S postupným rozšiřováním možností využívání internetu v obchodním prostředí a rostoucí globalizací přichází čím dál tím více společností na myšlenku, že by bylo vhodné ukládat svá data prostřednictvím cloudových služeb. Vzhledem k rychlosti, jakou se současné internetové technologie vyvíjí, vznikají oprávněné obavy, jestli se tento technologický posun bude dostatečně a včas promítat do národní a především do nadnárodní legislativy.
Martin Brázdil, právník mezinárodní advokátní kanceláře PwC LegalPro potenciální zákazníky znamená využití těchto služeb velké množství výhod – mají přístup k datům z jakéhokoliv zařízení, které je připojeno k internetu, a dochází k usnadnění sdílení souborů mezi zaměstnanci, jelikož není třeba zasílat veškerá data pomocí e-mailu či je fyzicky přenášet pomocí paměťových zařízení. V neposlední řadě dochází k úsporám v rámci datové infrastruktury, a to jak na vstupu, tak při nákladech při její údržbě.
I přes výše zmíněné výhody virtuální datové struktury nejsou cloudové služby masivně využívány, a to především z důvodu bezpečnosti ukládaných dat a nedostatečného legislativního řešení odpovědnosti poskytovatelů těchto služeb. Záleží proto na samotné smlouvě o poskytnutí datového úložiště, jaké povinnosti poskytovatel ponese, kdy bude odpovídat za případnou škodu a do jaké maximální výše. Těmto smlouvám by proto případný zájemce měl věnovat zvýšenou pozornost a vyhodnotit si, zda jsou nastavená pravidla pro jeho účely akceptovatelná. Problematická bývají zejména ustanovení ohledně odpovědnosti za časté výpadky systému dočasně znemožňující přístup k datům nebo ta, která vylučují odpovědnost poskytovatele za ztrátu či poškození dat.
S tímto druhem smluv se objevuje také problém přeshraničního poskytování cloudových služeb. Není výjimkou, že poskytovatel má sídlo v jiné zemi než jeho zákazníci nebo subjekty zpracovávaných dat. Samotná smlouva se tak může řídit cizím právem, které, bez ohledu na vyšší či nižší ochranu, bude bezesporu pro zákazníka mnohem hůře čitelné. V případě, že dojde ke sporu, pak mohou být náklady na tento spor mnohonásobně vyšší, než by tomu bylo u tuzemského práva. Přeshraniční smlouvy, zvláště se zeměmi mimo Evropskou unii, nadto mohou představovat zvýšené riziko z pohledu bezpečnosti ukládaných dat, neboť regulace ochrany dat v některých zemích mimo Evropskou unii se nachází hluboko pod evropským standardem.
Smlouvy o poskytování cloudových služeb se často objevují v podobě tzv. „click-wrap“ dohod. Jedná se o způsob uzavření smlouvy prostřednictvím internetu, kde postačí odsouhlasení smluvních podmínek bez nutnosti fyzického podpisu. Ačkoli je pro zákazníka takový způsob v mnohém pohodlnější, prakticky zde neexistuje možnost zásahu do smluvních podmínek. S ohledem na možná rizika plynoucí z takové smlouvy, může být jednoduchost a rychlost jejího uzavření vykoupena dodatečnými náklady mnohonásobně vyššími než za situace, kdy by vzájemný smluvní vztah byl nastaven individuálně pro potřeby konkrétního zákazníka.
Jedno z nejvíce diskutovaných rizik spočívá v omezených možnostech při přesunu dat k novému poskytovateli, není-li tak sjednáno na začátku smluvního vztahu. Důvodem může být např. speciální kódování, úprava dat dosavadního poskytovatele, která znemožňuje jejich využití mimo jeho infrastrukturu, nebo úplná absence možnosti data z této infrastruktury exportovat. V takovém případě je většinou nevyhnutelná zdlouhavá manuální úprava dat do univerzálnějšího formátu, který bude akceptovatelný jinými poskytovateli. Poté, co zákazník získá představu o celém procesu migrace dat, včetně úskalí, která jsou spojena s nepříznivě nastavenými smluvními podmínkami, může se nakonec rozhodnout nadále využívat služeb dosavadního poskytovatele. A to nehledě na určitý diskomfort, který mu tato spolupráce přináší.
Vedle výše uvedeného je možné se u smluv na poskytování cloudových služeb setkat také s možností poskytovatele svůj závazek vůči zákazníkovi jednostranně vypovědět. Není potřeba zdůrazňovat, že je-li toto ujednání ve smlouvě přehlédnuto, může vést k nepříjemné situaci, kdy se zákazník ze dne na den ocitne kompletně odříznutý od veškerých svých dat a užívané infrastruktury. Paralyzování každodenní obchodní činnosti může mít nezanedbatelné finanční dopady a v konečném důsledku vést až např. k insolvenci zákazníka pro neschopnost plnit své závazky. K ukončení smlouvy může dojít ale také z důvodu náhlého ukončení provozu poskytovatele, odstoupením od smlouvy nebo na základě vzájemné dohody. Pro tyto případy je proto důležité nepodcenit otázku úpravy způsobu zpětného předání dat poskytovatelem.
Úroveň poskytovaných služeb je druhou oblastí, které je vhodné věnovat náležitou pozornost. Zatímco sjednání řešení rizikových situací, které po dobu trvání smluvního vztahu nemusí vůbec nastat, bude kvalita poskytovaných služeb kritériem, se kterým se zákazník bude setkávat na denní bázi.
Dohoda smluvních stran by měla obsahovat především ujednání o dostupnosti služby, dovolené množství výpadků sítě, popř. odpovědnost poskytovatele za poškození či ztrátu dat nebo nedodržení odpovídající úrovně služeb. Kompenzace, budou-li sjednány, by měly nejen motivovat poskytovatele k poskytování cloudových služeb ve sjednané kvalitě, ale také výslovně pamatovat na možnou výši škody, která zákazníkovi v důsledku častých výpadků hrozí. Sjednání kompenzace, resp. smluvní pokuty, je totiž z pohledu českého práva chápáno jako paušální náhrada škody, byť by skutečná škoda sjednanou smluvní pokutu několikanásobně převyšovala. Jestliže si tedy strany explicitně vedle smluvní pokuty nesjednají také právo na náhradu škody, může dojít k tomu, že zákazníkovi zaniknou veškerá práva k její náhradě.
Právní regulace cloudových služeb je nejen na území České republiky, ale i v mnoha dalších zemích, aktuálně velmi omezená. Důkladné a prozíravé nastavení vzájemných práv a povinností mezi zákazníkem a poskytovatelem v samotné smlouvě je proto jednou z mála možností, jak minimalizovat případná rizika, zajistit hladký průběh poskytovaných služeb, případně se připravit na ukončení spolupráce.
V této souvislosti je vhodné se zaměřit na sjednání odpovídající kvality poskytovaných služeb, možnost migrace dat do datového úložiště jiného poskytovatele nebo odpovědnost poskytovatele za případnou ztrátu nebo poškození uložených informací. Nemalá pozornost by měla být věnována také samotnému poskytovateli cloudových služeb, neboť všechny výše uvedené oblasti, nehledě na jejich úpravu ve smlouvě, budou ovlivněny kvalitou osoby nebo organizace, která tyto služby poskytuje.
Martin Brázdil, právník mezinárodní advokátní kanceláře PwC Legal