V první řadě je třeba si vysvětlit, co se pod pojmem SaaS vlastně rozumí, abychom dokázali snáze odhalit partikulární odlišnosti od obvyklého užívání softwaru. Pod pojmem SaaS rozumíme model nasazení softwaru, kdy dochází k hostingu aplikace provozovatelem služby a kdy je služba následně nabízena koncovému zákazníkovi formou vzdáleného přístupu, nejčastěji přes internet či vzdálenou plochu (jakkoliv i lokální instalace jsou principiálně možné). Odpadá tak nutnost pořizovat nákladný hardware a softwarové licence ve formě investičních nákladů, software je totiž pořizován jako služba, tedy „on demand“, dle aktuálních potřeb a požadavků klienta.
Pro snazší orientaci v problematice právních aspektů SaaS jsme rozdělili životní cyklus užívání aplikace do jednotlivých etap, kdy každá z nich má svá specifika, kterým se budeme v tomto článku věnovat. Výhody cloud computingu obecně spočívají ve standardizaci poskytovaných služeb, a proto v budoucnu třeba budeme jednou objednávat podnikové aplikace i v e-shopech jako zcela unifikovaný komerční produkt, ale složitost stávajících podnikových aplikací prozatím vyžadují značnou míru customizace, a proto jsme v našem článku zohlednili i rizika z toho plynoucí.

1. Rozhodnutí nasadit SaaS

Rozhodnutí nasadit podnikové aplikace formou SaaS stojí před příslušným IT manažerem v zásadě ve dvou typických situacích.
Za prvé, při zahájení nového projektu, kdy hlavním motivujícím faktorem pro nasazení SaaS je zejména skutečnost, že nejsou potřeba žádné velké (prvotní) finanční investice. Náklady na software jsou rozloženy rovnoměrně v čase, což je jednou z velkých výhod všech SaaS řešení.
Za druhé v rámci fungování již zavedené společnosti, kdy se z důvodu optimalizace procesů nebo snahy snížit provozní náklady a vylepšit cash flow může SaaS jevit jako vhodné řešení. Tato rozhodovací pozice je však poněkud složitější než v případě startu nového projektu, protože zde již existuje v podstatě fungující softwarové a aplikační vybavení, existuje množství již vytvořených dat, je potřebné dbát na kontinuální přechod na nový software apod. To všechno jsou významné faktory, které mohou ohrozit interní procesy společnosti a její chod, a kladou tak zvýšené nároky na výběr poskytovatele služeb. Je nanejvýš žádoucí, aby byl vybrán stabilní a zavedený subjekt s dobrou reputací, který může být zárukou skutečně kvalitního poskytování.
Dále lze uvést, že společným jmenovatelem v obou uvažovaných situacích je nutnost vymezení a stanovení očekávání a cílů, které jsou se zavedením SaaS spojovány. Důkladná prvotní analýza stávajících procesů a definování jejich slabých míst je důležitá pro správné nastavení SaaS parametrů, které jsou předpokladem pro zlepšení fungování interních procesů a efektivity chodu společnosti.
Obecně je častým argumentem pro SaaS řešení finanční úspora. Zde ale vždy záleží na konkrétním nastavení služby, parametrů podpory a údržby, aktualizací apod. Každopádně však odpadá nutnost investovat do serverů a jiného hardwaru pro běh aplikací, rovněž odpadá potřeba investovat do licencí k operačním systémům, databázím apod. Zcela jasným přínosem je pak zlepšení cash flow z důvodu absence nutné prvotní investice do pořízení majetku (softwaru). Tato otázka má také daňové souvislosti, kdy software pořízený tradiční cestou se odepisuje zákonem stanovenou dobu (36 měsíců), zatímco v případě SaaS jde o provozní náklad odepisovaný okamžitě. Výše uvedené platí samozřejmě s tou výhradou, že obchodní model poskytování aplikace formou SaaS nevykazuje znaky skrytého finančního leasingu (tedy například povinnost zákazníka si licence odkoupit po skončení poskytování služeb), respektive že odepisování případných úvodních zvýšených nákladů na zprovoznění služeb bude rozloženo v čase, nicméně vycházíme z premisy, že SaaS je obvykle poskytován jako více či méně standardizovaný produkt, který optimálně využívá daňových výhod tohoto obchodního modelu.

2. Přípravná etapa: zahájení spolupráce s vybraným poskytovatelem

Jako předpoklad pro jakékoliv přípravné kroky s vybraným poskytovatelem směřující k poskytování SaaS je nezbytné uzavřít dohodu o povinnosti zachovávat mlčenlivost o veškerých důvěrných informacích zákazníka, respektive obou smluvních stran (non-disclosure agreement, NDA) s důrazem na nastavení účinných smluvních pokut a povinností náhrady škody pro případ, že skutečně dojde k úniku důvěrných informací. Je zřejmé, že v případě jednoduchých či standardizovaných služeb může být tato fáze nadbytečná, ale s ohledem na charakter a citlivost důvěrných informací pro zákazníka považujeme za účelné uzavírat NDA v každém případě.
Před nasazením SaaS řešení je také potřebné analyzovat smluvní vztahy s případnými stávajícími poskytovateli IT služeb, a to zejména z hlediska možnosti vypovědět stávající smlouvy. Takováto možnost může být spojena s povinností vypovědět smlouvu s dlouhou výpovědní lhůtou, zpravidla v řádu několika měsíců, což může způsobit buď prodlevu při zahájení poskytování SaaS, nebo zvýšené transakční náklady, pokud bude ukončení smlouvy spojeno s povinností kompenzace vzniklých nákladů, odstupným nebo podobně.
Obecně lze uvést, že přípravná etapa končí uzavřením smlouvy o poskytování služby SaaS, kdy je nanejvýš důležité, aby smlouva detailně popisovala požadovanou funkčnost aplikace, popřípadě může obsahovat i uvedení cílů a očekávání zákazníka, která s nasazením SaaS spojuje. Je také důležité, aby smlouva kvalitně a detailně vymezovala práva a povinnosti obou smluvních stran, a to zejména s ohledem na skutečnost, že spolupráce bude dlouhodobá, intenzivní a nepřetržitá, což klade zvýšené nároky na smluvní úpravu. Pouze kvalitně a detailně nastavená smlouva může být oporou pro vzájemný smluvní vztah mezi zákazníkem a poskytovatelem Saas po celou dobu poskytování této služby. Jakýkoliv výpadek v poskytování služby může mít okamžitý vliv na fungování zákazníka a na jeho produkci. Je proto nezbytné smluvně pamatovat na veškeré možné alternativy dalšího vývoje smluvního vztahu, výpadků v poskytování služby, jejich rychlé a účinné řešení, nastavení monitorovacích procesů o fungování služby, podávání pravidelných reportů apod. Velký význam má také jednoznačné vymezení „sfér vlivu“, tedy okolností, které jsou ve sféře vlivu zákazníka a naopak poskytovatele SaaS. Obvyklá je například situace, kdy zákazník sice nemůže využívat svou aplikaci, i když aplikace nevykazuje u poskytovatele výpadek, a to obvykle z důvodů ležících na straně poskytovatele konektivity. Je proto účelné, aby si strany v těchto případech pokusily předem modelovat případné rizikové situace a vymezily si jednoznačnou „dělicí čáru“ odpovědnosti.
Je důležité si uvědomit, že přípravná etapa je tím pravým obdobím pro řádné nastavení smluvního vztahu. Provozní etapa již musí fungovat kontinuálně a bez nejistoty. Jakékoliv prodlení a zdržení v provozní etapě znamená okamžité ztráty na obou stranách (zejména však u zákazníka). Kvalitní smlouva vyžaduje kvalitní přípravu, také za pomoci právníků. Pravidelně se totiž ukazuje, že čas a peníze ušetřené při tvorbě smluvní dokumentace se několikanásobně nevyplatí v případě pozdějších sporů.

3. Předprovozní etapa: zahájení spolupráce s vybraným poskytovatelem

Jde o fázi, kdy je již uzavřena smlouva na poskytování služeb a je potřebné vykonat kroky potřebné pro samotný provoz SaaS, tedy zejména migrovat stávající data a provozní údaje zákazníka do nové aplikace. Smlouva by měla stanovit detailně odpovědnost za provedení migrace i podrobný časový plán migrace, s nastavením sankcí v případě nedodržení.
Kromě samotné migrace musí smlouva ve většině případů počítat i s přizpůsobením (customizací) aplikace zákazníkovi a jeho požadavkům, nejde-li o zcela obecné aplikace, použitelné pro široký okruh subjektů bez nutnosti zvláštního přizpůsobení.

4. Provozní etapa: řádné fungování aplikace

Po kvalitní přípravě by mělo jít sice o časově nejdelší, avšak z pohledu zákazníka také o nejméně problematickou fázi vzájemného vztahu s poskytovatelem SaaS. Aplikace by měla řádně fungovat, a to dle přesných a měřitelných SLA parametrů uvedených ve smlouvě. Monitoring je obvykle poskytovatelem zajištěn pomocí jeho standardních nástrojů, nicméně pokud je to technicky proveditelné, pak stojí za zvážení i oprávnění samotného zákazníka monitorovat a kontrolovat poskytování služby svými technologiemi. Při nastavení SLA parametrů je však vždy potřebné zvážit důležitost a nezbytnost poskytovaného softwaru pro chod společnosti. Zbytečně přísné SLA u relativně málo důležitého softwaru tuto službu prodraží, a pozitivní efekt SaaS se nedostaví, naopak u zásadního softwaru jsou potřebné striktní SLA parametry, protože jakýkoliv výpadek může způsobit značné škody.
V této etapě by také měly fungovat ostatní smluvně nastavené procesy a povinnosti poskytovatele, zejména je třeba dbát na ochranu dat, kdy jejich případný únik může znamenat nejen primární újmu pro zákazníka, ale také pro jeho koncové klienty apod.
S ohledem na specifické funkce podnikových aplikací je pravděpodobné, že při jejich užívání bude docházet ke zpracovávání osobních údajů, a proto je třeba patřičnou pozornost věnovat i otázce jejich ochrany a dodržování povinností vyplývajících ze zákona o ochraně osobních údajů. Patří k nim kupříkladu povinnost uzavřít tzv. smlouvu o zpracování osobních údajů, bude-li poskytovatel SaaS zpracovatelem těchto údajů, které spravuje zákazník v dané podnikové aplikaci.
Důležitým bodem je dostatečné smluvní ukotvení licenčních podmínek k softwaru, který je prostřednictvím služby SaaS poskytován. Jednou z nesporných výhod obchodního modelu SaaS může být oprávnění zákazníka dynamicky měnit počet užívaných licencí, tedy tzv. on demand služba, kdy rozsah licenčního oprávnění zákazníka je možné pružně upravovat na jeho potřeby a zákazník neplatí navíc za počet oprávněných uživatelů, kteří se softwarem ani nepracují. Pro nastavení licenčních podmínek a jejich soulad s právními předpisy může být důležitým aspektem také umístění serverů a jiného hardwaru poskytovatele, na kterém je služba SaaS nabízena.
Umístění hardwaru poskytovatele, zejména jeho „supportní“ zázemí, může mít také vliv na úroveň podpory a uživatelský komfort pro zákazníka. Praxe z outsourcingových projektů ukazuje, že pokud je aplikace či služba poskytována ze vzdálené lokality, která se nachází v jiné časové zóně (např. Indie), pak faktická omezení související s dostupností podpory mimo provozní dobu zákazníka mohou být velmi limitující. To samé platí i pro dny připadající na státní svátky či možné kulturní a sociální odlišnosti mezi týmem poskytovatele a zákazníka.
Klíčové je také kvalitní vymezení tzv. disaster recovery plánu, tedy stanovení toho, jaká bude reakce na případný výpadek SaaS aplikace, kdy může být kriticky ohrožen chod společnosti. Je nezbytné mít kvalitní plán pro zamezení nepříznivým dopadům případného výpadku. Je vhodné jej konzultovat s poskytovatelem, který by měl být erudovaným partnerem se zkušenostmi, které jsou pro zákazníka klíčové. Zásadní je též pravidelná aktualizace DRP s ohledem na případné změny v poskytovaných službách, úpravy procesů či návaznosti na nové aplikace či dodavatele.

5. Finální etapa: exit strategie

Jakkoliv je jistě žádoucí, aby smluvní vztahy fungovaly dlouhou dobu, dá se jen těžko očekávat, že daný poskytovatel SaaS bude zákazníkovi služby poskytovat na věky. Je tak důležité myslet na tzv. exit strategii, tedy jak ukončit poskytování SaaS ze strany vybraného poskytovatele a jak jej nahradit jiným poskytovatelem nebo jiným řešením (například přechod zpět na interní software). Vždy platí, že na exit strategii je potřebné se připravit předem, kdy vztahy s poskytovatelem jsou dobré a perspektivní. Jde o potřebu smluvně ukotvit jeho povinnost vyvinout požadovanou součinnost zákazníkovi, novému poskytovateli nebo jinému subjektu. Ochrana provozních dat, osobních údajů a bezproblémového a kontinuálního provozu je i zde zásadní. Povinnosti poskytovatele musí být pro tento případ jasně a detailně vymezeny, protože vágní formulace, které umožňují dvojí výklad, budou zcela jistě zdrojem sporů a je zcela nesprávné se při uzavírání smlouvy domnívat, že v okamžiku exitu se to nejasné ustanovení „bude vykládat v můj prospěch“. Stejně jako v případě disaster recovery plánu je i pro exit plán stěžejní pravidelná úprava a aktualizace, případně alespoň základní vymezení odpovědností té které smluvní strany, včetně ujednání o odměně.

Závěr

Závěrem si dovolujeme shrnout, že SaaS koncept nastavení vnitropodnikové softwarové infrastruktury je dobrým řešením, pokud je zodpovědně a pečlivě připraven. Tato příprava začíná analýzou stávajícího stavu a vymezením cílů, kterých má být pomocí Saas dosaženo, pokračuje výběrem stabilního a spolehlivého partnera (poskytovatele), a zejména kvalitním smluvním vymezením práv a povinností stran.
Koncepce cloud computingu v dnešní době zažívá svůj boom obdobně, jako tomu bylo před lety u outsourcingu. Výhody SaaS jsou zřejmé a s rozvojem technologií pro cloud computing budou oproti konvenčnímu pořizování softwaru stále výraznější. Problematika právních aspektů nasazení podnikových aplikací formou SaaS je rozsáhlá a stejně tak, jak bude pokračovat standardizace jednotlivých aplikací pro nasazení formou SaaS, budou se standardizovat i právní podmínky jejich užívání.

Josef Donát, Martin Flaškár
Autoři článku působí v advokátní kanceláři Rowan Legal.