Cloud computing. Kto ponosi odpowiedzialność za utratę danych?

Nigdy w 100 procentach, a dochodzenie swoich praw w przypadku utraty danych, jest bardzo trudne.

- Tak jak w wielu dziedzinach, szczególnie w informatyce, prawo nie nadąża za rozwojem technologicznym i gospodarczym - uważa mec. Marek Gajek, partner z kancelarii Gajek i Wspólnicy, specjalizującej się w prawie nowych technologii. - Brak precyzyjnych zapisów ustawowych w powiązaniu z często dominującą pozycją usługodawcy powodują, że bezpieczniej jest wykorzystywać cloud do obsługi drugorzędnych procesów biznesowych, takich jak HR czy marketing.

Według prawa umowy dotyczące cloud computingu można obecnie kwalifikować jako usługi w rozumieniu art.750 k.c., połączone z udzieleniem prawa do korzystania z aplikacji, na zasadzie licencji lub w modelu usługowym (SaaS). Podobnie jak w klasycznych umowach licencyjnych, także w zakresie cloud computingu, istotnie ograniczana jest odpowiedzialność cywilna usługodawcy. W świetle zawieranych umów nie odpowiada on m.in. za wybór usługi lub aplikacji czy też za jej efekty.

- Wśród niekorzystnych dla firm zapisów jest także ograniczenie odpowiedzialności usługodawcy za brak dostępności usługi lub opóźnienia w usuwaniu błędów - dodaje mec. Marek Gajek z kancelarii Gajek i Wspólnicy. - Rezultatem tego, jest znikoma szansa na ewentualne odszkodowanie dla firmy z racji niedostępności usługi.

Przepisy prawa w niewystarczający sposób regulują także kwestie poufności danych oraz tajemnicy przedsiębiorstw. Warto zwrócić uwagę, że choć usługodawcy zapewniają użytkowników o pełnej ochronie danych, to w praktyce, zapis ten nie zawiera zobowiązania, iż poufne dane nie zostaną ujawnione, lecz jedynie zobowiązanie, że zastosowane zostaną określone zabezpieczenia techniczne.

- Gdyby doszło więc do ujawnienia poufnych danych, to usługodawca będzie odpowiadał jedynie za niedołożenie należytej staranności w zabezpieczeniu danych, a nie za sam fakt ich ujawnienia. W tym zakresie odpowiedzialność będzie spoczywać na zamawiającym - ostrzega Gajek. Z drugiej strony inne przepisy wyłączają w ogóle zastosowanie rozwiązań w chmurze z uwagi na brak możliwości przekazywania danych do przetwarzania/przechowywania osobom trzecim.

Także na odbiorcy usługi spoczywa odpowiedzialność w zakresie przetwarzania danych osobowych. W świetle prawa to usługobiorca jest zobowiązanym do zapewnienia stosowania przez dostawcę usługi środków technicznych i operacyjnych, gwarantujących bezpieczeństwo danych osobowych. Co więcej, powinien on także gwarantować, iż usługodawca dopuszcza do przetwarzania danych osobowych wyłącznie osoby do tego upoważnione. Na liście zobowiązań zamawiającego jest także kontrolowanie procesu przetwarzania danych osobowych, zwłaszcza tego, jakie dane osobowe kiedy i przez kogo zostały do zbioru wprowadzone oraz komu udostępnione.

- Realizacja tej funkcji kontrolnej jest bardzo utrudniona. Warto więc przy zawieraniu umowy dodać postanowienie zobowiązujące usługodawcę do rejestrowania wszystkich czynności przeprowadzanych na zbiorze oraz określić warunku jego usunięcia po zakończeniu współpracy – radzi Gajek.

Pobierz ebook "Ebook: Jak chronić dane w firmie. Kompendium wiedzy dla managerów"