Streszczenie: Umowa z dostawcą usług SaaS (oprogramowanie jako usługa) wymaga szczególnej uwagi, aby zapewnić zgodność z przepisami prawa oraz odpowiednią ochronę danych. Zanim zdecydujemy się na takie rozwiązanie, należy upewnić się, że jest ono zgodne z obowiązującymi przepisami, szczególnie w branżach regulowanych, takich jak bankowość czy telekomunikacja. Ważnym krokiem jest sprawdzenie, czy dana usługa odpowiada rzeczywistym potrzebom organizacji oraz czy jest wystarczająco elastyczna i skalowalna. Usługi SaaS oferują dużą elastyczność, umożliwiając łatwe dostosowanie do zmieniających się potrzeb firmy, w tym w zakresie przechowywania danych w chmurze. Wybór odpowiedniego dostawcy jest kluczowy, aby zapewnić bezpieczeństwo danych i spełnienie wymaganych standardów.
SaaS (Software as a Service), czyli „oprogramowanie jako usługa”, to model biznesowy, który w ostatnich latach zyskał ogromną popularność. Nic w tym dziwnego – dla wielu organizacji przeniesienie środowiska danych i aplikacji z własnej infrastruktury do tzw. chmury obliczeniowej jest zmianą na korzyść, pozwalającą chociażby obniżyć koszty.
Wiele firm ma obawy, powierzając swoje dane zewnętrznemu podmiotowi. Na co zwrócić uwagę, decydując się na takie usługi? Na dziesięć często zadawanych przez firmy pytań odpowiadają Jakub Lewandowski i Przemysław Mazurkiewicz z Commvault, globalnego lidera branży inteligentnych usług przetwarzania danych.
Czy w ogóle powinno się brać pod uwagę rozwiązanie SaaS?
Nim zaczniemy rozważać podpisanie umowy na usługi chmurowe, trzeba upewnić się, czy korzystanie z tego typu rozwiązania jest w naszym przypadku dopuszczalne – mówi Jakub Lewandowski, Global Data Governance Officer oraz Legal Director w Commvault. – Może się bowiem okazać, że przepisy szczególne czy przyjęta praktyka działania organizacji wymagają przechowywania danych we własnej infrastrukturze. Najczęściej taka sytuacja może wystąpić w przypadku podmiotów sektora publicznego. Niemniej trzeba podkreślić, że w Polsce dla przeważającej części organizacji nie istnieją przepisy zakazujące przechowywania danych w chmurze.
Jakie normy prawa należy prześledzić przed podpisaniem umowy?
W dalszej kolejności trzeba przyjrzeć się obwarowaniom prawnym powiązanym z branżą, w jakiej się poruszamy. Z pewnością szczególne wymogi (nałożone choćby przez regulatorów) dotyczyć będą bankowości, sektora finansów i ubezpieczeń, telekomunikacyjnego czy podmiotów podlegających ustawie o krajowym systemie cyberbezpieczeństwa. Wyposażeni w stosowną wiedzę będziemy w stanie zweryfikować, czy rozwiązanie w zaproponowanym przez dostawcę kształcie zapewnia zgodność (tzw. compliance) z obowiązującymi nas specyficznymi wymogami prawnymi, normami czy wytycznymi.
Czy rozwiązanie SaaS na pewno odpowie na nasze potrzeby?
Dostawca rozwiązania, analizując firmowe potrzeby, ale i np. sposób, w jaki używamy obecnego środowiska danych, zaproponuje rozwiązanie skrojone na miarę firmowych wymagań. Co więcej, będzie ono mogło być łatwo modyfikowane. To jedna z większych zalet rozwiązań typu SaaS – są łatwo skalowane, czyli mogą być dostosowywane do aktualnej objętości przetwarzanych danych. – Rozwiązania SaaS mogą odpowiadać na najróżniejsze potrzeby klientów – dodaje Przemysław Mazurkiewicz, EMEA CEE & Nordics Sales Engineering Director w Commvault. – Roboczo możemy je podzielić na systemy wspierające działanie biznesu i systemy narzędziowe. Do pierwszej kategorii zaliczamy te wspierające użytkowników końcowych, jak Microsoft 365®, czy systemy CRM. Do drugiej – choćby systemy przetwarzające dane i analizujące je za pomocą algorytmów AI, systemy bezpieczeństwa dla środowisk lokalnych i chmurowych, wreszcie – coraz częściej kojarzone z modelem SaaS – tworzenie kopii zapasowej danych. W tej ostatniej grupie światowy rynek zdominowała firma Commvault, której rozwiązanie Metallic™ jest szczególnie zaawansowane: działa wyłącznie w chmurze, więc całkowicie zdejmuje z firmy konieczność utrzymania stosownej infrastruktury, ma wiele dodatkowych zabezpieczeń, jest bardzo elastyczne, jeśli chodzi o przechowywanie danych, i można je wdrożyć w ciągu jednego dnia. Metallic™ to też znakomite funkcje odzyskiwania danych, na przykład dostosowane do odtwarzania ich po ataku ransomware.
Skąd wiadomo, że dany dostawca jest godny zaufania?
Nim zdecydujemy się na współpracę z wybranym dostawcą SaaS, należy prześledzić jego dotychczasowe osiągnięcia, a także sprawdzić, jak wypada w branżowych raportach (np. firmy Gartner). Te informacje powinny wystarczyć do wyrobienia sobie opinii o wiarygodności vendora.
Czy nasza firma pozostanie właścicielem danych?
Szczególnie ważne jest, by upewnić się, że pozostajemy „właścicielem” danych przez cały czas trwania umowy i że nie będą one wykorzystywane w celach innych niż te, na które się zgodzimy – podkreśla Jakub Lewandowski. – To może wydawać się oczywiste, ale osobiście zawsze sugeruję klientom sprawdzić zapisy umowy w tej materii, w tym w szczególności opis przetwarzania danych w umowie powierzenia przetwarzania danych osobowych.
Kto będzie odpowiedzialny za powierzone dane?
Umowa powinna wyraźnie określać, kto ponosi odpowiedzialność za powierzane dane i będzie z niej rozliczany – zwłaszcza, że w przypadku usług chmurowych zazwyczaj będziemy mieli do czynienia z większą liczbą interesariuszy. Trzeba mieć świadomość, że decydując się na rozwiązanie typu SaaS, stajemy się stroną relacji prawnej nie tylko z dostawcą tego rozwiązania, ale często również z jego partnerami. Chodzi konkretnie o dostawców infrastruktury, na której działa rozwiązanie SaaS, a więc dostawców rozwiązań typu PaaS (platforma jako usługa) czy IaaS (infrastruktura jako usługa). Mamy wtedy do czynienia z tzw. shared responsibility model, czyli „modelem wspólnej/współdzielonej odpowiedzialności” – tłumaczy Jakub Lewandowski. – Siłą rzeczy w umowie mogą znaleźć się odwołania do warunków podmiotów trzecich, z którymi również należy się zapoznać. Analizując zapisy umowne, a często również dokumentację rozwiązania, warto precyzyjnie ustalić, kto i za co dokładnie odpowiada. Bardzo pomocne są tu, często stosowane przez dostawców usług chmurowych, graficzne reprezentacje takiej współodpowiedzialności, np. w postaci diagramów.
W jaki sposób zostanie podpisana umowa?
Eksperci wskazują, że ogólnie przyjętą w branży praktyką jest podpisywanie umowy z dostawcą SaaS w sposób nazywany clickwrap czy clickthrough, a więc poprzez zatwierdzenie kliknięciem określonej jej wersji. Fakt zaakceptowania warunków umownych jest potwierdzany zalogowaniem się do serwisu. Jeśli zależy nam na tradycyjnej formie zawarcia umowy, należy wyraźnie poprosić o to dostawcę – wówczas można podpisać cyfrowo, a nawet podpisać dokument w tradycyjnej papierowej wersji.
Jak rozwiązanie typu SaaS może wspierać compliance, np. zgodność z RODO?
Optymalne rozwiązanie SaaS powinno również wspierać nasze wysiłki w obszarze zgodności z prawem (compliance). Przykładowo, utrzymywanie kopii zapasowej w chmurze może równocześnie zapobiegać wynoszeniu danych przez użytkownika końcowego – dla wygody – poza chmurę czy wesprzeć zarządzanie okresami retencji danych. Należy pamiętać, że jeśli rozwiązanie będzie wykorzystywane do przetwarzania danych osobowych, konieczne będzie także podpisanie umowy powierzenia przetwarzania danych osobowych.
Ukryte koszty w rozwiązaniu SaaS?
Należy dokładnie prześledzić umowę z dostawcą pod kątem wszelkich dodatkowych kosztów, które mogą wiązać się z korzystaniem z usługi. Przy okazji warto również przeanalizować opcję „wyjścia”, czyli warunki zakończenia umowy z dostawcą, w szczególności w kontekście ryzyka tzw. vendor lock‑in.
Co jeśli dostawca nie spełni warunków umowy?
Jednym z najczęściej stosowanych mechanizmów jest tzw. kredyt serwisowy – specjalna zniżka na subskrypcję usługi w kolejnych okresach. Warto ustalić, jakie są warunki brzegowe ubiegania się o taką rekompensatę oraz w jakich przypadkach możliwe będzie wypowiedzenie umowy
