Umowa z dostawcą SaaS. Co trzeba wiedzieć?

SaaS (Software as a Service), czyli „oprogramowanie jako usługa”, to model biznesowy który w ostatnich latach zyskał ogromną popularność. Nic w tym dziwnego – dla wielu organizacji przeniesienie środowiska danych i aplikacji z własnej infrastruktury do tzw. chmury obliczeniowej jest zmianą na korzyść, pozwalającą chociażby obniżyć koszty. Z drugiej strony, powierzenie ich zewnętrznemu podmiotowi może budzić obawy. Na co zwrócić uwagę, decydując się na takie usługi? Na dziesięć często zadawanych przez firmy pytań odpowiedzieli Jakub Lewandowski i Przemysław Mazurkiewicz z Commvault, globalnego lidera branży inteligentnych usług przetwarzania danych.

1. Czy w ogóle mogę brać pod uwagę rozwiązanie SaaS?

Nim zaczniemy rozważać podpisanie umowy na usługi chmurowe, trzeba upewnić się, czy korzystanie z tego typu rozwiązania jest w naszym przypadku dopuszczalne – mówi Jakub Lewandowski, Global Data Governance Officer oraz Legal Director w Commvault. Może się bowiem okazać, że przepisy szczególne czy przyjęta praktyka działania organizacji wymaga przechowywania danych na własnej infrastrukturze. Najczęściej taka sytuacja może wystąpić w przypadku podmiotów sektora publicznego. Niemniej, trzeba podkreślić, że w Polsce dla przeważającej części organizacji nie istnieją przepisy zakazujące przechowywania danych w chmurze.

2. Jakie normy prawa muszę prześledzić przed podpisaniem umowy?

W dalszej kolejności trzeba przyjrzeć się obwarowaniom prawnym powiązanym z branżą, w jakiej się poruszamy. Z pewnością szczególne wymogi (nałożone choćby przez regulatorów) dotyczyć będą bankowości, sektora finansów i ubezpieczeń, telekomunikacyjnego, czy podmiotów podlegających ustawie o krajowym systemie cyberbezpieczeństwa. Wyposażeni w stosowną wiedzę, będziemy w stanie zweryfikować, czy rozwiązanie w zaproponowanym przez dostawcę kształcie zapewnia zgodność (tzw. compliance) z obowiązującymi nas specyficznymi wymogami prawnymi, normami, czy wytycznymi.

3. Czy rozwiązanie SaaS na pewno zaadresuje moje potrzeby?

Tak. Dostawca rozwiązania, analizując nasze potrzeby, ale i np. przypadki użycia (use case), czyli sposób w jaki używamy dotychczasowego środowiska danych, zaproponuje nam rozwiązanie skrojone na miarę naszych wymagań. Co więcej, będzie ono mogło być łatwo modyfikowane, podążając za zwiększającymi się potrzebami. To jedna z większych zalet rozwiązań typu SaaS – są łatwo skalowane, czyli posiadają zdolność elastycznego dostosowywania się do rosnącej objętości przetwarzanych danych.

Rozwiązania SaaS mogą adresować najróżniejsze potrzeby klientów – dodaje Przemysław Mazurkiewicz, EMEA CEE & Nordics Sales Engineering Director w Commvault. Roboczo możemy je podzielić na systemy wspierające działanie biznesu i systemy narzędziowe. Do pierwszej kategorii zaliczyć możemy te wspierające użytkowników końcowych jak Microsoft 365®, czy systemy CRM. Do drugiej – choćby systemy przetwarzające dane i oferujące ich analizy wykonywane przez sztuczną inteligencję, systemy bezpieczeństwa dla środowisk lokalnych i chmurowych, wreszcie – coraz częściej kojarzone z modelem SaaS – rozwiązania do wykonywania zapasowej kopii danych. W tej ostatniej grupie światowy rynek zdominowała firma Commvault, której rozwiązanie Metallic™ jest szczególnie zaawansowane: działa wyłącznie z chmury, więc całkowicie odciąża z kosztów utrzymywania infrastruktury, posiada dużą ilość dodatkowych zabezpieczeń, jest bardzo elastyczne jeśli chodzi o przechowywanie danych, można je wdrożyć w ciągu jednego dnia... Metallic™ to też znakomite funkcje odzyskiwania danych, na przykład dostosowane do odtwarzania ich po ataku ransomware.

4. Skąd mam wiedzieć, że dany dostawca jest godny zaufania?

Nim zdecydujemy się na współpracę z wybranym dostawcą SaaS, należy prześledzić jego dotychczasowe osiągnięcia, a także sprawdzić, jak wypada w branżowych raportach (np. firmy Gartner). Te informacje powinny wystarczyć do wyrobienia sobie opinii o wiarygodności vendora.

5. Czy pozostanę właścicielem swoich danych?

Szczególnie ważne jest, by upewnić się, że pozostajemy „właścicielem” naszych danych w całym okresie trwania umowy i że nie będą one wykorzystywane w celach innych niż te, na które się zgodzimy – podkreśla Jakub Lewandowski. To może wydawać się oczywistym modelem działania, ale osobiście zawsze sugeruję klientom sprawdzić warunki umowne w tej materii, w tym w szczególności opisy przetwarzania danych w umowie powierzenia przetwarzania danych osobowych.

6. Kto będzie odpowiedzialny za moje dane?

Kolejna kluczowa kwestia to prawna odpowiedzialność za powierzone dostawcy dane. Umowa powinna wyraźnie określać, kto taką odpowiedzialność ponosi i będzie z niej rozliczany – zwłaszcza, że w przypadku usług chmurowych zazwyczaj będziemy mieli do czynienia z większą ilością podmiotów.

Trzeba mieć świadomość, że decydując się na rozwiązanie typu SaaS, stajemy się stroną relacji prawnej nie tylko z dostawcą tego rozwiązania, ale często również z jego partnerami. Chodzi konkretnie o dostawców infrastruktury, na której działa rozwiązanie SaaS, a więc dostawców rozwiązań typu PaaS (Platforma jako usługa), czy IaaS (Infrastruktura jako usługa). Mamy wtedy do czynienia z tzw. shared responsibility model, czyli „modelem wspólnej/współdzielonej odpowiedzialności” -– tłumaczy Jakub Lewandowski. Siłą rzeczy, w naszej umowie mogą znaleźć się odwołania do umów podmiotów trzecich, z którymi również należy się zapoznać. Analizując zapisy umowne, a często również dokumentację rozwiązania, warto precyzyjnie ustalić, kto i za co dokładnie odpowiada. Bardzo pomocne są tu, często stosowane przez dostawców usług chmurowych, graficzne reprezentacje takiej współodpowiedzialności, np. w postaci diagramów.

7. W jaki sposób zostanie podpisana umowa?

Eksperci wskazują, że ogólnie przyjętą w branży praktyką jest podpisywanie umowy z dostawcą SaaS jest sposób nazywany clickwrap czy clickthrough, a więc poprzez zatwierdzenie kliknięciem określonej jej wersji. Fakt zaakceptowania warunków umownych jest tu logowany. Jeśli zależy nam na tradycyjnej formie zawarcia umowy, należy wyraźnie poprosić o to dostawcę – wówczas można podpisać ją również z wykorzystaniem podpisów elektronicznych, bądź nawet w wersji papierowej.

8. Jak rozwiązanie typu SaaS może wspierać compliance, np. zgodność z RODO?

Optymalne rozwiązanie SaaS powinno również wspierać nasze wysiłki w obszarze zgodności z prawem (compliance). Przykładowo, rozwiązanie kopii zapasowej w chmurze może równocześnie zapobiegać wynoszeniu danych przez użytkownika końcowego – dla wygody – poza chmurę, czy wesprzeć w zarządzaniu okresami retencji danych. Należy pamiętać, że jeśli rozwiązanie będzie wykorzystywane do przetwarzania danych osobowych, konieczne będzie także podpisanie umowy powierzenia przetwarzania danych osobowych.

9. Ukryte koszty w rozwiązaniu SaaS?

Należy dokładnie prześledzić umowę z dostawcą pod kątem wszelkich dodatkowych kosztów, które mogą wiązać się z korzystaniem z usługi. Przy okazji warto również przeanalizować opcję „wyjścia”, czyli warunki zakończenia umowy z dostawcą, w szczególności w kontekście ryzyka tzw. vendor lock-in.

10. Co jeśli dostawca nie spełni warunków?

Jednym z najczęściej stosowanych mechanizmów jest tzw. kredyt serwisowy – specjalna zniżka na subskrypcję usługi w kolejnych okresach. Warto ustalić, jakie są warunki brzegowe ubiegania się o taką rekompensatę oraz w jakich przypadkach możliwe będzie wypowiedzenie umowy.