V některých případech tak budeme porovnávat, jaké je právní postavení objednatele v prvním i druhém případě – tedy objedná-li služby MS Office 365 napřímo, nebo objedná-li je prostřednictvím lokálního partnera. Obecně lze říci, že řadu závěrů by bylo možno použít i na případy, kdy poskytovatelem cloudových služeb typu SaaS bude jiný nadnárodní poskytovatel. S ohledem na rozsah článku se nejedná o plnohodnotný rozbor smluvní dokumentace Office 365, jak název napovídá, se budeme věnovat jen vybraným oblastem.

Smluvní typ

Právní vztah, který vzniká při poskytování služeb typu SaaS, je natolik atypický, že není možné použít žádný zákonem stanovený smluvní typ, například smlouvu o dílo či nájemní smlouvu. V případě absence výslovného ustanovení ve smlouvě tak bude pro obě smluvní strany obtížné dovozovat svá práva a nároky ze zákona odkazem na nějaké přiměřené použití toho či onoho ustanovení. Platí tak zásada, že obě smluvní strany budou mít právě taková práva a povinnosti, jak si je ve smlouvě sjednají. Nutno dodat, že poskytovatelé si to dobře uvědomují a ve své smluvní dokumentaci nenechávají nic náhodě.

Rozhodné právo, místo řešení sporů

Jedním z podstatných důvodů pro využití služeb lokálního partnera může být pro objednatele fakt, že smlouvy uzavírané s nadnárodními poskytovateli se obvykle řídí cizím právem. Například smlouva o odběru služeb on-line uzavíraná v rámci služby Office 365 se řídí irským právem.
Rovněž místem řešení sporů je příslušný soud společnosti Microsoft Ireland Operations Limited, tzn. irský soud, avšak pouze tehdy, pokud objednatel zažaluje Microsoft. Bude-li naopak Microsoft žalovat objednatele, bude jej žalovat u jeho místně příslušného soudu, tzn. například v České republice. Takže se český subjekt nemusí obávat alespoň toho, že by byl například pro porušení práv k duševnímu vlastnictví žalován u soudu v Irsku.
Uzavře-li český objednatel smlouvu s českým lokálním partnerem, pak se bude smluvní vztah řídit českým právem a spory budou řešeny u českých soudů (jiná smluvní úprava by byla skutečně neobvyklá). Uzavření smlouvy s lokálním partnerem tak představuje pro objednatele vyšší právní jistotu, pouze však tehdy, pokud s lokálním partnerem vyjedná vyváženou a dobrou smlouvu.

Uzavření smlouvy

Uzavírá-li objednatel smlouvu „napřímo“ s nadnárodním poskytovatelem, děje se tak obvykle prostřednictvím odkliknutí souhlasu se smlouvou, licenčními nebo obchodními podmínkami apod. Z právního hlediska jde o akceptaci návrhu smlouvy, který učinil poskytovatel služeb neurčitému okruhu osob. Tím, že objednatel odklikne souhlas, dochází okamžitě k uzavření smlouvy.
Nutno říci, že tyto smlouvy bývají dost roztříštěné a nepřehledné, v samotném „těle“ smlouvy nalezne objednatel obvykle řadu odkazů na další samostatné dokumenty, které obsahují zvláštní úpravu k jednotlivým oblastem, například nakládání s osobními údaji, SLA nebo zvláštní podmínky pro zkušební verzi služeb. Navíc se zde uplatní zásada „ber, nebo nech být“, takže objednatel nemá možnost jakkoliv změnit obsah smlouvy.
Oproti tomu lokální partneři obvykle nabídnou svým zákazníkům klasickou písemnou smlouvu. Objednatel tak má možnost vymínit si úpravy vybraných ustanovení a ovlivnit konečnou podobu smlouvy.

Podmínky práva užít aplikace (software)

Licenční podmínky jsou nedílnou součástí každé smlouvy typu SaaS. V případě služeb Office 365 se navíc jedná o pojetí S+S (software plus služby), kdy se architektura SaaS rozšiřuje o lokálně spuštěný software – část softwaru tak objednatel provozuje lokálně. V daném případě proto licenční podmínky hrají o něco vyšší roli než v případě jiných poskytovatelů. V tomto článku není prostor na podrobný rozbor licenčních podmínek, platí však, že oproti zákonné úpravě autorského zákona v nich nenajdeme žádné podstatnější odchylky, které by představovaly pro běžného objednatele omezení jeho práv.
Licence se u služby MS Office 365 sjednává samozřejmě nevýhradní, pronájem není přípustný. Převoditelnost licence na třetí osoby je vyloučena stejně jako dle českého autorského zákona, připouští se však převoditelnost nejen v souvislosti s fúzí nebo prodejem podniku, ale nad rámec zákona i převoditelnost v rámci koncernu. Množstevní rozsah licence je dán obvykle počtem uživatelů, některé aplikace jsou licencovány i na určitý počet zařízení. V případě služby Office 365 se užije model USL licence (user subscription license) – každému jmenovitému uživateli je nutno přiřadit jednu licenci. Jednoduchý model licencování Office 365 se může stát zejména v menších firmách vhodnou možností eliminace často složitého licenčního managementu a rizik spojených s nedbalostním porušováním autorských práv. Licenční podmínky budou vždy totožné i v případech, kdy objednatel uzavře smlouvu s lokálním partnerem, protože se jedná o aplikace a software společnosti Microsoft.

Užívání datových úložišť, nakládání s daty

Úprava týkající se datových úložišť je pro objednatele klíčová. Ze smlouvy by mělo jasně vyplývat, jaký prostor má objednatel u příslušné služby k dispozici v rámci základní ceny, ale rovněž je nutno upravit možnosti rozšíření datového prostoru. Asi každého napadne otázka ceny, ale v prvé řadě je třeba si ověřit, zda poskytovatel nabízí vůbec v rámci dané služby možnost prostor rozšířit. Například služba Office 365 je nabízena nejen jako jednotlivé služby zvlášť, ale také v jednotlivých balíčcích (plánech). A v základním plánu označovaném jako P možnost rozšířit datový prostor u služby SharePoint Online chybí úplně.
U smluv s lokálními partnery by proto neměl chybět účel smlouvy, v němž objednatel může deklarovat, že má zájem i o možnost přejít na vyšší verzi služby nebo do datových úložišť časem přesunout i další data, která bude mít zpočátku na svých vlastních serverech. Lokální partner by pak byl odpovědný za náhradu škod a dodatečných nákladů, pokud by se dodatečně prokázalo, že přechod rozšíření úložišť nebo plynulý přechod na vyšší verzi není možný.
Další podstatnou záležitostí je migrace dat do prostředí cloudu. Spolupráci při řešení migrace dat rovněž nabízí lokální partneři. U služeb typu Office 365 by většinou neměla migrace představovat žádný velký problém, pokud však bude objednatel potřebovat odbornou pomoc lokálního partnera, pak by měl ve smlouvě s ním přesně specifikovat zejména požadovaný výstup migrace a dále odpovědnost pro případ, kdy dodatečně vyjde najevo, že migrace nedopadla podle představ.
Další oblastí, které by měli objednatelé věnovat značnou pozornost, je úprava nakládání s daty v případě ukončení smlouvy. Objednatele by mělo zajímat, zda vůbec, popřípadě v jakém rozsahu a po jakou dobu po ukončení smlouvy mu poskytovatel garantuje možnost přístupu k datům, které vložil do cloudového prostředí.
Například u služby Office 365 může objednatel výslovně požádat o deaktivaci účtu a následné odstranění veškerých dat, nebo o zachování dat po dobu nejméně 90 dnů. Pokud výslovně nepožádá o deaktivaci, jsou data automaticky uchovány po uvedenou dobu. Microsoft si také vyhrazuje právo na úhradu „případných souvisejících nákladů“ spojených s převodem dat objednatele a uvádí, že tato mohou být převedena „s použitím standardních procesů a nástrojů“.
Lokální partneři v některých případech nabízí využití vlastních datových center, včetně služeb zálohování dat. O typický cloud tak vlastně nejde, kdy dochází k hostování cloudových řešení ve vybraných datových centrech. Objednatel pak získává možnost vyjednat si vlastní úpravu nakládání s daty pro případ ukončení smlouvy, jakož i další povinnosti součinnosti ze strany lokálního partnera. I když ze zkušenosti mohu říci, že tuto možnost objednatelé cloudových, outsourcingových či servisních služeb hodně podceňují. Přechod na jiné řešení se pak může neplánovaně prodražit.
Další aktuální problematika se týká samotného umístění datových center poskytovatele a možnosti převodu dat do zemí mimo EU. Ta bude zmíněna později v rámci úpravy osobních údajů.

SLA

Samozřejmou součástí je sjednaná úroveň dostupnosti poskytovaných služeb. V řadě aspektů zde mohu odkázat na svůj starší článek z čísla 11/2011 časopisu IT Systems.
Také smlouva na služby Office 365 obsahuje SLA, přičemž Microsoft garantuje dostupnost 99,9 procenta za období kalendářního měsíce, přičemž u jednotlivých služeb definuje, co se rozumí výpadkem služby. Nebude-li této dostupnosti dosaženo, vzniká objednateli nárok na slevu z ceny až do výše sto procent ceny za daný měsíc. Jisté úskalí ve smlouvě uzavírané přímo se společností Microsoft může být splnění notifikační povinnosti, tedy řádné oznámení výpadku. To je omezeno časově (do konce následujícího měsíce poté, co k výpadku došlo), krom toho je objednatel povinen popsat podrobný popis výpadku, ale také uvést, jak postupoval při snaze výpadek vyřešit.
V SLA k Office 365 je přímo uvedena možnost, kdy je sleva z ceny poskytnuta přímo lokálním partnerem, kterému je následně poskytnuta společností Microsoft. V případě uzavření smlouvy s lokálním partnerem tak může mít objednatel snadnější pozici při oznamování výpadku a uplatňování svých nároků. Objednatel by si však v takovém případě měl nechat vysvětlit, jak proces oznamování probíhá, a jasně jej ve smlouvě zakotvit, včetně odpovědnosti lokálního partnera za řádnou notifikaci.

Odpovědnost poskytovatele a limitace náhrady škody

Zdaleka nejen u služeb typu SaaS je namístě, aby si objednatel dobře prostudoval úpravu výluk z odpovědnosti poskytovatelů a úpravu limitace náhrady škody. Výluky z odpovědnosti vyjmenované ve smlouvě jsou zpravidla odůvodněny objektivními skutečnostmi, za které poskytovatel nemůže nést odpovědnost, ať už se jedná o chování uživatelů, výpadky způsobené dodavateli energií či providera nebo nesplnění alespoň minimálních systémových požadavků na straně objednatele.
Limitace náhrady škody představuje naopak stav, kdy poskytovatel zapříčinil škodu na straně objednatele, ovšem smluvní strany si předem sjednaly, že odpovědnost poskytovatele bude omezena – limitována. Limitace může mít řadu podob, od limitace pouze do předem stanovené částky v penězích, procentuálně určené částky odvozené například od ceny služeb, ale také limitace pouze na tzv. skutečnou škodu, kdy poskytovatel bude odpovídat pouze za skutečné škody (například konkrétní náklady za prostoje zaměstnanců, smluvní pokuty, náklady vynaložené v přímé souvislosti s výpadkem služby), nikoliv však za ušlý zisk. U většiny objednatelů ovšem bude právě ušlý zisk tím, co jim způsobí nejvyšší ztráty, nehledě na možné důsledky spojené se ztrátou dobrého jména.
Vedle samotné volby cizího práva může být právě limitovaný rozsah odpovědnosti za škodu důvodem, pro který objednatelé zvolí služby lokálního partnera. Objednatelé by se ovšem měli mít na pozoru, protože české firmy v oblasti IT často přejímají úpravu z těchto smluv uzavíraných obvykle dle anglosaského práva. Ale také v ryze české smlouvě mohou být zakotveny rozsáhlé výluky z odpovědnosti, včetně limitace náhrady škody. Proto nelze zjednodušeně uzavřít toto téma tak, že smlouva s lokálním partnerem je v této oblasti vždy výhodnější než smlouva uzavřená „napřímo“ s nadnárodním poskytovatelem.

Osobní údaje a cloud computing

Zejména u smluv typu SaaS a IaaS hraje úprava osobních údajů značnou roli, především v případě osobních údajů třetích osob, se kterými objednatel nakládá z pozice správce osobních údajů, tedy subjektu, který určuje účel a prostředky zpracování osobních údajů a je za nakládání s nimi odpovědný. Poskytovatel cloudových služeb pak může vystupovat v pozici zpracovatele osobních údajů, který je ukládá na vlastní nosiče a umožňuje dle pokynů správce jejich zpřístupňování, šíření a řadu dalších operací.
Právní předpisy regulující nakládání s osobními údaji přitom jak správcům, tak zpracovatelům ukládají proaktivní povinnosti za účelem zabránit neoprávněnému nebo nahodilému přístupu k osobním údajům. Jedná se o tzv. technicko-organizační opatření, jejichž splnění by měli být schopni prokázat jak poskytovatel, tak objednatel. Rozsah tohoto článku neumožňuje blíže tato opatření rozvést, snad pomůže alespoň obrázek převzatý z publikace Softwarové právo (viz schéma).

Pro poskytovatele služeb typu SaaS je nezbytností získat důvěru potenciálních zákazníků. Proto lze očekávat, že jak technické prostředky zajištění dat objednatelů, tak i organizační opatření budou na vysoké úrovni a obvykle budou data zabezpečena lépe než v případě serverů nacházejících se v sídle objednatele. V tomto směru tak úprava ochrany osobních údajů míří spíše na objednatele, a zdaleka to nemusí být jen objednatelé uzavírající smlouvu na cloudové služby.
Vůči poskytovatelům by ovšem objednatelé měli být ostražití v jiné oblasti týkající se problematiky osobních údajů, a sice při úpravě jejich předávání do zahraničí. Princip cloudových služeb spočívá často právě v tom, že data budou využívat datová úložiště nacházející se na různých místech – v různých městech, ale i zemích, nebo dokonce kontinentech. České právní předpisy regulující nakládání s osobními údaji však zakazují v souladu s evropskou úpravou jejich předávání mimo EU bez souhlasu subjektů těchto osobních údajů. Výjimku tvoří země, o nichž Evropská komise výslovně vydala „rozhodnutí o odpovídající ochraně osobních údajů“. Dále je přípustné předat osobní údaje do vybraných míst v USA, které jsou označovány jako tzv. safe harbour. Nezbytností pro objednatele je proto smluvní úprava územního omezení lokalit, ve kterých bude poskytovatel cloudových služeb mít datová centra, respektive využívat datová centra třetích osob.
Na shora uvedenou problematiku společnost Microsoft reaguje v souladu s právními předpisy, když jednak zdůrazňuje, že při poskytování služeb jsou data technicky zabezpečena na tak vysoké úrovni, jaké by stěží mohla dosáhnout běžná společnost (technická opatření), jednak uvádí řadu certifikací svých vnitřních procesů, jako například ISO 2700, SAS70, FISMA (organizační opatření), byť je sporné, zda jsou tyto údaje součástí smlouvy, nebo nikoliv. Krom technicko-organizačních opatření je součástí smluvní dokumentace možnost uzavřít smlouvu o zpracovávání osobních údajů označenou v české lokalizaci jako smlouvu o zpracování dat. Především však Microsoft uvádí, že data objednatele jsou primárně ukládána primárně v datových úložištích nacházejících se v nizozemském Amsterodamu a irském Dublinu. Zpravidla pro účely zálohování či replikace mohou být použita datová úložiště mimo EU, přičemž Microsoft deklaruje, že respektuje pravidla safe harbour Evropské unie.
Lze tedy konstatovat, že objednatel by se neměl dostat do potíží pouze z důvodu uložení osobních údajů do prostředí služby Office 365. Samozřejmě musí případně prokázat, že zavedl také vlastní technicko-organizační opatření. Nicméně povědomí o bezpečí cloudového prostředí je nejasné, o čemž svědčí i zpráva zveřejněná na serveru Novinky.cz letos 16. března pod titulkem Lichváři by mohli zneužít data o příjemcích sociálních dávek. Hlavní obava jisté v článku citované neparlamentní strany spočívá právě v tom, že data o příjemcích dávek už nejsou na serveru ve vlastnictví Ministerstva práce a sociálních věcí, ale „v takzvaném cloudu“, přičemž servery spravují komerční subjekty – z čeho autoři této myšlenky dovozují vyšší riziko, není z článku jasné. Celou situaci nicméně prověřuje Úřad na ochranu osobních údajů (ÚOOÚ), možná se tak dočkáme i konkrétního rozhodnutí ve věci ochrany osobních údajů v prostředí cloudu. Zatím můžeme odkázat pouze na kladné stanovisko ÚOOÚ, podle kterého lze využít cloud computing i pro operace spočívající ve zpracování osobních údajů.

Závěr

Závěrem lze především objednatelům doporučit, aby se před uzavřením smlouvy důkladně seznámili s podmínkami nabízeného plnění. I v případě, kdy zvažují využití služeb lokálního partnera, by si měli objednatelé vždy prostudovat přímo smluvní dokumentaci a specifikace nadnárodních poskytovatelů a nechat si je v případě potřeby vysvětlit lokálním partnerem. Ne vždy totiž bude lokální partner schopen dané smluvní nebo technické podmínky služby přizpůsobit požadavkům objednatele. Objednatel by se měl seznámit také s úpravou výluk z odpovědnosti a limitace náhrady škody prvotního poskytovatele, protože lze očekávat, že ani lokální partner nemůže být v tomto směru vstřícnější a přejímat na sebe rizika plynoucí z případných výpadků služby.

Použité zdroje, doporučené odkazy:
Velte, A. T., Velte, T. J., Elsenpeter, R.: Cloud Computing, Brno: Computer Press 2011
Otevřel, P.: Několik postřehů ze sjednávání smlouvy o IaaS, IT Systems 11/2011
Jansa, L., Otevřel, P.: Softwarové právo, Brno: Computer Press 2011

Petr Otevřel
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři, kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem.