Smluvní vztahy s klienty při poskytování Software as a Service JUDr. Lukáš Jansa
[email protected]
Praha 21. 11. 2012
SaaS – smluvní úprava Právní regulace, uzavření smlouvy SaaS není výslovně právně regulován inominátní smlouva – jsou kladeny vyšší nároky na její přesnost, nelze se v případě nedostatečné úpravy opřít o žádný vymezený smluvní typ
Uzavření smlouvy „klasicky“ – písemná smlouva Uzavření smlouvy prostředky komunikace na dálku nejčastěji ve formě odkliknutí smluvních či licenčních podmínek, s nimiž takto uživatel vyjadřuje souhlas (tzv. click wrap) smluvní „dokumentace“ je v těchto případech obvykle značně roztříštěná, plná odkazů na doplňující dokumenty pravidlem u těchto smluv bývá možnost jednostranně je měnit ze strany poskytovatele
Cloud Computing – bezpečnost dat Datová centra Právní zajištění ochrany dat (antiviry apod.)
Přístupy do datového centra a jeho monitoring, provozní řád datového centra Definice služeb elektronických komunikací (serverhousing, záloha dat, webhosting, virtuální servery apod.) Opatření vůči vlastním zaměstnancům provozovatele datového centra jak během jejich pracovního poměru i po jeho skončení Mlčenlivost ve vztahu k datům objednatele a odpovědnost za ztrátu či zneužití Podmínky zpřístupnění dat třetím osobám – obvykle je sjednáno, že poskytovatel data zpřístupní pouze v případě zákonných požadavků
Smlouva by měla vždy přesně stanovit, jaký je režim nakládání s daty v případě zániku smlouvy - např. MS Office 365 umožňuje objednateli buď výslovně požádat o deaktivaci účtu a následné odstranění veškerých dat, nebo o zachování dat po dobu nejméně 90 dnů
SaaS – obsah smlouvy Předmět smlouvy (závazky smluvních stran) závazek poskytovatele zprovoznit sjednané služby a zajistit (garantovanou) dostupnost služeb je třeba vymezit součinnost objednatele, závislost služby poskytované jako SaaS na IT infrastruktuře objednatele a službách poskytovaných 3. osobami závazek objednatele hradit sjednanou cenu v závislosti na využívání služby – pay as you go závazek objednatele poskytovat součinnost
SLA Licenční ujednání Cenová ujednání a platební podmínky Nakládání s osobními údaji, povinnost mlčenlivosti Ukončení smlouvy
SLA – Service Level Agreement Garantovaná úroveň služeb obvykle představuje závazek poskytovatele garantovat dostupnost služby, která je stanovena zpravidla v procentech (99,9%) často však ve smlouvě chybí kvalitní úprava toho, jak se dostupnost měří (často do měření dostupnosti nejsou zahrnovány např. servisní okna a odstávky – 99,9% ve skutečnosti není 99,9%) často smlouva neupravuje, jaké výstupy měření objednatel dostává – může být obtížně prokazatelné, zda vznikl objednateli nárok na sjednané sankce
Povinnosti poskytovatele v případě výpadku doba reakce, doba opravy
Notifikační povinnost objednatele nesplnění těchto povinností výrazně oslabuje pozici objednatele
Sankce v případě nedodržení sjednané úrovně služeb sleva, náhrada škody, u velkých poskytovatelů častá absence smluvní pokuty
Licence Nevýhradní licence Rozsah licence územní, časový, množstevní (dle počtu uživatelů, méně často na počet zařízení), obsahový rozsah
Omezení licence omezená převoditelnost licence na třetí osoby prodej podniku, umožněn převod dle zákona afilace v rámci koncernu musí být výslovně sjednána zákaz dekompilace softwaru
Obecně ačkoliv se vztahy SaaS s největšími poskytovateli služeb řídí cizím právem, podmínky jsou často obdobné, jaké by vyplynuly z českého autorského zákona
Ostatní práva a povinnosti povinnosti objednatele typicky se sjednává povinnost zachovávat v tajnosti přístupová hesla a oznamovat případná „narušení bezpečnosti“ např. ve smlouvě MS Office 365 je povinnost připojit všechna zařízení , do kterých instaloval objednatel software, k internetu alespoň jednou za 45 dní, jinak to může negativně ovlivnit některé funkce softwaru
výluky z odpovědnosti poskytovatele bezvadné fungování služeb je obvykle závislé na splnění řady technických podmínek na straně objednatele => jejich nesplnění představuje obvykle výluku z odpovědnosti poskytovatele za nesplnění SLA
mlčenlivost definice chráněných informací (know – how, obchodní tajemství) a doba ochrany (5 let) definice výluk z mlčenlivosti (veřejné, získané z jiných zdrojů, afilace, poradci, ze zákona)
Ukončení smlouvy SaaS Způsoby ukončení výpověď smlouvy uzavřené na dobu neurčitou
u smluv na dobu určitou je nutno si možnost vypovědět smlouvu výslovně sjednat odstoupení (podstatné a nepodstatné porušení smlouvy) v některých smlouvách je klauzule „rebus sic stantibus“, která umožňuje globálním poskytovatelům ukončit poskytování služeb SaaS v případě změny nebo zpřísnění regulace
Povinnosti spojené s ukončením z pohledu poskytovatele je výslovná úprava vhodná, z pohledu objednatele nezbytná součinnost poskytovatele při přechodu objednatele k jinému poskytovateli migrace dat a přechod na nového poskytovatele SaaS režim nakládání s daty v případě zániku smlouvy - např. MS Office 365 umožňuje objednateli buď výslovně požádat o deaktivaci účtu a následné odstranění veškerých dat, nebo o zachování dat po dobu nejméně 90 dnů
SaaS – hlavní úskalí Rozsáhlá limitace náhrady škody v případě výpadku služeb hrozí především škoda nepřímá, ve formě ušlého zisku
smlouvy velkých poskytovatelů SaaS limitují náhradu škody (často neúměrně), např. do výše úhrady licenčních poplatků nebo pevně stanovené částky
Rozhodné právo, místo řešení sporů obvykle cizí rozhodné právo, např. ve smlouvě MS Office 365 je sjednáno irské právo místem řešení sporů je obvykle rovněž cizozemský soud – např. smlouva MS Office 365 je v tomto ohledu relativně příznivá, když místem řešení sporů je Irsko pouze tehdy, pokud je žalobcem objednatel; bude-li žalovat Microsoft, proběhne spor u místně příslušného soudu objednatele
Osobní údaje a Cloud Computing Základní pojmy zákona na ochranu osobních údajů osobní údaj jakákoliv informace týkající se fyzické osoby, který ji umožňuje přímo či nepřímo identifikovat; typickými údaji jsou jméno, příjmení, rodné číslo, údaje o bydlišti apod.
správce objednatel služeb Cloud Computingu, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj; správce může pověřit zpracovatele
zpracovatel poskytovatel služeb Cloud Computingu, který na základě pověření správce zpracovává osobní údaje - u SaaS bude poskytovatel zpracovatelem téměř vždy
zpracováním osobních údajů operace nebo soustava operací, které správce provádí s osobními údaji, a to automatizovaně nebo jinými prostředky, zejména shromažďování, ukládání na nosiče, zpřístupňování, úprava , vyhledávání, používání, předávání, šíření, likvidace atd.
Osobní údaje a Cloud Computing Doporučení pro nakládání s osobními údaji v Cloudu proaktivní povinnosti zákon na ochranu osobních údajů stanoví svým adresátům povinnosti proaktivně přijmout opatření, aby zabránili neoprávněnému nebo nahodilému přístupu k osobním údajům
technicko-organizační opatření technická opatření – směřují k faktické ochraně před neoprávněným přístupem k osobním údajům (hesla, provozní pravidla datového centra, šifrování dat uložených do Cloudu) organizační opatření – účelem je omezit riziko spočívající v nesprávném chování samotných uživatelů – zaměstnanců (analýza rizik => vytvoření vnitřních postupů a směrnic => seznámení zaměstnanců s těmito směrnicemi a pravidelná školení)
platí pro obě smluvní strany také poskytovatel musí doložit technicko-organizační opatření (např. úspěšným provedením auditu, certifikací ) např. Microsoft dokládá, že má certifikace ISO 27000, SAS70, FISMA)
Osobní údaje a Cloud Computing Předávání osobních údajů do zahraničí regulace EU škálovatelnost a podstata Cloudu umožňuje přesun dat bez kontroly objednatele úprava EU umožňuje přesun dat bez předchozího souhlasu subjektu údajů v rámci EU do třetích zemí je možno předávat osobní údaje pouze tehdy, pokud je o prověřené země, o nichž Komise ES výslovně rozhodla, že jde o země „s odpovídající ochranou osobních údajů“ – např. USA obecně jimi nejsou, vyjma vybraných lokalit, tzv. Safe Harbour
doporučení pro smluvní úpravu je nutno s poskytovatelem sjednat územní omezení využití infrastruktury poskytovatele služeb Cloud Computingu např. dle přílohy smlouvy MS Office 365 se uvádí, že pro tyto služby jsou primárně použita datová centra v Nizozemí a Irsku, v USA pak vždy v lokalitách tzv. Safe Harbour
