Kolokacja, hosting, chmura – O czym powinny pamiętać strony umowy? Maciej Potoczny 1 Kolokacja a hosting • Charakter prawny umów o kolokację – praktyczne konsekwencje • Kwalifikacja prawna hostingu - dzierżawa (urządzeń, mocy obliczeniowej) zakaz zmiany przeznaczenia przez korzystającego zakaz poddzierżawy obowiązek utrzymywania infrastruktury w stanie zdatnym do użytku żądanie obniżenia czynszu - świadczenie usług (stosowanie przepisów o zleceniu) świadczenie zgodnie ze wskazówkami zlecającego podzlecanie osobom trzecim (informowanie, odpowiedzialność) obowiązki informacyjne zwrot wydatków Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 2 art. 14 ustawy o świadczeniu usług drogą elektroniczną 1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych. 2. Usługodawca, który otrzymał urzędowe zawiadomienie o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie ponosi odpowiedzialności względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych. 3. Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu. 4. Przepisów ust. 1-3 nie stosuje się, jeżeli usługodawca przejął kontrolę nad usługobiorcą w rozumieniu przepisów o ochronie konkurencji i konsumentów. Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 3 Przetwarzanie danych w chmurze (cloud computing) • Cloud computing a hosting • Kwalifikacja prawna o przetwarzanie danych w chmurze i jej konsekwencje • Modele SaaS, IaaS, PaaS • Miejsce przetwarzania danych a prawo właściwe • Ryzyka praktyczne - lokalizacja serwerów - redundancja - uzależnienie od dostawcy • Exit plan - twardy - miękki Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 4 Gwarantowany poziom świadczenia usług (SLA) • Zapewnienia dotyczące wydajności - gwarantowany poziom dostępności - przepustowość łączy • Procedury zgłaszania nieprawidłowości • Awarie • Stopień obciążenia infrastruktury • Kary umowne - orzecznictwo SN • Kwestia opłat - model - zmiany kosztów Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 5 Bezpieczeństwo danych • Certyfikaty - ISO 27001 ustanowienie, wdrożenie, eksploatacja, monitorowanie, przegląd, utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji • RODO • Poufność (tajemnica przedsiębiorstwa, art. 11 i art. 23 ustawy o zwalczaniu nieuczciwej konkurencji, art. 266 kodeksu karnego – ujawnianie informacji wbrew przyjętemu na siebie zobowiązaniu) - zabezpieczenia umowne • Polityka bezpieczeństwa • Audyty Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 6 Prawa własności intelektualnej • Prawa autorskie (udostępnianie utworów w internecie) • Prawa do baz danych • Dobra osobiste • Prawa osób trzecich – odpowiedzialność pomocnika z art. 422 kc (zasada winy) • Ochrona danych osobowych Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 7 10 zasad stosowania usług chmurowych przez administrację publiczną • Pełna informacja o lokalizacjach serwerów. • Dostęp do dokumentacji bezpieczeństwa. • Informacja o podwykonawcach, w „stosie chmur”. • Związanie podwykonawców tymi samymi zobowiązaniami. • Klient wyłącznym administratorem DO. • Informacja o zobowiązaniach publicznych do dostępu do danych. • Zasady przeszukiwania, retencji i usuwania danych. • Raportowanie incydentów bezpieczeństwa danych. • Ustalenie, które wyłączenia odpowiedzialności mają zastosowania. • Interoperacyjność i przenoszalność danych – uniknięcie ryzyka uzależnienia od dostawcy. Zakaz przystępowania do umów adhezyjnych. Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 8 Umowa o przetwarzanie danych w chmurze • Umowa o świadczenie usług drogą elektroniczną (regulamin). • Umowa o powierzenie przetwarzania informacji. • Umowa o zapewnienie ustalonego poziomu świadczenia usług (SLA) Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 9 Dziękuję za uwagę Maciej Potoczny Kraków +48 12 29 33 600, Warszawa +48 22 209 50 83, Gliwice +48 32 230 32 10 www.porwisz.pl 10