 Příloha č. 2 – Data Processing Amendment to Google Apps Agreement ..................................... 75 Příloha č. 3 – Standard Contractual Clauses - Google (vybraná část) ......................................... 86 Příloha č. 4 – Microsoft Online Subscription Agreement .............................................................87 Příloha č. 5 – Online Services Terms January 1, 2015 (vybraná část)............................................ 96
9
10
1
Úvod
Larry Ellison, zakladatel společnosti Oracle a vizionář v oblasti informačních technologií, v roce 2008 prohlásil, že „to zajímavé na cloud computingu je, jak jsme ho předefinovali, aby zahrnoval všechno, co už dávno děláme.“1 S tímto tvrzením se lze i dnes naprosto ztotožnit, protože to, co cloud computing v prvé řadě přináší, není technologická inovace, ale změna paradigmatu. Nové paradigma nás posouvá od pořizování informačních technologií jako produktů k jejich konzumaci v podobě služeb. Ve světě cloud computingu si zákazník nekupuje výkonný hardware, aby si sestavil a provozoval vlastní server. Místo toho si od poskytovatele objedná příslušný výpočetní výkon či úložný prostor a na jeho infrastruktuře přes internet spouští své aplikace. Stejně tak místo pořizování softwaru a jeho instalace na své servery nebo koncové počítače si tento software objedná od poskytovatele, který jej provozuje na své infrastruktuře a zpřístupňuje ho zákazníkovi opět pomocí internetu. Tato změna paradigmatu má nezanedbatelné důsledky v řadě právních odvětví jak z oboru práva soukromého, tak veřejného. Předmětem této práce je analýza poskytování softwaru jako služby (SaaS) z hlediska licencí a ochrany osobních údajů. Obecná část práce (Kapitola 3) diskutuje možnost využití modifikovaného open source softwaru pro poskytování SaaS bez zveřejnění zdrojových kódů, analyzuje pojem distribuce, vysvětluje, proč zákazník nepotřebuje pro využití SaaS licenci, a celkově hodnotí použitelnost tohoto institutu v kontextu současné praxe v oblasti vývoje a prodeje softwaru. Obsahem zvláštní části (Kapitola 4) je analýza možných rolí zákazníka a poskytovatele SaaS z pohledu ochrany osobních údajů, shrnutí požadavků na obsah smlouvy mezi zákazníkem jako správcem a poskytovatelem jako zpracovatelem osobních údajů a srovnání smluv na Google Apps for Work a Microsoft Office 365 v kontextu těchto požadavků. Zvláštní část uzavírají úvahy de lege ferenda a kritické hodnocení připravované novely evropské regulace ochrany osobních údajů. Kapitola 5 shrnuje závěry celé práce.
1
Viz FABER, Dan. Oracle’s Ellison nails cloud computing. CNET [online]. Publikováno 26. 9. 2008 [cit. 23. 10. 2014]. Dostupné z: http://www.cnet.com/news/oracles-ellison-nails-cloud-computing/
11
2
Software jako služba
Pro účely dalšího výkladu je nezbytné nejprve blíže vymezit, co se pod pojmy cloud computing, potažmo software jako služba rozumí. Jednotná definice cloud computingu neexistuje, nejčastěji je však citována definice Národního institutu pro standardy a technologie Spojených států amerických (NIST), který jej vymezuje jako „model umožňující pohodlný síťový přístup na vyžádání ke sdílenému souboru konfigurovatelných výpočetních zdrojů (například sítí, serverů, datových úložišť, aplikací a služeb), které lze rychle přidělovat a uvolňovat při minimálním úsilí správce a minimálním zapojení poskytovatele.“2 Tato definice se může zdát na první pohled poněkud nesrozumitelná, protože v sobě na minimálním prostoru kondenzuje všechny významné charakteristiky cloud computingu, které by si samy o sobě zasloužily širší diskuzi z pohledu práva.3 V rámci rozboru licenční problematiky k nim však uvedu pouze několik stručných poznámek. Konkrétní realizace cloud computingu může zahrnovat více různých modelů poskytovaných služeb. Typicky se uvádí infrastruktura jako služba (infrastructure-as-a-service, IaaS), platforma jako služba (platform-as-a-service, PaaS) a software jako služba (software-as-a-service, SaaS).4 Podstatou poskytování softwaru jako služby (dále jen „SaaS“) je poskytnutí standardního softwarového produktu jako on-line aplikace přístupné odkudkoli přes počítačovou síť. Aplikace je provozována na cloudové infrastruktuře poskytovatele, která umožňuje dynamické přidělování potřebných zdrojů a další základní cloudové funkce.5 Příkladem služeb z kategorie SaaS mohou být kancelářské balíky, jako jsou Google Apps for Work6 nebo Microsoft Office 3657 (cloudová podoba desktopové sady Microsoft Office), dále datové úložiště Dropbox,8 CRM systém salesforce9 nebo komunikační nástroj Citrix GoToMeeting.10
2
Viz MELL, Peter.; GRANCE, Timothy. The NIST Definition of Cloud Computing. National Institute of Standards and Technology [online]. 2011 [cit. 28. 5. 2014]. Dostupné z: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf 3 Pro podrobnější výklad k jednotlivým aspektům srov. SHUVANKER, Ghosh; HUGHES, Gill. Cloud Computing Explained. The Open Group [online]. 2011. [cit. 30. 10. 2014]. Dostupné z: https://www2.opengroup.org/ogsys/catalog/W115 4 Viz MELL, GRANCE, 2011, op. cit. 5 Viz tamtéž. 6 Srov. Google Apps for Work – E-mail, nástroje pro spolupráci a mnoho dalších služeb. Google Apps for Work [online]. Google, 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.google.cz/intx/cs/work/apps/business/ 7 Viz Zakoupení Office 365 pro firmy – software zajišťující produktivitu firmy. Office [online]. Microsoft Corporation, 2014 [cit. 30. 10. 2014]. Dostupné z: http://office.microsoft.com/cs-cz/business/ 8 Viz Dropbox. Dropbox [online]. 2014 [cit. 30. 10. 2014]. Dostupné z: https://www.dropbox.com/ 9 Viz CRM and Cloud Computing To Grow Your Business - Salesforce.com. Salesforce.com [online]. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.salesforce.com/eu/?ir=1 10 Viz Easy Online Meetings With HD Video Conferencing. GoToMeeting [online]. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gotomeeting.com/online/collaboration/home
12
Z právního hlediska je především významné, že v rámci modelu SaaS zákazník využívá aplikaci provozovanou na infrastruktuře poskytovatele. K této infrastruktuře přistupuje prostřednictvím počítačové sítě (zpravidla přes internet) a sdílí ji s ostatními zákazníky poskytovatele.11 Software jako služba je tedy model cloudové služby, při kterém zákazník využívá online aplikaci provozovanou na infrastruktuře poskytovatele, aniž by konkrétní software byl zákazníkovi distribuován v podobě rozmnoženin.
11
Viz MELL, GRANCE, 2011, op. cit.
13
3 3.1
Licence při poskytování softwaru jako služby Licence z pohledu poskytovatele
Jak již bylo naznačeno, díky tomu, že software je při poskytování SaaS provozován na infrastruktuře poskytovatele, nepřenáší se k zákazníkovi rozmnoženiny softwaru a nedochází k jeho distribuci.12 Tato skutečnost má zásadní právní důsledky, protože na rozmnožování softwaru, resp. jeho distribuci, jsou navázány některé klíčové mechanismy jeho právní ochrany, které selhávají v případě, že k těmto úkonům nedojde. Konkrétním projevem tohoto fenoménu je skutečnost, že většina významných hráčů na trhu SaaS využívá na své infrastruktuře modifikovaný open source software, aniž by dále šířila zdrojové kódy svých modifikací.13 Tzv. povinnost reciprocity, tj. povinnost zveřejnit svůj modifikovaný zdrojový kód, totiž vzniká až v okamžiku, kdy je modifikovaný software distribuován. Této skutečnosti si v open source komunitě začali všímat již koncem devadesátých let, kdy se koncept softwaru jako služby (tehdy nazývaný Application Server Providing, ASP) začal poprvé objevovat.14 Skutečně ji ale zpopularizovali až Bradley M. Kuhn and Eben Moglen.15 Ti poukázali na to, že v rámci licence16 GNU General Public Licence verze 2 (dále jen „GPL 2“)17 je možné používat modifikovaný open source software pro poskytování SaaS, aniž by poskytovatel zpřístupnil upravené zdrojové kódy. Licence GPL 2 v čl. 0 výslovně stanoví: „Na aktivity jiné než kopírování a distribuce se tato licence nevztahuje; jsou mimo její rozsah. Spouštění Programu není regulováno a na výstup Programu se licence vztahuje pouze v případě, že jeho obsah tvoří dílo odvozené od Programu“18 (překlad JT). Povinnost šířit upravené zdrojové kódy je stanovena v čl. 3 až v souvislosti s rozmnožováním a distribucí softwaru. Později byl tento fenomén pojmenován „ASP loophole“, tedy mezera pro ASP (jak se SaaS dříve nazývalo). Jelikož princip reciprocity je jedním z pilířů dlouhodobé kontinuity open source softwaru, vzrůstaly obavy, že když poskytovatele softwaru jako služby nebude licenční smlouva nutit, aby svůj upravený kód sdíleli s komunitou, vývoj některých open source produktů se zpomalí nebo úplně zastaví. Proto když se připravovala licence GNU General Public Licence verze 3 (dále jen „GPL 3“), obsahoval její druhý koncept ustanovení, které umožňovalo autorovi stano12
Z tohoto obecného principu existují výjimky, viz dále. Viz JUDD, William. SaaS Threatens Open Source. William Judd [online]. Publikováno 28. 1. 2011 [cit. 30. 10. 2014]. Dostupné z: http://www.williamjudd.com/2011/01/28/the-threat-of-saas-to-open-source/ 14 Viz O’REILLY, Tim. The New Age of Infoware: Open Source and the Web [online]. 1998 [cit. 30. 10. 2014]. Dostupné z: http://www.oreilly.com/tim/archives/mikro_age_of_infoware.pdf 15 Viz KUHN, Bradley M. stet and AGPLv3 - SFLC Technology Blog. Software Freedom Law Center [online]. Publikováno 21. 11. 2007 [cit. 30. 10. 2014]. Dostupné z Internet Archive: http://web.archive.org/web/20080315231323/http://www.softwarefreedom.org/technology/blog/2007/no v/21/stet-and-agplv3/ 16 Licence je ve smyslu zákona č. 89/2012 Sb., občanský zákoník (dále jen „občanský zákoník“), obligací, která vzniká licenční smlouvou, bylo by v tomto smyslu proto přesnější používat termín licenční smlouva, přesto se v dalším výkladu přidržím termínu licence, který je ve vztahu k open source zaužívaný. 17 Viz GNU General Public License Version 2. GNU Operating System [online]. Free Software Foundation, publikováno červen 1991 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/gpl-2.0.html 18 Viz tamtéž. Srov. též Frequently Asked Questions about the GNU Licenses. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/gpl-faq.en.html#GPLRequireSourcePostedPublic 13
14
vit dodatečný požadavek vůči poskytovatelům softwaru jako služby, aby zpřístupnili svůj modifikovaný zdrojový kód založený na jejich licencovaném díle.19 V návaznosti na rekce open source komunity však Free Software Foundation (nadace zastřešující tvorbu licencí z rodiny GNU General Public License, dále jen „FSF“) toto ustanovení do finálního textu nezahrnula20 a vývoj nabral opačný směr. GPL 3 tak v čl. 0 výslovně stanoví, že pouhá interakce s uživatelem přes počítačovou síť není aktivitou, která by spadala do rozsahu licence,21 a proto se s ní nepojí povinnost šířit modifikovaný zdrojový kód. Aby FSF vyhověla těm, kteří uzavření ASP loophole požadovali, vznikla modifikovaná verze GPL 3, nazvaná GNU Affero General Public License verze 3 (dále jen „AGPL“). Její článek 13 stanoví, že pokud někdo modifikovaný program zpřístupňuje uživateli na dálku prostřednictvím počítačové sítě, je zároveň povinen mu na serveru zpřístupnit odpovídající zdrojový kód.22 Z praktického hlediska je otázkou, jak by měl postupovat poskytovatel, který chce v rámci své infrastruktury pro SaaS využít modifikovaný open source software, ale nechce zdrojové kódy dále šířit.23 Pokud se jedná o software licencovaný pod GPL 3, je situace zcela jednoznačná – licence tento postup výslovně dovoluje a není třeba se jej obávat. Pokud je software licencován pod GPL 2, je jeho použití tímto způsobem opět bezpečné, ačkoli to licence výslovně nestanoví. Jak bylo výše uvedeno, tento způsob užití spadá pod svobodné spouštění a modifikaci programu. Povinnost šíření upravených zdrojových kódů je spojena až s distribucí softwaru, přičemž na tomto závěru panuje shoda i v rámci open source komunity.24 Za modifikaci se přitom v tomto případě považuje též zapojení zdrojových kódů open source softwaru do vlastního rozsáhlejšího softwarového řešení, které by jinak celé podléhalo zveřejnění.25 Složitější je situace ve vztahu k softwaru licencovanému pod AGPL. Ačkoli jsou někteří autoři toho názoru, že přes veškerou snahu FSF se ani v této licenci ASP loophole nepodařilo zcela 19
Viz odst. 7(b)4 GPLv3, 2nd discussion draft. GPLv3 [online]. Free Software Foundation, publikováno 26. 9. 2007 [cit. 30. 10. 2014]. Dostupné z: http://webcache.googleusercontent.com/search?q=cache:http://gplv3.fsf.org/gpl-draft-2006-07-27.html 20 Viz Frequently Asked Questions about the GNU Licenses. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/gpl-faq.en.html#SeparateAffero 21 Viz Čl. 0 GNU General Public License Version 3. GNU Operating System [online]. Free Software Foundation, publikováno 27. 6. 2007 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/copyleft/gpl.html 22 Viz GNU Affero General Public License Version 3. GNU Operating System [online]. Free Software Foundation, publikováno 19. 11. 2007 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/agpl3.0.html 23 Jakkoli to na první pohled nemusí být zřejmé, tento požadavek může být legitimní – např. když poskytovatel vyvíjí komplexní proprietární systém, do kterého investuje značné částky, a konkrétní open source software má řešit pouze dílčí úlohu minoritního významu, ale je nebytné jej do systému integrovat skrze zdrojový kód. 24 Viz Frequently Asked Questions about version 2 of the GNU GPL. Free Software Foundation [online]. Publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/old-licenses/gpl-2.0faq.en.html#GPLRequireSourcePostedPublic 25 Blíže k pojmům modifikace a agregace srov. Frequently Asked Questions about the GNU Licenses. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/gpl-faq.en.html#MereAggregation a Frequently Asked Questions about version 2 of the GNU GPL. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/old-licenses/gpl-2.0faq.en.html#MereAggregation
15
uzavřít,26 nelze doporučit využití modifikovaného softwaru uveřejněného pod touto licencí, aniž by současně byly uživateli zpřístupněny upravené zdrojové kódy. Přestože stanovení konkrétních výkladových vodítek pro interpretaci příslušné licenční smlouvy by nejprve vyžadovalo určení jejího právního režimu a následně určení výkladového postupu dle příslušného právního řádu a konkrétního právního předpisu, lze předpokládat, že jedním z faktorů, které budou při výkladu vždy hrát významnou roli, je vůle smluvních stran při uzavírání smlouvy.27 Je přitom zjevné, že úmyslem autorů AGPL bylo uzavřít „ASP loophole“, a proto pokud autor či vykonavatel majetkových práv šíří svůj software pod touto licencí, má v úmyslu přimět případné poskytovatele SaaS ke sdílení zdrojového kódu. Zároveň je třeba vzít v úvahu, zda by se postup poskytovatele v tomto případě nedal kvalifikovat jako zneužití práva. „Zásada zákazu zneužití subjektivního práva brání především takovému výkonu práva, který směřuje k účelu, jenž právní důvod (zákon nebo smlouva), o nějž se opírá subjektivní právo, jež má být vykonáno, vůbec nepředpokládá.“28 Jak bylo diskutováno výše, úmyslem autora, který svůj software licencoval pod AGPL, je zjevně zabránit užití jeho modifikací pro SaaS bez uveřejnění zdrojových kódů. Takové jednání tedy směřuje k účelu, který původní právní důvod nepředpokládal, lze jej proto kvalifikovat jako zneužití práva, čili jednání protiprávní.29 Z těchto důvodů se poskytovatel, který do svého SaaS řešení integruje zdrojové kódy softwaru licencovaného pod AGPL, vystavuje riziku, že bude muset zveřejnit zdrojové kódy celého řešení. Svět open source licencí se však zdaleka neomezuje jen na licence z rodiny GNU General Public License. Přestože je pod nimi licencováno přibližně 70 % veškerého open source softwaru,30 je možné se v praxi setkat i s řadou jiných licencí. V takovém případě musí poskytovatel vždy pečlivě prostudovat, jak daná licence upravuje povinnost reciprocity, popřípadě zda neobsahuje zvláštní ustanovení cílená přímo na SaaS. Pokud je reciproční zveřejnění zdrojového kódu vázáno až na distribuci softwaru, je obecně možné jej při poskytování SaaS využít bez zveřejnění modifikací. I v takovém případě je však třeba důsledně analyzovat, co se pro účely dané licence rozumí distribucí, přičemž tento výklad může být opět závislý na právním režimu konkrétního smluvního vztahu.
26
Viz MENCL, Jakub; HON, Kuan. Copyleft in the Clouds. In: SHEMTOV, Noam; WALDEN, Ian (eds.). Free and Open Source Software Policy, Law, and Practice. 2013, s. 344 a násl. 27 Srov. § 556 občanského zákoníku. Pro předchozí českou úpravu v obchodně závazkových vztazích srov. § 266 odst. 1 zákona č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů. Pro rozhodující výkladové vodítko dle anglického práva srov. stanovisko Sněmovny lordů Spojeného království ze dne 19. 7. 1997. Investors Compensation Scheme v. West Bromwich Building Society. Věc 1 WLR 896.. Pro výkladové vodítko v německém právu srov. § 133 zákona Německé spolkové republiky RGBl. 1896 S. 195, Bürgerliche Gesetzbuch, ve znění pozdějších předpisů. 28 Viz LAVICKÝ, Petr a kol. Občanský zákoník I. Obecná část (§ 1−654). Komentář. 1. vyd. Praha: C.H. Beck, 2014. s. 90. 29 Viz taméž. 30 Viz Google Code Search. [cit. 29 10. 2010]. Původně dostupné z: http://license-info.appspot.com/# nyní nedostupné in MACDONALD, Michaela. Open Source Licensing in The Networked Era. Masaryk University Journal of Law and Technology [online]. 2013, vol. 7, no. 2, pp. 229–239 [cit. 30. 10. 2014]. ISSN 1802-5951. Dostupné z: https://mujlt.law.muni.cz/storage/1404151356_sb_05-macdonald.pdf
16
3.2 Distribuce ve smyslu licencí rodiny GPL Výkladem a konkrétní aplikací pojmu distribuce, resp. jiného relevantního pojmu použitého v příslušné licenci, je přitom třeba se zabývat, i když je licence sama o sobě z hlediska poskytovatele SaaS „bezpečná“. Existují totiž jisté hraniční případy, kdy může v souvislosti s poskytováním SaaS k distribuci softwaru dojít. Jednou z cest k nechtěné a nevědomé distribuci je spolupráce s třetími stranami při vývoji či provozu SaaS. Ve světě vývoje softwaru je poměrně běžné, že jednotliví vývojáři nejsou zaměstnanci poskytovatele a spolupracují s ním na základě volnějšího smluvního vztahu.31 Zvláště častý je tento postup v případě start-upů a malých technologických společností, které často, zejména z počátku, funguji jako volná sdružení, kdy jednotliví programátoři pracují pro více subjektů. Tyto subjekty jsou však zároveň podhoubím pro vznik inovativních řešení z oblasti SaaS. Obdobná situace nastává v případě, kdy je software zpřístupňován externím subdodavatelům např. za účelem jeho testování. Specifikem cloudových služeb je také možnost jejich vrstvení – řešení typu SaaS je možné provozovat ne na vlastní infrastruktuře poskytovatele, ale na infrastruktuře pronajaté nebo na infrastruktuře poskytované jako služba (IaaS), přičemž ve vztahu k takovému subdodavateli se též může jednat o distribuci. Další cestou, která může při poskytování SaaS vést k distribuci, je klientská část celého řešení. Uživatelské rozhraní SaaS totiž může být různé – od statických webových stránek, které lze zobrazit v internetovém prohlížeči, po komplexní mobilní aplikace a „tenké klienty“, tedy specializované aplikace instalované na zařízení koncového uživatele, které komunikují se serverovou částí systému.32 Pokud jsou na počítač uživatele přenášeny pouze výstupy programu v podobě statických webových stránek, nejedná se zjevně o distribuci a např. ve vztahu k GPL 2 je tato aktivita výslovně vyloučena z rozsahu licence.33 Pokud je však na straně uživatele spouštěn počítačový program, je situace komplikovanější. Spouštění počítačového programu na zařízení uživatele je přitom poměrně běžné, protože většina řešení typu SaaS nepracuje na bázi statických webových stránek a k vytvoření dynamického rozhraní používá skriptovací jazyk JavaScript. Zdrojový kód uživatelského rozhraní v jazyce JavaScript se stahuje na zařízení uživatele zpravidla znovu při každém použití aplikace.34 Posledním hraničním případem, který stojí za zmínku, je následná přeměna softwarového řešení, poskytovaného původně jako služba, na produkt, který je zákazníkům poskytován klasicky.35 Takový scénář může nastat zejména v případě, kdy významný zákazník projeví zájem o řešení poskytovatele, ale z důvodů specifické právní regulace nebo obecných obav o ochranu citlivých dat požaduje provoz řešení na vlastní infrastruktuře.
31
Takovým vztahem může být např. smlouva o dílo, nebo podobný vztah, který zavazuje k dlouhodobém průběžném dodávání různých autorských děl. Srov. MEEKER, Heather. The Gift that Keeps on Giving – Distribution and Copyleft in Open Source Software Licenses. International Free and Open Source Software Law Review [online]. 2012, vol. 4, no. 1 [cit. 30. 10. 2014]. ISSN 1877-6922. Dostupné z: http://www.ifosslr.org/ifosslr/article/view/66/125 32 Viz tamtéž pozn. 11. 33 Viz čl. 0 GPL 2. 34 Pouze při opakované návštěvě jedné stránky v krátkém časovém intervalu se použije zdrojový kód uložený v mezipaměti prohlížeče. 35 Viz MEEKER, 2012, op. cit.
17
Zatímco kopírování a používání více kopií softwaru v rámci jedné organizace není podle FSF distribucí ve smyslu GPL 2 a GPL 3, poskytování těchto kopií jiným organizacím či jednotlivcům pro užití mimo původní organizaci distribucí je,36 přičemž se domnívám, že pod organizací je v tomto směru třeba rozumět právnickou osobu. Přijetí tohoto stanoviska spojuje výše uvedené scénáře s povinností zveřejnit zdrojové kódy modifikovaného softwaru. Tyto scénáře přitom podnikatelé v oblasti softwaru zpravidla jako distribuci v obecném slova smyslu nevnímají. Zda toto stanovisko FSF v konkrétním případě přijmout, či odmítnout však bude opět záležet na právním režimu smlouvy. V případě, kdy se smlouva řídí právem Spojených států amerických, má výklad FSF větší váhu, protože pojem „distribution“ použitý v GPL 2 zřejmě vychází z tamního autorského zákona.37 Podle americké judikatury se však o distribuci ve smyslu tamního autorského zákona nejedná, pokud je obsah díla sdělován jednoznačně zvolené skupině, pro omezený účel a bez práva na další šíření, reprodukci, distribuci nebo prodej.38 Že se v případě cloud computingu nejedná o distribuci ve smyslu autorského práva USA, potvrzuje i novější judikatura k této otázce, ačkoli se nevztahuje přímo k problematice softwaru.39 Tento výklad by proto dle mého názoru převážil nad stanoviskem FSF. GPL 3 pojem „distribution“ nahrazuje pojmy „conveying“ a „propagation“, které lze do češtiny nejlépe přeložit jako „převádění“ a „šíření“ a které by měly být významově neutrálnější, protože údajně nejsou používány v žádném autorském právu na světě.40 Pojem předávání („conveying“) zahrnuje jakoukoli formu šíření („propagation“), která umožňuje jiným osobám získat nebo si vytvořit rozmnoženinu díla. Šířením („propagation“) se při tom rozumí jakékoli nakládání s dílem, které by bez patřičného povolení autora znamenalo zásah do autorských práv dle rozhodného práva, s výjimkou spouštění a úprav rozmnoženiny pro osobní potřebu. Šíření („propagation“) zahrnuje rozmnožování, distribuci, sdělování veřejnosti a v některých zemích i další aktivity.41 Tento pojem je tedy zjevně širší než distribuce dle GPL 2. Platí však stále, že v USA sdělování obsahu díla jednoznačně zvolené skupině, pro omezený účel a bez práva na další šíření, reprodukci, distribuci nebo prodej není distribucí, a proto by nejspíše v tamním právním režimu nebylo ani zásahem do autorských práv a nenaplňovalo by tedy definici předávání
36
Viz Frequently Asked Questions about the GNU Licenses. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/gpl-faq.en.html#InternalDistribution a Frequently Asked Questions about version 2 of the GNU GPL. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/old-licenses/gpl-2.0faq.en.html#InternalDistribution 37 Viz Title 17 of the United States Code, Copyright Act, ve znění pozdějších předpisů. 38 Viz MEEKER, 2012, op. cit. 39 Viz JOHNSTON, Ronald L. Cloud Computing: Recent Cases and Anticipating New Types of Claims. The Computer & Internet Lawyer [online]. 2011, vol. 28, no. 1, s. 1–8 [cit. 30. 10. 2014]. ISSN 1531-4944. Dostupné z: http://www.klgates.com/files/Publication/5d61b5e9-ad6f-4d6a-985c30cb6b84dae2/Presentation/PublicationAttachment/42137be3-c03c-4c58-a52731d872b78ec5/Wittow_CloudComputing_Jan2011.pdf 40 Viz Frequently Asked Questions about the GNU Licenses. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/gpl-faq.en.html#WhyPropagateAndConvey 41 Viz čl. 0 GPL 3.
18
(„conveying“). Podle práva USA by tedy výše popsané scénáře neměly být spojené s distribucí softwaru ani s povinností zveřejnit modifikované zdrojové kódy. Obdobná by byla situace i v případě, kdy by se smlouva řídila právem některého z členských států Evropské unie. Pojem „distribution“ dle GPL 2 nelze vykládat jako rozšiřování díla („distribution“) dle článku 4 směrnice Evropského parlamentu a Rady 2001/29/ES ze dne 22. května 2001 o harmonizaci určitých aspektů autorského práva a práv s ním souvisejících v informační společnosti, protože toto právo se vztahuje k hmotným nosičům zachycujícím dílo,42 přičemž takto úzké pojetí autoři GPL 2 zjevně neměli na mysli. Nejbližším legislativně vymezeným pojmem, který lze pro účely interpretace využít, je tedy zřejmě sdělování veřejnosti dle čl. 3 směrnice 2001/29/ES. Sdělování veřejnosti je zároveň nejrelevantnějším možným způsobem zásahu do autorských práv naplňujícím pojem předávání („conveying“) dle GPL 3. Soudní dvůr Evropské unie přitom judikoval, že sdělováním veřejnosti se rozumí „nikoli pouze zpřístupnění konkrétním jednotlivcům, kteří patří do soukromé skupiny osob“ a že „pojem veřejnost zahrnuje určitý minimální práh, což z tohoto pojmu vylučuje příliš malý, či dokonce nevýznamný počet dotčených osob.“43 Předání softwaru spolupracujícím osobám podle mého názoru nepřekračuje tento minimální práh. Na druhou stranu Telec a Tůma se domnívají, že eurokonformně vykládaný pojem sdělování veřejnosti „zahrnuje jakékoli sdělování díla, které se děje za účelem přímého či nepřímého hospodářského nebo obchodního prospěchu,“44 což výše uvedené scénáře splňují (poskytovatel zadává úkol externímu subjektu, aby snížil své náklady a tím získal hospodářský prospěch). Svůj názor zdůvodňují tím, že bezplatné čerpání hospodářského prospěchu z cizího díla by bylo v rozporu se základním právem na ochranu vlastnictví a taktéž v rozporu s výkladovými vodítky směrnice 2001/29/ES.45 S tímto náhledem se neztotožňuji, neboť nespatřuji důvod pro oddělování hospodářského a obchodního prospěchu od prospěchu osobního, „nehospodářského“. Pakliže čerpám jakýkoli prospěch z cizího díla, může se jednat o porušení práva na ochranu vlastnictví, neboť jinde bych musel za stejný prospěch vynaložit určité prostředky. Není tedy důvodu vést pomyslnou dělicí čáru zrovna mezi druhy získaného prospěchu a je vhodnější přidržet se formulace čl. 2 směrnice 2001/29/ES. Jestliže evropský zákonodárce záměrně zakotvil právo sdělování veřejnosti, pak tím zjevně nechtěl pokrýt otázku sdělování soukromého, ať už komerční či nekomerční povahy, jinak by čl. 2 směrnice 2001/29/ES upravoval právo sdělování obecně, nebo by právo sdělování soukromého bylo upraveno samostatně. Jsem tedy přesvědčen, že zpřístupnění softwaru spolupracujícímu vývojáři, externímu dodavateli či poskytovateli cloudových služeb nižší úrovně by v kontextu evropského práva a jím harmonizovaného práva České republiky neměly být distribucí, resp. předáváním („conveying“, v dalším výkladu se přidržím již pouze souhrnného pojmu distribuce) ve smyslu licencí GLP 2 a GPL 3. Toto pojetí lze částečně opřít i o argument, že zákon č. 121/200 Sb., autorský zákon, ve 42
Viz TELEC, Ivo; TŮMA, Pavel. Autorský zákon: komentář. 1. vyd. Praha: C.H. Beck, 2007. ISBN 9788071796084. s. 191. 43 Viz odst. 85 a 86 rozsudku Soudního dvora Evropské unie (třetího senátu) ze dne 15. března 2012. Società Consortile Fonografici proti Marcu Del Corsovi. Věc C‑135/10. Obdobně srov. rozsudek Soudního dvora (třetího senátu) ze dne 14. července 2005. Lagardère Active Broadcast. Věc C‑192/04. a rozsudek Soudního dvora (třetího senátu) ze dne 7. prosince 2006. Rafael Hoteles. Věc C‑306/05. 44 Viz TELEC, TŮMA, 2007, op. cit., s. 221. 45 Viz tamtéž.
19
znění pozdějších předpisů (dále jen „autorský zákon“) přiznává objednateli ve vztahu k počítačovému programu zhotovenému na objednávku postavení zaměstnavatele a programu status zaměstnaneckého díla.46 Z toho nelze automaticky dovozovat, že zhotovitel programu by měl vůči objednateli postavení zaměstnavatele, je však zjevné, že zákonodárce vnímá pozici zhotovitele jako speciální, bližší osobě objednatele. Přesto zvažuje-li poskytovatel SaaS uplatnění některého z těchto scénářů, měl by postupovat velmi obezřetně, aby neporušil podmínky příslušné licence. Jako opatření snižující toto riziko lze doporučit omezení činnosti spolupracující osoby pouze na infrastrukturu poskytovatele, např. pomocí vzdáleného přístupu, a dále výslovné ošetření privátního charakteru zpřístupněného softwaru ve smlouvě s touto osobou.47 V případě složitějších klientských řešení instalovaných za zařízení koncového uživatele je odlišení případů, ve kterých dochází k distribuci, a těch, ve kterých k ní nedochází, nesmírně obtížné. Zjevná je distribuce v případech „tenkých klientů“, které je třeba na zařízení uživatele nainstalovat nebo alespoň cíleně spustit. Ve sporných případech by pak bylo třeba zkoumat zdrojový kód přenášený na zařízení uživatele a posuzovat, zda jej lze považovat za samostatné autorské dílo odvozené od programu spouštěného na serverové straně. Jako alespoň částečně účinné opatření lze v tomto směru doporučit oddělení zdrojových kódů uživatelského rozhraní do samostatné aplikace tak, aby se jednalo o samostatné autorské dílo nezávislé na zbytku řešení, a v případě nezbytnosti zveřejnit zdrojové kódy by se tato povinnost vztahovala pouze na tento oddělený program. Pouze v posledním jmenovaném případě přeměny softwarového řešení, poskytovaného původně jako služba, na produkt, je závěr jednoznačný. Upravené řešení je nainstalováno a spouštěno na infrastruktuře zákazníka, a tudíž se zjevně jedná o distribuci softwaru, která vyvolává příslušnou povinnost reciprocity. Proto je třeba se tomuto postupu vyhnout, pokud poskytovatel nechce zdrojový kód modifikovaného open source zveřejňovat.
3.3
Licence z pohledu zákazníka
Obdobně jako z pohledu poskytovatele, i pro zákazníka je velmi relevantní skutečnost, že v případě poskytovaní SaaS je software spouštěn pouze na infrastruktuře poskytovatele. Je otázkou, komu toto spuštění (ať už jej z hlediska autorskoprávního kvalifikujeme jakkoli) přičítat. V tomto směru nám může poskytnout vodítko směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu. Tato směrnice vytváří systém bezpečných přístavů omezujících určité aspekty odpovědnosti některých poskytovatelů služeb informační společnosti. Mezi poskytovateli, jejichž odpovědnost je omezena, jsou také poskytovatelé hostingových služeb,48 kteří neodpovídají za informace uložené uživatelem služby, pokud „nebyl[i] účinně seznámen[i] s protiprávní činností nebo informací[.]“49
46
Viz § 58 odst. 7 autorského zákona. Viz MEEKER, 2012, op. cit. 48 Za hosting se dle článku 14 odst. 1 směrnice o elektronickém obchodu považují „služby informační společnosti spočívající v ukládání informací poskytovaných příjemcem služby[.]“ 49 Viz článek 14 odst. 1 písm. a) směrnice o elektronickém obchodu. 47
20
V případě, že lze poskytovatele kvalifikovat jako poskytovatele hostingu,50 nelze jej pak činit odpovědným za spouštění softwaru na cloudové infrastruktuře. Jako poskytovatel hostingu se však poskytovatel cloudových služeb kvalifikuje pouze v případě, že mu není známo, jaký software uložený zákazníkem je na jeho infrastruktuře spouštěn. Takový scénář je možný v případech řešení typu IaaS, případně PaaS,51 ne však u SaaS. Při poskytování SaaS poskytovatel přímo určuje a ovlivňuje, jaký software se pouští na jeho infrastruktuře, neboť tento software je podstatou jeho služby. Zákazníkovi není vůbec zpřístupňován software jako takový, pouze jeho výstupy, a veškeré rozmnoženiny softwaru vznikají na infrastruktuře poskytovatele a pod jeho kontrolou. Přístup k výstupům počítačového programu přitom nelze podřadit pod ani jeden z možných způsobů užití ve smyslu autorskoprávním, jak je vymezeno v § 12 odst. 4 autorského zákona. Výčet v § 12 odst. 4 je však pouze demonstrativní a § 12 odst. 5 výslovně stanoví, že „[d]ílo lze užít i jiným způsobem než způsoby uvedenými v odstavci 4.“ Je tedy třeba zvážit, zda přístup k výstupům počítačového programu může být jiným způsobem užití tohoto programu jako autorského díla.52 Kdyby tomu tak bylo, pak bychom pro každý soubor, se kterým na počítači běžně pracujeme, museli mít licenci k programu, kterým byl tento program vytvořen. Takový závěr je nejen absurdní z hlediska technického (stejné typy výstupních formátů jsou mezi různými programy často sdíleny a nemusí tak být možné zjistit, jakým konkrétním typem softwaru byl daný soubor vytvořen), ale zároveň nežádoucí z hlediska právně-politického. Vedl by totiž ke konzervaci současného stavu techniky a nikoli podpoře inovativní softwarové produkce, neboť ta je do značné míry závislá na interoperabilitě existujících dat. Ta by byla značně omezena, pokud bych pro další legální užívání vytvořených dat potřeboval licenci k původnímu softwaru. Nelze-li tedy jednání zákazníka kvalifikovat jako užití v autorskoprávním smyslu, pak software užívá pouze poskytovatel formou rozmnožování. A jelikož nedochází k užití softwaru ze strany zákazníka, nepotřebuje zákazník k používání SaaS licenci. Výjimku z tohoto pravidla tvoří pouze výše zmíněný případ, kdy se na zařízení koncového uživatele přenáší zdrojové kódy, které lze považovat za samostatné autorské dílo odvozené od původního programu.53 K užití ze strany uživatele v takovém případě dochází v okamžiku, kdy jsou z něj vytvářeny dočasné rozmnoženiny v paměti jeho zařízení, k čemuž zpravidla dochází při jeho spuštění.54 Licenční ujednání v rámci smlouvy o poskytování SaaS má tedy z hlediska zákazníka smysl pouze v případě, že očekává využití klientské aplikace nebo komplexního rozhraní spouštěné50
Viz článek 14 odst. 1 písm. a) směrnice o elektronickém obchodu. Zde bude třeba posuzovat vědomost poskytovatele o spouštěném softwaru vždy ad hoc dle okolností konkrétního případu. 52 Je otázkou, nakolik je ve světele poslední judikatury Soudního dvora Evropské unie dán členským státům protor, aby si upravili vlastní výlučná autorská práva nad rámec práv harmonizovaných směrnicí 2001/29/ES. K tomu srov. poznámku 51 v HUSOVEC, Martin. Koncept parazitnej nekalej súťaže [online]. Publikováno 22. listopadu 2014 [cit. 22. 3. 2014]. Dostupné z: http://laws.husovec.eu/files/Koncept%20Parazitnej%20Nekalej%20Sutaze.pdf?attredirects=0&d=1 53 Ke stejnému závěru s obdobnou výhradou dospívá i Rominkiewiczs při analýze této otázky dle polského práva. Srov. ROMINKIEWICZ, Konrad P. Problemy prawne cloud computing. Wrocław, 2014. Diplomová práce. Uniwersytet Wrocławski, Wydział Prawa, Administracji i Ekonomii. Vedoucí práce Dariusz ADAMSKI. s. 46. 54 Zhotovování těchto rozmnoženin se považuje za užití dle § 66 odst. 2 autorského zákona. 51
21
ho na uživatelském zařízení, a i tak je spíše vhodné jej řešit samostatnou smlouvou. Přesto se licenční otázky v smlouvách na SaaS objevují poměrně často.55 Příčinou jsou zřejmě obavy zákazníků ze zásahu do práv třetích osob.56 Přestože zákazník přistupuje pouze k výstupům softwarového řešení a rozmnoženiny zhotovuje poskytovatel na své infrastruktuře, někteří zákazníci se obávají, že by mohlo toto rozmnožování, a tedy užití být přisuzováno jim a následně by mohli být postihováni ze strany autora za neoprávněné užití. Tento typ rizika je jistě třeba brát v úvahu. Zatímco poskytovatel může být považován za profesionála v oboru, zákazník zpravidla nedisponuje obdobným rozsahem odborných znalostí, a proto může těžko vzít v úvahu všechny možné případy, ve kterých mohou být při používání SaaS porušena práva třetích osob. Řešením v tomto směru ze strany zákazníka by však nemělo být vyžadování široké licence k veškerému softwaru, který je při poskytování SaaS užíván. Takový postup je z hlediska poskytovatele prakticky nerealizovatelný, protože by musel k veškerému softwaru disponovat právem podlicence, což u proprietárního softwaru není obvyklé. V některých případech je však těžké oprostit se od klasického modelu distribuce softwaru a smlouvy na poskytování SaaS se tak někdy hodně podobají smlouvám licenčním. Tyto smlouvy jsou však do určité míry deformované, neboť licenční otázky v nich utlačují jiná podstatná ujednání charakteristická pro SaaS.57 Pojetí SaaS jako licenčního vztahu má dopady i do oblasti účetnictví a daňové evidence zákazníka. Pro tyto účely je třeba stanovit dobu trvání takové nabývané licence, což samo o sobě může být problematické, je-li smlouva na SaaS uzavřena na dobu neurčitou. Dále je třeba licenci ocenit, a trvá-li licence déle než rok a její cena je nad hranicí 60 000 Kč, je třeba ji (včetně veškerých souvisejících nákladů) zaúčtovat jako dlouhodobý nehmotný majetek a do daně z příjmu se bude promítat formou odpisů po dobu 36 měsíců. Pokud pořízení SaaS pojmeme jako nákup služby, může být cena zaúčtována do nákladů běžného období a pro účely daně z příjmu uplatněna ihned celá.58 Ačkoli tady ošetření poskytování SaaS licenční smlouvou není nutné a je to naopak v mnoha případech nevhodné, nelze tento závěr interpretovat tak, že smluvní úprava není vůbec třeba. Naopak, díky absenci typové zákonné úpravy je dostatečně určitá dohoda o klíčových otázkách poskytování služby o to nezbytnější. Výsledná smlouva pak bude inominátní.59 Ve vztahu k riziku zásahu do práv třetích osob je pak možným řešením ujednání o odškodnění („indemnities“).60 Ze strany zákazníka je oprávněné od poskytovatele požadovat záruku, že užíváním příslušné služby nedojde k zásahu do práv třetích osob, a závazek, že poskytovatel zákazníka plně odškodní za případné vznesené nároky třetích osob související s užíváním této 55
Srov. HON, Kuan W.; MILLARD, Christopher; WALDEN, Ian. Negotiating cloud contracts: Looking at clouds from both sides now. Stanford Technology Law Review [online]. 2012, vol. 16, no. 81, s. 81–130 [cit. 30. 10. 2014]. Dostupné z: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2055199 s. 126. 56 Srov. HON, MILLARD, WALDEN, 2012, op. cit, s. 95. 57 Viz MEEKER, 2012, op. cit. 58 Viz § 32a zákona č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů. Pro praktický postup srov. Základní pravidla účtování softwaru. DAQUAS [online]. 2012 [cit. 30. 10. 2014]. Dostupné z: http://www.daquas.cz/articles/483-zakladni-pravidla-uctovani-softwaru. Obdobná je situace v Polsku. Srov. ROMINKIEWICZ, 2014, op. cit., s. 46. 59 Srov. § 1746 odst. 2 občanského zákoníku. 60 Srov. HON, MILLARD, WALDEN, Negotiating cloud contracts, 2012, op. cit, s. 94.
22
služby včetně nákladů právního zastoupení. V rámci vyváženosti je pak zpravidla poskytovateli dána možnost převzít obhajobu proti nároku třetí osoby, případně s ní uzavřít narovnání. Toto ujednání odpovídá obdobným ujednáním o odpovědnosti za právní vady v klasických licenčních smlouvách na software a zároveň je možné jej interpretovat jako slib odškodnění ve smyslu § 2890 občanského zákoníku.61 Celkově je však třeba podotknout, že problematika licencí by na straně zákazníka neměla poutat příliš velký díl pozornosti, aby některé další důležité otázky nezůstaly stranou. Mám na mysli zejména ochranu osobních údajů,62 dohodu o garantované úrovni služby (Service Level Agreement, SLA)63 a otázky bezpečnosti dat64 a odpovědnosti za škodu.65 Tyto otázky z hlediska zákazníka ve vztahu k SaaS je nezbytné řešit, a to přednostně před problematikou licenční.
3.4 Dílčí závěr o licencích Z hlediska poskytovatele SaaS je významné, že jako součást svého řešení může za určitých podmínek použít modifikovaný open source software, aniž by dále sdílel odpovídající zdrojové kódy. Před zahájením takového postupu je však třeba zejména ověřit podmínky konkrétní open source licence. GPL 2 a 3 jsou v tomto směru bezpečné, naopak licenci AGPL je vhodné se vyhnout. U ostatních licencí je třeba zkoumat povinnost reciprocity a způsob definice pojmu distribuce nebo jiného odpovídajícího pojmu. Na pojem distribuce by se poskytovatel měl zaměřit zejména v případě, že do projektu chce zapojit třetí osoby. Opatrně by měl postupovat v případě, že by uživatelské rozhraní jeho služby bylo možné považovat za samostatné autorské dílo způsobilé k distribuci zákazníkovi. Z hlediska zákazníka je podstatné, že pro používání SaaS nepotřebuje od poskytovatele licenci (s výjimkou případů, kdy je uživatelské rozhraní samostatné autorské dílo) a měl by se proto v rámci smluvní úpravy věnovat důležitějším otázkám, jako je ochrana osobních údajů, SLA, bezpečnost dat a odpovědnost za škodu. S ohledem na výše uvedené závěry lze říci, že licence jako standardní institut práva duševního vlastnictví a závazkového práva ve své současné podobě neodpovídá aktuálním potřebám běžné praxe v oblasti vývoje a prodeje softwaru. Smyslem typové právní úpravy smluvních závazkových vztahů je nastavit ex lege základní principy fungování těchto vztahů, pokud se na nich strany nedohodnou, resp. i proti jejich vůli, považuje-li to zákonodárce za nezbytné. V této funkci typová úprava licenční smlouvy ve vztahu k SaaS a cloud computingu obecně selhává a smluvní strany jsou tak ponechány vlastnímu osudu. Změna paradigmatu od produktů ke službám má tedy v této oblasti zásadní dopady.
61
Díky této opoře v právní úpravě by neměly vznikat pochybnosti o vynutitelnosti takovéhoto ujednání. Viz Kapitola 0. 63 Viz Cloud Service Level Agreement Standardisation Guidelines. Evropská komise [online]. Cloud Select Industry Group, Subgroup on Service Level Agreement, publikováno 24. 06. 2014 [cit. 30. 10. 2014]. Dostupné z: http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?action=display&doc_id=6138 s. 15. 64 Srov. HON, MILLARD, WALDEN, 2012, Negotiating cloud contracts, op. cit, s. 109. 65 Srov. HON, MILLARD, WALDEN, 2012, Negotiating cloud contracts, op. cit, s. 94. 62
23
4
Ochrana osobních údajů při poskytování softwaru jako služby
V případě, že zákazník využívající cloudové služby působí v Evropské unii (dále jen „EU“) a data zpracovávaná pomocí cloudové služby mohu sloužit k identifikaci jakékoli fyzické osoby, může poskytování cloudové služby spadat pod režim směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Směrnice 95/46/ES stanoví řadu požadavků na vztah mezi zákazníkem využívajícím cloudové služby a jejich poskytovatelem. Od cloudových řešení se očekává podstatné zvýšení efektivity, zejména pro malé a střední podniky (dále jen „SME“), které si obvykle nemohou dovolit, ani plně využít rozsáhlá IT řešení vyhrazená pouze pro jejich potřebu.66 SME v EU z cloudových služeb nejčastěji využívají e-mail a úložiště dat v cloudu.67 Tyto služby jsou často integrované v on-line kancelářských balíčcích, jako jsou Microsoft Office 365 nebo Google Apps for Work. Pro SME však může být obtížné posoudit nabídky poskytovatelů těchto cloudových služeb z hlediska ochrany osobních údajů, neboť právní úprava stejně jako smluvní rámce poskytovatelů jsou velmi složité. Cílem této části práce je tedy v prvé řadě sumarizovat požadavky na obsah smlouvy mezi poskytovatelem a zákazníkem cloudových služeb plynoucí ze směrnice 95/46/ES s přihlédnutím k ustanovením některých národních implementací. Následně budou na základě těchto požadavků z hlediska ochrany údajů vyhodnoceny a porovnány smlouvy na poskytování služby Google Apps for Work a Microsoft Office 365 nabízené SME. Na závěr budou diskutovány nedostatky stávajícího právního rámce pro ochranu údajů ve vztahu ke cloud computingu a analyzována potenciální zlepšení, která může přinést připravované obecné nařízení o ochraně údajů.
4.1
Ochrana osobních údajů v cloudu
Institut ochrany osobních údajů je jedním z mechanismů sloužících k ochraně práva na soukromí. Právo na soukromí je v českém právním řádu zakotveno v čl. 7, 10, 12 a 13 ústavního zákona č. 23/1991 Sb., Listina základních práv a svobod, ve znění pozdějších předpisů. Čl. 7 zakotvuje „soukromí v nejširším smyslu“ a jeho „ustanovení lze chápat jako lex generalis ve vztahu k ostatním, která již chrání některé zvláště významné projevy soukromí v čl. 10, 12 a 13[.]“68 Ve vztahu k ochraně osobních údajů je relevantní ustanovení čl. 10 odst. 2, které garantuje „právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě[.]“
66
Viz Unleashing the Potential of Cloud Computing in Europe. Evropská komise [online]. 27 9. 2012 [cit. 15. 2. 2015]. Dostupné z: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:EN:PDF, s. 4. 67 Viz Use of cloud computing services. Eurostat [online]. Publikováno 16. 1. 2015 [cit. 15. 2. 2015]. Dostupné z: http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicce_use&lang=en 68 Viz FILIP, Jan. Vybrané kapitoly ke studiu ústavního práva. Vyd. 2., dopl. Brno: Masarykova univerzita, 2001. s. 115.
24
Právo na soukromí také zakotvují některé významné mezinárodní smlouvy z oblasti lidských práv, které jsou součástí právního řádu České republiky. Mezinárodní pakt o občanských a politických právech, publikovaný jako vyhláška Ministerstva zahraničních věcí Československé socialistické republiky č. 120/1976 Sb., zakazuje svévolné zásahy do soukromého života jedince a garantuje každému zákonnou ochranu před takovýmito zásahy. Evropská Úmluva o ochraně lidských práv a základních svobod, vyhlášená pod číslem 209/1992 Sb., ve znění pozdějších předpisů, taktéž zakotvuje „právo na respektování soukromého a rodinného života“ a vymezuje případy, kdy do nich státní orgán může zasáhnout.69 Specifickým pramenem, který na mezinárodní úrovni upravuje ochranu osobních údajů a kterým je Česká republika vázána, je Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat, č. 115/2001 Sb. m. s. Tato úmluva, jež zaručuje fyzickým osobám na území smluvních stran ochranu soukromí ve vztahu k automatickému zpracování osobních údajů, se stala rámcem pro právní úpravu této problematiky v jednotlivých státech.70 Vychází z ní i směrnice 95/46/ES, která však oproti zmíněné úmluvě výrazně rozšiřuje a prohlubuje povinnosti členských zemí. Mimo jiné „požaduje vytvoření nezávislého orgánu dozoru, rozšiřuje ochranu osobních údajů také na neautomatizovaně zpracovávané údaje[, …] definuje zvláštní kategorii osobních údajů, tzv. citlivé údaje.“71 Výsledkem transpozice těchto mezinárodních závazků České republiky do našeho právního řádu je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých předpisů, ve znění pozdějších předpisů (dále jen „ZOOÚČR“). Protože jsou však cloudové služby obvykle poskytovány přes internet a nejsou omezeny geograficky, bude předmětem dalšího rozboru zejména úprava celoevropská, tedy směrnice 95/46/ES, přičemž konkrétní závěry jsou, pokud není uvedeno jinak, aplikovatelné ve vztahu ke všem národním implementacím, neboť vycházejí z harmonizovaných pravidel. Povinnosti zákazníků a poskytovatelů cloudových služeb ve vztahu k ochraně osobních údajů silně závisí na rolích, které jsou jim v konkrétním vztahu přiřazeny směrnicí 95/46/ES. Tyto role jsou dány mnoha faktory, z nichž prvním je charakter dat zpracovávaných v cloudu. V případě, že data nejsou osobními údaji, se směrnice 95/46/ES nemusí vůbec aplikovat. Směrnice 95/46/ES definuje osobní údaje jako „veškeré informace o identifikované nebo identifikovatelné osobě (subjekt údajů)[,]“ kde „identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity[.]“72 Široký záběr této definice je dále podporován preambulí směrnice 95/46/ES, která uvádí, že „pro určení, zda je osoba identifikovatelná, je třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou pro identifikaci dané osoby[.]“73
69
Viz článek 8 vyhlášky Ministerstva zahraničních věcí, č. 209/1992 Sb., ve znění pozdějších předpisů, Evropská Úmluva o ochraně lidských práv a základních svobod. 70 Viz BARTÍK, Václav; JANEČKOVÁ, Eva. Zákon o ochraně osobních údajů s komentářem. 1. vyd. Olomouc: Anag, 2010. s. 10. 71 Viz tamtéž s. 11. 72 Viz článek 2 písm. a) směrnice 95/46/ES. 73 Viz recitál 26 směrnice 95/46/ES.
25
Rozumná šance, že konkrétní prostředek bude použit a umožní identifikaci, je dána především kontextem každého jednotlivého zpracování.74 Existují určitá technická opatření, která mohou být v rámci cloudových služeb uplatněna, aby se zabránilo příjemci dat identifikovat dotčené jednotlivce, jako je například anonymizace nebo šifrování dat. Tato opatření mohou zbavit data jejich charakteru osobních údajů ve smyslu směrnice 95/46/ES ve vztahu ke konkrétnímu příjemci,75 možnost jejich praktického uplatnění je však limitovaná. Například, pokud by adresář v rámci služby cloudového e-mailu byl zašifrovaný tak, že by poskytovatel služby neměl přístup k uloženým adresám, uživatel by nemohl mít k dispozici funkce prohledávání těchto adres, třídění přijatých e-mailů ve své schránce, prevence označení e-mailů z těchto adres za SPAM apod. Pokud by všechny dokumenty, které by měly být uloženy v cloudovém úložišti dokumentů, musely být nejprve prohledány a zbaveny všech odkazů na identifikovatelné jednotlivce, nahrané dokumenty by se v mnoha případech staly zcela nepoužitelnými. Proto musíme předpokládat, že v případě nejčastěji využívaných cloudových služeb, jako je e-mail nebo úložiště dokumentů, uložená a zpracovaná data představují osobní údaje ve smyslu směrnice 95/46/ES. Je rovněž otázkou, zda jsou osobní údaje v cloudu skutečně zpracovány ve smyslu směrnice 95/46/ES. Vzhledem k tomu, že definice zpracování ve směrnici 95/46/ES76 je velmi široká obdobně jako definice osobního údaje a že všechny běžné cloudové služby zahrnují ukládání dat, což je operace, která je považována za zpracování, odpověď bude v naprosté většině případů kladná. Pokud mohou být data nebo jejich části považovány za osobní údaje ve smyslu směrnice 95/46/ES a jsou v cloudu zpracovávána ve smyslu směrnice 95/46/ES, pak alespoň jedna z osob podílejících se na této činnosti musí být správcem těchto osobních údajů. Správcem osobních údajů je podle směrnice 95/46/ES subjekt, který „určuje účel a prostředky zpracování[.]“77 V případě těch cloudových služeb, které jsou nabízeny široké veřejnosti (tj. nejsou vytvořeny na míru individuálním požadavkům zákazníka), je to vždy poskytovatel, kdo určuje vlastnosti služby, jako je formát a rozsah dat, způsob, jakým jsou uložena a prostředky jejich ochrany, přičemž prostor pro jednání o jednotlivých parametrech, může být velmi omezený.78 Může se 74
Lord Hope v odst. 26 rozhodnutí Sněmovny lordů Spojeného království ze dne 9. 7. 2008, Common Services Agency v Scottish Information Commissioner (Scotland), věc [2008] UKHL 47 uvádí: „Kdyby pro příjemce […] dat bylo nemožné identifikovat tyto jednotlivce, informace by v jeho rukách nebyly ‘osobními údaji.‘“ 75 Viz HON, Kuan W.; MILLARD, Christopher; WALDEN, Ian. The problem of ‘personal data’ in cloud computing: what information is regulated?—the cloud of unknowing. International Data Privacy Law [online]. 2011, vol. 1, no. 4, p. 211-228 [cit. 15. 2. 2015]. Dostupné z Oxford Journals: http://idpl.oxfordjournals.org/content/1/4/211.full.pdf+html, s. 214. 76 Zpracováním se dle článku 2 písm. b) směrnice 95/46/ES rozumí „jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace[.]“ 77 Viz článek 2 písm. d) směrnice 95/46/ES. 78 Individuální úpravy služby by většinou výrazně zvýšily náklady pro poskytovatele, a tím narušily jeho obchodní model. Podle zkušeností autora je prostor pro jednání s významnými poskytovateli cloudových služeb velmi omezený i v případě velkých zákazníků, proto jsou jakékoli změny služby nebo jejích podmínek pro SME nedosažitelné.
26
proto zdát, že tato rozhodnutí posouvají poskytovatele do role správce osobních údajů.79 Ve skutečnosti je to však rozhodnutí zákazníka přijmout nabídku konkrétního poskytovatele, které určuje způsob zpracování.80 Bez tohoto rozhodnutí poskytovatel nebude data vůbec zpracovávat. V případě, že rozhodnutí využít určitou cloudovou službu je na zákazníkovi, pak by on měl být považován za správce osobních údajů, které jsou pomocí této služby zpracovávány. To však nevylučuje možnost, aby byl poskytovatel správcem také. V případě, že se poskytovatel rozhodne použít data pro jiné účely než ty zvolené zákazníkem, může se také stát správcem údajů,81 stejně jako když poskytovatel otevřeně využívá data pro marketingové a reklamní účely (jako je poskytování cílené reklamy pro uživatele služeb). Ve většině situací však bude poskytovatel zpracovatelem osobních údajů - subjektem, který zpracovává osobní údaje pro správce.82 Toto rozdělení rolí předpokládá i Article 29 Data Protection Working Party (Pracovní skupina pro ochranu dat podle článku 29 směrnice 95/46/ES, dále jen jako „WP29“) stejně jako mnoho národních úřadů pro ochranu údajů ve svých stanoviscích a doporučeních ve vztahu ke zpracování osobních údajů v cloudu.83 Přesto se mohou vyskytovat případy, kdy situace nebude tak jasná. Když poskytovatel cloudu poskytuje zákazníkovi pouze úložnou kapacitou pro nestrukturovaná data (tedy ne například chytré úložiště dokumentů s možností vyhledávání atd.) nebo výpočetní výkon, nemusí mu být (a obvykle není) známa povaha dat, která se zákazník rozhodne zpracovávat prostřednictvím poskytovaných zdrojů. Přesto definice zpracování ve směrnice 95/46/ES nerozlišuje, zda si je zpracovatel vědom osobní povahy údajů, nebo ne. V takovém případě by se pozice poskytovatele měnila v závislosti na typu dat, která se zákazník rozhodne zpracovávat, a to aniž by o tom poskytovatel věděl. Takové rozdělení rolí může mít za následek 79
Tuto možnost diskutují Hon a kol. Viz HON, Kuan W.; MILLARD, Christopher; WALDEN, Ian. Who is responsible for ‘personal data’ in cloud computing?—The cloud of unknowing, Part 2 International Data Privacy Law [online]. 2012, vol. 2, no. 1, pp. 3-18 [cit. 15. 2. 2015]. ISSN 2044-4001. Dostupné z Oxford Journals: http://idpl.oxfordjournals.org/content/2/1/3.full.pdf+html, s. 6. 80 Viz Opinion 05/2012 on Cloud Computing. Evropská komise [online]. Article 29 Data Protection Working Party, 2012 [cit. 11. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/files/2012/wp196_en.pdf (dále jen „WP196“), s. 8. 81 Tento scénář nastal např. v případě Společnosti pro celosvětové mezibankovní finanční telekomunikace (SWIFT), která provedla některé operace jako předání dat dalším příjemcům (konkrétně Ministerstvu financí USA) bez vědomí orgánů, které ji pověřily jako zpracovatele. Následně WP29 vydala stanovisko, že SWIFT by měla být považován za správce zpracovávaných osobních údajů. Viz Opinion 10/2006 on the processing of personal data by the Society for Worldwide Interbank Financial Telecommunications (SWIFT). Evropská komise [online]. Article 29 Data Protection Working Party, 2006 [cit. 11. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_en.pdf, p. 26. 82 Viz článek 2 psím. e) směrnice 95/46/ES. 83 Viz Stanovisko č. 65/2013/4 [online]. Úřad pro ochranu osobních údajů, publikováno 1. července 2013 [cit. 11. 2. 2015]. Dostupné z: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=3002, s. 3. Guidance on the use of cloud computing [online]. Srov. též Information Commissioner’s Office, 2012, [cit. 11. 2. 2015]. Dostupné z: https://ico.org.uk/media/fororganisations/documents/1540/cloud_computing_guidance_for_organisations.pdf, p. 8. Guía para clientes que contraten servicios de Cloud Computing [online]. Srov. také Agencia Española de Protección de Datos, 2013 [cit. 11. 2. 2015]. Dostupné z: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_Cloud. pdf, p. 13.
27
nevyvážené rozložení povinností a zatěžování jak zákazníka, tak poskytovatele v míře, která není přiměřená v poměru k možnému riziku, které přináší zapojení poskytovatele do činnosti zákazníka.84 Řešení tohoto problému může spočívat v aplikaci směrnice o elektronickém obchodu.85 Tuto směrnici můžeme vnímat jako zdroj obecných pravidel týkajících se odpovědnosti poskytovatelů služeb informační společnosti a směrnici 95/46/ES jako zdroj zvláštních pravidel týkajících se odpovědnosti v případech, kdy poskytovatelé služeb informační společnosti zpracovávají osobní údaje. Pak by nebylo možné povinnosti takových poskytovatelů na základě směrnice o elektronickém obchodu ve vztahu k ochraně osobních údajů omezit. Nicméně směrnici 95/46/ES můžeme též vnímat jako obecné pravidlo pro všechny zpracovatele osobních údajů a směrnici o elektronickém obchodu jako zvláštní předpis upravující otázky odpovědnosti, který je aplikovatelný také na nakládání s osobními údaji ze strany poskytovatelů hostingu podle směrnice o elektronickém obchodu. Takovým výkladem v podstatě říkáme, že osobní působnost směrnice o elektronickém obchodu je užší než směrnice 95/46/ES). Na základě této interpretace pak mohou být poskytovatelé hostingu vyňati z postavení zpracovatele osobních údajů.86 Může být diskutabilní, zda všechny povinnosti zpracovatele osobních údajů a všechny odpovídající povinnosti správce osobních údajů ve vztahu ke zpracovateli mohou spadat pod pojem „odpovědnost“. Navíc, zatímco vynětí poskytovatelů hostingu z pozice zpracovatele osobních údajů může být vyváženým řešením ve vztahu ke cloud computingu, nemusí fungovat v jiných případech a je třeba vzít v úvahu potenciální vedlejší dopady takového závěru. Nicméně i když uzavřeme, že na poskytovatele hostingu se vztahuje výjimka z povinností zpracovatele osobních údajů dle směrnice 95/46/ES, tato výjimka se bude vztahovat pouze na poskytovatele obsahově neutrálních zdrojů, jakými jsou úložný prostor a výpočetní výkon.87 V případě Google Apps for Work a Microsoft Office 365 je situace zcela jiná. Obě služby poskytují svým uživatelům e-mailovou schránku, adresář, úložiště dokumentů apod. Je tedy zřejmé, že údaje zpracovávané za použití těchto služeb budou způsobilé k identifikaci jednotlivých uživatelů a dokonce i dalších osob, je tedy třeba považovat je za osobní údaje ve smyslu směrnice 95/46/ES. Navíc lze veškerý obsah těchto služeb prohledávat pomocí fulltextových indexů sestavených poskytovateli. Pro vytvoření těchto indexů je nezbytné aktivní zpracování ukládaných dat. Proto budeme dále vycházet ze skutečnosti, že využívání těchto služeb představuje zpracování osobních údajů ve smyslu směrnice 95/46/ES, kdy zákazník je správcem osobních údajů a poskytovatel služeb je jejich zpracovatelem.
4.2 Požadavky na smlouvu o zpracování osobních údajů Z výše popsaného rozdělení rolí vyplývá řada požadavků na právní vztah mezi poskytovatelem a zákazníkem. Prvním a nejdůležitějším požadavkem je existence právního aktu upravujícího 84
Viz HON, MILLARD, WALDEN, The cloud of unknowing, Part 2, 2012, op. cit., s 11. Viz tamtéž. 86 Tato stanovisko zastává též Sartor. Viz SARTOR, Giovanni. Providers' liabilities in the new EU Data Protection Regulation: A threat to Internet freedoms? International Data Privacy Law [online]. 2013, vol. 3, no. 1, pp. 3-12 [cit. 15. 2. 2015]. ISSN 2044-4001. Dostupné z Oxford Journals: http://idpl.oxfordjournals.org/content/3/1/3.full.pdf+html 87 Většina takových služeb spadá do kategorie Infrastructure-as-a-service (IaaS). 85
28
vztahy mezi zákazníkem jako správcem a poskytovatelem jako zpracovatelem osobních údajů.88 Zatímco samotná směrnice 95/46/ES neurčuje formu tohoto právního aktu, vnitrostátní právní úpravy jednotlivých členských států často vyžadují, aby měl formu smlouvy.89 Poskytovatel cloudových služeb, který cílí na zákazníky z celého trhu EU, by měl proto předpokládat, že je z hlediska ochrany osobních údajů nutné se zákazníkem uzavřít smlouvu (obvykle nazývanou smlouva o zpracování osobních údajů, data processing agreement, DPA), která musí být v písemné nebo v jiné ekvivalentní formě.90 Směrnice 95/46/ES vyžaduje, aby smlouva stanovila, že „zpracovatel jedná pouze podle pokynů správce[.]“91 Tento požadavek odráží zásadu omezenosti účelem zpracování, která je zakotvena v článku 6 odst. 1 písm. b) směrnice 95/46/ES, neboť je to zákazník cloudové služby jako správce osobních údajů, kdo určuje účel zpracování. V případě, že by poskytovatel překročil pokyny zákazníka, stal by se sám správcem údajů, jak je popsáno výše. Vzhledem k tomu, že dodržování zásady omezenosti účelem je klíčovou povinností poskytovatele, účel zpracování by měl být uveden ve smlouvě.92 Jeho vymezení nemusí být totožné s vymezením účelu, pro který byly údaje shromážděny, ale tyto dva účely musí být ve vzájemném souladu (článek 6 odst. 1 písm. b) směrnice 95/46/ES zakazuje zpracování pro účely, které jsou neslučitelné s účelem původním). Aby bylo zajištěno, že jsou pomocí dané cloudové služby zpracovávána pouze data pro daný účel legálně získaná, měla by smlouva uvádět výčet typů osobních údajů, které budou zpracovávány (tj. jméno, emailová adresa, polohové údaje, atd.), stejně jako celkový rozsah a způsob zpracování.93 WP196 dále doporučuje, aby ve smlouvě byly obsaženy „podrobnosti o rozsahu a způsobu dávání instrukcí zákazníka, které může dávat poskytovateli zejména s ohledem na aplikované SLA (které by mělo být objektivní a měřitelné) a příslušné sankce (finanční nebo jiné včetně možnosti žalovat poskytovatele v případě neplnění).“94 Ačkoli požadavek na obsažení těchto podrobností ve smlouvě nemá přímou oporu ve směrnici 95/46/ES, jejich absence může způsobit nevymahatelnost smlouvy o zpracování osobních údajů a tím porušení článku 6 odst. 3 směrnice 95/46/ES. Z tohoto důvodu lze jejich zapracování důrazně doporučit nejen z obchodního hlediska, ale také z hlediska ochrany osobních údajů. Druhou klíčovou povinností poskytovatele cloudových služeb jako zpracovatele osobních údajů, která musí být zahrnuta ve smlouvě, je povinnost dodržovat dohodnutá technická a organizačních opatření zavedená na ochranu osobních údajů proti náhodnému nebo nedovolenému 88
Viz článek 17 odst. 3 směrnice 95/46/ES. Viz oddíl 1, část II, odst. 12 Data Protection Act 1998 (britský zákon o ochraně osobních údajů). Viz též § 6 ZOOÚČR. Srov. též článek 12 odst. 2 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (španělský zákon o ochraně osobních údajů). 90 Viz článek 17 odst. 4 směrnice 95/46/ES. 91 Viz článek 17 odst. 3 směrnice 95/46/ES. 92 Nedostatečné vymezení účelu zpracování bylo švédským úřadem pro ochranu osobních údajů Datainspektionen v případě Salem shledáno jako porušení práva na ochranu osobních údajů. Viz SVANTESSON, Dan Jerker B. Data protection in cloud computing – The Swedish perspective. Computer Law & Security Review [online]. 2012, vol. 28, issue 4, s. 476-480 [cit. 15. 2. 2015]. Dostupné ze ScienceDirect: http://linkinghub.elsevier.com/retrieve/pii/S0267364912001021, s. 479. 93 Viz WP196, s. 13. 94 Viz WP196, s. 12. Viz také SVANTESSON, 2012, op. cit., s. 479. 89
29
zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu a všem dalším formám nedovoleného zpracování.95 Směrnice 95/46/ES nespecifikuje konkrétní bezpečnostní opatření, která k ochraně osobních údajů musí být zavedena. Jediným požadavkem směrnice je, aby zajišťovala „s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny.“96 Některé národní úpravy se drží úrovně podrobnosti směrnice 95/46/ES (například ZOOÚČR), ale jiné stanoví specifické požadavky nebo opatření zaměřená na různé rizikové profily (například ve Španělsku nebo v Polsku97). Poskytovatel cloudových služeb by proto měl zvážit výsledky své analýzy rizik jako základ pro rozhodnutí, zda dále studovat vnitrostátní právní předpisy členských států. Toto bližší nastudování může být u rizikovějších služeb nezbytné, aby bylo zajištěno, že služba bude v souladu s právní úpravou, a tudíž zákaznicky atraktivní na trzích všech jednotlivých členských států EU. Bezpečnostním opatřením by měl zákazník věnovat pozornost již v okamžiku, kdy vybírá poskytovatele cloudových služeb. Zajištění dodržování těchto opatření zpracovatelem je povinností zákazníka, která musí být plněna průběžně po celou dobu zpracování.98 Smlouva o zpracování osobních údajů by proto měla dávat zákazníkovi patřičné nástroje, jež mu umožní dohlížet nad dodržováním těchto opatření ze strany poskytovatele, stejně jako prostředky nápravy pro situaci, kdy povinnost dodržovat opatření byla porušena.99 Není nezbytné, aby zákazník měl právo provádět audit poskytování služeb osobně přímo u poskytovatele – takový požadavek by byl nepřijatelný pro většinu velkých poskytovatelů.100 Nicméně poskytovatel cloudových služeb by měl být povinen poskytnout zákazníkovi dostatečný důkaz plnění bezpečnostních opatření z jeho strany, jakým je bezpečnostní certifikace nebo auditní zpráva, například certifikace dle ISO 27001 nebo nedávno schváleného standardu týkajícího se zpracování osobně identifikovatelných informací v cloudu ISO 27018. Tato povinnost by měla být dále doprovázena právem zákazníka požadovat doplňující informace, pokud shledá předložené důkazy o plnění bezpečnostních opatření jako nedostatečné.
95
Viz článek 6 odst. 1 a 3 směrnice 95/46/ES. Viz článek 17 odst. 1 směrnice 95/46/ES. 97 Prováděcí předpis k španělskému zákonu o ochraně osobních údajů stanovuje opatření pro nízkou, střední a vysokou úroveň ochrany a zároveň stanoví, kde se tyto úrovně aplikují. Viz článek 80 Real Decreto 1720/2007, Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Obdobný přístup je aplikován v prováděcím předpise k polskému zákonu o ochraně osobních údajů. Viz článek 6 odst. 2 Rozporządzenie Ministra spraw wewnętrznych i administracji Dz. U. z 2004 r. Nr 100, poz. 1024, w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 98 Viz článek 17 odst. 2 směrnice 95/46/ES. 99 Viz WP196, s. 13. 100 Jejich pozice je v tomto směru pochopitelná. Pokud by každý z velkého počtu jejich zákazníků měl právo provést audit u poskytovatele osobně, strávil by poskytovatel více času řešením auditů než poskytování služeb, což by se neudržitelným způsobem promítlo do jeho nákladů a tedy i ceny služeb, navíc by zvýšený pohyb osob v prostorách poskytovatele mohl ve výsledku spíše ohrozit bezpečnost jeho služeb. 96
30
Pokud jde o prostředky nápravy, zákazník zůstává primárně odpovědný za veškeré bezpečnostní incidenty vzniklé v průběhu zpracování,101 měl by proto mít možnost smluvně převést příslušnou část odpovědnosti na poskytovatele cloudových služeb. Odpovědnost poskytovatele by tedy neměla být limitovaná v takovém rozsahu, aby byla téměř veškerá odpovědnost ponechána na zákazníkovi. Kromě toho by měl zákazník mít možnost vypovědět smlouvu o zpracování osobních údajů, pokud zjistí podstatné porušení dohodnutých opatření, které nebude poskytovatelem v přiměřeném čase napraveno. Jelikož některé národní právní řády vyžadují, aby vztah mezi poskytovatelem a zákazníkem byl upraven smlouvou, všechny jeho podmínky by měly být výsledkem konsensu obou smluvních stran a neměly by být měněny jednostranně (jinak by takové právní jednání nebylo možné považovat za smlouvu). Přinejmenším ne ty, které se týkají základních podmínek upravujících pokyny zákazníka a bezpečnostní opatření.102 Všechny tyto podmínky stanovené ve smlouvě o zpracování osobních údajů musí být zároveň zachovány i v případě, kdy cloudová služba není zajišťována pouze poskytovatelem samotným, ale jeho subdodavateli. Vzhledem k tomu, že zákazník jako správce osobních údajů musí zajistit, aby byla dodržována vhodná technická a organizační opatření, musí být plnění této povinnosti zajištěno i pokud jde o subdodavatele poskytovatele. Podmínky subdodavatelské smlouvy by proto ve vztahu k ochraně osobních údajů měly kopírovat podmínky smlouvy uzavřené mezi zákazníkem a poskytovatelem. Zákazník by měl být informován o všech subdodavatelích podílejících se na zpracovávání osobních údajů a jeho souhlas by měl být vyžadován k zapojení jakéhokoli nového subdodavatele, který by se na této činnost měl podílet. Předchozí souhlas zákazníka však nemusí být v mnoha případech udržitelným řešením.103 Smlouva by proto měla poskytovatele zavazovat alespoň k tomu, aby zákazníka o zapojení nového poskytovatele upozornil s dostatečným předstihem, a dávat zákazníkovi právo smlouvu ukončit v případě, že s volbou nového subdodavatele nebude souhlasit.104 Pokud je účel zpracování naplněn nebo odpadne titul pro zpracování, typicky tehdy, když subjekt údajů odvolá svůj souhlas se zpracováním nebo je ukončena smlouva o zpracování mezi zákazníkem a poskytovatelem, pak osobní údaje nesmí být dále zpracovávány.105 Tato možnost
101
To zdůrazňuje Svantesson. Viz SVANTESSON, 2012, op. cit., s. 479. Švédský úřad pro ochranu osobních údajů dospěl k závěru, že smlouva umožňující jednostranné změny ze strany poskytovatele je v rozporu se švédským zákonem o ochraně osobních údajů. SVANTESSON, 2012, op. cit., s. 477. Podobně Dánský úřad pro ochranu údajů Datatilsynet zakázal magistrátu města Odense používat Google Apps, protože (mezi jinými důvody) smlouva na jejich poskytování mohla být ze strany Google jednostranně měněna. Viz DEBUSSCHE, Julien; VAN ASBROECK, Benoit; CHLOUPEK, Vojtěch a kol. Cloud computing and privacy series: the data protection legal framework (part 2 of 6). Bird&Bird [online]. 24 11. 2014 [cit. 15. 2. 2015]. Dostupné z http://www.twobirds.com/en/news/articles/2014/global/cloud-computing-and-privacy-series-the-dataprotection-legal-framework 103 Např. tam kde má poskytovatel velký počet zákazníků. 104 „Transparentnost v cloudu znamená, že je nutné, aby zákazník cloudové služby byl informován o všech subdodavatelů podílejících se na poskytování příslušné cloudové služby[.]“ WP196, s. 11. Podobné požadavky byly vzneseny švédským úřadem pro ochranu osobních údajů v případě Salem. Viz SVANTESSON, 2012, op. cit., s. 477. Tento požadavek byl také potvrzen španělským Nejvyšším soudem. DEBUSSCHE, VAN ASBROECK, CHLOUPEK, 2014, op. cit. 105 Viz článek 6 odst. 1 písm. a) směrnice 95/46/ES. 102
31
by měla být ve smlouvě ošetřena zejména stanovením postupu a časového rámce pro vymazání dat po ukončení smlouvy.106 Zákazník musí plnit své povinnosti jako správce osobních údajů, které má vůči subjektům údajů, i v případě, že jsou osobní údaje zpracovávány v cloudu.107 V některých případech toho však nemusí být schopen bez asistence poskytovatele. Proto by smlouva měla stanovovat povinnost poskytovatele cloudových služeb poskytnout zákazníkovi součinnost v plnění požadavků subjektů osobních údajů zpracovávaných pomocí příslušné cloudové služby.108 Kromě toho by zákazník měl být informován o všech bezpečnostních incidentech týkajících se osobních údajů, jinak by nebyl schopen plnit svoji informační povinnost vůči subjektům zpracovávaných údajů.109 Poslední klíčový požadavek na smlouvu o zpracování osobních údajů se vztahuje k umístění zpracovávaných dat. Poskytovatel cloudových služeb nemusí být schopen informovat zákazníka o umístění konkrétní části dat, ale může mu poskytnout seznamem lokalit, kde data mohou být zpracovávána. Zejména jde o datová centra používaná pro poskytování služby zákazníkovi, ale též pracoviště technické podpory a další místa, odkud pracovníci nebo subdodavatelé poskytovatele mohou k datům přistupovat. Tento seznam nemusí nutně specifikovat jednotlivá místa, ale měl by uvádět aspoň země nebo regiony, ve kterých mohou být osobní údaje uloženy nebo odkud k nim může být přistupováno. Bez této informace si nemůže zákazník být jist, že smlouva splňuje veškeré požadavky na předávání osobních údajů do jiných států. Osobní údaje mohou být předány mimo EU pouze do zemí s odpovídající úrovni ochrany, které jsou určeny rozhodnutími Evropské komise.110 Do USA mohou být osobní údaje volně předávány, pokud je poskytovatel cloudových služeb jako příjemce těchto údajů certifikován v programu Safe Harbor organizovaném Ministerstvem obchodu USA a zůstává takto certifikovaný po celou dobu zpracování. Do tzv. třetích zemí, které nezajišťují odpovídající úroveň ochrany, mohou být osobní údaje volně předávány ke zpracování za podmínky, že poskytovatel cloudových služeb dodržuje závazná podniková pravidla (binding corporate rules, BCR) vydaná Evropskou komisí, nebo jestliže jsou do smlouvy o zpracování údajů začleněny standardní smluvní doložky podle rozhodnutí Komise 2010/87/EU.111 Tyto standardní smluvní doložky nemusí být jedinými podmínkami smlouvy o zpracování osobních údajů. Rozhodnutí Komise 2010/87/EU výslovně uvádí, že „[v]ývozce údajů a dovozce údajů […] mohou do smluv libovolně začlenit jakékoli další doložky, které se vztahují k před-
106
Viz WP196, s. 13. Tento požadavek je opodstatněný, avšak z technického hlediska velmi problematický např. ve vztahu k dlouhodobým zálohám dat. Jednotlivé zálohy mohou být uloženy v jednom souboru na médiu se sekvenčním přístupem, jako je magnetická páska. V takovém případě je výmaz dat jednotlivého zákazníka prakticky nerealizovatelný. 107 Práva subjektů údajů jsou stanovena v článcích 12, 14 a 15 směrnice 95/46/ES. 108 Viz WP196, s. 13. Viz také SVANTESSON, 2012, op. cit., s. 478. 109 Viz WP196, s. 13. 110 Viz článek 25 směrnice 95/46/ES. Za takové země jsou považovány např. Švýcarsko, Kanada nebo Izrel. Blíže viz. Evropská komise. Commission decisions on the adequacy of the protection of personal data in third countries [online]. 18. 12. 2014 [cit. 14. 3. 2015]. Dostupné z: http://ec.europa.eu/justice/dataprotection/document/international-transfers/adequacy/index_en.htm 111 Viz články 27 a 26 odst. 4 směrnice 95/46/ES.
32
mětu obchodu a které jsou podle jejich názoru vhodné pro účely dané smlouvy, nejsou-li v rozporu se standardními smluvními doložkami.“112 Existuje samozřejmě mnoho dalších otázek, které by měly být ošetřeny ve smlouvách na poskytování cloudových služeb a které přispívají k nejvyšším standardům v oblasti ochrany osobních údajů, jako je například notifikace o přístupu orgánů činných v trestním řízení k zpracovávaným datům nebo otázka interoperability,113 ale žádná z nich není z hlediska směrnice 95/46/ES vyžadována.
4.3 Analýza smlouvy o poskytování Google Apps for Work Poskytování služby Google Apps pro práci jejím uživatelům se řídí smlouvou Google Apps Enterprise (Online) Agreement114 (Smlouva GA), která je uzavírána při registraci k službám. Tato smlouva může být dále změněna, pokud zákazník vyjádří souhlas s dodatkem Data Processing Amendment to a Google Apps Agreement115 (Dodatek DP) nebo Model contract clauses for Google Apps116 (MCC). Nicméně přijetí těchto dalších smluvních dokumentů je dobrovolné a vyžaduje zvláštní kroky, které musí zákazník provést v administrátorské konzoli.117 U zákazníků se sídlem v EU je smlouva uzavírána s Google Commerce Limited, společností založenou podle irského práva se sídlem v Dublinu (dále jen „Google“). Smlouva GA sama o sobě nesplňuje základní požadavky na smlouvu o zpracování osobních údajů. Ačkoli stanoví, že zákazník je správcem osobních údajů a Google jejich zpracovatelem, stejně jako že Google bude vázán pokyny zákazníka,118 bezpečnostní opatření k ochraně osobních údajů nejsou ošetřena dostatečně. Odst. 2.2 Smlouvy GA uvádí, že Google může zpracovávat data zákazníka „k následujícím účelům: (a) naplnění Instrukcí; (b) poskytování služeb (jak byly zvoleny zákazníkem prostřednictvím administrátorské konzole); (c) poskytování funkcí produktů s cílem usnadnit Zákazníkovi používání služby, jakož i nástrojů pro Zákazníka k vytváření obsahu; (d) provozu, údržbě a podpoře infrastruktury sloužící k poskytování služeb a (e) reagování na žádosti o zákaznickou podporu“ (překlad JT). Kromě toho Google tamtéž zaručuje, že „bude Data zákazníka zpracovávat pouze v souladu s touto dohodou a nebude zpracovávat Data zákazníka k žádnému jinému účelu“ (překlad JT). Instrukce zákazníka Googlu jsou řešeny v definici pojmu „Instruk112
Viz recitál 4 rozhodnutí rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES. 113 Viz WP196, s. 13. 114 Viz Google Apps Enterprise (Online) Agreement [online]. Google, únor 2014 [cit. 15. 2. 2015]. Dostupné z: https://www.google.com/intx/cs/work/apps/terms/2014/2/premier_terms_ie.html Viz též přílohu č. 1 této práce. 115 Viz Data Processing Amendment to Google Apps Agreement [online]. Google, 2015 [cit. 15. 2. 2015]. Dostupné z: https://www.google.com/intx/en/work/apps/terms/dpa_terms.html Viz též přílohu č. 2 této práce. 116 Viz Standard Contractual Clauses (processors) for the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection [online]. Google, 2015 [cit. 15. 2. 2015]. Dostupné z: https://www.google.com/intx/en/work/apps/terms/mcc_terms.html Viz též přílohu č. 3 této práce. 117 Viz Model contract clauses for Google Apps. Google Apps Help Center [online]. Google, 2015 [cit. 15. 2. 2015]. Dostupné z: https://support.google.com/a/answer/2888485?hl=en 118 Viz odst. 2.3 Smlouvy GA.
33
ce“, kterým se rozumí: „pokyny dané Zákazníkem prostřednictvím administrátorské konzole, pokyny iniciované Zákazníkem a Koncovými uživateli v rámci jejich užívání Služeb, písemné pokyny Zákazníka jak jsou uvedené v této Smlouvě (ve znění pozdějších dodatků a změn) a všechny následné písemné pokyny Zákazníka Googlu a uznané Googlem“ (překlad JT)119 Nicméně smlouva neuvádí, jaké typy údajů budou na jejím základě zpracovávány. Ostatní podrobnosti ve vztahu k pokynům klienta, jako je například dohoda o úrovni služeb (Service Level Agreement, SLA), jsou ve smlouvě ošetřeny s přijatelnou mírou detailu. Nedostatečně jsou ve Smlouvě GA upravena bezpečnostní opatření. Smlouva pouze uvádí, že „Google přijme a uplatní vhodná technická a organizační opatření na ochranu Dat zákazníka proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu“ (překlad JT),120 a to bez dalších podrobností. Takovýto obecný popis nesplňuje požadavky směrnice 95/46/ES, protože podle této směrnice opatření musí být přezkoumána a schválena zákazníkem ve vztahu k jeho vlastnímu posouzení rizik. Google řeší tento nedostatek Smlouvy GA tím, že nabízí svým zákazníkům sídlícím v EU možnost uzavřít Dodatek DP, ale využití této možnosti není zákazníkům automaticky doporučováno.121 Přitom ti zákazníci, kteří si aktivně nevyhledají tuto možnost a nevyužijí ji, porušují používáním služeb Google Apps své povinnosti plynoucí z legislativy na ochranu osobních údajů. Dodatek DP překonává některé z nedostatků Smlouvy GA. Dále omezuje účely zpracování tak, že společnost Google může zpracovávat data zákazníka k „(i) poskytování Služeb (což zahrnuje detekci, prevenci a řešení bezpečnostních a technických problémů) a (ii) reagování na žádosti zákazníků o podporu“ (překlad JT).122 Ve své příloze č. 1 uvádí typy zpracovávaných osobních údajů. Nejdůležitějším zlepšením, které Dodatek DP přináší, je však popis implementovaných bezpečnostních opatření v jeho příloze č. 2. Tento popis je podrobný a umožňuje zákazníkovi, aby zhodnotil, zda jsou tato opatření dostatečná pro jeho rizikový profil. Pokud jde o důkaz skutečné implementace deklarovaných opatření, Google se zavazuje, že bude pro služby udržovat certifikaci ISO/IEC 27001:2005 nebo srovnatelnou certifikaci, a to po celou dobu trvání Smlouvy GA,123 a dále auditní zprávu SSAE č. 16 typ II / SAE č. 3402 nebo srovnatelnou zprávu o logických bezpečnostních opatřeních, fyzických bezpečnostních opatřeních a dostupnosti systémů používaných pro poskytování těchto služeb.124 Tyto smluvní povinnosti by měly být dostatečné k ověření souladu společnosti Google s bezpečnostními opatřeními. Kromě toho Google v současné době uveřejňuje svoji pečeť věrohodnosti SOC 3 a odpovídající auditní zprávu, které pokrývají další otázky.125
119
Viz článek 15 Smlouvy GA. Viz odst. 2.5 Smlouvy GA. 121 Například by mohla být zdůrazněna v rámci průvodce "Začínáme," který se zobrazí při prvním přihlášení k službám. 122 Viz odst. 5.2 Dodatku DP. 123 Viz odst. 2.8 Smlouvy GA a odst. 6.4 Dodatku DP. 124 Viz odst. 2.9 Smlouvy GA a odst. 6.5 Dodatku DP. 125 Viz SOC 3 Seal of Assurance [online]. WebTrust, 2014 [cit. 11. 2. 2015]. Dostupné z: https://cert.webtrust.org/soc3_google.html Service Orgnaization Control (SOC) 3 Report [online]. Ernst & Young, 2014 [cit. 11. 2. 2015]. Dostupné z: https://cert.webtrust.org/pdfs/soc3_google_2014.pdf 120
34
Pokud jde o prostředky nápravy pro případ nedodržení bezpečnostních opatření, smlouva umožňuje zákazníkovi, aby ji vypověděl pro porušení, pokud jde o porušení podstatné a nenapravitelné, opakované nebo není napraveno do třiceti dnů po obdržení upozornění na porušení.126 Kromě toho může zákazník po Googlu požadovat náhradu škody, ale odpovědnost Googlu je v rámci Smlouvy GA značně omezena. Google není odpovědný za ztrátu skutečných nebo předpokládaných zisků, ztráty očekávaných úspor, ztráty obchodních příležitostí, ztrátu reputace nebo poškození dobrého jména, zvláštní, ani nepřímé nebo následné škody a jeho celková odpovědnost nesmí překročit 125% z celkové částky, kterou zákazník zaplatil a měl zaplatit dle Smlouvy GA v daném smluvním roce nebo 50.000 liber.127 Toto omezení se nevztahuje na odpovědnost za „zneužití důvěrných informací“ („misuse of confidential information“, překlad JT).128 Není jasné, jak interpretovat tuto výjimku. Skutečnost, že nebyly použity žádné jednoznačné výrazy jako „porušení povinnosti mlčenlivosti“ spíše naznačuje, že by se tato výjimka měla vztahovat pouze na úmyslné, nikoliv nedbalostní jednání. Pokud by tato interpretace měla mít přednost, což je varianta, kterou je nutno na straně zákazníka předpokládat, pak jakákoli odpovědnost společnosti Google za porušení povinností týkajících se ochrany osobních údajů v rámci GA Ageement je značně omezena. Zákazník tedy může nést nepřiměřenou část odpovědnosti za porušení právních povinností, kterému není schopen zabránit. Stabilita smlouvy může být ovlivněna jednostrannými změnami. Google je oprávněn jednostranně měnit služby129 a zákazník nemá žádné nástroje nápravy pro případ, že taková změna negativně ovlivní jeho soulad s právními předpisy o ochraně osobních údajů. Tento scénář je přitom možný, neboť způsob fungování služeb určuje způsob zpracování osobních údajů. Kromě toho, Google může jednostranně změnit svou politiku přijatelného použití služeb (Acceptable Use Policy), dohodu o úrovni služeb (Service Level Agreement) a pravidla technické podpory, nicméně u takových změn musí být zákazník informován s 30denním předstihem a může změnu odmítnout. V případě takového odmítnutí se změna na zákazníka nebude vztahovat až do konce aktuálního platebního období.130 Kromě toho může Google měnit bezpečnostní opatření k ochraně osobních údajů zaručená přílohou č. 2 k Dodatku DP. Ačkoli „žádná taková změna nesmí způsobit podstatnou degradaci bezpečnosti Služeb[,]“131 nemá zákazník žádnou záruku, že opatření budou po změně odpovídat jeho rizikovému profilu. Pokud jde o subdodávky, Smlouva GA opravňuje Google používat subdodavatele za podmínky, že smlouvy na subdodávky budou respektovat podmínky Smlouvy GA, pokud jde o přístup a využívání dat zákazníka. Zákazník je oprávněn požadovat informace týkající se subdodavatelů a jejich působiště.132 Podle Dodatku DP má Google navíc povinnost zajistit soulad subdodávek s MCC a musí provést audit postupů subdodavatele v oblasti bezpečnosti a ochrany osobních údajů.133 Zákazník však nemá právo být předem informován o zapojení nového subdodavatele,
126
Viz odst. 11.1 Smlouvy GA. Viz odst. 13.1 a 13.2 Smlouvy GA. 128 Viz odst. 13.1 Smlouvy GA. 129 Viz odst. 1.2 Smlouvy GA. 130 Viz odst. 1.3 a 15 Smlouvy GA. 131 Viz Přílohu č. 2 k Dodatku DP. 132 Viz odst. 2.15 Smlouvy GA. 133 Viz článek 11 Dodatku DP a článek 5 přílohy č. 2 k Dodatku DP. 127
35
ani právo takové zapojení předem schválit, ani smlouvu z důvodu zapojení nového subdodavatele ukončit. Je-li poskytování služeb ukončeno, má Google povinnost vymazat data zákazníka v maximální lhůtě 180 dnů.134 Tato povinnost by měla být dostatečná k naplnění požadavků legislativy na ochranu osobních údajů. Stejně tak přístup k údajům, jejich oprava a výmaz jsou řešeny v Dodatku DP dostatečně na to, aby byl zákazník schopen naplnit požadavky subjektů údajů.135 Geografická lokalizace zpracování se může různit, protože Google může předávat data zákazníka „do Spojených států nebo jiné země, ve kterých mají Google a jeho subdodavatelé svá zařízení“ (překlad JT),136 což potenciálně mohou být jakékoliv země. Proto je třeba počítat s tím, že data budou předávána i do zemí, které nezaručují odpovídající úroveň ochrany osobních údajů. Pro tento případ Google nabízí zákazníkovi možnost přijmout MCC obsahující standardní smluvní doložky vydané Evropskou komisí, ale nevyužití této možnosti zřejmě nemá vliv na fungování služeb. Zákazníci, kteří se nerozhodnou přijmout MCC, proto nejspíše umožňují nelegální předávání osobních údajů do jiného státu. Znění MCC, které Google používá, se liší od znění vydaného Evropskou komisí o odstavec doplněný ke klauzuli 6. Tento čtvrtý odstavec stanoví, že celková odpovědnost každé strany v rámci nebo v souvislosti s MCC je omezena na částku zaplacenou společnosti Google za služby v předchozích 12 měsících. Z formulace „aniž jsou dotčeny odstavce 1, 2 a 3 klauzule 6,“ (překlad JT) není jasné, zda odstavec 4 nemá mít žádný dopad na odpovědnost podle odstavců 1, 2 a 3, nebo prostě jen nevylučuje jejich existenci, ale omezuje výši odpovědnosti, která z nich vyplývá. Druhý zmíněný význam se zdá být zamýšlený Googlem, jelikož kopíruje omezení odpovědnosti stanovené ve Smlouvě GA.137 Je zřejmé, že omezení odpovědnosti je ujednání obchodní povahy, tedy přípustného typu, avšak je možné, že orgány pro ochranu údajů shledají, že takové omezení je v rozporu s předchozími odstavci doložky o odpovědnosti za škodu. Smyslem doložky 6 je zajistit plnou náhradu škody, kterou subjekt údajů utrpěl v průběhu zpracování dat, které se řídí MCC. V případě, že subjekt údajů není schopen čerpat plné odškodnění v důsledku zavedení odstavce 4, je takové ujednání v rozporu se standardními smluvními doložkami, jak byly vydány Evropskou komisí. Další problém, který může představovat rozpor s MCC, spočívá v auditních právech. Dodatek DP uvádí, že povinnosti v oblasti certifikace bezpečnosti a auditu v rámci Dodatku DP naplňují právo zákazníka na audit a právo na audit jeho orgánu pro ochranu údajů, poskytnuté na základě ustanovení doložky 5 písm. f) a doložky 12 odst. 2 MCC.138 Skutečnost, že audit není prováděn klientem, není v rozporu s MCC, pokud Google vybere pro audit „kontrolní orgán složený z nezávislých členů s požadovanou odbornou kvalifikací“ (překlad JT).139 Problémem je výběr auditora, který je zcela ponechán na Googlu, zatímco MCC požadují, aby auditor byl vybrán „vývozcem údajů, popřípadě po dohodě s příslušným orgánem dohledu“ (překlad JT).140 134
Viz odst. 7.2 Dodatku DP. Viz odst. 7.1 a 8 Dodatku DP. 136 Viz odst. 10.1 Dodatku DP. 137 Viz odst. 13 Smlouvy GA. 138 Viz odst. 6.7 Dodatku DP. 139 Viz doložku 5 písm. f) MCC. 140 Viz doložku 5 písm. f) MCC. 135
36
4.4 Analýza smlouvy o poskytování Microsoft Office 365 Základní podmínky upravující poskytování Office 365 jsou dány Microsoft Online Subscription Agreement141 (dále jen “Smlouva MOS”) a Privacy Notice,142 se kterými zákazník vyjadřuje souhlas při objednávání placené verze služeb. Nejdůležitějším dokumentem, na který odkazuje Smlouva MOS, jsou Online Services Terms143 (dále jen „Podmínky OS“), které konkretizují podmínky pro poskytování on-line služeb, včetně služeb Office 365. Smlouva MOS je uzavírána s Microsoft Ireland Operations Limited, společností založenou podle irského práva se sídlem v Dublinu (dále jen „Microsoft“). Základní prvky smlouvy o zpracování osobních údajů jsou obsaženy v oddílu Additional European Terms Podmínek OS, která se vztahuje pouze na klienty z Evropského hospodářského prostoru a Švýcarska, a stanoví, že Microsoft je zpracovatel osobních údajů jednající jménem svých zákazníků a že bude jednat pouze na základě pokynů zákazníka. Jako účel zpracování Podmínky OS uvádějí, že „Data zákazníka budou použita pouze k poskytnutí Online služeb zákazníkovi, včetně účelů slučitelných s poskytováním těchto služeb“ a „Microsoft nebude používat data zákazníka nebo z nich odvozovat informace pro jakoukoli reklamu nebo podobné komerční účely.“ (překlad JT) 144 Kategorie zpracovávaných údajů jsou specifikovány jako „emaily, dokumenty a další data v elektronické podobě v rámci Online služeb.“ (překlad JT) 145 Rozsah pokynů zákazníka je omezen pouze na pokyny uvedené ve Smlouvě MOS a Podmínkách OS.146 Podmínky OS popisují bezpečnostní opatření, která Microsoft uplatňuje. Popis je spíše obecný, ale pokrývá velké množství oblastí.147 Pokud jde o důkaz skutečného uplatňování opatření, Microsoft dává zákazníkovi k dispozici svou bezpečnostní politiku, která je v souladu s normami ISO 27001 a 27002 a zároveň zajistí prověření této bezpečnostní politiky nezávislým odborníkem. Shrnutí auditní zprávy Microsoft zákazníkovi na jeho žádost zpřístupní.148 Microsoft je také nově certifikovaný podle standardu ISO 27018, který cílí právě na ochranu osobních údajů v cloudu.149
141
Viz Microsoft Online Subscription Agreement [online]. Microsoft, 2015 [cit. 13. 2. 2015]. Po registraci dostupné z: portal.office.com/Commerce/Mosa.aspx?cl=en&cc=en-UK (aktuální veřejně dostupné znění nebylo nalezeno). Viz též přílohu č. 4 této práce. 142 Viz Privacy Notice [online]. Microsoft, 2015 [cit. 13. 2. 2015]. Dostupné z: http://www.microsoft.com/online/legal/v2/?docid=18&langid=en-UK 143 Viz Online Services Terms January 1, 2015 [online]. Microsoft, 2015 [cit. 13. 2. 2015]. Dostupné z: http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=8248 Viz též přílohu č. 5 této práce. 144 Viz Část General Privacy and Security Terms, odst. Use of Customer Data Podmínek OS. 145 Příloha č. 1 k Standardním sluvním doložkám v příloze č. 3 k Podmínkám OS. 146 Viz Část Data Processing Terms, oddíl Additional European Terms, odst. Intent of the Parties Podmínek OS. 147 Viz Část Data Processing Terms, oddíl Security Podmínek OS. 148 Viz Část Data Processing Terms, oddíl Certifications and Audits Podmínek OS. 149 Viz Microsoft adopts first international cloud privacy standard. Microsoft on the Issues [online]. Microsoft, publikováno 16. 12. 2015 [cit. 16. 3. 2015]. Dostupné z: http://blogs.microsoft.com/on-theissues/2015/02/16/microsoft-adopts-first-international-cloud-privacy-standard/
37
V případě porušení smlouvy má zákazník zvláštní právo pouze na náhrady, které jsou uvedeny v dohodě o úrovni služeb (Service Level Agreement).150 Smlouva MOS neopravňuje klienta ukončit smlouvu speciálně pro porušení povinnosti společnosti Microsoft, nicméně i při dlouhodobém předplatném služby může zákazník smlouvu ukončit bez udání důvodu s výpovědní dobou jeden měsíc a právem na vrácení za zbývající části předplatného.151 Kromě toho má zákazník právo ukončit smlouvu při porušení jeho instrukcí nebo standardních smluvních doložek vydaných Evropskou komisí podle klauzule 5(b) těchto doložek v příloze č. 3 k Podmínkám OS. Odpovědnost Microsoftu za škody způsobené porušením povinnosti vyplývající z dohody o MOS je omezena na částky zaplacené za služby v průběhu současného smluvního období, které může trvat pouhých 30 dnů152 a odpovědnost za ušlý zisk, nepřímé škody, narušení podnikání a ztrátu obchodních informací je vyloučena, a to i v případě, že byly tyto škody pro příslušnou smluvní stranu rozumně předvídatelné.153 Toto omezení ponechává významnou část břemene odpovědnosti vůči subjektu údajů na zákazníkovi. Ani Smlouva MOS ani Podmínky OS neumožňují jednostranné změny. Smlouvu lze měnit pouze po uplynutí smluvního období prostřednictvím postupu pro její prodloužení.154 Vyjádřením souhlasu se Smlouvou MOS zákazník rovněž souhlasí s tím, aby Microsoft využíval při poskytování služeb subdodavatele.155 Každá subdodavatelská smlouva musí obsahovat ujednání, která budou zákazníka chránit alespoň tak, jak jej chrání část Data Processing Terms Podmínek OS. Microsoft je zároveň povinen zákazníka informovat o každém novém subdodavateli, který se má účastnit na poskytování služeb, a to s předstihem nejméně 14 dnů. Pokud zákazník subdodavatele neschválí, může v této lhůtě ukončit smlouvu ve vztahu k dotčené službě.156 Microsoft se zavazuje, že vymaže data zákazníka nejpozději do 90 dnů od ukončení poskytování služeb.157 Microsoft je rovněž povinen poskytnout zákazníkovi možnost opravit, mazat, nebo blokovat zpracovávaná data, nebo učinit takové opravy, odstranění nebo blokování jeho jménem,158 aby zákazník mohl plnit požadavky subjektů zpracovávaných údajů. Z hlediska geografické lokalizace zpracování dat Microsoft zaručuje, že bude ukládat nejcitlivější část dat zákazníků z EU v této oblasti.159 Co se týče ostatních dat, Microsoft je a zavazuje se zůstat certifikovaný v programu Safe Harbor a Podmínky OS ve své příloze č. 3 obsahují 150
Viz článek 4 odst. a(i) Smlouvy MOS. Srov. též Service Level Agreement for Microsoft Online Services [online]. Microsoft, 2015 [cit. 13. 2. 2015]. Dostupné z: http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=8222 151 Viz článek 3 odst. b(ii) Smlouvy MOS. 152 Viz článek 6 odst. a Smlouvy MOS. 153 Viz článek 6 odst. b Smlouvy MOS. 154 Viz článek 2 odst. d Smlouvy MOS. 155 Viz část General Privacy and Security Terms, oddíl Use of Subcontractors Podmínek OS. 156 Viz část Data Processing Terms, oddíl Privacy, odst. Subcontractor Transfer Podmínek OS. 157 Viz část Data Retention Podmínek OS. 158 Viz část Data Processing Terms, oddíl Additional European Terms, odst. Customer Data Access Podmínek OS. 159 Viz část Data Processing Terms, oddíl Location of Customer Data at Rest, odst. Office 365 Services Podmínek OS.
38
standardní smluvní doložky vydané Evropskou komisí. Text těchto doložek není nijak pozměněn. Pokud jde o možné rozpory doložek se Smlouvou MOS a Podmínkami OS, problematickým aspektem je audit poskytování služeb. Podmínky OS uvádějí, že zákazník souhlasí s tím, aby vykonával své právo auditu dle standardních smluvních doložek tím, že dává Microsoftu pokyn nechat audit provést nezávislým profesionálem v oblasti bezpečnosti, jak bylo popsáno výše. Nicméně zákazník má právo tento pokyn změnit. I když to není výslovně uvedeno, toto právo zákazníka může být vykonáváno například tak, že zákazník změní svůj pokyn, pokud neschválí auditora vybraného Microsoftem, a tudíž může ovlivnit výběr auditora, jak požadují standardních smluvní doložky. Podmínky OS navíc výslovně uvádějí, že nic v příslušné části jejich textu nemá měnit nebo upravovat Standardní smluvní doložky ani omezovat práva jakéhokoli dozorčího orgánu či subjektu údajů na základě standardních smluvních doložek.160 Zbývající část textu Podmínek OS by proto měla být vykládána v duchu tohoto záměru.
4.5 Srovnání smluv a diskuze Smluvní rámec Googlu pro poskytování služby Google Apps for Work celkově trpí několika nedostatky, které mohou způsobit jeho rozpor se směrnicí 95/46/ES a jejími vnitrostátními implementacemi. Nejviditelnějším nedostatkem je skutečnost, že smlouva s náležitostmi smlouvy o zpracování osobních údajů není se zákazníky z EU uzavírána automaticky. Místo toho je k jejímu uzavření zapotřebí specifický úkon ze strany zákazníka, přičemž provedení tohoto úkonu není ze strany Google aktivně doporučováno. Za těchto okolností se může snadno stát, že zákazník z EU bude využívat Google Apps for Work, aniž by vyjádřil souhlas s Dodatkem DP a MCC, a tím bude porušovat povinnosti plynoucí z legislativy na ochranu osobních údajů. Google se v takovém případě stane správcem osobních údajů, které mu budou zákazníkem předány, přičemž bude také jednat v rozporu s právními předpisy o ochraně osobních údajů, neboť nelze očekávat, že by Google plnil odpovídající povinnosti, jakými je získání titulu pro zpracování nebo informování subjektů údajů. Není přitom známo, kolik procent uživatelů Google Apps for Work z EU nevyjádřilo souhlas s Dodatkem DP a MCC, ale lze přepokládat, že toto procento nebude zanedbatelné. Formulace ustanovení Smlouvy GA, která ošetřují omezení odpovědnosti, jsou nejednoznačná a zákazník musí vzít v úvahu možnost, že odpovědnost společnosti Google na základě této smlouvy bude striktně omezena. Podobně nejasné formulace jsou vloženy do MCC a mohou být potenciálně v rozporu s rozhodnutím Komise 2010/87/EU. Google je oprávněn jednostranně měnit bezpečnostní opatření stanovená na ochranu osobních údajů, která jsou esenciální náležitostí smlouvy o zpracování osobních údajů. Zákazník nemá právo vznést námitky proti výběru subdodavatelů Googlu podílejících se na zpracování osobních údajů. Právo zákazníka na audit zakotvené v MCC je omezeno v Dodatku DP do té míry, že to může být shledáno v rozporu rozhodnutím Komise 2010/87/EU. Smluvní rámec pro poskytování Microsoft Office 365 také trpí určitými nedostatky. Nejdůležitější z nich je striktní omezení odpovědnosti, které se vztahuje i na škody způsobené porušením práva na ochranu údajů. Lhůta, ve které musí Microsoft oznámit nového subdodavatele, dává zákazníkovi pouze velmi krátký předstih pro migraci na jinou službu, než se nový subdodavatel začne podílet na poskytování služby a tedy získá potenciální přístup k jeho datům. Ta160
Viz část Data Processing Terms, oddíl Certifications and Audits Podmínek OS.
39
ké úprava práva auditu v Podmínkách OS může být potenciálně v rozporu se standardními smluvními doložkami. Porovnáme-li smlouvy na obě služby z hlediska ochrany osobních údajů, vychází z tohoto srovnání podstatně lépe Microsoft Office 365. Nejvýznamnější nedostatek smlouvy na tuto službu, omezení odpovědnosti, není v přímém rozporu s právními předpisy o ochraně osobních údajů, pouze vytváří nerovnováhu smluvního rámce. Další nedostatky jsou diskutabilní a Smlouva MOS spolu s Podmínkami OS jsou obecně v souladu s požadavky směrnice 95/46/ES. Naopak v případě Google Apps for Work jsou nedostatky smlouvy podstatné. Částečně je možné je napravit uzavřením Dodatku DP a MCC, ale některé z nich zůstávají nevyřešeny. Klienti se sídlem v EU používající Google Apps for Work proto čelí riziku porušení zákona o ochraně osobních údajů a následné sankci od svých vnitrostátních orgánů pro ochranu údajů, a to zejména v případě, že neodsouhlasili Dodatek DP a MCC. Obecně, Smlouva MOS a zejména Podmínky OS ukazují, že Microsoft věnuje otázkám soukromí a ochrany osobních údajů značnou pozornost a požadovaná opatření a obecně doporučované postupy jsou realizovány v rámci výchozího nastavení. To potvrzuje i pokračující a úspěšná spolupráce Microsoftu s WP29. Výsledkem této spolupráce jsou změny provedené v smluvní dokumentaci Microsoftu, které by měly zajistit shodu s evropskými právními předpisy o ochraně osobních údajů.161 Smlouva GA nevykazuje takovou úroveň pozornosti věnované otázkám ochrany osobních údajů. Google by mohl pro zákazníky se sídlem v EU zahrnout podmínky Dodatku DP a MCC do smluvního rámce již ve výchozím nastavení.162 Spolupráce Google s WP29 se také nezdá být tak plodná jako spolupráce Microsoftu.163 Důvody těchto rozdílů mohou být různé, přičemž jedním z nich může být nedostatek zkušeností Googlu s evropským trhem. Microsoft vstoupil na evropský trh dlouho před založením Googlu. Zároveň Microsoft jako výrobce softwaru musel čelit vládám jako odběratelům i regulátorům téměř od počátku své existence. Tyto zkušenosti mohou Microsoftu pomáhat, aby se přizpůsobil požadavkům evropských regulačních orgánů rychleji a efektivněji než Google, což vyúsťuje v současné rozdíly v jejich přístupu k ochraně osobních údajů v souvislosti s jejich cloudovými službami. Společným znakem obou smluv je pak výrazný přenos obchodního rizika na stranu zákazníka (zejména skrze ujednání o omezení odpovědnosti), a to do té míry, která nemusí být vždy ak161
Viz Letter from the Article 29 Working Party to Microsoft on a new version of the Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement and its Annex I [online]. Evropská komise [online]. Article 29 Data Protection Working Party, publikováno 2. 4. 2014 [cit. 15. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140402_microsoft.pdf nebo Letter for the Article 29 Working Party to Microsoft on the Microsoft Service Agreement and its Annex I [online]. Evropská komise [online]. Article 29 Data Protection Working Party, publikováno 22. 9. 2014 [cit. 15. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140922_letter_microsoft_service_agreement.pdf 162 Těmto zákazníkům je předkládána smlouva, která se uzavírá s Google Commerce Limited se sídlem v Irsku, jistý stupeň geografické diferenciace uživatelů tedy straně Google nutně musí probíhat. 163 Viz Letter from the Article 29 Working Party to Google on Google Privacy Policy [online]. Evropská komise [online]. Article 29 Data Protection Working Party, publikováno 23. 9. 2014 [cit. 15. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140923_letter_on_google_privacy_policy.pdf
40
ceptovatelná.164 Vzhledem k nerovnováze sil mezi smluvními stranami se postavení SME vůči poskytovatelům blíží postavení spotřebitele. Tomu odpovídá i podobnost některých ujednání ve smlouvách pro podnikatele a smlouvách nabízených spotřebitelům.165 Ve vztahu ke spotřebitelům přitom může nastoupit přísnější režim ochrany, v jeho světle se taková ujednání mohou ukázat jako zakázaná.166 Pokud by poskytovatelé byli stíháni např. ze strany správních orgánů167 za použití takovýchto zakázaných ujednání ve vztahu ke spotřebitelům a následně své podmínky z tohoto důvodu modifikovali, je otázkou, zda by se změny nepromítly i od smluv pro SME. Samotné služby jsou z technického hlediska v jádru jednotné jak pro podnikatele, tak pro spotřebitele, proto je nepravděpodobné, že by se změny vyvolané prosazováním spotřebitelských práv dotkly právě tohoto jádra. Podstata problémů ve vztahu ke spotřebiteli (stejně jako k podnikateli), totiž netkví v technických otázkách, ale v nastavení smluvních podmínek, které jsou pro spotřebitele a podnikatele samostatné a nezávislé. Jelikož oba diskutovaní poskytovatelé, Google i Microsoft, i přes určité podobnosti, nabízí odlišné podmínky pro podnikatele a spotřebitele, ačkoli nabízené služby jsou ve své podstatě identické,168 nelze předpokládat, že by od této praxe v budoucnu upustily. Za těchto okolností poskytovatelé nemají důvod promítat případné změny ve prospěch spotřebitelů také do podmínek pro podnikatele. Jedinou nadějí pro podnikatele (vedle budoucího působní tržních sil) je proto použití obecných ustanovení o ochraně slabší smluvní strany,169 avšak posouzení, zda rozhodné právo, tj. právo anglické,170 resp. irské,171 obsahuje relevantní ustanovení, která by byla v tomto směru aplikovatelná, překračuje rozsah této práce. Podrobná komparace mezi podnikatelskými a spotřebitelskými smlouvami a možností prosazení ochrany slabší smluvní strany tak zůstávají možným tématem dalšího výzkumu.
4.6 Diskuze současné a budoucí právní úpravy Z pohledu zákazníka je situace s nejčastěji používanými cloudovými službami složitá. Pro dodržení požadavků směrnice 95/46/ES a její národní implementace na používání služby musí zákazník zajistit, aby byly splněny mnohé požadavky. Tato práce popisuje pouze základní po164
Dosud nejsou známy žádné medializované případy, kdy by zákazníkovi cloudové služby vznikla jejím užíváním zásadní škoda, kterou by poskytovatel odmítl zaplatit na základě takových ujednání. I malý počet takovýchto medializovaných případů by však mohl náhled zákaznické veřejnosti na toto obchodní riziko změnit. 165 Viz body Naše záruky a odmítnutí odpovědnosti a Odpovědnost za naše služby Smluvní podmínky společnosti Google. Ochrana soukromí a smluvní podmínky [online]. Google, aktualizováno 14. 4. 2014 [cit. 22. 3. 2014]. Dostupné z: http://www.google.com/intl/cs/policies/terms/ Též srov. čl. 11 Smlouva o poskytování služeb společnosti Microsoft. Windows [online]. Microsoft, aktualizováno 11. 6. 2014 [cit. 22. 3. 2014]. Dostupné z: http://windows.microsoft.com/cs-cz/windows/microsoft-services-agreement 166 Srov. např. § 1811 odst. 1 a § 1813 an. občanského zákoníku. 167 Ať už pro porušení s norem spotřebitelského práva či práva na ochranu osobních údajů. 168 Nelze vyloučit, že z hlediska technického zabezpečení jsou služby pro podnikatele provozovány na odlišné infrastruktuře, která může být např. lépe zajištěná proti výpadkům, atd. 169 Srov. § 433 občanského zákoníku. Ve vztahu k podnikatelským smlouvám se však občanský zákoník zpravidla neuplatní díky volbě jiného než českého práva, kdežto spotřebitelé se o kogentní normy českého práva mohou opřít díky čl. 6 nařízení Evropského parlamentu a Rady (ES) č. 593/2008 ze dne 17. června 2008 o právu rozhodném pro smluvní závazkové vztahy (Řím I) 170 Odst. 14.11 Smlouvy GA. 171 Článek 8 odst. h. Smlouvy MOS.
41
žadavky, které vycházejí ze směrnice 95/46/ES, ale zákazník může být vystaven dalším požadavkům vycházejícím z vnitrostátních právních předpisů na ochranu osobních údajů. Rozdíly mezi národními implementacemi směrnice 95/46/ES komplikují situaci i pro poskytovatele. Ti mohou čelit obtížím při snaze nabízet jednotné služby s podmínkami, které by byly v souladu s právními předpisy o ochraně údajů ve všech členských státech EU. Ne všechny požadavky jsou přitom výslovně stanoveny právními předpisy a zákazník tedy musí studovat pokyny vydané různými orgány, aby zajistil jejich plné splnění. Např. povinnosti ve vztahu k subdodavatelům vůbec nezleze vyčíst ze směrnice 95/46/ES. Úprava předávání osobních údajů do jiných států mimo EU je natolik složitá, že jen malé množství zákazníků bude schopno odvodit odpovídající povinnosti přímo ze směrnice 95/46/ES. Zákazník tak může tápat při určování svých vlastních povinností a následně tím pádem i při posuzování nabídky poskytovatele. V mnoha případech budou data zpracovávaná pomocí cloudové služby obsahovat pouze omezené množství osobních údajů a tyto údaje nebudou vnímány jako citlivé ze strany příslušných subjektů údajů. V těchto případech mohou být povinnosti stanovené poskytovateli jako zpracovateli osobních údajů nepřiměřené. Na druhé straně v případech, kdy je pomocí cloudové služby zpracováváno velké množství subjektivně citlivých dat, může rámec ochrany údajů postrádat dostatečnou podrobnost, aby vztah mezi poskytovatelem a zákazníkem účinně reguloval.172 Stávající právní rámec tedy trpí nedostatky v oblasti unifikace, srozumitelnosti a škálovatelnosti. Budoucí regulace by měla sjednotit právní režim alespoň v rámci celé EU, aby se zjednodušila situace jak pro zákazníky, tak pro poskytovatele. Dále by měla jasně a výslovně stanovit povinnosti na straně zákazníka a poskytovatele cloudových služeb a podobných řešení a přizpůsobovat rozsah povinností podle rizika, které zpracováním vzniká (včetně úrovně rizika, se kterým nebudou spojeny žádné povinnosti dle této regulace, tj. de minimis pravidla). Obecné nařízení o ochraně údajů, navrhované Evropskou komisí,173 ve znění pozměňovacích návrhů Evropského parlamentu.174 si klade za cíl reagovat na výše popsané výzvy. Jednou z hlavních ambicí nařízení je sjednotit právní rámec pro ochranu údajů v EU.175 Místo další harmonizace vnitrostátních právních předpisů prostřednictvím novely současné směrnice bylo jako právní nástroj zvoleno nařízení, které zajistí maximální unifikaci díky své přímé použitelnosti. Kromě toho obecné nařízení obsahuje ustanovení, která upravují spolupráci a koordinaci 172
Například nemusí dostatečně specifikovat bezpečnostní opatření, která by měla být v takovém případě uplatňována. 173 Viz Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) COM/2012/011 final [online]. Evropská komise, 2012 [cit. 15. 2. 2015]. Dostupné z: http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52012PC0011&from=EN 174 Viz Legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [online]. Evropský parlament, publikováno 12. 3. 2014 [cit. 15. 2. 2015]. Dostupné z: http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2014-0212&language=EN 175 Tento pozitivní efekt ve vztahu ke cloudovým službám je předpokládán Evropskou komisí. Viz Unleashing the Potential of Cloud Computing in Europe, 2012, op. cit.
42
mezi nezávislými vnitrostátními orgány pro ochranu údajů.176 Záměr více unifikovat úpravu ochrany osobních údajů napříč EU je tedy možné přijetím obecného nařízení naplnit. Ačkoli je text obecného nařízení podstatně delší a podrobnější než text směrnice 95/46/ES, ne všechny povinnosti správce osobních údajů v souvislosti se zpracováním osobních údajů v cloudu jsou uvedeny jasněji. Například znění obecného nařízení navržené Evropskou komisí stanovovalo výslovně povinnost správce zajistit ověření účinnosti bezpečnostních opatření,177 tj. jejich audit, ale tato povinnost byla odstraněna a nahrazena obecnou povinností být schopen prokázat přiměřenost a účinnost těchto opatření.178 Takovou úpravou však vzniká nejistota, jaký standard prokazování bude od správců ve vztahu ke cloud computingu požadován, a může dokonce vznikat nejednotnost v aplikační praxi nezávislých vnitrostátních orgánů napříč EU. Také otázka využití subdodavatelů není opět výslovně ošetřena, stejně jako ve směrnici 95/46/ES. Kromě toho obecné nařízení dává Evropské komisi pravomoc vydat četné prováděcí předpisy a orgány pro ochranu údajů mohou schvalovat různé kodexy chování a další prováděcí dokumenty, což může vytvářet potenciálně nejasné hranice mezi závaznými a nezávaznými pravidly. Zda tedy obecné nařízení pomůže objasnit a zvýšit srozumitelnost povinností zákazníků a poskytovatelů cloudových služeb je přinejmenším diskutabilní. Aspekt, ve kterém pak obecné nařízení jasně selhává, je škálovatelnost. Definice osobních údajů je stejně široká jako ve směrnici 95/46/ES. Obecné nařízení neobsahuje skutečné pravidlo de minimis, které by osvobodilo zpracování malého rozsahu s nízkým rizikem z jeho působnosti. Velikost zpracování tak ovlivňuje pouze povinnosti s okrajovým vlivem na správce, jako je jmenování inspektora ochrany údajů.179 Místo toho nařízení přidává správcům další povinnosti180 a nebere v úvahu rozsah a rizikový profil zpracování. Nicméně jako pozitivní aspekt je třeba vyzdvihnout, že obecné nařízení výslovně řeší svůj vztah ke směrnici o elektronickém obchodu, a to ve prospěch této směrnice.181 Z toho lze dovodit, že v režimu obecného nařízení by na poskytovatele cloudových služeb mohly být vztaženy výluky z povinností zpracovatele osobních údajů na základě jejich kvalifikace jako poskytovatele hostingu dle směrnice o elektronickém obchodu. Specifickou změnou, kterou obecné nařízení přináší, je právo subjektu údajů domáhat se svých práv přímo vůči správci a zpracovateli u soudu.182 Toto právo je navíc podpořeno tím, že nárok může v zastoupení spotřebitele vymáhat i organizace jednající ve veřejném zájmu.183 Je otázkou, jaké nároky by mohli dotčení jednotlivci a jejich zástupci uplatňovat v případě cloud computingu obecně a diskutovaných služeb konkrétně. Cloud computing jako takový svou podstatou neodporuje principům ochrany osobních údajů a žádné z výše diskutovaných poru176
Kapitola VII obecného nařízení. Viz článek 22 odst. 3 obecného nařízení ve znění návrhu Evropské komise. 178 Viz článek 22 odst. 3 obecného nařízení ve znění návrhu Evropského parlamentu. 179 Viz článek 35 odst. 1 písm. b) obecného nařízení. 180 Viz REDING, Viviane. The European data protection framework for the twenty-first century. International Data Privacy Law [online]. 2012, vol. 2, no. 3, pp. 119-129. [cit. 15. 2. 2015]. Dostupné z Oxford Journals: http://idpl.oxfordjournals.org/content/2/3/119.full.pdf, s. 126. 181 Viz článek 3 odst. 3 obecného nařízení. Srov. SARTOR, 2013, op. cit., s. 4. 182 Viz. článek 75 obecného nařízení ve znění návrhu Evropské komise. Též srov. REDING, 2012, op. cit., s. 126. 183 Viz. články 73 odst. 2 a 76 obecného nařízení ve znění návrhu Evropského parlamentu. Též srov. REDING, 2012, op. cit., s. 126. 177
43
šení není natolik flagrantní, aby přímo ohrožovalo subjekty zpracovávaných údajů. Těžko lze tedy z jejich strany očekávat preventivní kroky. Nároky proto mohou být vznášeny spíše v případě bezpečnostních incidentů, které by měly dopad na jednotlivce. Rovněž je možné, že při zásadní změně bezpečnostních opatření by mohli jednotlivci a jejich zástupci napadat možnost těchto změn a případný nedostatek auditních práv. Ve vztahu k současnému stavu tak mohou přímé nároky přinést zlepšení pouze jako hrozba pro poskytovatele, která je může přivést k přísnějšímu uplatňování bezpečnostních opatření. Nelze však předpokládat, že by vedly k úpravě smluvních podmínek. Celkově se upravený návrh obecného nařízení ve vztahu ke cloud computingu zdá být dosti problematický. S výjimkou unifikace by v současnosti navrhované znění nejspíše nepřineslo v oblasti cloud computingu výrazná zlepšení. Budoucí revize by se proto měly zaměřit na jeho zjednodušení, zlepšení srozumitelnosti a vyšší škálovatelnost povinností. Bez ohledu na to, zda by obecné nařízení bylo prospěšné pro zákazníky a poskytovatele cloudových služeb nebo ne, jeho účinnost nelze vzhledem k složitosti unijního legislativního procesu a množství angažovaných organizovaných zájmů očekávat v blízké budoucnosti, stejně jako jakoukoli jinou změnu směrnice 95/46/ES. Proto je třeba pro zákazníky hledat řešení, jak efektivně hodnotit nabídky poskytovatelů cloudových služeb a zajistit soulad zpracování osobních údajů pomocí těchto služeb se směrnicí 95/46/ES. V reakci na tuto výzvu zřídila Evropská komise oborovou pracovní skupinu pro cloud computing (Cloud Select Industry Group) a v rámci ní podskupinu zaměřenou na standardizaci smluv na poskytování cloudových služeb (Service Level Agreement v širším smyslu). Tato podskupina vydala doporučení pro standardizaci těchto smluv (Cloud Service Level Agreement Standardisation Guidelines), které pokrývá i otázky ochrany osobních údajů.184 Doporučení je v tomto ohledu relativně podrobné a reflektuje doporučení WP29. Kromě ochrany osobních údajů navíc řeší další důležité smluvní podmínky vztahující se k poskytování cloudových služeb. Podle zkušeností autora jsou tato doporučení v praxi velmi dobře použitelná jak při posuzování, tak při sepisování smluv o zpracování osobních údajů pro cloudové služby. Bylo by proto z praktického hlediska vítaným přínosem, kdyby byla tato doporučení v budoucnu rozpracována např. do standardního smluvního nástroje. Není přitom nezbytné, aby tento nástroj musel být používán povinně jako např. standardní smluvní podmínky pro předávání osobních údajů do třetích zemí bez odpovídající úrovně ochrany. Postačí, pokud tyto standardní podmínky budou kvalitně formulované a vytvořené na základě konsenzu zástupců poskytovatelů, zákazníků i regulátorů. Z pohledu SME by toto řešení bylo podstatným zjednodušením situace, protože v případě nabídky, která by stavěla na standardním smluvním nástroji, by pro ně bylo její posouzení podstatně snadnější. Zároveň by jim tento postup dával dostatečnou míru jistoty o souladu jejich postupu s ochranou osobních údajů.
4.7 Dílčí závěr Poskytování cloudových služeb zákazníkům se sídlem v Evropské unii může často spadat do působnosti evropského práva na ochranu údajů, které je reprezentováno směrnicí 95/46/ES. Zákazníkům a poskytovatelům cloudových služeb mohou být v rámci směrnice 95/46/ES 184
Viz Cloud Service Level Agreement Standardisation Guidelines, 2014, op. cit.
44
v závislosti na povaze zpracování přiřazeny různé role a z toho vyplývající práva a povinnosti. Zákazník je ve většině případů správcem osobních údajů. Poskytovatel může být správcem osobních údajů, pokud zpracovává osobní údaje pro své vlastní účely, jako je například reklama. Zpracovatelem osobních údajů může být, pokud údaje zpracovává pro zákazníka podle jeho pokynů. Může být také zcela vyňat z působnosti směrnice 95/46/ES, pokud se kvalifikuje jako poskytovatel hostingu podle směrnice o elektronickém obchodu tím, že mu není známa povaha dat zpracovávaných pomocí jeho služby. V případech, kdy je poskytovatel cloudových služeb zpracovatelem osobních údajů (jako například když je zřejmé z povahy příslušné služby, že jejím prostřednictvím budou zpracovávány osobní údaje) vztah mezi poskytovatelem a zákazníkem cloudových služeb musí být upraven smlouvou o zpracování osobních údajů. Tato smlouva musí stanovit, že poskytovatel je vázán pokyny zákazníka, musí určovat rozsah pokynů zákazníka, účel zpracování a typy zpracovávaných údajů. Dále smlouva musí popisovat bezpečnostní opatření, způsob prokazování uplatňování těchto opatření ze strany poskytovatele a nápravné prostředky pro případ jejich nedodržení. Smlouva nesmí umožňovat jednostranné změny podstatných ujednání a musí upravovat využívání subdodavatelů ze strany poskytovatele. Poskytovatel musí garantovat, jak dlouho po ukončení využívání služeb ze strany zákazníka budou vymazány příslušné osobní údaje, a musí být povinen poskytnout zákazníkovi součinnost při plnění žádosti subjektů údajů. Mají-li být osobní údaje pomocí dané služby zpracovávány mimo EU a země s odpovídající úrovní ochrany, musí být poskytovatel certifikován v programu Safe Harbor pro zpracování v USA a smlouva musí obsahovat standardní smluvní doložky vydané Evropskou komisí pro zpracování v ostatních zemích. Smluvní rámec pro poskytování Microsoft Office 365 se zdá být v souladu s výše uvedenými požadavky s výjimkou drobných nedostatků a nerovnováhy v otázce odpovědnosti. Smluvní struktura pro poskytování služby Google Apps for Work trpí více závažnými nedostatky, které mohou vést k porušování legislativy na ochranu osobních údajů. Aby byla zajištěna alespoň minimální úroveň plnění požadavků směrnice 95/46/ES, je třeba ze strany zákazníka provést dodatečné úkony. Google také silně omezuje právo zákazníka na audit a svou odpovědnost vůči zákazníkovi. Smlouva Googlu rovněž umožňuje jednostranně měnit její podstatná ujednání. Přístup společnosti Microsoft vykazuje vyšší stupeň pozornosti věnovaný ochraně osobních údajů. Tento rozdíl může být dán větší zkušeností Microsoftu s evropským trhem a regulací obecně. Stávající právní rámec pro ochranu údajů při poskytování cloudových služeb trpí nedostatkem unifikace, srozumitelnosti a škálovatelnosti. S výjimkou unifikace nelze předpokládat, že připravované obecné nařízení o ochraně osobních údajů přinese podstatné zlepšení, bude-li přijato v aktuálním znění. V dalších revizích by mělo být nařízení zjednodušeno, zapracována klauzule de minimis a rozsah povinností přizpůsoben velikosti a rizikovému profilu zpracování. V tuto chvíli by bylo nejspíš předčasné a přehnaně ambiciózní snažit se na zákonné úrovni zakotvit nové smluvní typy určené pro cloud computing, ale rozhodně je nezbytné vytvářet pro tento možný budoucí vývoj dostatečné podklady skrze hledání obvyklé struktury a obsahu ujednání používaných při cloud computingu a zejména SaaS. Pro potřeby práce se současnou evropskou úpravou ochrany osobních údajů reprezentovanou směrnicí 95/46/ES mohou zá45
kazníci a poskytovatelé cloudových služeb používat Cloud Service Level Agreement Standardisation Guidelines vydané pracovní skupinou Evropské komise. Do budoucna by bylo pro praxi významným přínosem, kdyby tato doporučení byla rozpracována do standardního smluvního nástroje. Z hlediska ochrany osobních údajů by pak byla do budoucna také vhodná bližší analýza připravovaného obecného nařízení, rozbor podmínek poskytovatelů cloudových služeb cílených na spotřebitele a jejich srovnání s podmínkami pro podnikatele, popřípadě možnost vymáhání změn podmínek pro podnikatele na základě ochrany slabší smluvní strany či zneužití dominantního postavení. Zajímavá by rovněž byla analýza případného právního nástupnictví v kontextu kombinovaných smluvních závazků na poskytování cloudových služeb. Na tato témata však již v rámci této práce nezbývá prostor.
46
5
Závěr
Cloud computing nepřináší technologickou inovaci, ale změnu paradigmatu. Nové paradigma nás posouvá od pořizování informačních technologií jako produktů k jejich konzumaci v podobě služeb. Tato změna paradigmatu má nezanedbatelné důsledky v řadě právních odvětví jak z oboru práva soukromého, tak veřejného. V oblasti licencí lze uzavřít, že poskytovatel SaaS může jako součást svého řešení použít modifikovaný open source software, aniž by dále sdílel odpovídající zdrojové kódy (viz podkapitolu 3.1). Tento závěr se však neuplatní v případech, kdy je modifikovaný software distribuován (viz podkapitolu 3.2). Současně lze konstatovat, že zákazník pro používání SaaS nepotřebuje od poskytovatele licenci (viz podkapitolu 3.3). Obě tato pozorování ilustrují závěr, že licence jako standardní institut práva duševního vlastnictví a závazkového práva ve své současné podobě neodpovídá aktuálním potřebám běžné praxe v oblasti vývoje a prodeje softwaru (viz podkapitolu 3.4). Z hlediska ochrany osobních údajů bude zákazník ve většině případů jejich správcem a poskytovatel jejich zpracovatelem (viz podkapitolu 4.13.4). Požadavky na obsah této smlouvy plynoucí ze směrnice 95/46/ES shrnuje podkapitola 4.23.4. Smluvní rámec pro poskytování Microsoft Office 365 se jeví být v souladu s těmito požadavky s výjimkou drobných nedostatků a nerovnováhy v otázce odpovědnosti (viz podkapitolu 4.33.4). Smluvní struktura pro poskytování služby Google Apps for Work trpí závažnějšími nedostatky, které mohou vést k porušování legislativy na ochranu osobních údajů (viz podkapitolu 4.43.4). Rozdíl v přístupu k ochraně osobních údajů může být dán větší zkušeností Microsoftu s evropským trhem a regulací obecně (viz podkapitolu 4.53.4). Stávající právní rámec pro ochranu údajů při poskytování cloudových služeb dle mého názoru trpí nedostatkem unifikace, srozumitelnosti a škálovatelnosti. S výjimkou unifikace nepředpokládám, že připravované obecné nařízení ochraně osobních údajů v aktuálním znění přinese v tomto směru podstatné zlepšení (viz podkapitolu 4.63.4). Do budoucna si téma cloud computingu podle mého mínění rozhodně zaslouží pozornost. Přestože ceny hardwarových komponent neustále klesají, náklady na jejich provoz a údržbu dané výší mezd a cenou energií neustále rostou. Provozování softwaru na vlastní vyhrazené infrastruktuře tak bude čím dál více luxusem, který si nebude moci každý dovolit, a ekonomický vývoj nás bude postupně čím dál více tlačit k využívání cloud computingu, ať už to bude v rámci kterékoli z jeho podob. Na tento scénář bychom měli připravovat své znalosti i právní úpravu.
47
Použité prameny Právní předpisy a judikatura [1] [2] [3] [4] [5]
[6]
[7]
[8] [9] [10] [11] [12] [13] [14] [15] [16] [17]
[18] [19]
[20]
Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat, č. 115/2001 Sb. m. s. Vyhláška Ministerstva zahraničních věcí, č. 209/1992 Sb., ve znění pozdějších předpisů, Evropská Úmluva o ochraně lidských práv a základních svobod. Vyhláška Ministerstva zahraničních věcí Československé socialistické republiky č. 120/1976 Sb., Mezinárodní pakt o občanských a politických právech. Nařízení Evropského parlamentu a Rady (ES) č. 593/2008 ze dne 17. června 2008 o právu rozhodném pro smluvní závazkové vztahy (Řím I). Směrnice Evropského parlamentu a Rady 2001/29/ES ze dne 22. května 2001 o harmonizaci určitých aspektů autorského práva a práv s ním souvisejících v informační společnosti. Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu. Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Ústavní zákon č. 23/1991 Sb., Listina základních práv a svobod, ve znění pozdějších předpisů. Zákon č. 89/2012 Sb., občanský zákoník. Zákon č. 121/2000 Sb., autorský zákon, ve znění pozdějších předpisů. Zákon č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů. Zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů. Zákon Španělska Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Zákon Spojeného království Data Protection Act 1998. Zákon Německé spolkové republiky č. RGBl. 1896 S. 195, Bürgerliche Gesetzbuch, ve znění pozdějších předpisů. Title 17 of the United States Code, Copyright Act, ve znění pozdějších předpisů. Rozhodnutí Komise 2010/87/EU ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice Evropského parlamentu a Rady 95/46/ES Nařízení Španělska Real Decreto 1720/2007, Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Nařízení Polské republiky Rozporządzenie Ministra spraw wewnętrznych i administracji Dz. U. z 2004 r. Nr 100, poz. 1024, w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozsudek Soudního dvora Evropské unie (třetího senátu) ze dne 15. března 2012. Società Consortile Fonografici proti Marcu Del Corsovi. Věc C‑135/10. 48
[21] Rozsudek Soudního dvora Evropské unie (třetího senátu) ze dne 7. prosince 2006. Rafael Hoteles. Věc C‑306/05 [22] Rozsudek Soudního dvora Evropské unie (třetího senátu) ze dne 14. července 2005. Lagardère Active Broadcast. Věc C‑192/04. [23] Rozhodnutí Sněmovny lordů Spojeného království ze dne 9. 7. 2008. Common Services Agency v Scottish Information Commissioner (Scotland). Věc [2008] UKHL 47. [24] Stanovisko Sněmovny lordů Spojeného království ze dne 19. 7. 1997. Investors Compensation Scheme v. West Bromwich Building Society. Věc 1 WLR 896.
Monografie a časopisecké články [1] [2] [3]
[4]
[5]
[6]
[7] [8]
[9]
[10]
BARTÍK, Václav; JANEČKOVÁ, Eva. Zákon o ochraně osobních údajů s komentářem. 1. vyd. Olomouc: Anag, 2010. 383 s. ISBN 9788072636136. FILIP, Jan. Vybrané kapitoly ke studiu ústavního práva. Vyd. 2., dopl. Brno: Masarykova univerzita, 2001. 458 s. ISBN 8021025921. HON, Kuan W.; MILLARD, Christopher; WALDEN, Ian. Negotiating cloud contracts: Looking at clouds from both sides now. Stanford Technology Law Review [online]. 2012, vol. 16, no. 81, s. 81–130 [cit. 30. 10. 2014]. Dostupné z: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2055199 HON, Kuan W.; MILLARD, Christopher; WALDEN, Ian. Who is responsible for ‘personal data’ in cloud computing?—The cloud of unknowing, Part 2 International Data Privacy Law [online]. 2011, vol. 2, no. 1, pp. 3-18. ISSN 2044-4001 [cit. 15. 2. 2015]. Dostupné z Oxford Journals: http://idpl.oxfordjournals.org/content/2/1/3.full.pdf+html HON, Kuan W.; MILLARD, Christopher; WALDEN, Ian. The problem of ‘personal data’ in cloud computing: what information is regulated?—the cloud of unknowing. International Data Privacy Law [online]. 2012, vol. 1, no. 4, pp. 211-228 [cit. 15. 2. 2015]. ISSN 2044-4001. Dostupné z Oxford Journals: http://idpl.oxfordjournals.org/content/1/4/211.full.pdf+html JOHNSTON, Ronald L. Cloud Computing: Recent Cases and Anticipating New Types of Claims. The Computer & Internet Lawyer [online]. 2011, vol. 28, no. 1, pp. 1–8 [cit. 30. 10. 2014]. ISSN 1531-4944. Dostupné z: http://www.klgates.com/files/Publication/5d61b5e9ad6f-4d6a-985c-30cb6b84dae2/Presentation/PublicationAttachment/42137be3-c03c4c58-a527-31d872b78ec5/Wittow_CloudComputing_Jan2011.pdf LAVICKÝ, Petr a kol. Občanský zákoník I. Obecná část (§ 1−654). Komentář. 1. vyd. Praha: C.H. Beck, 2014. 2380 s. ISBN 9788074005299. MACDONALD, Michaela. Open Source Licensing in The Networked Era. Masaryk University Journal of Law and Technology [online]. 2013, vol. 7, no. 2, pp. 229–239 [cit. 30. 10. 2014]. ISSN 1802-5951. Dostupné z: https://mujlt.law.muni.cz/storage/1404151356_sb_05-macdonald.pdf MEEKER, Heather. The Gift that Keeps on Giving – Distribution and Copyleft in Open Source Software Licenses. International Free and Open Source Software Law Review [online]. 2012, vol. 4, no. 1 [cit. 30. 10. 2014]. ISSN 1877-6922. Dostupné z: http://www.ifosslr.org/ifosslr/article/view/66/125 MENCL, Jakub; HON, Kuan. Copyleft in the Clouds. In: SHEMTOV, Noam; WALDEN, Ian (eds.). Free and Open Source Software Policy, Law, and Practice. 2013, s. 323–351. ISBN 978-0-19-968049-8. 49
[11] REDING, Viviane. The European data protection framework for the twenty-first century. International Data Privacy Law [online]. 2012, vol. 2, no. 3, pp. 119-129. [cit. 15. 2. 2015]. Dostupné z Oxford Journals: http://idpl.oxfordjournals.org/content/2/3/119.full.pdf [12] SARTOR, Giovanni. Providers' liabilities in the new EU Data Protection Regulation: A threat to Internet freedoms? International Data Privacy Law [online]. 2013, vol. 3, no. 1, pp. 3-12 [cit. 15. 2. 2015]. ISSN 2044-4001. Dostupné z Oxford Journals: http://idpl.oxfordjournals.org/content/3/1/3.full.pdf+html [13] SVANTESSON, Dan Jerker B. Data protection in cloud computing – The Swedish perspective. Computer Law & Security Review [online]. 2012, vol. 28, issue 4, pp. 476-480 [cit. 15. 2. 2015]. Dostupné ze ScienceDirect: http://linkinghub.elsevier.com/retrieve/pii/S0267364912001021. [14] TELEC, Ivo; TŮMA, Pavel. Autorský zákon: komentář. 1. vyd. Praha: C.H. Beck, 2007. ISBN 9788071796084.
Ostatní literatura [1]
[2]
[3]
[4]
[5]
[6]
[7]
DEBUSSCHE, Julien; VAN ASBROECK, Benoit; CHLOUPEK, Vojtěch a kol. Cloud computing and privacy series: the data protection legal framework (part 2 of 6). Bird&Bird [online]. 24 listopadu 2014 [cit. 15. 2. 2015]. Dostupné z http://www.twobirds.com/en/news/articles/2014/global/cloud-computing-and-privacyseries-the-data-protection-legal-framework FABER, Dan. Oracle’s Ellison nails cloud computing. CNET [online]. Publikováno 26. 9. 2008 [cit. 23. 10. 2014]. Dostupné z: http://www.cnet.com/news/oracles-ellison-nailscloud-computing/ HUSOVEC, Martin. Koncept parazitnej nekalej súťaže [online]. Publikováno 22. 11. 2014 [cit. 22. 3. 2014]. Dostupné z: http://laws.husovec.eu/files/Koncept%20Parazitnej%20Nekalej%20Sutaze.pdf?attredir ects=0&d=1 JUDD, William. SaaS Threatens Open Source. William Judd [online]. Publikováno 28. 1. 2011 [cit. 30. 10. 2014]. Dostupné z: http://www.williamjudd.com/2011/01/28/the-threatof-saas-to-open-source/ KUHN, Bradley M. stet and AGPLv3 - SFLC Technology Blog. Software Freedom Law Center [online]. Publikováno 21. 11. 2007 [cit. 30. 10. 2014]. Dostupné z Internet Archive: http://web.archive.org/web/20080315231323/http://www.softwarefreedom.org/technolo gy/blog/2007/nov/21/stet-and-agplv3/ MELL, Peter.; GRANCE, Timothy. The NIST Definition of Cloud Computing. National Institute of Standards and Technology [online]. 2011 [cit. 28. 5. 2014]. Dostupné z: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf O’REILLY, Tim. The New Age of Infoware: Open Source and the Web [online]. 1998 [cit. 30. 10. 2014]. Dostupné z: http://www.oreilly.com/tim/archives/mikro_age_of_infoware.pdf
50
[8] ROMINKIEWICZ, Konrad P. Problemy prawne cloud computing. Wrocław, 2014. Diplomová práce. Uniwersytet Wrocławski, Wydział Prawa, Administracji i Ekonomii. Vedoucí práce Dariusz ADAMSKI. 82 s. [9] SHUVANKER, Ghosh; HUGHES, Gill. Cloud Computing Explained. The Open Group [online]. 2011. [cit. 30. 10. 2014]. Dostupné z: https://www2.opengroup.org/ogsys/catalog/W115 [10] Cloud Service Level Agreement Standardisation Guidelines. Evropská komise [online]. Cloud Select Industry Group, Subgroup on Service Level Agreement, publikováno 24. 06. 2014 [cit. 30. 10. 2014]. Dostupné z: http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?action=disp lay&doc_id=6138 [11] CRM and Cloud Computing To Grow Your Business - Salesforce.com. Salesforce.com [online]. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.salesforce.com/eu/?ir=1 [12] Data Processing Amendment to Google Apps Agreement [online]. Google, 2015 [cit. 15. 2. 2015]. Dostupné z: https://www.google.com/intx/en/work/apps/terms/dpa_terms.html [13] Dropbox. Dropbox [online]. 2014 [cit. 30. 10. 2014]. Dostupné z: https://www.dropbox.com/ [14] Easy Online Meetings With HD Video Conferencing. GoToMeeting 2014 [online]. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gotomeeting.com/online/collaboration/home [15] Frequently Asked Questions about the GNU Licenses. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/gpl-faq.en.html [16] Frequently Asked Questions about version 2 of the GNU GPL. GNU Operating System [online]. Free Software Foundation, publikováno 18. 10. 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/old-licenses/gpl-2.0-faq.en.html [17] GNU General Public License Version 2. GNU Operating System [online]. Free Software Foundation, publikováno červen 1991 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/gpl-2.0.html [18] GNU General Public License Version 3. GNU Operating System [online]. Free Software Foundation, publikováno 27. 6. 2007 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/copyleft/gpl.html [19] GNU Affero General Public License Version 3. GNU Operating System [online]. Free Software Foundation, publikováno 19. 11. 2007 [cit. 30. 10. 2014]. Dostupné z: http://www.gnu.org/licenses/agpl-3.0.html [20] Google Apps Enterprise (Online) Agreement [online]. Google, únor 2014 [cit. 15. 2. 2015]. Dostupné z: https://www.google.com/intx/cs/work/apps/terms/2014/2/premier_terms_ie.html [21] Google Apps for Work – E-mail, nástroje pro spolupráci a mnoho dalších služeb. Google Apps for Work [online]. Google, 2014 [cit. 30. 10. 2014]. Dostupné z: http://www.google.cz/intx/cs/work/apps/business/ [22] Google Code Search. [cit. 29 10. 2010]. Původně dostupné z: http://licenseinfo.appspot.com/# nyní nedostupné [23] GPLv3, 2nd discussion draft. GPLv3 [online]. Free Software Foundation, publikováno 26. 9. 2007 [cit. 30. 10. 2014]. Dostupné z: 51
[24]
[25]
[26]
[27]
[28]
[29]
[30]
[31] [32] [33] [34]
http://webcache.googleusercontent.com/search?q=cache:http://gplv3.fsf.org/gpl-draft2006-07-27.html Guía para clientes que contraten servicios de Cloud Computing [online]. Agencia Española de Protección de Datos, 2013 [cit. 11. 2. 2015]. Dostupné z: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Gu ias/GUIA_Cloud.pdf Guidance on the use of cloud computing [online]. Information Commissioner’s Office, 2012, [cit. 11. 2. 2015]. Dostupné z: https://ico.org.uk/media/fororganisations/documents/1540/cloud_computing_guidance_for_organisations.pdf Legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) [online]. Evropský parlament, publikováno 12. 3. 2014 [cit. 15. 2. 2015]. Dostupné z: http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA2014-0212&language=EN Letter from the Article 29 Working Party to Google on Google Privacy Policy [online]. Evropská komise [online]. Article 29 Data Protection Working Party, publikováno 23. 9. 2014 [cit. 15. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/data-protection/article29/documentation/otherdocument/files/2014/20140923_letter_on_google_privacy_policy.pdf Letter from the Article 29 Working Party to Microsoft on a new version of the Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement and its Annex I [online]. Evropská komise [online]. Article 29 Data Protection Working Party, publikováno 2. 4. 2014 [cit. 15. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/dataprotection/article-29/documentation/otherdocument/files/2014/20140402_microsoft.pdf Letter for the Article 29 Working Party to Microsoft on the Microsoft Service Agreement and its Annex I [online]. Evropská komise [online]. Article 29 Data Protection Working Party, publikováno 22. 9. 2014 [cit. 15. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140922_letter_microsoft_service_agreement.pdf Microsoft adopts first international cloud privacy standard. Microsoft on the Issues [online]. Microsoft, publikováno 16. 2. 2015 [cit. 16. 3. 2015]. Dostupné z: http://blogs.microsoft.com/on-the-issues/2015/02/16/microsoft-adopts-firstinternational-cloud-privacy-standard/ Microsoft Online Subscription Agreement [online]. Microsoft, 2015 [cit. 13. 2. 2015]. Po registraci dostupné z: portal.office.com/Commerce/Mosa.aspx?cl=en&cc=en-UK Model contract clauses for Google Apps. Google Apps Help Center [online]. Google, 2015 [cit. 15. 2. 2015]. Dostupné z: https://support.google.com/a/answer/2888485?hl=en Online Services Terms January 1, 2015 [online]. Microsoft, 2015 [cit. 13. 2. 2015]. Dostupné z: http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=8248 Opinion 05/2012 on Cloud Computing. Evropská komise [online]. Article 29 Data Protection Working Party, 2012 [cit. 11. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf 52
[35] Opinion 10/2006 on the processing of personal data by the Society for Worldwide Interbank Financial Telecommunications (SWIFT). Evropská komise [online]. Article 29 Data Protection Working Party, 2006 [cit. 11. 2. 2015]. Dostupné z: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp128_en.pdf, p. 26. [36] Privacy Notice [online]. Microsoft, 2015 [cit. 13. 2. 2015]. Dostupné z: http://www.microsoft.com/online/legal/v2/?docid=18&langid=en-UK [37] Proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) COM/2012/011 final [online]. Evropská komise, 2012 [cit. 15. 2. 2015]. Dostupné z: http://eur-lex.europa.eu/legalcontent/EN/TXT/HTML/?uri=CELEX:52012PC0011&from=EN [38] Service Level Agreement for Microsoft Online Services [online]. Microsoft, 2015 [cit. 13. 2. 2015]. Dostupné z: http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=8222 [39] Service Orgnaization Control (SOC) 3 Report [online]. Ernst & Young, 2014 [cit. 11. 2. 2015]. Dostupné z: https://cert.webtrust.org/pdfs/soc3_google_2014.pdf [40] Smlouva o poskytování služeb společnosti Microsoft. Windows [online]. Microsoft, aktualizováno 11. 7. 2014 [cit. 22. 3. 2014]. Dostupné z: http://windows.microsoft.com/cscz/windows/microsoft-services-agreement [41] Smluvní podmínky společnosti Google. Ochrana soukromí a smluvní podmínky [online]. Google, aktualizováno 14. 4. 2014 [cit. 22. 3. 2014]. Dostupné z: http://www.google.com/intl/cs/policies/terms/ [42] SOC 3 Seal of Assurance [online]. WebTrust, 2014 [cit. 11. 2. 2015]. Dostupné z: https://cert.webtrust.org/soc3_google.html [43] Standard Contractual Clauses (processors) for the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection [online]. Google, 2015 [cit. 15. 2. 2015]. Dostupné z: https://www.google.com/intx/en/work/apps/terms/mcc_terms.html [44] Stanovisko č. 65/2013/4 [online]. Úřad pro ochranu osobních údajů, publikováno 1. 7. 2013 [cit. 11. 2. 2015]. Dostupné z: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokum enty=3002. [45] Unleashing the Potential of Cloud Computing in Europe. Evropská komise [online]. 27 9. 2012 [cit 15. 2. 2015]. Dostupné z: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:EN:PDF [46] Use of cloud computing services. Eurostat [online]. Publikováno 16. 1. 2015 [cit. 15. 2. 2015]. Dostupné z: http://appsso.eurostat.ec.europa.eu/nui/show.do?dataset=isoc_cicce_use&lang=en [47] Zakoupení Office 365 pro firmy – software zajišťující produktivitu firmy. Office [online]. Microsoft Corporation, 2014 [cit. 30. 10. 2014]. Dostupné z: http://office.microsoft.com/cs-cz/business/
53
Příloha č. 1 – Google Apps Enterprise (Online) Agreement This Google Apps Enterprise Agreement (the “Agreement”) is entered into by and between the entity or person agreeing to these terms (“Customer”) and one of the following Google entities (as applicable “Google”): (a) Google Ireland Limited, a company incorporated under the laws of Ireland with offices at Gordon House, Barrow Street, Dublin 4, Ireland; or (b) if Customer resides in the EU and has chosen “non-business” as the tax status/setting for its Google account, Google Commerce Limited, a company incorporated under the laws of Ireland with offices at Gordon House, Barrow Street, Dublin 4, Ireland (“GCL”). This Agreement is effective as of the date on which Customer clicks the “I Accept” button below (the “Effective Date”). If you are accepting on behalf of Customer, you represent and warrant that you: (i) have full legal authority to bind Customer to these terms and conditions; (ii) have read and understood this Agreement; and (iii) agree to this Agreement on behalf of Customer. If you do not have the legal authority to bind Customer, please do not click the “I Accept” button below. This Agreement governs Customer’s access to and use of the Services.
1. Services. o
1.1 General. Google will provide the Services in accordance with this Agreement including the SLA. Google will provide Customer with an Admin Account to use for administering the End User Accounts and other features of the Services. Customer shall: administer End User Accounts using the Admin Console and Admin Tools, and determine the Services to be provided to End Users. Customer may request End User Accounts by: (a) notifying its designated Google account manager; or (b) ordering End User Accounts via the Admin Console.
o
1.2 Modifications to the Services. Google may make commercially reasonable changes to the Services from time to time. If Google makes a material change to the Services, Google will inform Customer via such method as Google may elect provided that Customer has subscribed with Google to be informed about such changes.
o
1.3 Modifications to URL Terms. Google may make commercially reasonable changes to the URL Terms from time to time. If Google makes a material change to any of the URL Terms, Google will inform Customer by either sending an email to the Notification Email Address or alerting Customer via the Admin Console. Any such change to the URL Terms will take effect 30 days after Customer is informed of it, unless Customer is on an Annual Plan, and the change has a material adverse impact on Customer, in which case if Customer notifies Google via the Help Centre of Customer’s objection to the change within 30 days after being informed of it Customer will remain governed by the terms in effect immediately prior to the change until the end of the thencurrent Services Term for the affected Services. If the affected Services are then
54
renewed in accordance with this Agreement, they will be renewed under Google's then current URL Terms.
o
1.4 Ads. The default setting for the Services does not allow Google to serve Ads. Customer may change this setting in the Admin Console and such change will constitute Customer’s authorisation for Google to serve Ads. If Customer enables the serving of Ads, it may revert to the default setting at any time and Google will cease serving Ads on such reversion.
o
1.5 Customer Domain Name Ownership. Prior to providing the Services Google may verify that Customer owns or controls the Customer Domain Names. If Customer does not own or control the Customer Domain Names, then Google will have no obligation to provide Customer with the Services.
o
1.6 Google Apps Vault. If Customer purchases Google Apps Vault, subject to payment of the applicable Fees, the following terms apply:
a. Retention. Google will retain the applicable archived Customer Data for the period selected in the Services by the Administrator, but only if Customer renews Google Apps Vault for the entire retention period. If the Google Apps Vault Services expire or are terminated in accordance with the terms of the Agreement, Google’s obligation to retain the archived Customer Data will immediately terminate.
b. Additional Purchases. With each additional purchase of End User Accounts for the Services, Customer will receive access to, and will be invoiced for, Google Apps Vault for that same number of End User Accounts.
2. Data Processing. o
2.1 Data Protection Legislation. In this Agreement the terms “personal data”, “processing”, “controller” and “processor” shall have the meanings ascribed to them in the EU Directive. The parties agree and acknowledge that the Data Protection Legislation applies to the processing of Customer Data.
o
2.2 Processor. For the purposes of this Agreement and in respect of Customer Data, the parties agree that Customer shall be the controller and Google shall be a processor. Customer shall comply with its obligations as a controller and Google shall comply with its obligations as a processor under the Agreement. Where a Customer Group Company is the controller (either alone or jointly with the Customer) with respect to certain Customer Data, Customer represents and warrants to Google that it is authorized to instruct Google and otherwise act on behalf of such Customer Group Company in relation to the Customer Data in accordance with the Agreement, as amended.
o
2.3 Scope of Processing. Customer instructs Google to process Customer Data for the following purposes: (a) to comply with Instructions, (b) to provide the Services (as selected by the Customer via the Admin Console); (c) to provide product features to facilitate Customer’s use of Services and tools for the Cus55
tomer to create content; (d) to operate, maintain and support the infrastructure used to provide the Services; and (e) to respond to customer support requests. Google will only process Customer Data in accordance with this Agreement and will not process Customer Data for any other purpose. Google only processes Customer Data that is transmitted by Customer or End Users via the Services. o
2.4 Other Services. Customer acknowledges that if it installs, uses, or enables Additional Products that interoperate with the Services but are not part of the Services itself, then the Services may allow such Additional Products to access Customer Data as required for the interoperation of those Additional Products with the Services. The Agreement does not apply to the processing of data transmitted to and from such other Additional Products. Such separate Additional Products are not required to use the Services and may be restricted for use as determined by Customer’s system administrator in accordance with the Agreement.
o
2.5 Data Security. Google will take and implement appropriate technical and organisational measures to protect Customer Data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access (“Security Measures”).
o
2.6 Google Staff. Google will take appropriate steps to ensure compliance with the Security Measures by its employees, contractors and Subprocessors to the extent applicable to their scope of performance.
o
2.7 Security Incident. If Google becomes aware of a Security Incident Google will notify Customer of such Security Incident as soon as reasonably practicable, having regard to the nature of such Security Incident. Google will use commercially reasonable efforts to work with Customer in good faith to address any known breach of Google’s security obligations under the Agreement. Google will send any applicable notifications regarding a Security Incident to Customer. Customer is solely responsible for fulfilling any third party notification obligations.
o
2.8 Security Certification. During the Term, Google will maintain its ISO/IEC 27001:2005 Certification or a comparable certification (“ISO Certification”) for the Services.
o
2.9 Security Audit. During the Term, Google will maintain its Statement on Standards for Attestation Engagements (SSAE) No. 16 Type II / International Standards for Assurance Engagements (ISAE) No. 3402 report (or a comparable report) on Google’s systems examining logical security controls, physical security controls, and system availability (“Audit Report”) as related to the Services. At least every 18 months, Google will instruct a third party to produce an updated Audit Report. A summary of the Audit Report is available on Google’s website.
o
2.10 Data Correction, Blocking and Deletion. For the term of the Agreement Google will provide Customer or End Users with the ability to correct, block, 56
export and delete Customer Data in a manner consistent with the functionality of the Services. Once Customer or End User deletes Customer Data (and such Customer Data cannot be recovered by the Customer or End User, such as from the “trash”) Google will delete such Customer Data from its systems as soon as reasonably practicable and within a maximum period of 180 days.
o
2.11 Access to Data. Google will make available to Customer the Customer Data in accordance with the terms of the Agreement in a manner consistent with the functionality of the Services, including the applicable SLA. To the extent Customer, in its use and administration of the Services, does not have the ability to amend or delete Customer Data, (as required by applicable law) or migrate Customer Data to another system or service provider, Google will comply with any reasonable requests by Customer to assist in facilitating such actions to the extent Google is legally permitted to do so and has reasonable access to the Customer Data.
o
2.12 Data Privacy Officer. The Data Privacy Officer of Google can be contacted at:
[email protected].
o
2.13 Data Transfers. As part of providing the Services, Google may transfer, store and process Customer Data in the United States or any other country in which Google or its Group Companies maintain facilities.
o
2.14 Safe Harbor. During the Term, Google Inc., will remain enrolled in the U.S Department of Commerce Safe Harbor Program (“Safe Harbor”) or will adopt an alternative compliance solution that achieves compliance with the terms of the Directive for transfers of personal data to a third country. While Google Inc. remains enrolled in Safe Harbor: (i) the scope of Google Inc.'s Safe Harbor certification will include Customer Data; and (ii) the Google Group’s processing practices in respect of Customer Data will remain consistent with those described in Google Inc.'s Safe Harbor certification and the Safe Harbor Privacy Principles.
o
2.15 Subprocessors. Google may engage Subprocessors to provide limited parts of the Services. Google will ensure that Subprocessors only access and use Customer Data in accordance with the terms of the Agreement and that they are bound by written obligations that require them to provide at least the level of data protection required by the Safe Harbor Privacy Principles. Customer consents to Google subcontracting the processing of Customer Data to Subprocessors in accordance with the terms of the Agreement. At the written request of the Customer, Google will provide additional information regarding Third Party Suppliers and their locations. Customer will send such requests to the Data Privacy Officer at:
[email protected].
3. Customer Obligations. o
3.1 Compliance. Customer will ensure that Customer and End Users use the Services in accordance with the Acceptable Use Policy. . Google may make new applications, features or functionality available from time to time through the 57
Services, the use of which may be subject to Customer’s agreement to additional terms. In addition, Google will make available other Non-Google Apps Products (beyond the Services) available to Customer and its End Users in accordance with the Non-Google Apps Product Terms and the applicable productspecific Google terms of service. If Customer does not wish to enable any of the Non-Google Apps Products, Customer can choose to enable or disable (as the case may be) the Non-Google Apps Products (or any of them) at any time through the Admin Console. Customer agrees that its use of the APIs is subject to the API Terms of Use. o
3.2 Aliases. Customer is solely responsible for monitoring, responding to, and otherwise processing emails sent to the “abuse” and “postmaster” aliases for Customer Domain Name(s). Customer agrees that Google may monitor emails sent to these aliases for Customers Domain Name(s) to allow Google to identify Services abuse.
o
3.3 Customer Administration of the Services. Customer may specify one or more Administrators through the Admin Console who will have the rights to access Admin Account(s) and to administer the End User Accounts. Customer is responsible for: (a) maintaining the confidentiality of the password and Admin Account(s); (b) designating those individuals who are authorised to access the Admin Account(s); and (c) ensuring that all activities that occur in connection with the Admin Account(s) comply with this Agreement. Customer acknowledges and agrees that Google is not responsible for the internal management or administration of Customer’s electronic messaging system or messages.
o
3.4 End User Consent. Customer’s Administrators have the ability to access, monitor, use, or disclose data available to End Users within the End User Accounts through the Admin Console and / or Admin Tools. Customer will obtain and maintain all required consents from End Users to allow: (a) such Customer access, monitoring, use and/or disclosure; and (b) Google to provide the Services in accordance with this Agreement.
o
3.5 Unauthorised Use. Customer will use its reasonable endeavours to prevent unauthorised use of or access to, the Services, and to terminate any unauthorised use. Customer will promptly notify Google of any unauthorised use of, or access to, the Services of which it becomes aware.
o
3.6 Restrictions on Use. Except to the extent expressly permitted in this Agreement or otherwise agreed by Google in writing, Customer will not, and will use its reasonable endeavours to make sure a third party does not: (a) sell, resell or, lease the Services to a third party or otherwise make the Services available on a paid basis to a third party; (b) attempt to reverse engineer the Services or any component of the Services except as permitted by law; (c) attempt to create a substitute or similar service through use of, or access to, the Services; (d) use the Services for High Risk Activities; or (e) use the Services to store or transfer any Customer Data that would be controlled for export under 58
the Export Control Laws. Without limiting Google’s rights with respect to any other breach of this Clause 3.6, breach of Clause 3.6 (e) will be considered a material breach incapable of remedy under Clause 11.1(a). o
3.7 Third Party Requests. Customer is responsible for responding to Third Party Requests. Google will, to the extent permitted by law and by the terms of the Third Party Request: (a) promptly notify Customer of its receipt of a Third Party Request; (b) provide Customer with the information or tools required for Customer to respond to the Third Party Request. Customer will first seek to obtain the information required to respond to the Third Party Request on its own, and will contact Google only if it cannot reasonably obtain such information itself.
4. Billing and Payment. o
o
4.1 Billing. Customer may elect one of the following billing options, or from among other options offered by Google on the Order Page, when Customer places its order for the Services, provided that Google may change or terminate its offering of billing options at any time upon 30 days written notice (which may be by email) to Customer. Billing options may not be available to all customers.
a. Monthly Plan. If Customer selects this option, Customer will not be committed to purchase the Services for a pre-defined term, but will pay for the Services on a monthly basis. Google will bill Customer: (i) Fees based upon Customer’s daily usage of the Services during the preceding month; and (ii) monthly in arrears for its use of the Services. Google will provide Customer with the monthly rate for the Services when Customer orders the Services, and will use this rate to calculate the Fees, on a prorated basis, for Customer’s daily usage in a given month. Any partial day of Services usage will be rounded up to a full day of Services usage for the purposes of calculating Fees. Customer may pay for the Services using the payment options listed below.
b. Annual Plan. If Customer selects this option, Customer will be committed to purchasing the Services from Google for an annual term. Google will bill Customer according to the terms associated with Customer’s elections on the Order Page.
c. Alternative Billing. Google may offer Customer alternative billing options or plans from time to time (for example, on the Order Page). If Customer accepts an alternative billing option or plan, the terms of that option or plan shall apply as identified in the offer.
4.2 Payment. All payments are due in the currency indicated on the Order Page or invoice (as applicable). Customer will pay for the Services by one of the methods below, which Customer shall select when placing its order for the Services or as described in Clause 4.2(c). Payment methods may not be available to all customers. If Customer has entered the Agreement with GCL, Google may 59
collect payments via Google Payment Limited, a company incorporated in England and Wales with offices at Belgrave House, 76 Buckingham Palace Road, London, SW1W 9TQ, United Kingdom.
a. Credit Card, Debit Card or Direct Debit. Fees for orders payable by credit card, debit card or direct debit of Customer’s bank account are due at the end of the month during which Customer received the Services. Google will charge Customer’s credit card or debit card, or debit Customer’s bank account ( as applicable) for all applicable Fees when due, and these Fees will be considered overdue 30 days after the end of the month in which Customer received the Services.
b. Invoices. Fees for invoiced orders are due 30 days after the invoice date, unless otherwise specified on the Order Page, and are considered overdue after such date.
c. Other Forms of Payment. Google may, in its sole discretion, enable other forms of payment by making them available within the Admin Console. Customer may change its payment method to any of those available in the Admin Console by selecting it as Customer’s preferred payment method. These other methods of payment may be subject to additional terms which Customer may have to accept prior to using the relevant form of payment.
o
4.3 Late Payments. Google may charge interest at the rate of 2% per annum above the base rate of Barclays Bank PLC from time to time, from the due date until the date of actual payment, whether before or after judgment, on any overdue Fees Customer will be responsible for all reasonable expenses (including legal fees) incurred by Google in collecting overdue and unpaid amounts, except where such overdue and unpaid amounts are due to Google’s billing inaccuracies.
o
4.4 Suspension for Non-Payment.
a. Automatic Suspension. If Customer does not pay Google any overdue Fees within 30 days of their due date Google will automatically suspend Customer’s use of the Services until Customer pays Google all outstanding Fees.
b. During Suspension. If Customer is on the Monthly Plan and is suspended for non-payment, Google will not charge the Fees while Customer is suspended. If Customer has an annual commitment to Google for the Services, Google will continue to charge the Fees while Customer is suspended.
c. Termination After Suspension. If any overdue Fees are not paid within 60 days of their due date, Google may immediately terminate this Agreement on written notice (which may be by email) to Customer.
60
o
4.5 Invoice Disputes. Any invoice disputes must be submitted prior to the invoice due date. If the parties determine that certain billing inaccuracies are attributable to Google, Google will not issue a corrected invoice, but will instead issue a credit memo specifying the incorrect amount in the affected invoice. If the disputed invoice has not yet been paid, Google will apply the credit memo amount to the disputed invoice and Customer will be responsible for paying the resulting net balance due on that invoice.
o
4.6 Purchase Orders. If Customer requires a purchase order number on its invoice, Customer will inform Google and Google will include such purchase order number on invoices following receipt. If Customer does not provide a purchase order number, Customer waives any purchase order requirement and (a) Google will invoice Customer without a purchase order number; and (b) Customer agrees to pay invoices without a purchase order number referenced. The parties agree that none of the terms and conditions of any purchase order issued by Customer will apply to or modify this Agreement and that any terms or conditions in such purchase orders are null and void.
o
4.7 Taxes. Customer is responsible for any Taxes, and Customer will pay Google for the Services without any reduction for such amounts. If Google is obligated to collect or pay Taxes, the Taxes will be invoiced to Customer, unless Customer provides Google with a valid tax exemption certificate authorized by the appropriate taxing authority.
5. Technical Support Services. o
5.1 By Customer. Customer will, at its own expense, respond to questions and complaints from End Users or third parties relating to Customer’s or End Users’ use of the Services. Customer will use its reasonable endeavours to resolve support issues before escalating them to Google in accordance with Clause 5.2.
o
5.2 By Google. If Customer is unable to resolve a support issue in accordance with Clause 5.1, then Customer may escalate the issue to Google in accordance with the TSS Guidelines. Google will respond in accordance with the TSS Guidelines.
6. Suspension. o
6.1 Of End User Accounts by Google. If Google becomes aware of an End User Account being used in non-compliance with this Agreement, then Google may specifically request that Customer Suspend the applicable End User Account. If Customer fails to comply with Google’s request to Suspend an End User Account, then Google may do so. The Suspension will remain in effect until the applicable End User has remedied the breach which caused the Suspension.
o
6.2 Emergency Security Issues. Notwithstanding the foregoing, if there is an Emergency Security Issue, then Google may automatically Suspend the impacted End User Accounts. Suspension will be to the minimum extent and of the minimum duration required, in Google’s opinion to prevent or terminate the Emergency Security Issue. If Google Suspends any End User Account(s) for any 61
reason without prior notice to Customer, at Customer’s request, Google will provide Customer the reason for the Suspension as soon as is reasonably practicable.
7. Confidential Information. o
7.1 The recipient of any Confidential Information will not disclose that Confidential Information, except to Group Companies, Subprocessors, employees and/or professional advisors who need to know it and who have agreed in writing (or in the case of professional advisors are otherwise bound) to keep it confidential. The recipient will ensure that those people and entities may use such Confidential Information only to exercise rights and fulfil obligations under this Agreement, while using reasonable care to protect it. The recipient may also disclose Confidential Information when required by law after giving reasonable notice, if legally permissible, to the discloser. Any such notice will be sufficient to give the discloser the opportunity to seek confidential treatment, a protective order or similar remedies or relief prior to disclosure.
o
7.2 Confidential Information does not include information that: (a) the recipient of the Confidential Information already knew; (b) becomes public through no fault of the recipient; (c) was independently developed by the recipient; or (d) was rightfully given to the recipient by another party.
8. Intellectual Property Rights; Brand Features; Publicity. o
8.1 Intellectual Property Rights. Except as expressly stated otherwise in this Agreement, neither party shall acquire any right, title, or interest in any Intellectual Property Rights belonging to the other party, or the other party’s licensors. As between the parties, Customer owns all Intellectual Property Rights in Customer Data, and Google owns all Intellectual Property Rights in the Services.
o
8.2 Display of Brand Features. Except as expressly permitted in this Agreement, neither party may display or use the other party’s Brand Features without the other party’s prior written consent. Google may display only those Customer Brand Features authorized by Customer (such authorization is deemed to be provided by Customer uploading it’s Brand Features into the Services), and only within designated areas of the Service Pages. Customer may specify the nature of this use using the Admin Console. If Customer wants to display Google Brand Features in connection with the Services, Customer will comply with the Trademark Guidelines. Google may display Google Brand Features on the Service Pages to indicate that the Services are provided by Google.
o
8.3 Brand Features Limitation. All goodwill arising from the use by either party of the other party’s Brand Features will belong to such other party. A party may revoke the other party’s right to use its Brand Features pursuant to this Agreement with written notice at any time on reasonable written notice.
o
8.4 Publicity. Customer agrees that Google may include Customer’s name or Brand Features in a list of Google customers, online or in promotional materi62
als. Customer also agrees that Google may verbally reference Customer as a customer of the Google products or services that are the subject of this Agreement. This Clause is subject to Clause 8.3.
9. Warranties. o
9.1 Warranties. Each party warrants to the other that it will use reasonable care and skill in complying with its obligations under this Agreement.
o
9.2 Disclaimers. Subject to Clause 13.1(b), no conditions, warranties or other terms apply to any Services or to any other goods or services supplied by Google under this Agreement unless expressly set out in this Agreement. For clarity, no implied conditions, warranties or other terms apply (including any implied terms as to satisfactory quality, fitness for purpose or conformance with description).
10. Term. o
10.1 Agreement Term. This Agreement will remain in effect for the Term, unless terminated earlier in accordance with its terms.
o
10.2 Services Term and Purchases During Services Term. Google will provide the Services to Customer during each Services Term. Unless the parties agree otherwise in writing, End User Accounts purchased during any Services Term will have a prorated term ending on the last day of that Services Term.
o
10.3 Revising Rates. Google may revise its rates: (a) for any Renewal Term by providing Customer with written notice (which may be by email) at least thirty days prior to the start of such Renewal Term; or (b) for the Monthly Plan by providing Customer with at least 30 days’ prior written notice (which may be by email).
o
10.4 Renewal.
a. Renewal with Monthly Plan. If Customer has a Monthly Plan Customer is not committed to purchase the Services for a pre-defined term. As a result, there is no renewal event for the Monthly Plan. Rather, Google will continuing billing Customer for the Fees as described in Clause 4.1(a) above.
b. Renewal with Annual Plan. If Customer has an Annual Plan, the Services will renew at the end of each Services Term in accordance with Customer’s elections on the Order Page or Admin Console.
c. End User Accounts. Customer may alter the number of End User Accounts to be renewed by communicating the appropriate number of accounts to be renewed to Google via the Admin Console. Customer will continue to pay Google the then-current Fees, according to the applicable billing plan, for each renewed End User Account unless Customer and Google mutually agree otherwise.
63
d. Non-Renewal by Google. If Google does not want the Services to renew, Google will provide Customer with written notice (which may be by email) to this effect at least fifteen days prior to the end of the thencurrent Services Term. This notice of non-renewal will be effective on expiry of the then-current Services Term, when the Agreement shall automatically terminate.
11. Termination o
o
11.1 Termination in General.
a. Termination for Breach. Either party may suspend performance and/or terminate this Agreement, (including all Order Pages entered into under it) with immediate effect, if the other party: (i) is in material breach of this Agreement where the breach is incapable of remedy; (ii) is in material breach of this Agreement two times or more notwithstanding any remedy of such breach; or (iii) is in material breach of this Agreement where the breach is capable of remedy and fails to remedy that breach within thirty days after receiving written notice of such breach.
b. Termination for Insolvency. Either party may suspend performance and/or terminate this Agreement (including all Order Pages entered into under it) with immediate effect, if: (i) the other party enters into an arrangement or composition with or for the benefit of its creditors, goes into administration, receivership or administrative receivership, is declared bankrupt or insolvent or is dissolved or otherwise ceases to carry on business; or (ii) any analogous event happens to the other party in any jurisdiction in which it is incorporated or resident or in which it carries on business or has assets.
11.2 Termination under Specific Billing Options.
a. Termination under Monthly Plan. If Customer is on a Monthly Plan, Customer may terminate this Agreement for convenience at any time via the Admin Console, and Google may terminate this Agreement for convenience at any time on written notice (which may be by email) to Customer. If either party terminates this Agreement under this Clause 11.2(a), or Google terminates the Agreement under Clause 4.4(c), Customer shall pay Google any outstanding Fees under the Monthly Plan using Customer’s then-applicable payment method.
b. Termination under Annual Plan. Under an Annual Plan, Customer cannot terminate prior to expiry of its then-current Services Term. For clarity, termination of the Agreement by Google under Clause 4.4 (c) or 11.1 shall not relieve Customer of its obligation to pay such amount of Customer’s annual commitment as may remain unpaid as of the date of termination.
64
o
11.3 Change of Control. Either party may terminate this Agreement immediately upon written notice if there is a Change of Control of the other party, other than in the context of an internal restructuring or reorganisation of its Group Companies. In this clause the term "Control" shall mean the possession by any person(s) directly or indirectly of the power to direct or cause the direction of another person and "Change of Control" is to be construed accordingly. The party experiencing such Change of Control will notify the other party in writing of this within 30 days after the Change of Control. If the terminating party has not exercised its right of termination under this clause within 30 days following receipt of notice of the other party’s Change of Control, that right of termination will expire.
o
11.4 Effects of Termination. If this Agreement (including all Order Pages) terminates or expires, then: (i) the rights granted by one party to the other will cease immediately; (ii) Google will provide Customer access to, and the ability to export, the Customer Data for a commercially reasonable period of time at Google’s then-current rates for the applicable Services; (iii) after a commercially reasonable period of time, Google will delete Customer Data by removing pointers to it on Google’s active and replication servers and overwriting it over time; and (iv) upon request each party will promptly use reasonable endeavours to return or destroy all other Confidential Information of the other party.
12. Indemnification. o
12.1 If Customer receives a claim from a third party that either Google’s or any Google Group Company’s technology used to provide the Services or any Google Brand Feature infringe(s) any copyright, trade secret or trade mark of such third party (an “IP Claim”), Customer will: (a) promptly notify Google; (b) provide Google with reasonable information, assistance and cooperation in responding to and, where applicable, defending such IP Claim; and (c) give Google full control and sole authority over the defence and settlement of such IP Claim. Customer may appoint its own supervising counsel of its choice at its own expense.
o
12.2 Provided Customer complies with Clause 12.1 and subject to Clause 12.3, Google will accept full control and sole authority over the defence and settlement of such IP Claim and will indemnify Customer against all damages and costs awarded for such IP Claim, settlement costs approved in writing by Google in relation to such IP Claim, reasonable legal fees necessarily incurred by Customer in relation to such IP Claim and reasonable costs necessarily incurred by Customer in complying with Clause 12.1(b).
o
12.3 Google will not have any obligations or liability under this Clause 12 in relation to any IP Claim arising from: (a) use of the Services or Google Brand Features in breach of this Agreement, in a modified form or in combination with Third Party Products; and/or (b) any content, information or data provided to Google by Customer, End Users or any other third parties.
65
o
12.4 Google may (at its sole discretion) suspend Customer’s use of any Services which are alleged, or believed by Google, to infringe any third party’s Intellectual Property Rights, or modify such Services to make them non-infringing. If the foregoing option is not commercially reasonable, Google may suspend or terminate Customer’s use of the impacted Services. If any suspension under this clause continues for more than 30 days, Customer may, at any time until use of the applicable Services is reinstated, terminate this Agreement immediately upon written notice. If the Services are terminated in accordance with this Clause 12.4, then Google will provide a pro-rated refund of any Fees actually paid by Customer applicable to the period following termination of the Services.
o
12.5 If Google receives a claim from a third party that the Customer Data, Customer Domain Name(s) and/or Customer Brand Features infringe any Intellectual Property Rights of such third party (a “Customer IP Claim”), Google will: (a) promptly notify Customer; (b) provide Customer with reasonable information, assistance and cooperation in responding to and, where applicable, defending such Customer IP Claim; and (c) give Customer full control and sole authority over the defence and settlement of such Customer IP Claim. Google may appoint its own supervising counsel of its choice at its own expense.
o
12.6 Provided Google complies with Clause 12.5, Customer will accept full control and sole authority over the defence and settlement of such Customer IP Claim and will indemnify Google against all damages and costs awarded for such Customer IP Claim, settlement costs approved in writing by Customer in relation to such Customer IP Claim, reasonable legal fees necessarily incurred by Google in relation to such Customer IP Claim and reasonable costs necessarily incurred by Google in complying with Clause 12.5(b).
o
12.7 This Clause 12 states the parties’ entire liability and exclusive remedy with respect to infringement of a third party’s Intellectual Property Rights.
13. Limitation of Liability. o
13.1 Nothing in this Agreement shall exclude or limit either party’s liability for: (a) death or personal injury resulting from the negligence of either party or their servants, agents or employees; (b) fraud or fraudulent misrepresentation; (c) breach of any implied condition as to title or quiet enjoyment; or (d) misuse of confidential information.
o
13.2 Save to the extent that this Agreement expressly states otherwise, nothing in this Agreement shall exclude or limit either party’s liability under Clause 12 (Indemnification).
o
13.3 Subject to Clauses 13.1 and 13.2, neither party shall be liable under this Agreement (whether in contract, tort (including negligence) or otherwise) for any of the following losses suffered or incurred by the other party (whether or not such losses were within the contemplation of the parties at the date of this Agreement):
66
o
a. loss of actual or anticipated profits (including loss of profits on contracts);
b. loss of anticipated savings;
c. loss of business opportunity;
d. loss of reputation or damage to goodwill; and
e. special, indirect or consequential losses.
13.4 Subject to Clauses 13.1, 13.2 and 13.3, each party's liability under this Agreement (whether in contract, tort (including negligence) or otherwise) for all causes of action arising in any Contract Year shall be limited to the greater of: (a) 125% of the total amount paid and payable by Customer under this Agreement in that Contract Year; or (b) £50,000.
14. Miscellaneous. o
14.1 Notices. Unless otherwise specified in this Agreement, all notices of termination or breach must be in English, in writing, addressed to the other party’s Legal Department and sent to Customer’s registered office address (or the address set out on the Order Page) or to
[email protected] (as applicable) or such other address as either party has notified the other in accordance with this Clause 14.1. All such notices shall be deemed to have been given on receipt as verified by written or automated receipt or electronic log (as applicable). All other notices must be in English, in writing, addressed to the other party’s primary contact and sent to their then current postal address or email address.
o
14.2 Assignment. Neither party may assign any of its rights or obligations under this Agreement without the prior written consent of the other, except for an assignment to any Group Company where: (i) the assignee has agreed in writing to be bound by the terms of this Agreement; (ii) the assignor has notified the other party of such assignment; and (iii) where Customer is the assignor, the assignee has passed any relevant credit checks required by Google.
o
14.3 Sub-contracting. Subject to Clause 2.15, either party may sub-contract its obligations under this Agreement, in whole or in part, without the prior written consent of the other, provided that the sub-contracting party remains fully liable for all such sub-contracted obligations and accepts full liability as between the parties for the actions and/or inactions of its sub-contractors as if such actions and/or inactions were its own.
o
14.4 Force Majeure. Neither party will be liable for failure to perform or delay in performing any obligation under this Agreement if the failure or delay is caused by any circumstances beyond its reasonable control.
o
14.5 Suspension to Comply with Applicable Law. Google may (at its sole discretion) suspend the provision of any Services or modify any Services at any time to comply with any applicable law. If any suspension under this clause continues for more than 30 days, Customer may, at any time until use of the applicable Services is reinstated, terminate this Agreement immediately upon 67
written notice. If the Agreement is terminated in accordance with this Clause 14.5, Google will provide a pro-rata refund of any unearned Fees actually paid by Customer applicable to the period following termination of such Services. o
14.6 No Waiver. Failure or delay in exercising any right or remedy under this Agreement shall not constitute a waiver of such (or any other) right or remedy.
o
14.7 Severability. The invalidity, illegality or unenforceability of any term (or part of a term) of this Agreement shall not affect the continuation in force of the remainder of the term (if any) and this Agreement.
o
14.8 No Agency. Except as expressly stated otherwise, nothing in this Agreement shall create an agency, partnership or joint venture of any kind between the parties.
o
14.9 No Third-Party Beneficiaries. Except as expressly stated otherwise, nothing in this Agreement shall create or confer any rights or other benefits in favour of any person other than the parties to this Agreement.
o
14.10 Equitable Relief. Nothing in this Agreement will limit either party’s ability to seek equitable relief.
o
14.11 Governing Law.
a. This Agreement and any dispute (contractual or non-contractual) concerning this Agreement or its subject matter or formation (a “Dispute”) is/are governed by English law.
b. Any Dispute shall be referred to and finally resolved by arbitration under the rules of the LCIA, which rules are deemed to be incorporated by reference into this clause. The number of arbitrators shall be three. The seat, or legal place, of arbitration shall be London, England. The language to be used in the arbitration shall be English.
c. This Clause 14.11 shall be without prejudice to the right of either party to apply to any court of competent jurisdiction for emergency, interim or injunctive relief (together "Interim Relief"). Except where Customer has its registered office or principal place of business in Russia or Ukraine, such Interim Relief shall be subject to review and subsequent adjudication by the arbitral tribunal such that any dispute in respect of Interim Relief shall be determined by the arbitral tribunal.
o
14.12 Amendments. Any amendment must be in writing, must expressly state that it is amending this Agreement, and must be signed by both parties.
o
14.13 Entire Agreement. Subject to Clause 13.1(b), this Agreement sets out all terms agreed between the parties in relation to its subject matter and supersedes all previous agreements between the parties relating to the same. In entering into this Agreement neither party has relied on any statement, representation or warranty not expressly set out in this Agreement.
68
o
14.14 Interpretation of Conflicting Terms. If there is a conflict between this Google Apps Enterprise Agreement (excluding terms located at any URL) and the terms located at any URL, this Google Apps Enterprise Agreement (excluding such terms) will take precedence.
o
14.15 Translations. If this Agreement is translated into any other language and there is any conflict or inconsistency between this Agreement and the translation, this Agreement shall, in respect of the conflict or inconsistency, take precedence.
15. Definitions. o
15.1 In this Agreement unless expressly stated otherwise:
"Acceptable Use Policy" means the acceptable use policy as may be updated from time to time for the Services located at: http://www.google.com/apps/intl/en/terms/use_policy.html or such other URL as may be provided by Google.
“Additional Products” means products, services and applications (whether made available by Google or a third party) that are not part of the Services.
"Admin Account" means the administrative account provided to Customer by Google for the purpose of administering the End User Accounts. The use of the Admin Account requires a password, which Google will provide to Customer.
"Admin Console" means the online tool provided by Google to Customer for use in reporting and certain other administration functions.
"Admin Manager" means the Google business person working with Customer regarding Customer’s purchase of the Services.
"Admin Tool" means online tools or APIs, or both, provided by Google to Customer to be used by Customer in connection with Customer’s administration of the Services for End Users, which may include, among other things, account maintenance and enforcement of Customer usage policies.
"Administrators" mean the Customer-designated technical personnel who administer the Services for End Users on Customer’s behalf.
"Ads" means online advertisements displayed by Google to End Users.
"Annual Plan” means a billing option that commits the Customer to purchasing the Services from Google for an annual term.
"APIs" means the Google APIs from time to time listed at here: http://developers.google.com/google-apps/app-apis or such other URL as may be provided by Google.
"API Terms of Use" means the terms of use as may be updated from time to time located 69
at: http://www.google.com/a/help/intl/en/admins/api_terms.html or such other URL as may be provided by Google.
"Audit Report" has the meaning given in Clause 2.9.
"Brand Features" means each party’s trade names, trademarks, logos, domain names and other distinctive brand features.
"Confidential Information" means information disclosed by one party to the other party under this Agreement that is marked as confidential or, from its nature, content or the circumstances in which it is disclosed, might reasonably be supposed to be confidential.
"Contract Year” means a period of one year starting on the Effective Date or the relevant anniversary of the Effective Date (as appropriate).
"Customer Data” means data (including personal data) provided, generated, transmitted or displayed via the Services by Customer, its Group Companies or End Users.
"Customer Domain Name(s)" mean the domain name(s) owned or controlled by Customer, which will be used in connection with the Services and specified on the Order Page.
"Data Protection Legislation" means the national provisions adopted pursuant to the EU Directive, in the country in which the Customer is established.
"Emergency Security Issue" means either: (a) an End User’s use of the Services in violation of the Acceptable Use Policy, which could disrupt: (i) the Services; (ii) other End Users’ use of the Services; or (iii) the Google network or servers used to provide the Services; or (b) unauthorized third party access to the Services.
"End Users" means the individuals Customer permits to use the Services.
"End User Account” means Google-hosted account established by Customer through the Services for an End User.
"EU Directive" means Directive 95/46/EC of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data.
"Export Control Laws" means all applicable export and re-export control laws and regulations, including (i) the Export Administration Regulations ("EAR") maintained by the U.S. Department of Commerce, (ii) trade and economic sanctions maintained by the U.S. Treasury Department's Office of Foreign Assets Control, and (iii) the International Traffic in Arms Regulations ("ITAR") maintained by the U.S. Department of State.
70
"Fees" means the amounts charged to Customer by Google for the Services.
"Google Apps Core Services" means the services (e.g. Google Apps for Work and Google Apps Vault) specified in the Order Page which are more fully described at:http://www.google.com/a/help/intl/en/users/user_features.html, or such other URL as Google may provide.
"Google Group” means those Google Group Companies that may be used to provide the Services to Customer.
"Group Company" means in relation to each of the parties: (a) any parent company of that party; and (b) any corporate body of which that party directly or indirectly has control or which is directly or indirectly controlled by the same person or group of persons as that party.
"Help Centre" means the Google help centre accessible at http://www.google.com/support/?hl=en or such other URL as may be provided by Google.
"High Risk Activities" means uses such as the operation of nuclear facilities, air traffic control, or life support systems, where the use or failure of the Services could lead to death, personal injury, or environmental damage.
"Initial Services Term" means, for an Annual Plan, the term for the applicable Services beginning on the Service Commencement Date and continuing for 12 months (or, if different, the duration set forth on the Order Page).
"Instructions” means instructions provided by Customer via the Admin Console, instructions initiated by the Customer and End Users in their use of the Services, the written instructions of the Customer specified in this Agreement (as amended or replaced) and any subsequent written instructions from the Customer to Google and acknowledged by Google.
"Intellectual Property Rights" means all copyright, moral rights, patent rights, trade marks, design right, rights in or relating to databases, rights in or relating to confidential information, rights in relation to domain names, and any other intellectual property rights (registered or unregistered) throughout the world.
"Non-Google Apps Products" means Google products that are not part of the Services, but that may be accessed by End Users using their End User Account login and password. The Non-Google Apps Products are those set forth from time to time at: http://www.google.com/support/a/bin/answer.py?hl=en&answer=181 865, or such other URL as Google may provide.
71
"Non-Google Apps Product Terms" means the then-current terms found at the: "http://www.google.com/apps/intl/en/terms/additional_services.html", or such other URL as Google may provide.
"Notification Email Address" means the email address designated by Customer to receive email notifications from Google. Customer may change this email address through the Admin Console.
"Order Page" means the online order page or pages, or other ordering document acceptable to Google under this Agreement, that Customer completes in signing up for the Services, and that may include: (i) the Services being ordered (including applicable billing and renewal terms); (ii) the Fees; (iii) the number of, and Initial Services Term for, End User Accounts; (iv) the applicable form of payment; and (v) the Customer Domain Name(s).
"Renewal Term" means, for an Annual Plan, a renewal term of 12 months.
"Safe Harbor Privacy Principles” means the U.S. Department of Commerce Safe Harbor framework requirements as set out at the following URL: http://export.gov/safeharbor/eu/eg_main_018475.asp, or any replacement framework or URL from time to time.
"Security Incident” means accidental or unlawful distribution or accidental loss, alteration, or unauthorised disclosure or access to Customer Data by Google, its Subprocessors or any third party, provided that such incident is not directly or indirectly caused by Customer’s or End User’s act or omission.
"Services" means the applicable Google Apps Core Services (e.g. Google Apps Premier Edition or Google Apps for Work and Google Apps Vault) provided by Google and used by Customer under this Agreement. The Services are as described at www.google.com/apps/intl/en/terms/user_features.html or such other URL as Google may provide.
"Service Commencement Date" is the date upon which Google makes the Services available to Customer, and will be within one week of Google's receipt of a completed Order Page, unless otherwise agreed by the parties.
"Service Pages" mean the web pages displaying the Services to End Users.
"Services Term" means the Initial Services Term or the relevant Renewal Term; as applicable.
72
"SLA" means the Service Level Agreement located at http://www.google.com/a/help/intl/en/admins/sla.html, or such other URL as Google may provide.
"Subprocessors” means those Google Group Companies and Third Party Suppliers that have logical access to, and process, Customer Data.
"Suspend" or "Suspension" means the immediate disabling of access to the Services, or components of the Services, as applicable, to prevent further use of the Services.
"Taxes" means any taxes, including sales, use, personal property, valueadded, excise, customs fees, import duties or stamp duties or other taxes and duties imposed by governmental agencies of whatever kind and imposed with respect to all transactions under the Agreement, including penalties and interest, but specifically excluding taxes based upon Google's net income.
"Term" means:
(1) for an Annual Plan, the Initial Services Term and all Renewal Terms; and
(2) for the Monthly Plan, the period beginning on the Service Commencement Date and continuing for as long as Customer is receiving the Services.
"Third Party Products" means any products, software or services not licensed or provided to Customer by Google pursuant to this Agreement.
"Third Party Request" means a request from a third party for records relating to an End User’s use of the Services. Third Party Requests can be a lawful search warrant, court order, subpoena, other valid legal order, or written consent from the End User permitting the disclosure.
"Third Party Suppliers” means the third party suppliers engaged by the Google Group for the purposes of processing Customer Data in the context of the provision of the Services. Additional information about Third Party Suppliers is available at www.google.com/intl/en/work/apps/terms/subprocessors.html, as such information and URL may be updated from time to time by Google. The information available at the URL is accurate at the time of publication.
"Trademark Guidelines" means Google's Guidelines for Third Party Use of Google Brand Features as may be updated from time to time located at: http://www.google.co.uk/permissions/guidelines.html, or such other URL as may be provided by Google.
"TSS Guidelines" means Google's technical support services guidelines then in effect for the applicable Services, located 73
at: www.google.com/a/help/intl/en/admins/tssg.html or URL as may be provided by Google.
o
such
other
"URL Terms" means the Acceptable Use Policy, the SLA and the TSS Guidelines.
15.2 In this Agreement, the words "include" and "including" will not limit the generality of any words preceding them.
74
Příloha č. 2 – Data Processing Amendment to Google Apps Agreement The Customer agreeing to these terms (“Customer”) and Google Inc., Google Ireland Limited, or Google Asia Pacific Pte. Ltd. (as applicable, “Google”) have entered into a Google Apps Enterprise Agreement, Google Apps for Business Agreement, Google Apps Enterprise via Reseller Agreement, Google Apps for Business via Reseller Agreement, Google Apps for Education Agreement, or Google Apps for Education via Reseller Agreement, as applicable, (as amended to date, the "Google Apps Agreement"). This amendment (the “Data Processing Amendment”) is entered into by Customer and Google as of the Amendment Effective Date and amends the Google Apps Agreement. The “Amendment Effective Date” is the date Customer accepts this Data Processing Amendment by clicking to accept these terms. If you are accepting on behalf of Customer, you represent and warrant that: (i) you have full legal authority to bind your employer, or the applicable entity, to these terms and conditions; (ii) you have read and understand this Data Processing Amendment; and (iii) you agree, on behalf of the party that you represent, to this Data Processing Amendment. If you do not have the legal authority to bind Customer, please do not click the “I Accept” button below.
1. Introduction. o
This Data Processing Amendment reflects the parties’ agreement with respect to terms governing the processing of Customer Data under the Google Apps Agreement.
2. Definitions. o
2.1 Capitalized terms used but not defined in this Data Processing Amendment will have the meaning provided in the Google Apps Agreement. In this Data Processing Amendment, unless expressly stated otherwise:
“Additional Products” means products, services and applications (whether made available by Google or a third party) that are not part of the Services.
“Advertising” means online advertisements displayed by Google to End Users, excluding any advertisements Customer expressly chooses to display in connection with the Services under a separate agreement (for example, Google AdSense advertisements implemented by Customer on a website created by Customer using the "Google Sites" functionality within the Services).
“Affiliate” means any entity that directly or indirectly controls, is controlled by, or is under common control with a party.
“Agreement” means the Google Apps Agreement and this Data Processing Amendment.
75
“Customer Data” means data (which may include personal data and the categories of data referred to in Appendix 1) submitted, stored, sent or received via the Services by Customer, its Affiliates or End Users.
“Data Protection Legislation” means the national provisions adopted pursuant to the Directive, applicable to the Customer and the Customer Affiliates (if applicable) as the controller of the Customer Data and the Federal Data Protection Act of 19 June 1992 (Switzerland), as applicable.
“Directive” means Directive 95/46/EC of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data.
“Google Group” means those Google Affiliates that may be used to provide the Services to Customer.
“Instructions” means instructions provided by Customer via the Admin Console, instructions initiated by the Customer and End Users in their use of the Services, the written instructions of the Customer specified in this Agreement (as amended or replaced) and any subsequent written instructions from the Customer to Google and acknowledged by Google.
“Model Contract Clauses” means the standard contractual clauses (processors) for the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection.
“Safe Harbor Privacy Principles” means the U.S. Department of Commerce Safe Harbor framework requirements as set out at the following URL: http://export.gov/safeharbor/eu/eg_main_018475.asp, or any replacement framework or URL from time to time.
“Security Incident” means accidental or unlawful distribution or accidental loss, alteration, or unauthorised disclosure or access to Customer Data by Google, its Subprocessors or any third party, provided that such incident is not directly or indirectly caused by Customer’s or End User’s act or omission.
“Security Measures” has the meaning given in Section 6.1 of this Data Processing Amendment.
“Subprocessors” means those members of the Google Group and Third Party Suppliers that have logical access to, and process, Customer Data.
“Services” means
(a) for purposes of this Data Processing Amendment, those services defined as the “Google Apps Core Services” (including updates and upgrades to such Services) under the Agreement which are more fully described at the following URL: www.google.com/apps/intl/en/terms/user_features.html, as such URL may be updated from time to time by Google; and 76
o
2.2. The terms “personal data”, “processing”, “controller” and “processor” will have the meanings ascribed to them in the Directive.
This Data Processing Amendment will automatically terminate upon the expiry or termination of the Google Apps Agreement.
4. Data Protection Legislation. o
“Third Party Suppliers” means the third party suppliers engaged by the Google Group for the purposes of processing Customer Data in the context of the provision of the Services. Additional information about Third Party Suppliers is available at the following URL: www.google.com/intl/en/work/apps/terms/subprocessors.html, as such URL may be updated from time to time by Google. The information available at the URL is accurate at the time of publication.
3. Term. o
(b) for purposes of all provisions of this Data Processing Amendment except Sections 6.4, 6.5, 6.6 and 6.7, Google Classroom as more fully described at the above-mentioned URL.
The parties agree and acknowledge that the Data Protection Legislation applies to the processing of Customer Data.
5. Processing of Customer Data. o
5.1. Processor. With respect to Customer Data under this Agreement, the parties acknowledge and agree that Customer is the controller and Google is a processor. Customer will comply with its obligations as a controller and Google will comply with its obligations as a processor under the Agreement. Where a Customer Affiliate is the controller (either alone or jointly with the Customer) with respect to certain Customer Data, Customer represents and warrants to Google that it is authorized to instruct Google and otherwise act on behalf of such Customer Affiliate in relation to the Customer Data in accordance with the Agreement, as amended.
o
5.2. Scope of Processing. Google will process Customer Data in accordance with Customer’s Instructions. Customer instructs Google to process Customer Data to: (i) provide the Services (which includes the detection, prevention and resolution of security and technical issues) and (ii) respond to customer support requests.
o
5.3. Processing Restrictions. Google will only process Customer Data in accordance with this Agreement and will not process Customer Data for any other purpose. For clarity, and notwithstanding any other term in the Agreement, Google will not serve Advertising in the Services or use Customer Data for Advertising purposes.
o
5.4. Other Services. Customer acknowledges that if it installs, uses, or enables Additional Products that interoperate with the Services but are not part of the Services itself, then the Services may allow such Additional Products to access 77
Customer Data as required for the interoperation of those Additional Products with the Services. The Agreement does not apply to the processing of data transmitted to and from such other Additional Products. Such separate Additional Products are not required to use the Services and may be restricted for use as determined by Customer’s system administrator in accordance with the Agreement.
6. Data Security. o
6.1. Security Measures. Google will take and implement appropriate technical, administrative and organizational measures designed to protect Customer Data against a Security Incident ("Security Measures"). As of the Amendment Effective Date Google has implemented the Security Measures in Appendix 2. Google may update or modify such Security Measures from time to time provided that such updates and modifications do not result in the material degradation of the security of the Services. Customer agrees that Google has no obligation to protect Customer Data that Customer elects to store outside of Google’s and its Subprocessors systems (eg., offline or on-premise storage).
o
6.2. Google Staff. Google will take appropriate steps to ensure compliance with the Security Measures by its employees, contractors and Subprocessors to the extent applicable to their scope of performance.
o
6.3. Security Incident. If Google becomes aware of a Security Incident, Google will notify Customer of such Security Incident as soon as reasonably practicable, having regard to the nature of such Security Incident. Google will use commercially reasonable efforts to work with Customer in good faith to address any known breach of Google’s security obligations under the Agreement. Customer is solely responsible for fulfilling any third party notification obligations.
o
6.4. Security Certification. During the Term, Google will maintain its ISO/IEC 27001:2005 Certification or a comparable certification (“ISO Certification”) for the Services.
o
6.5. Security Audit. During the Term, Google will maintain its Statement on Standards for Attestation Engagements (SSAE) No. 16 Type II / International Standards for Assurance Engagements (ISAE) No. 3402 report (or a comparable report) on Google’s systems examining logical security controls, physical security controls, and system availability (“Audit Report”) as related to the Services.
o
6.6. Distribution of Audit Report. Google will update the Audit Report, at least every eighteen (18) months. A summary of the Audit Report is available on Google’s website.
o
6.7. Audit Rights. Google has included the security certification and audit obligations in Sections 6.4, 6.5 and 6.6 of this Data Processing Amendment at the request of the Customer, and where Customer or a Customer Affiliate has entered into the Model Contract Clauses with a Google Group entity as described under Section 10.3 (Model Contract Clauses), Customer agrees that the security certification and audit obligations of this Data Processing Amendment will be 78
deemed to fully satisfy the audit rights granted under clauses 5(f) and 12(2) of such Model Contract Clauses with respect to Customer and any applicable authorized Customer Affiliate.
7. Data Correction, Blocking and Deletion. o
7.1. Customer and End User Deletion. For the term of the Agreement Google will provide Customer or End Users with the ability to correct, block, export and delete Customer Data in a manner consistent with the functionality of the Services. Once Customer or End User deletes Customer Data and such Customer Data cannot be recovered by the Customer or End User, such as from the “trash" (“Customer-Deleted Data”),Google will delete such Customer-Deleted Data from its systems as soon as reasonably practicable and within a maximum period of 180 days.
o
7.2. Deletion on Termination. On expiry or termination of the Google Apps Agreement, Google will delete all Customer-Deleted Data from its systems as soon as reasonably practicable and within a maximum period of 180 days.
8. Access to Data. o
9. Data Privacy Officer. o
Google will make available to Customer the Customer Data in accordance with the terms of the Agreement in a manner consistent with the functionality of the Services, including the applicable SLA. To the extent Customer, in its use and administration of the Services, does not have the ability to amend or delete Customer Data, (as required by applicable law) or migrate Customer Data to another system or service provider, Google will comply with any reasonable requests by Customer to assist in facilitating such actions to the extent Google is legally permitted to do so and has reasonable access to the Customer Data.
The Data Privacy Officer for Google Apps can be contacted at:
[email protected].
10. Data Transfers. o
10.1. Data Transfers. As part of providing the Services, Google may transfer, store and process Customer Data in the United States or any other country in which Google and its Subprocessors maintain facilities.
o
10.2. Safe Harbor. During the Term, Google will ensure that Google Inc. remains enrolled in the U.S Department of Commerce Safe Harbor Program (“Safe Harbor”) or adopts an alternative compliance solution that achieves compliance with the terms of the Directive for transfers of personal data to a third country. While Google Inc. remains enrolled in Safe Harbor: (i) the scope of Google Inc.'s Safe Harbor certification will include Customer personal data; and (ii) the Google Group’s processing practices in respect of Customer personal data will remain consistent with those described in Google Inc.'s Safe Harbor certification and the Safe Harbor Privacy Principles.
79
o
11. Subprocessors. o
11.1 Subprocessors. Google may engage Subprocessors to provide parts of the Services.
o
11.2 Processing Restrictions. Google will ensure that Subprocessors only access and use Customer Data in accordance with the terms of the Agreement and that they are bound by written obligations: (i) that require them to provide at least the level of data protection required by the Safe Harbor Privacy Principles; and (ii) if Customer (or an authorized Customer Affiliate established in the European Economic Area) has entered into Model Contract Clauses with Google Inc., that impose the level of data protection required by the Model Contract Clauses.
o
11.3 Customer Consent to Subprocessing. Customer consents to Google subcontracting the processing of Customer Data to Subprocessors in accordance with the terms of the Agreement. If Customer (or an authorized Customer Affiliate established in the European Economic Area) enters into Model Contract Clauses with Google Inc., Customer consents to Google Inc. subcontracting the processing of Customer Data in accordance with the terms of the Model Contract Clauses.
o
11.4 Additional information. At the written request of the Customer, Google will provide additional information regarding Third Party Suppliers and their locations. Customer will send such requests to the Data Privacy Officer for Google Apps at:
[email protected].
12. Third Party Beneficiary. o
Notwithstanding anything to the contrary in the Agreement, where Google Inc., is not a party to the Agreement, Google Inc. will be a third party beneficiary of Section 6.7 and Section 11.3 of this Data Processing Amendment.
13. Effect of Amendment. o
10.3. Model Contract Clauses. During the Term Customer (or an authorized Customer Affiliate established in the European Economic Area) may enter into Model Contract Clauses with Google Inc.
To the extent of any conflict or inconsistency between the terms of this Data Processing Amendment and the remainder of the Agreement, the terms of this Data Processing Amendment will govern. Subject to the amendments in this Data Processing Amendment, the Agreement remains in full force and effect.
Appendix 1: Categories of Data and Data Subjects
Categories of Data Personal data submitted, stored, sent or received by Customer or End Users via the Services may include user IDs, email, documents, presentations, images, calendar entries, tasks and other electronic data. Data Subjects 80
Personal data submitted, stored, sent or received via the Services may concern End Users including employees, contractors and the personnel of customers, suppliers and subcontractors. Data subjects may also include individuals collaborating and communicating with End Users. Appendix 2: Security Measures As of the Amendment Effective Date, Google abides by the Security Measures set out in this Appendix to the Data Processing Amendment. During the Term of the Agreement, the Security Measures may change but Google agrees that any such change shall not cause a material degradation in the security of the Services.
1. Data Center & Network Security. o
(a) Data Centers.
Infrastructure. Google maintains geographically distributed data centers. Google stores all production data in physically secure data centers.
Redundancy. Infrastructure systems have been designed to eliminate single points of failure and minimize the impact of anticipated environmental risks. Dual circuits, switches, networks or other necessary devices help provide this redundancy. The Services are designed to allow Google to perform certain types of preventative and corrective maintenance without interruption. All environmental equipment and facilities have documented preventative maintenance procedures that detail the process for and frequency of performance in accordance with the manufacturer’s or internal specifications. Preventative and corrective maintenance of the data center equipment is scheduled through a standard change process according to documented procedures.
Power. The data center electrical power systems are designed to be redundant and maintainable without impact to continuous operations, 24 hours a day, and 7 days a week. In most cases, a primary as well as an alternate power source, each with equal capacity, is provided for critical infrastructure components in the data center. Backup power is provided by various mechanisms such as uninterruptible power supplies (UPS) batteries, which supply consistently reliable power protection during utility brownouts, blackouts, over voltage, under voltage, and out-oftolerance frequency conditions. If utility power is interrupted, backup power is designed to provide transitory power to the data center, at full capacity, for up to 10 minutes until the diesel generator systems take over. The diesel generators are capable of automatically starting up within seconds to provide enough emergency electrical power to run the data center at full capacity typically for a period of days.
Server Operating Systems. Google servers use a Linux based implementation customized for the application environment. Data is stored using proprietary algorithms to augment data security and redundancy. Google employs a code review process to increase the security of the
81
code used to provide the Services and enhance the security products in production environments.
o
Businesses Continuity. Google replicates data over multiple systems to help to protect against accidental destruction or loss. Google has designed and regularly plans and tests its business continuity planning/disaster recovery programs.
(b) Networks & Transmission.
Data Transmission. Data centers are typically connected via highspeed private links to provide secure and fast data transfer between data centers. This is designed to prevent data from being read, copied, altered or removed without authorization during electronic transfer or transport or while being recorded onto data storage media. Google transfers data via Internet standard protocols.
External Attack Surface. Google employs multiple layers of network devices and intrusion detection to protect its external attack surface. Google considers potential attack vectors and incorporates appropriate purpose built technologies into external facing systems.
Intrusion Detection. Intrusion detection is intended to provide insight into ongoing attack activities and provide adequate information to respond to incidents. Google intrusion detection involves:
1. Tightly controlling the size and make-up of Google’s attack surface through preventative measures;
2. Employing intelligent detection controls at data entry points; and
3. Employing technologies that automatically remedy certain dangerous situations.
Incident Response. Google monitors a variety of communication channels for security incidents, and Google’s security personnel will react promptly to known incidents.
Encryption Technologies. Google makes HTTPS encryption (also referred to as SSL or TLS) available.
2. Access and Site Controls. o
(a) Site Controls.
On-site Data Center Security Operation. Google’s data centers maintain an on-site security operation responsible for all physical data center security functions 24 hours a day, 7 days a week. The on-site security operation personnel monitor Closed Circuit TV (CCTV) cameras and all alarm systems. On-site Security operation personnel perform internal and external patrols of the data center regularly. 82
o
Data Center Access Procedures. Google maintains formal access procedures for allowing physical access to the data centers. The data centers are housed in facilities that require electronic card key access, with alarms that are linked to the on-site security operation. All entrants to the data center are required to identify themselves as well as show proof of identity to on-site security operations. Only authorized employees, contractors and visitors are allowed entry to the data centers. Only authorized employees and contractors are permitted to request electronic card key access to these facilities. Data center electronic card key access requests must be made through e-mail, and requires the approval of the requestor’s manager and the data center director. All other entrants requiring temporary data center access must: (i) obtain approval in advance from the data center managers for the specific data center and internal areas they wish to visit; (ii) sign in at on-site security operations (iii) and reference an approved data center access record identifying the individual as approved.
On-site Data Center Security Devices. Google’s data centers employ an electronic card key and biometric access control system that are linked to a system alarm. The access control system monitors and records each individual’s electronic card key and when they access perimeter doors, shipping and receiving, and other critical areas. Unauthorized activity and failed access attempts are logged by the access control system and investigated, as appropriate. Authorized access throughout the business operations and data centers is restricted based on zones and the individual’s job responsibilities. The fire doors at the data centers are alarmed. CCTV cameras are in operation both inside and outside the data centers. The positioning of the cameras has been designed to cover strategic areas including, among others, the perimeter, doors to the data center building, and shipping/receiving. On-site security operations personnel manage the CCTV monitoring, recording and control equipment. Secure cables throughout the data centers connect the CCTV equipment. Cameras record on site via digital video recorders 24 hours a day, 7 days a week. The surveillance records are retained for up to 90 days based on activity.
(b) Access Control.
Infrastructure Security Personnel. Google has, and maintains, a security policy for its personnel, and requires security training as part of the training package for its personnel. Google’s infrastructure security personnel are responsible for the ongoing monitoring of Google’s security infrastructure, the review of the Services, and for responding to security incidents.
Access Control and Privilege Management. Customer’s administrators and end users must authenticate themselves via a central authenti83
cation system or via a single sign on system in order to use the Services. Each application checks credentials in order to allow the display of data to an authorized End User or authorized Administrator.
Internal Data Access Processes and Policies – Access Policy. Google’s internal data access processes and policies are designed to prevent unauthorized persons and/or systems from gaining access to systems used to process personal data. Google aims to design its systems to: (i) only allow authorized persons to access data they are authorized to access; and (ii) ensure that personal data cannot be read, copied, altered or removed without authorization during processing, use and after recording. The systems are designed to detect any inappropriate access. Google employs a centralized access management system to control personnel access to production servers, and only provides access to a limited number of authorized personnel. LDAP, Kerberos and a proprietary system utilizing RSA keys are designed to provide Google with secure and flexible access mechanisms. These mechanisms are designed to grant only approved access rights to site hosts, logs, data and configuration information. Google requires the use of unique user IDs, strong passwords; two factor authentication and carefully monitored access lists to minimize the potential for unauthorized account use. The granting or modification of access rights is based on: the authorized personnel’s job responsibilities; job duty requirements necessary to perform authorized tasks; a need to know basis; and must be in accordance with Google’s internal data access policies and training. Approvals are managed by workflow tools that maintain audit records of all changes. Access to systems is logged to create an audit trail for accountability. Where passwords are employed for authentication (e.g., login to workstations), password policies that follow at least industry standard practices are implemented. These standards include password expiry, restrictions on password reuse and sufficient password strength. For access to extremely sensitive information (e.g., credit card data), Google uses hardware tokens.
3. Data. o
(a) Data Storage, Isolation & Authentication.
o
Google stores data in a multi-tenant environment on Google-owned servers. Data, the Services database and file system architecture are replicated between multiple geographically dispersed data centers. Google logically isolates data on a per end user basis at the application layer. Google logically separates Customer’s data, including data from different end users, from each other, and data for an authenticated end user will not be displayed to another end user (unless the former end user or administrator allows the data to be shared). A central authentication system is used across all Services to increase uniform security of data. 84
o
The Customer will be given control over specific data sharing policies. Those policies, in accordance with the functionality of the Services, will enable Customer to determine the product sharing settings applicable to end users for specific purposes. Customer may choose to make use of certain logging capability that Google may make available via the Services, products and APIs. Customer agrees that its use of the APIs is subject to the API Terms of Use.
o
(b) Decommissioned Disks and Disk Erase Policy.
o
Certain disks containing data may experience performance issues, errors or hardware failure that lead them to be decommissioned (“Decommissioned Disk”). Every Decommissioned Disk is subject to a series of data destruction processes (the “Disk Erase Policy”) before leaving Google’s premises either for reuse or destruction. Decommissioned Disks are erased in a multi-step process and verified complete by at least two independent validators. The erase results are logged by the Decommissioned Disk’s serial number for tracking. Finally, the erased Decommissioned Disk is released to inventory for reuse and redeployment. If, due to hardware failure, the Decommissioned Disk cannot be erased, it is securely stored until it can be destroyed. Each facility is audited regularly to monitor compliance with the Disk Erase Policy.
4. Personnel Security. o
Google personnel are required to conduct themselves in a manner consistent with the company’s guidelines regarding confidentiality, business ethics, appropriate usage, and professional standards. Google conducts reasonably appropriate backgrounds checks to the extent legally permissible and in accordance with applicable local labor law and statutory regulations.
o
Personnel are required to execute a confidentiality agreement and must acknowledge receipt of, and compliance with, Google’s confidentiality and privacy policies. Personnel are provided with security training. Personnel handling customer data are required to complete additional requirements appropriate to their role (eg., certifications). Google’s personnel will not process customer data without authorization.
5. Subprocessor Security. o
Prior to onboarding Subprocessors, Google conducts an audit of the security and privacy practices of Subprocessors to ensure Subprocessors provide a level of security and privacy appropriate to their access to data and the scope of the services they are engaged to provide. Once Google has assessed the risks presented by the Subprocessor, then subject always to the requirements set out in Section 11.2 of this Data Processing Amendment, the Subprocessor is required to enter into appropriate security, confidentiality and privacy contract terms.
Google Apps Data Processing Amendment, Version 1.3
85
Příloha č. 3 – Standard Contractual Clauses - Google (vybraná část) Clause 6 Liability
1. The parties agree that any Data Subject, who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or Subprocessor is entitled to receive compensation from the Data Exporter for the damage suffered.
2. If a Data Subject is not able to bring a claim for compensation in accordance with paragraph 1 against the Data Exporter, arising out of a breach by the Data Importer or his Subprocessor of any of their obligations referred to in Clause 3 or in Clause 11, because the Data Exporter has factually disappeared or ceased to exist in law or has become insolvent, the Data Importer agrees that the Data Subject may issue a claim against the Data Importer as if it were the Data Exporter, unless any successor entity has assumed the entire legal obligations of the Data Exporter by contract or by operation of law, in which case the Data Subject can enforce its rights against such entity.The Data Importer may not rely on a breach by a Subprocessor of its obligations in order to avoid its own liabilities.
3. If a Data Subject is not able to bring a claim against the Data Exporter or the Data Importer referred to in paragraphs 1 and 2, arising out of a breach by the Subprocessor of any of their obligations referred to in Clause 3 or in Clause 11 because both the Data Exporter and the Data Importer have factually disappeared or ceased to exist in law or have become insolvent, the Subprocessor agrees that the Data Subject may issue a claim against the data Subprocessor with regard to its own processing operations under the Clauses as if it were the Data Exporter or the Data Importer, unless any successor entity has assumed the entire legal obligations of the Data Exporter or Data Importer by contract or by operation of law, in which case the Data Subject can enforce its rights against such entity. The liability of the Subprocessor shall be limited to its own processing operations under the Clauses.
4. Without prejudice to paragraphs 1, 2 and 3 of Clause 6, each party’s aggregate liability to the other under or in connection with these Clauses (whether in contract, tort or otherwise) is limited to the amount paid for the services by the non-Google entity which is party to the Services Agreement in the 12 months immediately preceding the event (or first in a series of connected events) giving rise to the liability.
86
Příloha č. 4 – Microsoft Online Subscription Agreement This Microsoft Online Subscription Agreement is between the entity you represent, or, if you do not designate an entity in connection with a Subscription purchase or renewal, you individually (“you” or “your”), and Microsoft Ireland Operations Limited (“Microsoft”, “we”, “us”, or “our”). It consists of the terms and conditions below, as well as the Online Services Terms, the SLAs, and the Offer Details for your Subscription or renewal (together, the “agreement”). It is effective on the date we provide you with confirmation of your Subscription or the date on which your Subscription is renewed as applicable. Key terms are defined in Section 9. 1.
Use of Online Services.
a. Right to use. We grant you the right to access and use the Online Services and to install and use the Software included with your Subscription, as further described in this agreement. We reserve all other rights. b. Acceptable use. You may use the Product only in accordance with this Agreement. You may not reverse engineer, decompile, disassemble, or work around technical limitations in the Product, except to the extent applicable law permits it despite these limitations. You may not disable, tamper with, or otherwise attempt to circumvent any billing mechanism that meters your use of the Online Services. You may not rent, lease, lend, resell, transfer, or host the Product, or any portion thereof, to or for third parties except as expressly permitted in the Online Services Terms. c. End Users. You control access by End Users, and you are responsible for their use of the Product in accordance with this agreement. For example, you will ensure End Users comply with the Acceptable Use Policy. d. Customer Data. You are solely responsible for the content of all Customer Data. You will secure and maintain all rights in Customer Data necessary for us to provide the Online Services to you without violating the rights of any third party or otherwise obligating Microsoft to you or to any third party. Microsoft does not and will not assume any obligations with respect to Customer Data or to your use of the Product other than as expressly set forth in this Agreement or as required by applicable law. e. Responsibility for your accounts. You are responsible for maintaining the confidentiality of any non-public authentication credentials associated with your use of the Online Services. You must promptly notify our customer support team about any possible misuse of your accounts or authentication credentials or any security incident related to the Online Services. f. Eligibility for Academic, Government and Nonprofit versions. You agree that if you are purchasing an academic, government or nonprofit offer, you meet the respective eligibility requirements listed at the following sites: (i) For academic offers, the requirements for educational institutions (including administrative offices or boards of education, public libraries, or public museums) listed at http://go.microsoft.com/?linkid=9862882; 87
(ii) For government offers, at http://go.microsoft.com/?linkid=9862883; and
the
requirements
listed
(iii) For nonprofit offers, the requirements listed at http://www.microsoftvolumelicensing.com/userights/DocumentSearch.aspx?Mode=3&Docu mentTypeId=19. Microsoft reserves the right to verify eligibility at any time and suspend the Online Service if the eligibility requirements are not met. g. Preview releases. We may make Previews available. Previews are provided “as-is,” “with all faults,” and “as-available,” and are excluded from the SLAs and all limited warranties provided in this agreement. Previews may not be covered by customer support. Previews may be subject to reduced or different security, compliance, and privacy commitments, as further explained in the Online Services Terms and any additional notices provided with the Preview. We may change or discontinue Previews at any time without notice. We also may choose not to release a Preview into “General Availability.” 2.
Purchasing services.
a. Available Subscription offers. The Portal provides Offer Details for available Subscription offers, which generally can be categorized as one or a combination of the following: (i) Commitment Offering. You commit in advance to purchase a specific quantity of Online Services for use during a Term and to pay upfront or on a periodic basis in advance of use. With respect to Microsoft Azure Services, additional or other usage (for example, usage beyond your commitment quantity) may be treated as a Consumption Offering. Committed quantities not used during the Term will expire at the end of the Term. (ii) Consumption Offering (also called Pay-As-You-Go). You pay based on actual usage in the preceding month with no upfront commitment. Payment is on a periodic basis in arrears. (iii) Limited Offering. You receive a limited quantity of Online Services for a limited term without charge (for example, a free trial) or as part of another Microsoft offering (for example, MSDN). Provisions in this agreement with respect to pricing, cancellation fees, payment, SLAs, and data retention may not apply. b. Ordering. (i) By ordering or renewing a Subscription, you agree to the Offer Details for that Subscription. Unless otherwise specified in those Offer Details Online Services are offered on an “as available” basis. You may place orders for your Affiliates under this agreement and grant your Affiliates administrative rights to manage the Subscription, but, Affiliates may not place orders under this agreement. You also may assign the rights granted under Section 1.a to a third party for use by that third party in your internal business. If you grant any rights to Affiliates or third parties with respect to Software or your Subscription, such Affiliates or third parties will be bound by this agreement and you agree to be jointly and severally liable for any actions of such Affiliates or third parties related to their use of the Products. (ii) Some offers may permit you to modify the quantity of Online Services ordered during the Term of a Subscription. Additional quantities of Online Services added to a Subscription will 88
expire at the end of that Subscription. If you decrease the quantity during a Term, we may charge you a cancellation fee for the decrease in quantity as described below in Section 3.b. c. Pricing and payment. Payments are due and must be made according to the Offer Details for your Subscription. (i) For Commitment Offerings, the price level may be based on the quantity of Online Services you ordered. Some offers may permit you to modify the quantity of Online Services ordered during the Term and your price level may be adjusted accordingly, but price level changes will not be retroactive. During the Term of your Subscription, prices for Online Services will not be increased, as to your Subscription, from those posted in the Portal at the time your Subscription became effective or was renewed, except where prices are identified as temporary in the Offer Details, or for Previews or Non-Microsoft Products. All prices are subject to change at the beginning of any Subscription renewal. (ii) For Consumption Offerings, pricing is subject to change at any time upon notice. d. Renewal. (i) Upon renewal of your Subscription, this agreement will terminate, and your Subscription will thereafter be governed, by the terms and conditions set forth in the Portal on the date on which your Subscription is renewed (the “Renewal Terms”). If you do not agree to any Renewal Terms, you may decline to renew your Subscription. (ii) For Commitment Offerings, you may choose to have a Subscription automatically renew or terminate upon expiration of the Term. Automatic renewal is pre-selected. You can change your selection at any time during the Term. If the existing Term is longer than one calendar month, we will provide you with notice of the automatic renewal before the expiration of the Term. (iii) For Consumption Offerings, your Subscription will renew automatically for additional one-month terms until you terminate the Subscription. (iv) For Limited Offerings or Trial Subscriptions, renewal may not be permitted. e. Taxes. Prices are exclusive of any taxes. You must pay any applicable value added, goods and services, sales, or like taxes that are owed with respect to any order placed under this agreement and which we are permitted to collect from you under applicable law. You will be responsible for any applicable stamp taxes and for all other taxes that you are legally obligated to pay including any taxes that arise on the distribution or provision of Products to your Affiliates. We will be responsible for all taxes based on our net income or on our property ownership. If any taxes are required to be withheld on payments you make to us, you may deduct such taxes from the amount owed to us and pay them to the appropriate taxing authority; provided, however, that you promptly secure and deliver an official receipt for those withholdings and other documents we reasonably request to claim a foreign tax credit or refund. You must make certain that any taxes withheld are minimized to the extent possible under applicable law. 3.
Term, termination, and suspension.
a. Agreement term and termination. This agreement will remain in effect until the expiration, termination, or renewal of your Subscription, whichever is earliest. 89
b. Subscription termination. You may terminate a Subscription at any time during its Term; however, you must pay all amounts due and owing before the termination is effective. (i) One-Month Subscription. A Subscription having a one-month Term may be terminated anytime without any cancellation fee. (ii) Subscriptions of more than one-month. If you terminate a Subscription to Microsoft Azure Services within 30 days of the date on which the Subscription became effective or was renewed, no refunds will be provided and you must pay for the initial 30 days of the Subscription, but no payments will be due for the remaining portion of the terminated Subscription. If you terminate a Subscription to Microsoft Azure Services at any other time during the term, you must pay for the remainder of the Term, and no refunds will be provided. For all other Online Services, if you terminate a Subscription before the end of the Term, you must pay a fee equal to one-month’s Subscription fee and you will receive a refund of any portion of the Subscription fee you have paid for the remainder of the Term; provided, however, no refunds will be provided for partially unused months. c. Suspension. We may suspend your use of the Online Services if: (1) it is reasonably needed to prevent unauthorized access to Customer Data; (2) you fail to respond to a claim of alleged infringement under Section 5 within a reasonable time; (3) you do not pay amounts due under this agreement; or (4) you do not abide by the Acceptable Use Policy or you violate other terms of this Agreement. If one or more of these conditions occurs, then: (i) For Limited Offerings, we may suspend your use of the Online Services or terminate your Subscription and your account immediately without notice. (ii) For all other Subscriptions, a suspension will apply to the minimum necessary part of the Online Services and will be in effect only while the condition or need exists. We will give notice before we suspend, except where we reasonably believe we need to suspend immediately. We will give at least 30 days' notice before suspending for non-payment. If you do not fully address the reasons for the suspension within 60 days after we suspend, we may terminate your Subscription and delete your Customer Data without any retention period. We may also terminate your Subscription if your use of the Online Services is suspended more than twice in any 12-month period. 4.
Warranties.
a.
Limited warranty.
(i) Online Services. We warrant that the Online Services will meet the terms of the SLA during the Term. Your only remedies for breach of this warranty are those in the SLA. (ii) Software. We warrant for one year from the date you first use the Software that it will perform substantially as described in the applicable user documentation. If Software fails to meet this warranty we will, at our option and as your exclusive remedy, either (1) return the price paid for the Software or (2) repair or replace the Software. b. Limited warranty exclusions. This limited warranty is subject to the following limitations:
90
(i) any implied warranties, guarantees or conditions not able to be disclaimed as a matter of law will last one year from the start of the limited warranty; (ii) this limited warranty does not cover problems caused by accident, abuse or use of the Products in a manner inconsistent with this agreement or our published documentation or guidance, or resulting from events beyond our reasonable control; (iii) this limited warranty does not apply to problems caused by a failure to meet minimum system requirements; and (iv) this limited warranty does not apply to Previews or Limited Offerings. c. DISCLAIMER. Other than this warranty, we provide no warranties, whether express, implied, statutory, or otherwise, including warranties of merchantability or fitness for a particular purpose. These disclaimers will apply except to the extent applicable law does not permit them. 5. a.
Defense of claims. Defense.
(i) We will defend you against any claims made by an unaffiliated third party that a Product infringes that third party’s patent, copyright or trademark or makes unlawful use of its trade secret. (ii) You will defend us against any claims made by an unaffiliated third party that (1) any Customer Data, Customer Solution, or Non-Microsoft Products, or services you provide, directly or indirectly, in using a Product infringes the third party’s patent, copyright, or trademark or makes unlawful use of its trade secret; or (2) arises from violation of the Acceptable Use Policy. b. Limitations. Our obligations in Section 5a won’t apply to a claim or award based on: (i) any Customer Solution, Customer Data, Non-Microsoft Products, modifications you make to the Product, or services or materials you provide or make available as part of using the Product; (ii) your combination of the Product with, or damages based upon the value of, Customer Data, or a Non-Microsoft Product, data, or business process; (iii) your use of a Microsoft trademark without our express written consent, or your use of the Product after we notify you to stop due to a third-party claim; (iv) your redistribution of the Product to, or use for the benefit of, any unaffiliated third party; or (v) Products provided free of charge. c. Remedies. If we reasonably believe that a claim under Section 5.a.(i) may bar your use of the Product, we will seek to: (i) obtain the right for you to keep using it; or (ii) modify or replace it with a functional equivalent and notify you to stop use of the prior version of the Product. If these options are not commercially reasonable, we may terminate your rights to use the Product and then refund any advance payments for unused Subscription rights. d. Obligations. Each party must notify the other promptly of a claim under this Section. The party seeking protection must (i) give the other sole control over the defense and settlement of the claim; and (ii) give reasonable help in defending the claim. The party providing the protection will (1) reimburse the other for reasonable out-of-pocket expenses that it incurs in giving that help and (2) pay the amount of any resulting adverse final judgment or settlement. The parties’ respective rights to defense and payment of judgments (or settlement the other con-
91
sents to) under this Section 5 are in lieu of any common law or statutory indemnification rights or analogous rights, and each party waives such common law or statutory rights. 6.
Limitation of liability.
a. Limitation. The aggregate liability of each party for all claims under this agreement is limited to direct damages up to the amount paid under this agreement for the Online Service during the 12 months before the cause of action arose; provided, that in no event will a party’s aggregate liability for any Online Service exceed the amount paid for that Online Service during the Subscription. For Products provided free of charge, Microsoft’s liability is limited to direct damages up to $5,000.00 USD. b. EXCLUSION. Neither party will be liable for loss of revenue or indirect, special, incidental, consequential, punitive, or exemplary damages, or damages for lost profits, revenues, business interruption, or loss of business information, even if the party knew they were possible or reasonably foreseeable. c. Exceptions to limitations. The limits of liability in this Section apply to the fullest extent permitted by applicable law, but do not apply to: (1) the parties' obligations under Section 5; or (2) violation of the other's intellectual property rights. 7.
Software.
a. Additional Software for use with the Online Services. To enable optimal access and use of certain Online Services, you may install and use certain Software in connection with your use of the Online Service. The number of copies of the Software you will be permitted to use or the number of devices on which you will be permitted to use the Software will be as described in the Online Services Terms in the product specific license terms for the Online Service. We may check the version of the Software you are using and recommend or download updates, with or without notice, to your devices. Failure to install updates may affect your ability to use certain functions of the Online Service. You must uninstall the Software when your right to use it ends. We may also disable it at that time. Your rights to access Software on any device do not give you any right to implement Microsoft patents or other Microsoft intellectual property in software or devices that access that device. b. License confirmation. Proof of your Software license is (1) this agreement, (2) any order confirmation, and (3) proof of payment. c. License rights are not related to fulfillment of Software media. Your acquisition of Software media or access to a network source does not affect your license to Software obtained under this agreement. We license Software to you, we do not sell it. d. Transferring and assigning licenses. License transfers are not permitted. 8. a.
Miscellaneous. Notices. You must send notices by mail, return receipt requested, to the address below.
92
Notices should be sent to:
Copies should be sent to:
Microsoft Ireland Operations Limited
Microsoft Corporation
Atrium Block B
Legal and Corporate Affairs
Carmenhall Road
Volume Licensing Group
Sandyford Industrial Estate
One Microsoft Way
Dublin 18, Ireland
Redmond, WA 98052 USA Via Facsimile: (425) 936-7329
You agree to receive electronic notices from us, which will be sent by email to the account administrator you specify in the Portal. Notices are effective on the date on the return receipt or, for email, when sent. You are responsible for ensuring that the account administrator email address that you specify in the Portal is accurate and current. Any email notice that we send to that email address will be effective when sent, whether or not you actually receive the email. b. Assignment. You may not assign this agreement either in whole or in part. c. Consent to partner fees. When you place an order, you may be given the opportunity to identify a “Partner of Record” associated with your Subscriptions. By identifying a Partner of Record, directly or by authorizing a third party to do so, you consent to us paying fees to the Partner of Record. The fees are for pre-sales support and may also include post-sales support. The fees are based on, and increase with, the size of your order. Our prices for Online Services are the same whether or not you identify a Partner of Record. d. Severability. If any part of this agreement is held unenforceable, the rest remains in full force and effect. e.
Waiver. Failure to enforce any provision of this agreement will not constitute a waiver.
f.
No agency. This agreement does not create an agency, partnership, or joint venture.
g. No third-party beneficiaries. There are no third-party beneficiaries to this agreement. h. Applicable law and venue. This agreement is governed by the laws of Ireland. If we bring an action to enforce this agreement, we will bring it in the jurisdiction where you have your headquarters. If you bring an action to enforce this agreement, you will bring it in Ireland. This choice of jurisdiction does not prevent either party from seeking injunctive relief in any appropriate jurisdiction with respect to violation of intellectual property rights. i. Entire agreement. This agreement is the entire agreement concerning its subject matter and supersedes any prior or concurrent communications. In the case of a conflict between any documents in this agreement that is not expressly resolved in those documents, their terms will control in the following order of descending priority: (1) this Microsoft Online Subscription Agreement, (2) the Online Services Terms, (3) the applicable Offer Details, and (4) any other documents in this agreement. j. Survival. The terms in Sections 1, 2.e, 3.b, 4, 5, 6, 8, and 9 will survive termination or expiration of this agreement. 93
k. U.S. export jurisdiction. The Products are subject to U.S. export jurisdiction. You must comply with all applicable laws, including the U.S. Export Administration Regulations, the International Traffic in Arms Regulations, and end-user, end-use and destination restrictions issued by U.S. and other governments. For additional information, see http://www.microsoft.com/exporting/. l. Force majeure. Neither party will be liable for any failure in performance due to causes beyond that party’s reasonable control (such as fire, explosion, power blackout, earthquake, flood, severe storms, strike, embargo, labor disputes, acts of civil or military authority, war, terrorism (including cyber terrorism), acts of God, acts or omissions of Internet traffic carriers, actions or omissions of regulatory or governmental bodies (including the passage of laws or regulations or other acts of government that impact the delivery of Online Services)). This Section will not, however, apply to your payment obligations under this agreement. m. Contracting authority. If you are an individual accepting these terms on behalf of an entity, you represent that you have the legal authority to enter into this agreement on that entity’s behalf. n. Waiver of right to void online purchases. To the maximum extent permitted by applicable law, you waive your rights to void purchases under this agreement pursuant to any law governing distance selling or electronic or online agreements, as well as any right or obligation regarding prior information, subsequent confirmation, rights of withdrawal, or cooling-off periods. 9.
Definitions.
Any reference in this agreement to “day” will be a calendar day. “Acceptable Use Policy” is set forth in the Online Services Terms. “Affiliate” means any legal entity that a party owns, that owns a party, or that is under common ownership with a party. “Ownership” means, for purposes of this definition, control of more than a 50% interest in an entity. “Consumption Offering”, “Commitment Offering”, or “Limited Offering” describe categories of Subscription offers and are defined in Section 2. “Customer Data” is defined in the Online Services Terms. “Customer Solution” is defined in the Online Services Terms. “End User” means any person you permit to access Customer Data hosted in the Online Services or otherwise use the Online Services, or any user of a Customer Solution. “Microsoft Azure Services” means one or more of the Microsoft services and features identified at http://azure.microsoft.com/en-us/services, except where identified as licensed separately. “Non-Microsoft Product” is defined in the Online Services Terms. “Offer Details” means the pricing and related terms applicable to a Subscription offer, as published in the Portal.
94
“Online Services” means any of the Microsoft-hosted online services subscribed to by Customer under this agreement, including Dynamics CRM Online Services, Office 365 Services, Microsoft Azure Services, or Microsoft Intune Online Services. “Online Services Terms” means the terms that apply to your use of the Products available at http://www.microsoft.com/licensing/onlineuserights. The Online Services Terms include terms governing your use of Products that are in addition to the terms in this agreement. “Previews” means preview, beta, or other pre-release version or feature of the Online Services or Software offered by Microsoft to obtain customer feedback. “Portal” means the Online Services’ respective web sites that can be found at http://www.microsoft.com/licensing/onlineservices/default.aspx, http://azure.microsoft.com/en-us/pricing/, or at an alternate website we identify. “Product” means any Online Service (including any Software). “SLA” means the commitments we make regarding delivery and/or performance of an Online Service, as published at http://www.microsoftvolumelicensing.com/csla, http://azure.microsoft.com/enus/support/legal/sla/, or at an alternate site that we identify. “Software” means software we provide for installation on your device as part of your Subscription or to use with the Online Service to enable certain functionality. “Subscription” means an enrollment for Online Services for a defined Term as specified on the Portal. You may purchase multiple Subscriptions, which may be administered separately and which will be governed by the terms of a separate Microsoft Online Subscription Agreement. “Term” means the duration of a Subscription (e.g., 30 days or 12 months).
95
Příloha č. 5 – Online Services Terms January 1, 2015 (vybraná část) General Terms Customer may use the Online Services and related software as expressly permitted in Customer’s volume licensing agreement. Microsoft reserves all other rights. Customer must acquire and assign the appropriate subscription licenses required for its use of each Online Service. A User SL is required for each user that accesses the Online Service unless specified otherwise in the Online Service-specific Terms. Attachment 2 describes SL Suites that also fulfill requirements for User SLs. Customer has no right to use an Online Service after the SL for that Online Service ends.
Definitions If any of the terms below are not defined in Customer’s volume licensing agreement, they have the definitions below. “Customer Data” means all data, including all text, sound, video, or image files, and software, that are provided to Microsoft by, or on behalf of, Customer through use of the Online Service. “External User” means a user of an Online Service that is not an employee, onsite contractor, or onsite agent of Customer or its Affiliates. “Instance” means an image of software that is created by executing the software’s setup or install procedure or by duplicating such an image. “Licensed Device” means the single physical hardware system to which a license is assigned. For purposes of this definition, a hardware partition or blade is considered to be a separate device. “Non-Microsoft Product” means any third-party-branded software, data, service, website or product. “Online Service” means a Microsoft-hosted service to which Customer subscribes under a Microsoft volume licensing agreement, including any service identified in the Online Services section of the Product List. The Product List is located at http://go.microsoft.com/?linkid=9839207. “Operating System Environment” (OSE) means all or part of an operating system Instance, or all or part of a virtual (or otherwise emulated) operating system Instance, that enables separate machine identity (primary computer name or similar unique identifier) or separate administrative rights, and Instances of applications, if any, configured to run on all or part of that operating system Instance. There are two types of OSEs, physical and virtual. A physical hardware system can have one physical OSE and/or one or more virtual OSEs. The operating system Instance used to run hardware virtualization software or to provide hardware virtualization services is considered part of the physical OSE. 96
“SL” means subscription license.
Online Service Term Updates When Customer renews or purchases a new subscription to an Online Service, the thencurrent OST will apply and will not change during Customer’s subscription for that Online Service. When Microsoft introduces features, supplements or related software that are new (i.e., that were not previously included with the subscription), Microsoft may provide terms or make updates to the OST that apply to Customer’s use of those new features, supplements or related software.
Regulatory Changes & International Availability Microsoft may make commercially reasonable changes to each Online Service from time to time. Microsoft may terminate an Online Service in any country where Microsoft is subject to a government regulation, obligation or other requirement that is not generally applicable to businesses operating there. Availability, functionality, and language versions for each Online Service may vary by country. For information on availability, Customer may refer to www.microsoft.com/online/international-availability.aspx.
Data Retention Except for free trials, Microsoft will retain Customer Data stored in the Online Service in a limited function account for 90 days after expiration or termination of Customer’s subscription so that Customer may extract the data. After the 90 day retention period ends, Microsoft will disable Customer’s account and delete the Customer Data. The Online Service may not support retention or extraction of software provided by Customer. Microsoft has no liability for the deletion of Customer Data as described in this section.
Use of Software with the Online Service Customer may need to install certain Microsoft software in order to use the Online Service. If so, the following terms apply:
Microsoft Software License Terms Customer may install and use the software only for use with the Online Service. The Online Service-specific Terms may limit the number of copies of the software Customer may use or the number of devices on which Customer may use it. Customer’s right to use the software begins when the Online Service is activated and ends when Customer’s right to use the Online Service ends. Customer must uninstall the software when Customer’s right to use it ends. Microsoft may disable it at that time.
97
Validation, Automatic Updates, and Collection for Software Microsoft may automatically check the version of any of its software. Devices on which the software is installed may periodically provide information to enable Microsoft to verify that the software is properly licensed. This information includes the software version, the end user’s user account, product ID information, a machine ID, and the internet protocol address of the device. If the software is not properly licensed, its functionality will be affected. Customer may only obtain updates or upgrades for the software from Microsoft or authorized sources. By using the software, Customer consents to the transmission of the information described in this section. Microsoft may recommend or download to Customer’s devices updates or supplements to this software, with or without notice. Some Online Services may require, or may be enhanced by, the installation of local software (e.g., agents, device management applications) (“Apps”). The Apps may collect data about the use and performance of the Apps, which may be transmitted to Microsoft and used for the purposes described in this OST.
Third-party Software Components The software may contain third party software components. Unless otherwise disclosed in that software, Microsoft, not the third party, licenses these components to Customer under Microsoft’s license terms and notices.
Non-Microsoft Products Microsoft may make Non-Microsoft Products available to Customer through Customer’s use of the Online Services (such as through a store or gallery). If Customer installs or uses any NonMicrosoft Product with an Online Service, Customer may not do so in any way that would subject Microsoft’s intellectual property or technology to obligations beyond those expressly included in Customer’s volume licensing agreement. For Customer’s convenience, Microsoft may include charges for the Non-Microsoft Product as part of Customer’s bill for Online Services. Microsoft, however, assumes no responsibility or liability whatsoever for the Non-Microsoft Product. Customer is solely responsible for any Non-Microsoft Product that it installs or uses with an Online Service.
Acceptable Use Policy Neither Customer, nor those that access an Online Service through Customer, may use an Online Service:
in a way prohibited by law, regulation, governmental order or decree;
to violate the rights of others;
to try to gain unauthorized access to or disrupt any service, device, data, account or network;
to spam or distribute malware;
in a way that could harm the Online Service or impair anyone else’s use of it; or 98
in any application or situation where failure of the Online Service could lead to the death or serious bodily injury of any person, or to severe physical or environmental damage.
Violation of the terms in this section may result in suspension of the Online Service. Microsoft will suspend the Online Service only to the extent reasonably necessary. Unless Microsoft believes an immediate suspension is required, Microsoft will provide reasonable notice before suspending an Online Service.
Technical Limitations Customer must comply with, and may not work around, any technical limitations in an Online Service that only allow Customer to use it in certain ways.
Compliance with Laws Microsoft will comply with all laws and regulations applicable to its provision of the Online Services, including security breach notification law. However, Microsoft is not responsible for compliance with any laws or regulations applicable to Customer or Customer’s industry that are not generally applicable to information technology service providers. Microsoft does not determine whether Customer Data includes information subject to any specific law or regulation. All Security Incidents are subject to the Security Incident Notification terms below. Customer must comply with all laws and regulations applicable to its use of Online Services, including laws related to privacy, data protection and confidentiality of communications. Customer is responsible for implementing and maintaining privacy protections and security measures for components that Customer provides or controls (such as devices enrolled with Microsoft Intune or within a Microsoft Azure customer’s virtual machine or application), and for determining whether the Online Services are appropriate for storage and processing of information subject to any specific law or regulation. Customer is responsible for responding to any request from a third party regarding Customer’s use of an Online Service, such as a request to take down content under the U.S. Digital Millennium Copyright Act or other applicable laws.
Electronic Notices Microsoft may provide Customer with information and notices about Online Services electronically, including via email, through the portal for the Online Service, or through a web site that Microsoft identifies. Notice is given as of the date it is made available by Microsoft.
License Reassignment Most, but not all, SLs may be reassigned. Except as permitted in this paragraph or in the Online Service-specific Terms, Customer may not reassign an SL on a short-term basis (i.e., within 90 days of the last assignment). Customer may reassign an SL on a short-term basis to 99
cover a user’s absence or the unavailability of a device that is out of service. Reassignment of an SL for any other purpose must be permanent. When Customer reassigns an SL from one device or user to another, Customer must block access and remove any related software from the former device or from the former user’s device.
Font Components While Customer uses an Online Service, Customer may use the fonts installed by that Online Service to display and print content. Customer may only embed fonts in content as permitted by the embedding restrictions in the fonts and temporarily download them to a printer or other output device to print content.
Multiplexing Hardware or software that Customer uses to pool connections; reroute information; reduce the number of devices or users that directly access or use the Online Service (or related software); or reduce the number of OSEs, devices or users the Online Service directly manages (someimes referred to as “multiplexing” or “pooling”) does not reduce the number of licenses of any type (including SLs) that Customer needs.
Privacy and Security Terms This section of the Online Services Terms has two parts:
General Privacy and Security Terms, which apply to all Online Services; and
Data Processing Terms, which are additional commitments for certain Online Services.
General Privacy and Security Terms Scope The terms in this section apply to all Online Services except Bing Maps Enterprise Platform, Bing Maps Mobile Asset Management Platform, Translator API, Yammer, and Parature, from Microsoft, which are governed by the privacy and/or security terms referenced below in the applicable Online Service-specific Terms.
Use of Customer Data Customer Data will be used only to provide Customer the Online Services including purposes compatible with providing those services. Microsoft will not use Customer Data or derive information from it for any advertising or similar commercial purposes. As between the parties, Customer retains all right, title and interest in and to Customer Data. Microsoft acquires no rights in Customer Data, other than the rights Customer grants to Microsoft to provide the Online Services to Customer. This paragraph does not affect Microsoft’s rights in software or services Microsoft licenses to Customer. 100
Disclosure of Customer Data Microsoft will not disclose Customer Data outside of Microsoft or its controlled subsidiaries and affiliates except (1) as Customer directs, (2) with permission from an end user, (3) as described in the OST, or (4) as required by law. Microsoft will not disclose Customer Data to law enforcement unless required by law. Should law enforcement contact Microsoft with a demand for Customer Data, Microsoft will attempt to redirect the law enforcement agency to request that data directly from Customer. If compelled to disclose Customer Data to law enforcement, then Microsoft will promptly notify Customer and provide a copy of the demand unless legally prohibited from doing so. Upon receipt of any other third party request for Customer Data (such as requests from Customer’s end users), Microsoft will promptly notify Customer unless prohibited by law. If Microsoft is not required by law to disclose the Customer Data, Microsoft will reject the request. If the request is valid and Microsoft could be compelled to disclose the requested information, Microsoft will attempt to redirect the third party to request the Customer Data from Customer. Except as Customer directs, Microsoft will not provide any third party: (1) direct, indirect, blanket or unfettered access to Customer Data; (2) the platform encryption keys used to secure Customer Data or the ability to break such encryption; or (3) any kind of access to Customer Data if Microsoft is aware that such data is used for purposes other than those stated in the request. In support of the above, Microsoft may provide Customer’s basic contact information to the third party.
Educational Institutions If Customer is an educational agency or institution to which regulations under the Family Educational Rights and Privacy Act, 20 U.S.C. § 1232g (FERPA) apply, Microsoft acknowledges that for the purposes of the OST, Microsoft is a “school official” with “legitimate educational interests” in the Customer Data, as those terms have been defined under FERPA and its implementing regulations, and Microsoft agrees to abide by the limitations and requirements imposed by 34 CFR 99.33(a) on school officials. Customer understands that Microsoft may possess limited or no contact information for Customer’s students and students’ parents. Consequently, Customer will be responsible for obtaining any parental consent for any end user’s use of the Online Service that may be required by applicable law and to convey notification on behalf of Microsoft to students (or, with respect to a student under 18 years of age and not in attendance at a postsecondary institution, to the student’s parent) of any judicial order or lawfully-issued subpoena requiring the disclosure of Customer Data in Microsoft’s possession as may be required under applicable law.
101
Security Microsoft is committed to helping protect the security of Customer’s information. Microsoft has implemented and will maintain and follow appropriate technical and organizational measures intended to protect Customer Data against accidental, unauthorized or unlawful access, disclosure, alteration, loss, or destruction.
Security Incident Notification If Microsoft becomes aware of any unlawful access to any Customer Data stored on Microsoft’s equipment or in Microsoft’s facilities, or unauthorized access to such equipment or facilities resulting in loss, disclosure, or alteration of Customer Data (each a “Security Incident”), Microsoft will promptly (1) notify Customer of the Security Incident; (2) investigate the Security Incident and provide Customer with detailed information about the Security Incident; and (3) take reasonable steps to mitigate the effects and to minimize any damage resulting from the Security Incident. Notification(s) of Security Incidents will be delivered to one or more of Customer’s administrators by any means Microsoft selects, including via email. It is Customer’s sole responsibility to ensure Customer’s administrators maintain accurate contact information on each applicable Online Services portal. Microsoft’s obligation to report or respond to a Security Incident under this section is not an acknowledgement by Microsoft of any fault or liability with respect to the Security Incident. Customer must notify Microsoft promptly about any possible misuse of its accounts or authentication credentials or any security incident related to an Online Service.
Location of Data Processing Except as described elsewhere in the OST, Customer Data that Microsoft processes on Customer’s behalf may be transferred to, and stored and processed in, the United States or any other country in which Microsoft or its affiliates or subcontractors maintain facilities. Customer appoints Microsoft to perform any such transfer of Customer Data to any such country and to store and process Customer Data in order to provide the Online Services. Microsoft abides by the EU Safe Harbor and the Swiss Safe Harbor frameworks as set forth by the U.S. Department of Commerce regarding the collection, use, and retention of data from the European Union, the European Economic Area, and Switzerland.
Preview Releases Microsoft may offer preview, beta or other pre-release features and services ("Previews") for optional evaluation. Previews may employ lesser or different privacy and security measures than those typically present in the Online Services. Unless otherwise provided, Previews are not included in the SLA for the corresponding Online Service.
102
Use of Subcontractors Microsoft may hire subcontractors to provide services on its behalf. Any such subcontractors will be permitted to obtain Customer Data only to deliver the services Microsoft has retained them to provide and will be prohibited from using Customer Data for any other purpose. Microsoft remains responsible for its subcontractors’ compliance with Microsoft’s obligations in the OST. Customer has previously consented to Microsoft’s transfer of Customer Data to subcontractors as described in the OST.
How to Contact Microsoft If Customer believes that Microsoft is not adhering to its privacy or security commitments, Customer may contact customer support or use Microsoft’s Privacy web form, located at http://go.microsoft.com/?linkid=9846224. Microsoft’s mailing address is: Microsoft Enterprise Service Privacy Microsoft Corporation One Microsoft Way Redmond, Washington 98052 USA
Microsoft Ireland Operations Limited is Microsoft’s data protection representative for the European Economic Area and Switzerland. The privacy representative of Microsoft Ireland Operations Limited can be reached at the following address: Microsoft Ireland Operations, Ltd. Attn: Data Protection Carmenhall Road Sandyford, Dublin 18, Ireland
Data Processing Terms The Data Processing Terms (DPT) include the terms in this section. The Data Processing Terms also include the “Standard Contractual Clauses,” pursuant to the European Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under the EU Data Protection Directive. The Standard Contractual Clauses are in Attachment 3. In addition,
Execution of the volume licensing agreement includes execution of Attachment 3, which is countersigned by Microsoft Corporation;
103
The terms in Customer’s volume licensing agreement, including the DPT, constitute a data processing agreement under which Microsoft is the data processor; and
The DPT control over any inconsistent or conflicting provision in Customer’s volume licensing agreement and, for each subscription, will remain in full force and effect until all of the related Customer Data is deleted from Microsoft’s systems in accordance with the DPT.
Customer may opt out of the “Standard Contractual Clauses” or the Data Processing Terms in their entirety. To opt out, Customer must send the following information to Microsoft in a written notice (under terms of the Customer’s volume licensing agreement):
the full legal name of the Customer and any Affiliate that is opting out;
if Customer has multiple volume licensing agreements, the volume licensing agreement to which the Opt Out applies;
if opting out of the entire DPT, a statement that Customer (or Affiliate) opts out of the entirety of the Data Processing Terms; and
if opting out of only the Standard Contractual Clauses, a statement that Customer (or Affiliate) opts out of the Standard Contractual Clauses only.
In countries where regulatory approval is required for use of the Standard Contractual Clauses, the Standard Contractual Clauses cannot be relied upon under European Commission 2010/87/EU (of February 2010) to legitimize export of data from the country, unless Customer has the required regulatory approval. In the DPT, the term “Online Services” applies only to the services in the table below, excluding any Preview features or services, and “Customer Data” includes only Customer Data that is provided through use of those Online Services. Online Services
Microsoft Dynamics Online Services
Microsoft Dynamics Online services made available through volume licensing or the Microsoft online services portal, excluding (1) Microsoft Dynamics CRM for supported devices, which includes but is not limited to Microsoft Dynamics CRM Online services for tablets and/or smartphones and (2) any separately-branded service made available with or connected to Microsoft Dynamics CRM Online, such as Microsoft Social Listening, Parature, from Microsoft, and Microsoft Dynamics Marketing.
Office 365 Services
The following services, each as included in an Office 365-branded plan or suite: Exchange Online, Exchange Online Archiving, Exchange Online Protection, SharePoint Online, OneDrive for Business, Lync Online, and Office Online. Office 365 Services do not include Office 365 ProPlus or any separately branded service made available with an Office 365-branded plan or suite, such as a Bing or Yammer service or a service branded “for Office 365.”
104
Online Services
Microsoft Azure Core Services
Cloud Services (web and worker roles), Virtual Machines (including with SQL Server), Storage (Blobs, Tables, Queues), Virtual Network, Traffic Manager, Web Sites, BizTalk Services, Media Services, Mobile Services, Service Bus, Multi-Factor Authentication, Active Directory, Rights Management Service, SQL Database, and any other features identified as included on the Microsoft Azure Trust Center.
Microsoft Intune Online Services
The cloud service portion of Microsoft Intune such as the Microsoft Intune Add-on Product or a management service provided by Microsoft Intune such as Mobile Device Management for Office 365.
Location of Customer Data at Rest Microsoft will store Customer Data at rest within certain major geographic areas (each, a Geo) as follows:
Office 365 Services. If Customer provisions its tenant in the United States or the EU, Microsoft will store the following Customer Data at rest within that Geo: (1) Exchange Online mailbox content (e-mail body, calendar entries, and the content of e-mail attachments) and (2) SharePoint Online site content and the files stored within that site.
Microsoft Intune Online Services. When Customer provisions a tenant account, Customer selects an available Geo where Customer Data at rest will be stored. Microsoft will not transfer the Customer Data outside of Customer’s selected Geo except as noted in the “Data Location” section of the Microsoft Intune Trust Center.
Microsoft Azure Core Services. If Customer configures a particular service to be deployed within a Geo then, for that service, Microsoft will store Customer Data at rest within the specified Geo. Certain services may not enable Customer to configure deployment in a particular Geo or outside the United States and may store backups in other locations, as detailed in the Microsoft Azure Trust Center (which Microsoft may update from time to time, but Microsoft will not add exceptions for existing Services in general release).
Microsoft Dynamics CRM Online Services. For entities managed by the Microsoft Dynamics CRM Online Service, if Customer provisions its tenant in the United States or EU, Microsoft will store Customer Data at rest in the United States or EU, as applicable.
Microsoft does not control or limit the regions from which Customer or Customer’s end users may access or move Customer Data.
105
Privacy
Customer Data Deletion or Return. No more than 180 days after expiration or termination of Customer’s use of an Online Service, Microsoft will disable the account and delete Customer Data from the account.
Transfer of Customer Data. Microsoft will, during the term designated under Customer’s volume licensing agreement, remain certified under the EU and Swiss Safe Harbor programs, provided that they are maintained by the United States government. In addition, unless Customer has opted out of the Standard Contractual Clauses, all transfers of Customer Data out of the European Union, European Economic Area, and Switzerland shall be governed by the Standard Contractual Clauses.
Microsoft Personnel. Microsoft personnel will not process Customer Data without authorization from Customer. Microsoft personnel are obligated to maintain the security and secrecy of any Customer Data as provided in the DPT and this obligation continues even after their engagements end.
Subcontractor Transfer. Any subcontractors to whom Microsoft transfers Customer Data, even those used for storage purposes, will have entered into written agreements with Microsoft that are no less protective than the DPT. Customer has previously consented to Microsoft’s transfer of Customer Data to subcontractors as described in the DPT. Except as set forth in the DPT, or as Customer may otherwise authorize, Microsoft will not transfer to any third party (not even for storage purposes) personal data Customer provides to Microsoft through the use of the Online Services. Each Online Service has a website that lists subcontractors that are authorized to access Customer Data. At least 14 days before authorizing any new subcontractor to access Customer Data, Microsoft will update the applicable website and provide Customer with a mechanism to obtain notice of that update. If Customer does not approve of a new subcontractor, then Customer may terminate the affected Online Service without penalty by providing, before the end of the notice period, written notice of termination that includes an explanation of the grounds for non-approval. If the affected Online Service is part of a suite (or similar single purchase of services), then any termination will apply to the entire suite. After termination, Microsoft will remove payment obligations for the terminated Online Services from subsequent Customer invoices.
Additional European Terms. These Additional European Terms apply only if Customer has end users in the European Economic Area (“EEA”) or Switzerland.
End Users in EEA or Switzerland. Terms used in the DPT that are not specifically defined will have the meaning in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (the “EU Data Protection Directive”).
106
Intent of the Parties. For the Online Services, Microsoft is a data processor (or subprocessor) acting on Customer’s behalf. As data processor (or sub-processor), Microsoft will only act upon Customer’s instructions. The OST and Customer’s volume licensing agreement (including the terms and conditions incorporated by reference therein) are Customer’s complete and final instructions to Microsoft for the processing of Customer Data. Any additional or alternate instructions must be agreed to according to the process for amending Customer’s volume licensing agreement.
Duration and Object of Data Processing. The duration of data processing shall be for the term designated under Customer’s volume licensing agreement. The objective of the data processing is the performance of the Online Services.
Scope and Purpose of Data Processing. The scope and purpose of processing of Customer Data, including any personal data included in the Customer Data, is described in the DPT and Customer’s volume licensing agreement.
Customer Data Access. For the term designated under Customer’s volume licensing agreement Microsoft will, at its election and as necessary under applicable law implementing Article 12(b) of the EU Data Protection Directive, either: (1) provide Customer with the ability to correct, delete, or block Customer Data, or (2) make such corrections, deletions, or blockages on Customer’s behalf.
Security General Practices. Microsoft has implemented and will maintain and follow for the Online Services the following security measures, which, in conjunction with the security commitments in the OST, are Microsoft’s only responsibility with respect to the security of Customer Data. Domain
Practices Security Ownership. Microsoft has appointed one or more security officers responsible for coordinating and monitoring the security rules and procedures.
Organization of Information Security
Security Roles and Responsibilities. Microsoft personnel with access to Customer Data are subject to confidentiality obligations. Risk Management Program. Microsoft performed a risk assessment before processing the Customer Data or launching the Online Services service. Microsoft retains its security documents pursuant to its retention requirements after they are no longer in effect.
Asset Management
Asset Inventory. Microsoft maintains an inventory of all media on which Customer Data is stored. Access to the inventories of such media is restricted to Microsoft personnel authorized in writing to have such access.
107
Domain
Practices Asset Handling Microsoft classifies Customer Data to help identify it and to allow for access to it to be appropriately restricted. Microsoft imposes restrictions on printing Customer Data and has procedures for disposing of printed materials that contain Customer Data. -
Human Resources Security
Microsoft personnel must obtain Microsoft authorization prior to storing Customer Data on portable devices, remotely accessing Customer Data, or processing Customer Data outside Microsoft’s facilities.
Security Training. Microsoft informs its personnel about relevant security procedures and their respective roles. Microsoft also informs its personnel of possible consequences of breaching the security rules and procedures. Microsoft will only use anonymous data in training. Physical Access to Facilities. Microsoft limits access to facilities where information systems that process Customer Data are located to identified authorized individuals.
Physical and Environmental Security
Physical Access to Components. Microsoft maintains records of the incoming and outgoing media containing Customer Data, including the kind of media, the authorized sender/recipients, date and time, the number of media and the types of Customer Data they contain. Protection from Disruptions. Microsoft uses a variety of industry standard systems to protect against loss of data due to power supply failure or line interference. Component Disposal. Microsoft uses industry standard processes to delete Customer Data when it is no longer needed. Operational Policy. Microsoft maintains security documents describing its security measures and the relevant procedures and responsibilities of its personnel who have access to Customer Data.
Communications and Operations Management
Data Recovery Procedures On an ongoing basis, but in no case less frequently than once a week (unless no Customer Data has been updated during that period), Microsoft maintains multiple copies of Customer Data from which Customer Data can be recovered. -
Microsoft stores copies of Customer Data and data recov108
Domain
Practices ery procedures in a different place from where the primary computer equipment processing the Customer Data is located. Microsoft has specific procedures in place governing access to copies of Customer Data. Microsoft reviews data recovery procedures at least every six months. Microsoft logs data restoration efforts, including the person responsible, the description of the restored data and where applicable, the person responsible and which data (if any) had to be input manually in the data recovery process. Malicious Software. Microsoft has anti-malware controls to help avoid malicious software gaining unauthorized access to Customer Data, including malicious software originating from public networks. Data Beyond Boundaries Microsoft encrypts, or enables Customer to encrypt, Customer Data that is transmitted over public networks. Microsoft restricts access to Customer Data in media leaving its facilities (e.g., through encryption). Event Logging. Microsoft logs, or enables Customer to log, access and use of information systems containing Customer Data, registering the access ID, time, authorization granted or denied, and relevant activity. Access Policy. Microsoft maintains a record of security privileges of individuals having access to Customer Data. Access Authorization Microsoft maintains and updates a record of personnel authorized to access Microsoft systems that contain Customer Data.
Access Control
Microsoft deactivates authentication credentials that have not been used for a period of time not to exceed six months. Microsoft identifies those personnel who may grant, alter or cancel authorized access to data and resources. Microsoft ensures that where more than one individual has access to systems containing Customer Data, the individuals have separate identifiers/log-ins. Least Privilege 109
Domain
Practices Technical support personnel are only permitted to have access to Customer Data when needed. Microsoft restricts access to Customer Data to only those individuals who require such access to perform their job function. Integrity and Confidentiality Microsoft instructs Microsoft personnel to disable administrative sessions when leaving premises Microsoft controls or when computers are otherwise left unattended. Microsoft stores passwords in a way that makes them unintelligible while they are in force. Authentication Microsoft uses industry standard practices to identify and authenticate users who attempt to access information systems. Where authentication mechanisms are based on passwords, Microsoft requires that the passwords are renewed regularly. Where authentication mechanisms are based on passwords, Microsoft requires the password to be at least eight characters long. Microsoft ensures that de-activated or expired identifiers are not granted to other individuals. Microsoft monitors, or enables Customer to monitor, repeated attempts to gain access to the information system using an invalid password. Microsoft maintains industry standard procedures to deactivate passwords that have been corrupted or inadvertently disclosed. Microsoft uses industry standard password protection practices, including practices designed to maintain the confidentiality and integrity of passwords when they are assigned and distributed, and during storage. Network Design. Microsoft has controls to avoid individuals assuming access rights they have not been assigned to gain access to Customer Data they are not authorized to access.
Information Security Incident Management
Incident Response Process Microsoft maintains a record of security breaches with a description of the breach, the time period, the consequences of 110
Domain
Practices the breach, the name of the reporter, and to whom the breach was reported, and the procedure for recovering data. For each security breach that is a Security Incident, notification by Microsoft (as described in the “Security Incident Notification” section above) will be made without unreasonable delay and, in any event, within 30 calendar days. Microsoft tracks, or enables Customer to track, disclosures of Customer Data, including what data has been disclosed, to whom, and at what time. Service Monitoring. Microsoft security personnel verify logs at least every six months to propose remediation efforts if necessary.
Business Continuity Management
Microsoft maintains emergency and contingency plans for the facilities in which Microsoft information systems that process Customer Data are located. Microsoft’s redundant storage and its procedures for recovering data are designed to attempt to reconstruct Customer Data in its original or last-replicated state from before the time it was lost or destroyed.
Certifications and Audits
Microsoft has established and agrees to maintain a data security policy (Online Information Security Policy) for each Online Service that complies with the ISO 27001 standards for the establishment, implementation, control, and improvement of the Information Security Management System and the ISO/IEC 27002 code of best practices for information security management. On a confidential need-to-know basis, and subject to Customer’s agreement to non-disclosure obligations Microsoft specifies, Microsoft will make the Online Information Security Policy available to Customer, along with other information reasonably requested by Customer regarding Microsoft security practices and policies. Customer is solely responsible for reviewing the Online Information Security Policy, making an independent determination as to whether the Online Information Security Policy meets Customer’s requirements, and for ensuring that Customer’s personnel and consultants follow the guidelines they are provided regarding data security. If Customer is subject to the Standard Contractual Clauses, then this section is in addition to Clause 5 paragraph f and Clause 12 paragraph 2 of the Standard Contractual Clauses.
Microsoft will audit the security of the computers and computing environment that it uses in processing Customer Data (including personal data) on the Online Services and the physical data centers from which Microsoft provides the Online Services. This audit: (1) will be performed at least annually; (2) will be performed according to ISO 111
27001 standards; (3) will be performed by qualified, independent third party security professionals at Microsoft’s selection and expense; (4) will result in the generation of an audit report (Microsoft Audit Report), which will be Microsoft’s confidential information; and (5) may be performed for other purposes in addition to satisfying this section (e.g., as part of Microsoft’s regular internal security procedures or to satisfy other contractual obligations).
If Customer requests in writing, Microsoft will provide Customer with a confidential summary of the Microsoft Audit Report (Summary Report) so that Customer can reasonably verify Microsoft’s compliance with the security obligations under the DPT. The Summary Report will clearly disclose the scope of the audit and any material findings by the auditor. The Summary Report is Microsoft confidential information.
If the Standard Contractual Clauses apply, then Customer agrees to exercise its audit right by instructing Microsoft to execute the audit as described in this section of the DPT. If Customer has not opted out of the Standard Contractual Clauses and desires to change this instruction regarding exercising this audit right, then Customer has the right to change this instruction as mentioned in the Standard Contractual Clauses, which shall be requested in writing.
If the Standard Contractual Clauses apply, then nothing in this section of the DPT varies or modifies the Standard Contractual Clauses nor affects any supervisory authority’s or data subject’s rights under the Standard Contractual Clauses. Microsoft Corporation is an intended third-party beneficiary of this section.
112