Odcinek 6: Cloud computing i odpowiedzialność pośredników

Odcinek 6: Cloud computing i odpowiedzialność pośredników


W tym odcinku zajmiemy się prawnymi aspektami
świadczenia usług w modelu cloud computing odpowiemy sobie na pytanie co to tak na dobrą
sprawę jest a także odpowiedzialnością tak zwanych pośredników internetowych. Jeżeli chodzi
o cloud computing czyli świadczenie usług w modelu chmury obliczeniowej to jest to nic
innego jak świadczenie usług za pośrednictwem internetu czyli wchodzimy w zakres świadczenia
usług drogą elektroniczną. Co do zasady cloud computing jest to pojęcie zbiorcze które obejmuje
różne modele typowo możemy wyróżnić trzy podstawowe IaaS czyli Infrastructure as a
Service PaaS czyli Platform as a Service i SaaS czyli Software as a Service. W tym odcinku główny
nacisk położymy na ten ostatni aspekt czyli Software as a Service w którym to modelu
wykorzystywane jest oprogramowanie nie na zasadzie licencyjnej lecz na zasadzie usługowej. Co
to oznacza w praktyce? Dotychczasowy model który dominował jeżeli chodzi o dystrybucję
wykorzystywanie oprogramowania polegał na tym że na naszym fizycznym komputerze był instalowany
program chociażby edytor tekstu z którego mogliśmy korzystać na tym komputerze i na każdym
innym na którym ten program zainstalowaliśmy. Wykorzystywanie tego oprogramowania w modelu
chmury obliczeniowej polega na tym że ten sam podmiot producent tego oprogramowania może
umieścić to oprogramowanie ten edytor tekstu na swoim serwerze na swoich komputerach i udostępnić
nam ten program zdalnie w formie usługi. Nie udziela nam tym samym licencji aczkolwiek
my pracujemy na jego serwerach łączymy się z nim za pośrednictwem sieci internet i w tym
modelu usługowym z tego oprogramowania pośrednio korzystamy. Jest to bardzo atrakcyjna i ciekawa
formuła wykorzystywania zasobów w nowszy bardziej nowoczesny sposób szczególnie z uwagi
na to że przy okazji świadczenia usług w ten sposób podmiot który decyduje się na tego rodzaju
działalność może te usługi obudować o różnego rodzaju dodatkowe funkcjonalności usługi
powiązane tak aby uatrakcyjniać cały czas swoją ofertę i ułatwiać działalność podmiotom czy
osobom które z tego rodzaju usług korzystają. Przetwarzanie w chmurze z uwagi na swoje
uwarunkowania technologiczne tak jak powiedziałem oprogramowanie i usługa są osadzone na serwerze
naszego usługodawcy wiąże się z dodatkowymi wyzwaniami nie tylko z wyzwaniami w zakresie
licencyjnym to jest odpowiedzią na pytanie czy mamy do czynienia z usługą czy z licencją lecz
także w zakresie przetwarzania danych osobowych gdyż wielokrotnie usługi dotyczą elementów
w których przetwarzane są dane osobowe czy to są dane naszych klientów dane naszych
kontrahentów czy generalnie usługa polega na tym że pracujemy na danych w tym na danych osobowych
wtedy musimy mieć świadomość tego że te dane są zlokalizowane gdzie indziej niż nasz
system teleinformatyczny jest to system teleinformatyczny podmiotu trzeciego i musimy
odpowiednio te kwestie zabezpieczyć jest to istotne z perspektywy zarówno usługodawcy jaki usługobiorcy
gdyż wielokrotnie usługobiorca w zależności od tego jaki podmiotem jest musi sobie
odpowiedzieć na pytanie czy może a jeżeli tak to na jakich zasadach może te dane które posiada
przetwarzać w tym modelu czyli korzystać z usług podmiotu trzeciego tak samo podmiot trzeci
musi sobie odpowiedzieć na pytanie jak musi zabezpieczyć swoją usługę w jakim modelu ją
świadczyć żeby klienci chcieli z tej usługi korzystać a dwa żeby bazować na uprawnionych
mechanizmach czyli być podmiotem uprawnionym do przetwarzania danych osobowych podmiotów trzecich.
Tym ostatnim wątkiem zajmiemy się w jednym z kolejnych odcinków który będzie poświęcony
przetwarzaniu danych osobowych natomiast w tym zajmiemy się tymi zagadnieniami bardziej
leżącymi na styku prawa i technologii czyli jak przygotować się jako usługodawca do świadczenia
usług w modelu chmury obliczeniowej aby była to chmura atrakcyjna czyli nasza chmura żeby
była atrakcyjna dla podmiotów trzecich czyli żeby klienci z tego korzystali i tutaj bardzo
istotne jest uwzględnianie norm i rekomendacji które nie mają charakteru powszechnie
obowiązującego prawa ale wychodzą od organów które są umocowane instytucjonalnie jak chociażby
rekomendacje Grupy Roboczej Artykułu 29 grupa która skupia wszystkie organy ochrony danych
osobowych w całej Unii Europejskiej i która to grupa wypracowuje rekomendacje robocze w zakresie
technologicznym i technologiczno-prawnym które dotyczą kwestii wrażliwych i istotnych
z perspektywy przetwarzania danych osobowych czyli po pierwsze powinniśmy zweryfikować czy
nasze rozwiązania faktycznie są kompatybilne z tymi rekomendacjami druga kwestia to kwestia
wdrożenia norm ISO jedna z najnowszych norm ISO z rodziny 2700 jesto norma 27018:2014
roku która wprost dotyczy bezpieczeństwa i poufności danych w chmurze obliczeniowej i
tutaj znajdziecie państwo informacje na temat konkretnych rekomendacji na jakich zasadach te
dane nam powierzane jako usługodawcom powinny być przetwarzane tak żeby być zgodne z tą norma
jeżeli tak się stanie a my uzyskamy certyfikacje po audycie zgodności z tą normą to na pewno
nasza usługa nasze rozwiązanie będzie z perspektywy rynku traktowane jako i bardziej
wiarygodne i jako takie z którego podmioty o bardzo różnym profilu czy to administracyjnym
czy biznesowy będą mogły i chciały korzystać także przygotowanie się od strony technologicznej
do świadczenia usług w modelu chmury obliczeniowej to na dzień dzisiejszy dość solidnie
przygotowanie się od strony spełniania wymogów technicznych w zakresie przetwarzania danych osobowych.
Jeżeli chodzi o stronę formalną oczywiście musimy przygotować regulamin usługi
którą będziemy świadczyli o tym mówiliśmy w odcinku pierwszym który dotyczy tak jak wtedy
zasygnalizowaliśmy wszystkich przedsiębiorców działających w branży e-commerce. Kolejna
kwestia którą w tym obszarze świadczenia usług w modelu chmury obliczeniowej musimy poruszyć
jest kwestia odpowiedzialności podmiotów dostarczających usługę hostingu hostingów bardzo
różnym zakresie o czym za chwilę które w tym obszarze działają. Klasyczny hosting w przypadku
działalności internetowej ograniczał się w dużym uproszczeniu oczywiście do dostarczania
kontynentów na których dany przedsiębiorca mógł świadczyć swoją usługę czy to były serwery
czy domeny czy utrzymywanie stron internetowych to już było kwestią wtórną tego rodzaju podmioty
dostarczały że tak powiem zasobów tylko i wyłącznie do tego aby inni przedsiębiorcy mogli
korzystać ze swoich usług i je przygotowywać rozwijać i dostarczać podmiotom trzecim.
Jeżeli chodzi o współczesność to dochodzi momentami do zachwiania tej roli często bowiem
podmiot który jestem podmiotem hostującym czyli dostarczającym zasoby dla innych przedsiębiorców
akurat w tym zakresie nas interesującym staje się swego rodzaju partnerem swojego klienta
o czym za chwilę aczkolwiek jest to bardzo istotne i o tym wątku też musimy pamiętać.
Modelowo bowiem podmiot hostujący ten czysty podmiot który dostarcza czyste usługi
udostępniania zasobów nie odpowiada w przypadku wykorzystywania tych zasobów niezgodnie z prawem.
Czyli jeżeli dane które są przechowywane w zasobach które ten podmiot prostujący udostępnia
to on po pierwsze nie musi wiedzieć o tym że te dane naruszają prawo po drugie jest
zwolniony z odpowiedzialności względem podmiotów trzecich jeżeli stosując tę procedurę notice and
take down czyli zawiadomienie i ściągnięcie ze strony podmiotu trzeciego zastosuje po
notyfikacji urzędowej albo wiarygodnej od podmiotu prywatnego. Podsumowując jeżeli jesteśmy
podmiotem który świadczy usługi w modelu clooud computingu na zasadzie udostępniania
zasobów to jak najbardziej możemy to robić i nie musimy mieć świadomości tego czy podmiot który
jest naszym kontrahentem wykorzystuje te zasoby zgodnie z prawem czy niezgodnie z prawem czy
dane zamieszczone na danym portalu internetowym naruszają dobra osobiste podmiotów trzecich czy
też ich nie naruszają natomiast od momentu notyfikacji zgodnie z tym przepisem możemy
taką odpowiedzialność ponosić. Z drugiej strony jeżeli zablokujemy dostęp do takich treści
o charakterze bezprawnym po tej wiarygodnej informacji to nie będziemy ponosili
odpowiedzialności względem tego naszego kontrahenta to co istotne i o czym powiedziałem na wstępie
to dochodzi momentami do zachwiania ról ten podmiot hostujący wielokrotnie staje się
partnerem biznesowym podmiotu który jest u niego hostowany czyli którego dane portale internetowe
serwisy internetowe są przechowywane w tym zakresie że na zasadzie konsultingowej doradczej
optymalizuje tę działalność tego swojego klienta dostarczając mu wartości dodanej jako
dodatkową usługę w tym momencie należy stwierdzić że nie będzie ten podmiot który dostarcza
zasobów ten podmiot hostujący mógł korzystać z dobrodziejstwa tego zwolnienia z odpowiedzialności
o której mowa w artykule 14 ustawy o świadczeniu usług drogą elektroniczną i to o czym sobie
powiedzieliśmy znajduje również uzasadnienie w bieżącym orzecznictwie sądowym dotyczącym
tej materii z którego wynika wprost że po pierwsze podmiot który hostuje świadczący usługi
hostingu tutaj są cytaty wprost z orzeczeń sądowych sądów polskich nie musi mieć świadomość
tego jakiego rodzaju dane są przetwarzane na jego serwerach natomiast dopiero zaczyna
ponosić odpowiedzialność czy może narazić się na tą odpowiedzialność jeżeli będzie miał
świadomość takich działań i nic z tym nie zrobi to jest ta jedna strona medalu natomiast druga
strona medalu to jest taka że ten podmiot hostujący jest to racjonalne stanowisko tutaj
akurat sądu europejskiego Trybunału Sprawiedliwości Unii Europejskiej nie musi podejmować działań
zaradczych czyli podmiot który hostuje dziesiątki albo setki tysięcy użytkowników na
swoich serwerach nie musi prowadzić działań zapobiegawczych polegających na tym że będzie
weryfikował jakie treści są przetwarzane na tych serwerach i czy czasem jego klient nie narusza
dóbr osobistych albo praw własności intelektualnej podmiotu trzeciego jest to można powiedzieć
bardzo racjonalne podejście wykształcone w toku burzliwych spraw sądowych gdyż sąd tutaj
tak jak w przypadku tych agregacji treści musiał wyważyć interesy zasadniczo uprawnione
jednej i drugiej strony czyli tych podmiotów które świadczą swoje usługi w modelu hostingu
z jednej strony a z drugiej strony podmiotów których prawa są naruszane i tutaj podsumowując
ten wątek można sobie zadać pytanie jakie w praktyce konsekwencje mogą być tej procedury
notice and take down z perspektywy podmiotu którego prawa są naruszane oczywiście to zablokowanie
dostępu do tych treści jest tym środkiem zaradczym o charakterze pierwszorzędnym czyli
to odpowiada na tą podstawową potrzeby podmiotu którego prawa autorskie prawa do znaku towarowego
czy dobra osobiste są naruszane natomiast konsekwentnie powinniśmy mieć możliwość
dowiedzenia się kto stoi za obsługą danego portal danego serwisu i często może się okazać że
jest to nie podmiot komercyjny ale podmiot którego ochronie ustawa o ochronie danych
osobowych czyli osoba fizyczna wtedy pojawia się pytanie czy podmiot hostujący jest zobowiązany
udostępnić podmiotowi którego prawa są naruszane dane takiej osoby fizycznej ażeby ten
podmiot którego prawa zostały naruszone mógł konsekwetnie wyegzekwować swoje prawa wynikające
z przepisów i tutaj organy ochrony danych osobowych w szczególności nasz Generalny
Inspektor Ochrony Danych Osobowych w stosownych procedurach wydaje czy też stoi na stanowisku że
podmiot hostujący powinien w takich sytuacjach udostępniać te dane podmiotów trzecich dane
osobowe tak żeby umożliwić realizację praw które chcą realizować podmioty których prawa są naruszane.
Dziękuję Państwu bardzo za uwagę.

Leave a Reply

Your email address will not be published. Required fields are marked *