Amennyiben egy vállalat informatikai felhőszolgáltatást szeretne igénybe venni, úgy már szerződéskötés előtt számos kérdést kell feltennie magának, illetve amennyiben ezt az erőviszonyok megengedik a szolgáltatónak.
Bár
szerte a világon és
Magyarországon is egyre terjednek a cloud szolgáltatások, a vállalati felhasználók és az informatikai vezetők részéről még mindig sok félelem, bizonytalanság tapasztalható az online elérhető, az üzleti adatokat távoli szervereken tároló nyilvános havidíjas szolgáltatásokkal szemben. A kételyek legnagyobb része
a biztonság mellett az adatvédelemmel, illetve más jogi kérdésekkel kapcsolatos.
Nehéz kategorizálás ■ A cloud-szolgáltatókkal kapcsolatos sajátosságok a szolgáltatás jellegéből adódnak, nevezetesen a határon átnyúló, "szétszórt" infrastruktúrából, valamint abból, hogy az egyes szolgáltatások sok esetben nehezen sorolhatók be az eddigi kategóriákba. A legnagyobb bizonytalanságot az a sajátosság okozhatja – magyarázta
Kozma Zoltán, a DLA Piper jogi szakértője – , hogy a nyilvános cloud szolgáltatók az informatikai szolgáltatásoknál – így például az IT outsourcing esetében – jellemző egyedi szerződések helyett jellemzően általános szerződési feltételeket (ÁSZF) alkalmaznak, mivel sok felhasználót igyekeznek megcélozni, akár az egész világon.
Az üzleti modell pozitívuma, hogy nem kerülnek hátrányba a felhasználók egymással szemben, tehát az igénybevétel helyétől függetlenül azonos feltételekkel vehetik igénybe a szolgáltatást és a szerződéskötések gyorsan, rugalmasan történhetnek. Hátránya lehet viszont - különösen a felhasználók tekintetében -, hogy az egyes jogrendszerekben eltérő módon szabályozott kérdéseket is azonos módon rendezik, jellemzően az angolszász jogrendszer keretei között (természetesen ha külföldi szolgáltatásról beszélünk) és a cloud-szolgáltatókra nézve egyoldalúan előnyösen.
Milyen jogot alkalmazzunk? ■ Mivel az interneten nem szükséges, hogy valamely ország felhasználói piacát saját leányvállalat útján célozzák meg, a külföldről igénybe vett szolgáltatásoknál hatványozottan figyelni kell az egyes kikötésekre, hiszen nem feltétlenül tükrözik a magyar jogszabályi környezetet. Ugyanakkor egy Magyarországon létrehozott leányvállalat is átveheti az anyavállalat kikötéseinek sajátosságait.
– A hazai féllel kötött fogyasztói szerződések esetében ezzel együtt a magyar jogszabályok, összhangban az európai uniós szabályokkal, szigorú fogyasztóvédelmi rendelkezéseket írnak elő, sőt adott esetben két cég között alkalmazott ÁSZF is minősülhet tisztességtelennek, ha a feleknek a szerződésből eredő jogait és kötelezettségeit tisztességtelenül az ÁSZF-et használó céggel szerződő másik fél hátrányára állapítja meg – tette hozzá a jogász.
A másik fő kérdés a cloud-szolgáltatással kapcsolatban a felek közti szerződéses viszonyra alkalmazandó jog kérdése. Ha a szolgáltató és a felhasználó azonos nemzetiségű, ez a probléma általában nem áll fenn, más esetben a szolgáltatók gyakran élnek a jogválasztás lehetőségével, ami az esetek nagy többségében az egyesült államokbeli jogot jelenti, tekintettel arra, hogy a cloud-szolgáltatók egyelőre főként ezen a piacon dominánsak.
Jogválasztás hiánya esetén azonban a szolgáltatás jellegétől függően, a tárolt adatok fajtájából - például személyes adat, szellemi tulajdon - adódóan is más-más jog alkalmazása merülhet fel. Kozma Zoltán hozzátette: precedens híján az ebből felmerülő jogviták rendezése még kérdéses, egyelőre elméleti síkon lehet csak megoldani.
Ki a felelős a károkért? ■ Talán a másik legfontosabb tényező a cloud szolgáltatókkal kötött szerződések esetén a kárfelelősség kérdése. A szétszórt infrastruktúra, a többtényezős műszaki összetétel miatt a szolgáltatók gyakran minimális felelősséget vállalnak a szolgáltatás zavartalan és hibátlan működéséért, az esetleges károkért pedig legtöbbször kizárják felelősségüket, vagy pedig minimális kötbér, illetve a havidíjból adott engedmény útján rendezik a kérdést.
A felhasználó számára ugyanakkor elengedhetetlen - főleg, ha személyes adatok kezelésére akarja igénybe venni a szolgáltatást -, hogy a technikai hátteret megismerje, a szerverek helyét a szolgáltató a tudomására hozza, hiszen adott esetben a felhasználó, szolgáltatást igénybe vevő, mint adatkezelő felelőssége a cloud szolgáltató biztonsági rendszeréről meggyőződni, az ebből eredő adatvédelmi hiányosságokért a felelősséget vállalni. Ilyen esetben szükséges, hogy a felek rendezzék: a szolgáltatás nem megfelelő működéséből eredő, harmadik személyeknek okozott kár esetén, amelyért jogszabály alapján a felhasználó felelős, miként téríti azt meg a szolgáltató.
Akárcsak egy IT outsourcing szerződés esetében, a cloud szolgáltatásnál is meg kell határozni azt a technikai szintet, amelynek teljesülése még szerződésszerű teljesítést jelent a cloud-szolgáltató részéről; ez szokás szerint szolgáltatásiszint-megállapodások (Service Level Agreement, SLA) útján történik. Fontos, hogy a szolgáltató felelősség alóli mentesülésének köre ne fogja át az összes műszaki zavart, hiányosságot, hiszen így a felhasználó által kiszámíthatatlan lesz a szolgáltatás, és ebből eredően saját felelősségének mértéke, amennyiben ebből harmadik személyeknek kára származik. Természetesen nem csak harmadik személyeknek, hanem a felhasználónak okozott kár - például ideiglenes szolgáltatás-kimaradás - rendezése szempontjából is szükséges, hogy a cloud-szolgáltató felelősségét pontosan rögzítsék a szerződésben.
Célszerű még az "acceptable use policy-t" böngészni, amely a megengedett felhasználásra vonatkozó szabályokat tartalmazza, nyilván abból a célból, hogy a szolgáltató mentesülhessen a jogellenes felhasználásból fakadó felelősség alól. Itt teljesen szokásos, hogy az ilyen felhasználásból eredő felelősséget áthárítják a felhasználóra.
Mi történik akkor, ha a szolgáltató váratlanul fizetésképtelenné válik, megszünteti tevékenységét, hogyan juthat hozzá ilyenkor a szolgáltatást igénybe vevő az adataihoz?
Mikor törlik az adatainkat? ■ Mindenképpen rendezni kell azt is, hogy a szerződés megszűnése esetén a szolgáltató mennyi ideig őrzi az adatokat, illetve milyen időtartamon belül törli őket. Ez utóbbi esetben szintén fontos, hogy a szolgáltató a teljes rendszerről eltávolítsa az adatokat, és ne foghassa a cloud computing infrastruktúrájára, ha valamely tartalmat immáron jogosulatlanul, de még mindig tárol.
Ugyanakkor az is problémás lehet, ha a havidíj nem fizetése miatti, vagy a szerződés egyéb okból történő megszüntetése esetén túlságosan rövid időn belül törli a felhasználó fiókját, mivel így fontos üzleti adatok veszhetnek el. Célszerű ezen rendelkezésekre külön figyelmet fordítani, gondoljuk csak el, mi történik akkor például, ha a szolgáltató váratlanul fizetésképtelenné válik, megszünteti tevékenységét, vajon hogyan juthat hozzá ilyenkor a szolgáltatást igénybe vevő az adataihoz?
Szigorú szabályozás ■ Kozma Zoltán arra is felhívta a figyelmet: a szolgáltatás jellegétől függően speciális rendelkezések beiktatása is szükséges lehet (például adatvédelmi szempontból elengedhetetlen az adatok feldolgozása fizikai helyének meghatározása). Ezeket mindig csak az adott szolgáltatás megkötésénél, egyedileg lehet meghatározni.
A személyes adatok védelme Magyarországon egyébként az egyik legérzékenyebb terület a cloud computing kapcsán, mivel a hazai adatvédelmi szabályozás kifejezetten szigorúnak számít uniós összehasonlításban is, és sajnos ezen
úgy tűnik egyelőre az új adatvédelmi törvény sem fog sokat változtatni. Ez minden adatkezeléshez személyes hozzájárulást követel meg, ami adminisztrációs gondot okozhat egy sok száz vagy akár ezer főt foglalkoztató cégnél. Ha egy vállalat az alkalmazottak személyes adatait az internetfelhőben szeretné tárolni, és a cloud szolgáltató külföldön van, ehhez a magyar jogszabályok értelmében az adatalanyok hozzájárulása szükséges.