Moc obliczeniowa oraz możliwości komputera są zasadniczo ograniczone możliwościami posiadanego przez nas sprzętu oraz oprogramowania. Jednak, co ma począć przedsiębiorca w sytuacji, gdy musi udostępnić swoim pracownikom kosztowne oprogramowanie i związaną z nim potężną infrastrukturę? Może to być szczególnie istotne w przypadku maszyn do edycji wideo w HD, programów do projektowania budynków, itp. Koszty dostarczenia, wdrożenia, aktualizacji, serwisu i obsługi elementów software oraz hardware są częstokroć bardzo wysokie. W celu obniżenia tych kosztów powstała nowa grupa usług w zakresie IT – cloud computing, czyli tzw przetwarzania w chmurze.

Próba definicji

W celu przybliżenia czytelnikowi znaczenia tego pojęcia, nie da się niestety uniknąć technicznych określeń. Zasadniczo, przetwarzanie w chmurze można opisać jako outsourcing usług IT poza własne przedsiębiorstwo. Pojęcie to jest związane z wirtualizacją. Przykładowo, w wirtualizacji, symulowany jest sprzęt komputerowy dla celów uruchamiania wielu systemów operacyjnych.

Cloud computing jest naturalną konsekwencją popularności wirtualizacji oraz outsourcingu. Jego celem jest zapewnienie zasobów IT (zarówno software jak i hardware) na żądanie użytkowników. Przetwarzanie nie odbywa się wewnątrz struktury przedsiębiorstwa, lecz poza nim, u usługodawcy.

Modele „techniczne” przetwarzania w chmurze

Kolokacja

Kolokacja w skrócie sprowadza się do tego, iż usługodawca udostępnia usługobiorcy jedynie przestrzeń na infrastrukturę sieciową jego organizacji, tj. tzw. serwerownię, meble – Server racks, usługi klimatyzacji, połączenia z siecią elektryczną, urządzeń UPS, dostępu do LAN, itp. Oprogramowanie oraz osprzęt pochodzi od usługobiorcy.

Kolokacja jest pojęciem prawnym. W rozumieniu art. 2 pkt 15 Prawa telekomunikacyjnego, oznacza ono:


udostępnianie fizycznej przestrzeni lub urządzeń
technicznych w celu umieszczenia i podłączenia
niezbędnego sprzętu operatora podłączającego swoją sieć
do sieci innego operatora lub korzystającego z dostępu do
lokalnej pętli abonenckiej.

Ponadto, warto nadmienić, iż przepis art. 29 ustawy o wspieraniu rozwoju usług i sieci telekomunikacyjnych zawiera określone obowiązki przedsiębiorcy telekomunikacyjnego w zakresie przekazywania informacji Prezesowi UKE o posiadanej infrastrukturze telekomunikacyjnej, publicznych sieciach telekomunikacyjnych i budynkach umożliwiających kolokację. Do tego przepisu zostało wydane rozporządzenie określające szczegóły tej inwentaryzacji.

Infrastructure as a Service (IaaS)

W modelu IaaS, usługodawca udostępnia, obsługuje, serwisuje osprzęt – tj. serwery, dyski twarde. Oprogramowanie, bazy danych, systemy operacyjne pozostają odpowiedzialnością usługobiorcy.

Platform as a Service (PaaS)

Poza udostępnianiem infrastruktury, w ramach PaaS, usługodawca zapewnia system operacyjny, na którym usługobiorca ma możliwość uruchamiania lub pisania własnego oprogramowania.

Software as a Service (SaaS)

Najdalej idący model przetwarzania w chmurze zakłada świadczenie usług w zakresie udostępniania infrastruktury, systemu operacyjnego oraz gotowych aplikacji. Przykładem zastosowania takiego modelu mogą być chociażby skrzynki e-mailowe udostępniane przez popularne witryny internetowe.

Kilka kwestii prawnych

Branża IT z naturalnych względów koncentruje się na możliwościach technologicznych. Często jednak nie idzie za tym dbałość o takie aspekty jak bezpieczeństwo danych czy kwestie prawne związane z wzajemną odpowiedzialnością stron umowy czy też ochroną praw własności intelektualnej lub danych osobowych.

  • Business Continuity oraz bezpieczeństwo danych

Pierwszym i oczywistym zagrożeniem będzie ryzyko działania hackerów. Skandale wywołane przez Wikileaks  potwierdzają, że dane mogą wyciec z chmury łatwo a straty np. reputacyjne mogą być trudne do skwantyfikowania.

Z punktu widzenia usługobiorcy korzystającego z usług cloud computing ważkie znaczenie ma zarówno bezpieczeństwo danych (tajemnice przedsiębiorstw, telekomunikacyjne, bankowe) jak i ciągłość dostarczanych usług.

W tym względzie istotne będą zapisy umowne dostosowane do konkretnej sytuacji, w szczególności te dotyczące ponoszenia odpowiedzialności przez strony, również w przypadku zdarzeń losowych – powodzi, pożaru, etc. Standardowe zapisy umowne, nawet te , które wystarczą dla (w uproszczeniu) „typowej”  umowy outsourcingu IT mogą nie wystarczyć. W przypadku chmury, to usługodawca „trzyma wtyczkę” i z punktu widzenia usługobiorcy, kluczowe będzie zapewnienie, że z błahego czasem powodu lub nieporozumienia, ciągłość prowadzenia biznesu nie będzie zagrożona.

  • Ochrona danych osobowych

Jedną z najdonioślejszych kwestii prawnych związanych z przetwarzaniem w chmurze będzie ochrona danych osobowych .

Podstawą modeli cloud computing jest przetwarzanie w miejscu poza siedzibą usługobiorcy. Oznacza to, iż serwery mogą znajdować się poza krajem tej siedziby. Jeżeli w ramach tego przetwarzania są dane osobowe, może to rodzić odpowiednie skutki w zakresie wymagań ustawy o ochronie danych osobowych.

Art. 47 ust 1. ustawy o ochronie danych osobowych stanowi:


Przekazanie danych osobowych do państwa trzeciego
może nastąpić, jeżeli państwo docelowe daje
gwarancje ochrony danych osobowych
na swoim terytorium przynajmniej takie,
jakie obowiązują na terytorium Rzeczypospolitej Polskiej.

Nie wchodząc w tym miejscu w bardziej szczegółowe rozważania ,należy jedynie zasygnalizować, iż szczególnie kwestie przetwarzania danych poza granicami Unii Europejskiej, ewentualne klauzule safe harbour, przepisy szczególne dotyczące no banków ,domagają się szczególnej uwagi w konstrukcji Cloud computing.

  • Prawo właściwe

Także kwestia prawa właściwego może nastręczać kłopotów zarówno usługobiorcy jak i usługodawcy. Problematyczna może się okazać konfiguracja, w której to usługodawca dzierżawi serwery od podmiotów trzecich z całego świata. Istotne znaczenie może tu mieć Rozporządzenie Parlamentu Europejskiego i Rady (WE) Nr 593/2008 z dnia 17 czerwca 2008 r. w sprawie prawa właściwego dla zobowiązań umownych (Rzym I). przetwarzania w chmurze.

  • Prawa autorskie

W ramach modelu PaaS oraz SaaS oprogramowanie tworzy lub częściej wykupuje usługodawca, po czym udostępnia korzystanie usługobiorcy.

Umowy licencyjne na programy operacyjne, bądź aplikacje mogą zawierać postanowienia uniemożliwiające korzystanie z nich w chmurze lub wprowadzać istotne ograniczenia. W przypadku naruszenia praw autorskich, uprawniony może dochodzić odszkodowania od wszystkich korzystających, tj. zarówno od usługodawcy, jak i usługobiorcy.

Zamiast konkluzji

Niniejszy wpis nie był zamierzony na wyczerpujące opracowanie tematów prawnych związanych z przetwarzaniem w chmurze. Wyobrażamy sobie , że już część zagadnień zasygnalizowanych powyżej , może stanowić kanwę do kolejnych artykułów, a są z pewnością  interesujące tematy jeszcze nawet nie wspomniane. Na forum w Davos w styczniu 2011 Neelie Kroes wezwała usługodawców cloud computing do zwiększenia poziomu ochrony danych. Komisja Europejska chce opracować we współpracy z branżą „strategię Cloud computing”, która w efekcie ma doprowadzić do zmiany przepisów prawa Unii Europejskiej. Tym bardziej, zachęcamy do śledzenia naszych wpisów!

Janina Ligner-Żeromska

Janina Ligner-Żeromska


janina.ligner-zeromska@dzp.pl

Jakub Kubalski

Jakub Kubalski
Adwokat, Senior Associate

jakub.kubalski@dzp.pl

komentarze 4

  1. Niestety, żaden z wymienionych przez Państwa modeli nie ma nic (ew. bardzo niewiele) wspólnego z cloud computing. Rozpatrujecie Państwo przypadki wynajmu sprzętu bądź usług IT, ale bez uwzględnienia cech szczególnych przetwarzania w chmurze.

    Niezła wydaje się być definicja NIST (Special Publication 800-145 (Draft)):

    Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that
    can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service
    models, and four deployment models.

    Słowa kluczowe: shared pool, rapidly provisioned and released.

    Separacja udostępnianych zasobów od warstwy sprzętowej (a często również systemu operacyjnego i innych programów) pozwala m.in. na rozproszenie geograficzne systemu, co sprawia, że cloud computing staje się wyzwaniem prawnym…

    Przechowywanie danych w chmurze oznacza, że dzisiaj mogą być one w Czechach, a jutro w Meksyku. Dostawca usługi jest z USA, dane osobowe z Polski, a miejsce ich przechowywania bliżej nieokreślone (gdzieś „w chmurze”).

    Pozdrawiam

    • mm
      Jakub Kubalski

      Szanowny Czytelniku!

      Naturalnie, definicja NIST (National Institute of Standards and Technology) jak najbardziej odpowiada rzeczywistości ogólnego pojęcia cloud computing. Natomiast, wyszczególnienie omawianych modeli w tym wpisie miało na celu bardziej szczegółowe ukazanie i usystematyzowanie usług, które mogą być przedmiotem przetwarzania w chmurze (co zresztą opracowano na podstawie obowiązujących w literaturze podziałów).

      Jak rozumiem, Pańską intencją było podkreślenie charakteru „zewnętrzności” przetwarzania w chmurze, z którym to nie zamierzam w najmniejszym stopniu polemizować. Przetwarzanie w chmurze rodzi jednak o wiele więcej kwestii niż sam problem prawa właściwego, na który zwraca Pan uwagę.

      Inne bowiem ryzyka prawne będą związane ze strukturą IaaS, w którym to modelu usługobiorca musi zadbać o oprogramowanie z którego ma zamiar skorzystać (np. podpisać umowę z producentem oprogramowania, lub zlecić jego napisanie swoim pracownikom), a inne ryzyka z przetwarzaniem w chmurze typu SaaS, gdzie usługodawca udziela licencji usługobiorcy na korzystanie z oprogramowania funkcjonującego w chmurze.

      Wpis ten ma charakter wstępny, definiujący podstawy w naszej intencji miał stanowić zaczątek do dalszych rozważań. Zastosowane podziały na różne modele przetwarzania w chmurze będą z pewnością pomocne przy kolejnych wpisach na ten temat. Dzięki temu, nasz dyskusja będzie spójna i bardziej zrozumiała dla innych czytelników.

      Tymczasem, już zapraszamy!

  2. „Skandale wywołane przez Wikileaks potwierdzają, że dane mogą wyciec z chmury łatwo (…)” usiłuję dopatrzeć się jakiegoś podobieństwa między kablogramami opublikowanymi w Wikileaks a chmurą? Serwis z tymi depeszami był siecią prywatną, tylko że dostęp do niej miało dostęp kilka milionów osób(!) – jakieś 2% społeczeństwa USA. Trudno to nazwać w jakkolwiek sposób bezpiecznym.

    Interesująca jest kwestia wydostania się danych osobowych poza terytorium kraju. Wydaje mi się że prawodastwo trochę nie nadąża tu za techniką. Bardziej adekwatne by było kryterium nie geograficznego położenia serwerów – co w wypadku Internetu nie ma większego znaczenia – ale fakt, kto do tych informacji ma dostęp (tj. obywatele lub organizacje pochodzące z jakiego kraju). Serwery wynajmowane za granicą są często w wyłącznej kontroli i zarazem odpowiedzialności klienta za poprawne działanie oprogramowania i systemu operacyjnego.

    Zresztą oferowane usługi Cloud Computing bardzo często (jeśli nie zawsze) dają możliwość wyboru lokalizacji, więc jeśli geografia ma znaczenie możemy mieć nad tym kontrolę 🙂

    • mm
      Jakub Kubalski

      Przykład Wikileaks miał za zadanie jedynie ukazanie pewnej hipotetycznej możliwości wycieku danych z chmury obliczeniowej, przy chociażby sprawnie przeprowadzonym, skoncentrowanym ataku DDOS na serwery na których dane są przetwarzane. Ciekawe konstatacje z podobnej tematyki umieszcza Charles Arthur w swoim artykule w the Guardian.

      Natomiast, naturalnie, kwestie związane z danymi osobowymi są jednymi z najciekawszych i najważniejszych kwestii prawnych w kontekście przetwarzania w chmurze. Sądzę, iż wkrótce pochylimy się nad tymi kwestiami 🙂

Odpowiedz na „wmlCancel

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *