Prof. n. dr hab. Dariusz Szostek

Przechowanie dokumentów w chmurze
– odpowiedzialność usługodawcy a ryzyko
usługobiorcy
 Prof. n. dr hab. Dariusz Szostek
 Szostek_Bar i Partnerzy Kancelaria Prawna
Czym jest dokument w ujęciu
przechowywania w chmurze ?
 Dokumentem
jest
nośnik
informacji umożliwiający jej
odtworzenie (proj. def. k.c.)
 Dokument
elektroniczny
–
każda treść przechowywana w
postaci
elektronicznej
w
szczególności
tekst
lub
nagrania dźwiękowe, wizualne
lub audiowizualne (eIDAS)
 Jednym
z
elementów
dokumentu są dane
Wady przechowywania danych
w chmurze
 Utrata fizycznej kontroli nad nośnikami
 Brak wpływu na lokalizację nośników na których zapisane są
dane
 Ryzyko związane z ograniczeniem przez usługodawcę
dostępu do danych (awaria, upadłość, działania
podmiotów trzecich)
 Ryzyko uzależnienia swojej działalności gospodarczej
(dostępu do danych) od podmiotu trzeciego (casus rosyjski)
 Problem uzależnienia się od jednego dostawcy




Problem „zwrotu danych”
Problem dyslokacji i przeniesienia danych
Problem skasowania danych
Problem interoperacyjności danych z usługami dostawcy
chmury (np. linkowanie treści), w konsekwencji uzależniającymi
od jednego dostawcy – np. Facebook
Wady przechowywania danych
w chmurze
 Ryzyko, w przypadku przechowywania danych w
Państwie trzecim dotyczącę wymagań prawnych
(obniżone bezpieczeństwo) co do transferu
danych
 Ryzyko zmieniania się ról uczestników procesów w
chmurze w zależności od warunków
 Podpowierzanie
 Nierówna pozycja stron umowy o usługi chmurowe
 Problem mapowania i alokacji zasobów (w
skrajnych przypadkach ze względu na jeden
pomiot/incydent brak dostępu do całej
infrastruktury chmury dla innych
podmiotów/usługobiorców
Jak się
zabezpieczyć
 Odpowiednio skonstruowana umowa
 wybór właściwego prawa w przypadku usługodawcy
zagranicznego
 Odpowiednie regulaminy, weryfikacja klauzul
abuzywnych
 Zagwarantowanie w umowie prawa do audytów i
weryfikacji bezpieczeństwa (certyfikaty)
 Tak konstrukcja kontraktu aby usługodawca
odpowiadał na podstawie europejskich norm
dotyczących:
 Odpowiedzialności kontraktowej
 Odpowiedzialności deliktowej
 Odpowiedzialności świadczącego usługi drogą
elektroniczną
Dekalog Umowy
 Zagwarantowanie w umowie prawa do informacji o
fizycznej lokalizacji serwerów na których są lub mogą
być przetwarzane dane
 Zmiana lokalizacji powinna być podana z rozsądnym
wyprzedzeniem
 Prawnie zagwarantowany dostęp do dokumentacji
dotyczącej zasad bezpieczeństwa oraz środków
technicznych przyjmowanych w poszczególnych
centrach przetwarzania danych
 Jest to tajemnica przedsiębiorstwa
 Pełna informacja dotycząca podwykonawców i
instytucji uczestniczących w realizacji usługi chmury
Dekalog Umowy
 Zagwarantowanie w umowie, iż każdy z
podwykonawców i instytucji będzie związany takimi
samymi klauzulami umownymi jak dostarczyciel usług
chmury
 Podwykonawcy powinni działać wyłącznie zgodnie z
instrukcjami usługodawcy
 Usługobiorca powinien pozostawać wyłącznym
administratorem danych przekazanych do chmury
 Niektóre usługi dodane np. synchronizacja kalendarza i
kontaktów powodują, iż usługodawca zostaje także
administratorem przetworzonych danych
 Usługodawca nie powinien mieć prawa do decydowania
o celach i sposobach przetwarzania danych
Dekalog Umowy
 Zagwarantowanie informacji o zobowiązaniach
usługodawcy względem organów państwa: policji,
prokuratury, służb specjalnych, organów ścigania
 Por ECPA Electronic Communications Privacy ACT
 Dostęp służb USA do danych innych podmiotów niż
obywatele amerykańscy (The Patriot Act)
 Informowanie usługobiorcy o wszelkich wnioskach
dotyczących udostępnienia danych, a także o
samym udostępnieniu
Dekalog Umowy
 Dokładne ustalenie w umowie zasad przeszukiwania, retencji i
usuwania danych dostarczanych przez usługodawcę
 Zagwarantowanie w umowie raportowania usługobiorcy o
wszelkich incydentach bezpieczeństwa danych. Pomoc przy
zwalczaniu skutków takich incydentów
 Dokładne określenie w umowie zasad wyłączenia lub
ograniczenia odpowiedzialności dostarczyciela usługi przy jej
realizacji
 Minimalizacja niebezpieczeństwa „przywiązania” do
pojedynczego dostarczyciela usług
 Zapewnienie interoperacyjności i przenaszalności danych
Umowa o usługi chmury z
konsumentem
Czyli niebezpieczeństw część dalsza…… i to tylko pod warunkiem
wyboru polskiego prawa…..
Związanie wzorcem umownym,
regulaminem
 Art. 384 k.c. Ustalony przez jedną ze stron
wzorzec umowy, w szczególności ogólne
warunki umów, wzór umowy, regulamin,
wiąże drugą stronę jeżeli został jej
doręczony przed zawarciem umowy
 §2 w razie gdy posługiwanie się wzorcem w
stosunkach danego rodzaju jest
zwyczajowo przyjęte wiąże on także gdy
strona mogła z łatwością się dowiedzieć o
jego treści
 Nie dotyczy to umów z konsumentami , z
wyjątkiem umów drobnych, w bieżących
sprawach życia codziennego
Związanie wzorcem umownym,
regulaminem
 . 3851. 142) § 1. Postanowienia umowy
zawieranej z konsumentem nieuzgodnione
indywidualnie nie wiążą go,
 jeżeli kształtują jego prawa i obowiązki w
sposób sprzeczny z dobrymi obyczajami,
rażąco naruszając jego interesy
(niedozwolone postanowienia umowne).
 Nie dotyczy to postanowień określających
główne świadczenia stron, w tym cenę lub
wynagrodzenie, jeżeli zostały sformułowane
w sposób jednoznaczny.
Związanie wzorcem umownym,
regulaminem
 Art.. 3851. § 3. Nieuzgodnione
indywidualnie są te postanowienia
umowy, na których treść konsument
nie miał rzeczywistego wpływu.
 W szczególności odnosi się to do
postanowień umowy przejętych z
wzorca umowy zaproponowanego
konsumentowi przez kontrahenta.
 § 4. Ciężar dowodu, że
postanowienie zostało uzgodnione
indywidualnie, spoczywa na tym, kto
się na to powołuje.
Klauzule abuzywne
 Art. 3853. W razie wątpliwości uważa się, że
niedozwolonymi postanowieniami umownymi są te,
które w szczególności:
 wyłączają lub istotnie ograniczają odpowiedzialność względem
konsumenta za niewykonanie lub nienależyte wykonanie zobowiązania;
 zezwalają kontrahentowi konsumenta na przeniesienie praw i
przekazanie obowiązków wynikających z umowy bez zgody
konsumenta;
 przewidują wyłącznie dla kontrahenta konsumenta jednostronne
uprawnienie do zmiany, bez ważnych przyczyn, istotnych cech
świadczenia;
 uzależniają odpowiedzialność kontrahenta konsumenta od wykonania
zobowiązań przez osoby, za pośrednictwem których kontrahent
konsumenta zawiera umowę lub przy których pomocy wykonuje swoje
zobowiązanie, albo uzależniają tę odpowiedzialność od spełnienia
przez konsumenta nadmiernie uciążliwych formalności;
Konsekwencje
Naruszenie zbiorowych interesów
konsumentów
Art.. 24 OchrKonkU możliwść nałożenia przez
Prezesa UOKiK kary pieniężnej do 10 proc.
przychodów osiągnietych w poprzednim roku
podatkowym
Inne podstawy odpowiedzialności
Art. 471. k.c.
Dłużnik obowiązany jest do naprawienia
szkody wynikłej z niewykonania lub
nienależytego wykonania zobowiązania,
chyba że niewykonanie lub nienależyte
wykonanie jest następstwem
okoliczności, za które dłużnik
odpowiedzialności nie ponosi.
Inne podstawy odpowiedzialności
Art. 415 k.c.
Kto z winy swej wyrządził drugiemu
szkodę, obowiązany jest do jej
naprawienia.
Ustawa o świadczeniu usług drogą
elektroniczną
Wymogi formalne
 Art. 6. Usługodawca jest obowiązany zapewnić
usługobiorcy dostęp do aktualnej informacji o:
 1) szczególnych zagrożeniach związanych z
korzystaniem z usługi świadczonej drogą elektroniczną;
 2) funkcji i celu oprogramowania lub danych
niebędących składnikiem treści usługi, wprowadzanych
przez usługodawcę do systemu teleinformatycznego,
którym posługuje się usługobiorca.
Wymogi formalne
 Art.. 8. 1. Usługodawca:
 określa regulamin świadczenia usług drogą elektroniczną, zwany
dalej „regulaminem”;
 3. Regulamin określa w szczególności:
 1) rodzaje i zakres usług świadczonych drogą elektroniczną;
 2) warunki świadczenia usług drogą elektroniczną, w tym:
 a) wymagania techniczne niezbędne do współpracy z
systemem teleinformatycznym, którym posługuje się
usługodawca,
 b) zakaz dostarczania przez usługobiorcę treści o charakterze
bezprawnym;
 3) warunki zawierania i rozwiązywania umów o świadczenie
usług drogą elektroniczną;
 4) tryb postępowania reklamacyjnego.
Wyłączenia odpowiedzialności
 Art.12 – 15 ustawy
 Przechowywanie, transmisja, usługa chmury
Wyłączenia odpowiedzialności
 Art. 14. 1. Nie ponosi odpowiedzialności za
przechowywane dane ten, kto udostępniając zasoby
systemu teleinformatycznego w celu przechowywania
danych przez usługobiorcę nie wie o bezprawnym
charakterze danych lub związanej z nimi działalności,
 a w razie otrzymania urzędowego zawiadomienia lub
uzyskania wiarygodnej wiadomości o bezprawnym
charakterze danych lub związanej z nimi działalności
niezwłocznie uniemożliwi dostęp do tych danych.
Wyłączenia odpowiedzialności
 2. Usługodawca, który otrzymał urzędowe
zawiadomienie o bezprawnym charakterze
przechowywanych danych dostarczonych przez
usługobiorcę i uniemożliwił dostęp do tych danych,
 nie ponosi odpowiedzialności względem tego
usługobiorcy za szkodę powstałą w wyniku
uniemożliwienia dostępu do tych danych.
Wyłączenia odpowiedzialności
 3. Usługodawca, który uzyskał wiarygodną wiadomość o
bezprawnym charakterze przechowywanych danych
dostarczonych przez usługobiorcę i uniemożliwił dostęp
do tych danych,
 nie odpowiada względem tego usługobiorcy za szkodę
powstałą w wyniku uniemożliwienia dostępu do tych
danych, jeżeli niezwłocznie zawiadomił usługobiorcę o
zamiarze uniemożliwienia do nich dostępu.
Dziękuję za uwagę.
To tylko zagajenie problemu….
Dziękuję
[email protected]
[email protected]