Odpovědnost za ztrátu dat poskytovatele hostingu či cloudu
Autor: JUDr. Lukáš Jansa | Vloženo: 10. 12. 2012 17:38 | Přečteno: 7715XKaždý uživatel služeb Cloud Computingu či jakékoliv formy outsourcingu IT (dále také jen SW služby, softwarové nebo cloudové služby) nebo hostingu, ať už firma nebo jedinec, řeší vedle bezpečnosti dat také otázku odpovědnosti za jejich ztrátu. Ztráta dat může způsobit uživateli značné škody a proto je třeba při sjednávání hostingu dbát zvlášť zvýšené opatrnosti. Následující článek se bude věnovat pouze ztrátě dat na straně poskytovatele hostingu či softwarových služeb, nikoliv v důsledku ztráty při přenosu dat z datového centra k uživateli.
Odpovědnost poskytovatele
Odpovědnost za škodu může vzniknout v důsledku ztráty dat způsobené jak úmyslně (zaměstnance poskytovatele), tak nedbalostně (krádež dat v důsledku nedostatečného zabezpečení serveru proti krádeži či hackingu) či v důsledku objektivních skutečností (nebezpečí živelné události).
Objednatel je oprávněn se domáhat odpovědnosti za škodu způsobenou ztrátou dat vůči následujícím osobám:
- přímo vůči poskytovateli cloudu, který současně poskytuje i hostingové služby (v rámci vlastního hostingového centra) nebo nepřímo (v rámci svého dodavatele – poskytovatele hostingových služeb).
- přímo vůči poskytovateli hostingových služeb (tj. datacentru), pokud má uživatel uzavřenou samostatnou smlouvu s poskytovatelem hostingu na straně jedné a s poskytovatelem SW služeb na straně druhé.
Pokud poskytovatel SW služeb poskytuje hostingové služby svému zákazníkovi, ačkoliv má tyto služby poskytované datacentrem, pak se nemůže zbavit své odpovědnosti poukazem na to, že služby de facto poskytovala třetí osoba (partnerské datacentrum), a to vzhledem k § 375 obchodního zákoníku. Taková odpovědnost by musela být smluvně vyloučena.
Obecně vzato platí, čím měně subjektů na straně poskytovatele a čím větší a osvědčenější poskytovatel, tím menší riziko ztráty dat.
Smluvní úprava odpovědnosti za ztrátu dat
Klíčovou pro poskytovatele i uživatele je samozřejmě úprava smlouvy a odpovědnosti za ztrátu dat. V právním slova smyslu jde o odpovědnost za porušení smluvních povinností (resp. za vady), jejímž následkem je vznik odpovědnosti za škodu.
Smlouva o poskytování cloudových, resp. hostingových služeb, by měla zásadně upravit následující typy odpovědnosti (a v jejich rámci i konkrétní povinnosti):
- odpovědnost za ztrátu dat při migraci – migrace v rámci cloudu probíhá jednak na počátku vztahu, kdy uživatel přesunuje svá data do cloudového uložiště a jednak při ukončení vztahu, kdy je nutné data přesunout zpět k uživateli nebo k jinému poskytovateli hostingových služeb. Smlouva by tak měla obsahovat odpovědnost za jakoukoliv ztrátu dat, pokud tato odpovědnost není na poskytovateli datového přenosu. Úprava této odpovědnosti není vždy nutná a je vhodná tam, kde k přenosu dat opravdu dochází.
- odpovědnost za bezpečnost dat – tzn. odpovědnost za jejich ztrátu v důsledku jednání zaměstnanců či třetích osob, nebo přírodních živlů či průniku virů, odpovědnost za pozměnění a zneužití.
- odpovědnost za zpřístupňování dat uživateli - odpovědnost za zpřístupnění se projeví zejména následkem měření dostupnosti. Pod tuto kategorii lze zahrnout i blokování dat ať už samotným poskytovatelem nebo např. orgány státní správy v důsledku jejich výkonu státní moci nebo soudního rozhodnutí (např. případ Megaupload).
- odpovědnost o umístění dat – tzn. ve kterém hostingovém centru se data nachází a povinnost vyžádat si souhlas, pokud by data měly být migrována do jiného datového centra. Tyto informace jsou podstatné zejména z pohledu omezení dispozice s daty charakteru osobních údajů. Je vhodné si současně sjednat, aby uživatel by spraven o tom (resp. dal souhlas), pokud by měla být data uložena u třetí osoby nebo v průběhu času migrovat do jiných datových center. Uživatel by měl mít vždy znalost, kde se „jeho data“ nachází, ve kterém datovém centru jsou uloženy. Běžně se stává, že je hostingová služba poskytovatelem nabízena aniž by uživatel byl informován o tom, že poskytovatel nedisponuje vlastním hostingovým centrem a že tyto služby si sjednává u jiných poskytovatelů.
- odpovědnost za škodu – samozřejmě následkem porušení konkrétních povinností v rámci shora uvedených typů odpovědnosti může uživateli vzniknout značná škoda v podobě skutečné škody a ušlého zisku.
Smluvní pokuta při ztrátě dat
Ve smlouvě lze samozřejmě sjednat za ztrátu dat v důsledku porušení smluvních povinností poskytovatele smluvní pokutu. Tato smluvní pokuta by měla být vždy přiměřená ve vztahu k možným následkům, stejně jako výše uvedená limitace náhrady škody.
V tomto směru je nutné zkoumat ke kterému porušení povinnosti je smluvní pokuta vázána a zda byly splněny všechny podmínky pro její uplatnění. Samozřejmě lze očekávat, že Poskytovatel hostingu se smluvní pokutě brání s odvoláním na neodpovědnost za ztrátu dat nebo jejich zneužití s v důsledku možného jednání uživatele, providera, s odvoláním na splnění všech bezpečnostních pravidel a povinností při poskytování datového prostoru atd. Už jen z těchto důvodů je třeba klást při smluvním vymezení smluvní pokuty a odpovědnosti za škodu vysoké nároky na důslednost úpravy a případných výluk z odpovědnosti za škodu a za splnění povinností podřízených smluvní pokutě. Podstatná je i dostatečná definice povinností poskytovatele, které slouží právě k zajištění bezpečnosti dat a jsou opatřením proti jejich ztrátě.
Ještě je nutné dodat, že ve smyslu § 545 občanského zákoníku není oprávněn uživatel požadovat náhradu škody způsobené porušením povinnosti, na kterou se vztahuje smluvní pokuta, jestliže ze smlouvy nevyplývá něco jiného. Uživatel je však oprávněn domáhat se náhrady škody přesahující smluvní pokutu, jen když to je smluvními stranami dohodnuto.
Dle § 301 obchodního zákoníku pak dále platí, že nepřiměřeně vysokou smluvní pokutu může soud snížit s přihlédnutím k hodnotě a významu zajišťované povinnosti, a to až do výše škody způsobené do doby rozhodnutí soudu.
Limitace náhrady škody a náhrada pouze předvídatelné škody
Často slyším na seminářích a konferencích dotazy typu: Jak může naše společnost poskytující hosting či virtuální servery odpovídat za ztrátu dat, o nichž neměla ani tušení a jaká je výše naší odpovědnosti za škody způsobené případnou ztrátou dat.
Obecně lze říci, že poskytovatel se snaží maximálně limitovat svou odpovědnost za ztrátu dat a tím i za škodu, a to většinou prostým ustanovením „poskytovatel neodpovídá za ztrátu dat“. Toto ustanovení však lze považovat ve vztahu k odpovědnosti za škodu za neplatné, a to vzhledem k § 386 obchodního zákoníku, kdy se nelze zbavit odpovědnosti za škodu zcela, zejména ne odpovědnosti za škodu způsobenou úmyslně.
V tomto smyslu lze poskytovatelům hostingových služeb doporučit limitaci náhrady škody vyloučením odpovědnosti za ušlý zisk a limitací náhrady skutečné škody konkrétní částkou, např. součtem poplatků za hostingové služby za určité období. Limitace náhrady škody je přípustná v souladu s § 386 obchodního zákoníku.
Nicméně na druhé straně bude vždy konkurenční výhodou konkrétního poskytovatele i odpovědnost za škodu, která není limitována v maximální výši, ale např. do určité přiměřené částky nebo kdy je pro případ porušení konkrétních povinností sjednána smluvní pokuta ve prospěch uživatele.
Důležitým ustanovením je § 374 obchodního zákoníku, který stanoví povinnost nahrazovat pouze tzv. předvídatelnou škodu, tzn. škodu, která nevznikla v důsledku okolností vylučujících jeho odpovědnost za škodu. Ve smyslu platné judikatury, pak lze za nepředvídatelnou škodou „považovat takovou škodu, jejíž vznik nemohla povinná strana předvídat s přihlédnutím ke všem skutečnostem, které znala nebo měla při obvyklé péči znát v době vzniku závazkového vztahu a právem se tedy domnívala, že z porušení povinnosti, kterého se dopustila, taková škoda vzniknout nemůže.“ Laicky řečeno, pokud by poskytovatel hostingu byl si vědom „důležitosti“ dat uložených na jeho serveru a jejich významu pro uživatele a předpokládal, že může dojít např. nedostatečným zabezpečením serverů k jejich ztrátě, pak za takovou škodu bude odpovídat. Samozřejmě v limitech sjednaných ve smlouvě. Tato předvídatelnost bude vždy posuzována individuálně ve vztahu ke konkrétnímu porušení smluvní povinnosti v důsledku okolnosti vylučující jeho odpovědnost za škodu.
Lze tedy konstatovat, že absolutní vyloučení odpovědnosti za škodu způsobenou porušením smluvní povinnosti, jejímž následkem byla ztráta dat, je v rozporu se zákonem a tedy neplatné. Proto lze doporučit poskytovateli hostingu rozumnou míru limitace náhrady škody, a to s přihlédnutím k předvídatelnému negativnímu následku ztráty dat pro uživatele, závažnosti porušení povinností a výši úplaty za hosting. Je na jedné straně absurdní, aby požadovat uživatel neomezenou odpovědnost za škodu ve vztahu k datům, o jejichž hodnotě nemá poskytovatel služeb datového centra ani ponětí. Na straně druhé je zase nepřiměřené limitovat náhradu škody takovým způsobem, který prakticky zcela zbavuje poskytovatele odpovědnosti za škodu.
Trestněprávní odpovědnost
Poskytovatel hostingu nese rovněž trestněprávní odpovědnost, a to jak za úmyslný trestný čin, tak za nedbalostní, pokud by v důsledku takového jednání došlo ke ztrátě dat. Odpovědnost by dopadla jednak na právnickou osobu poskytovatele ve smyslu zákona o trestní odpovědnosti právnických osob, a také na konkrétní osobu, která by ztrátu dat způsobila.
V § 230 trestního zákoníku se říká, že kdo úmyslně získá přístup k počítačovému systému nebo k nosiči informací a:
- neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací,
- data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými,
- padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo
- neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat,
bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
Podle následků do majetkové sféry uživatele se pak trest odnětí svobody stupňuje až na 8 let.
Naopak § 232 trestní zákoníku dopadá na toho, kdo z hrubé nedbalosti porušením povinnosti smluvně převzaté
- data uložená v počítačovém systému nebo na nosiči informací zničí, poškodí, pozmění nebo učiní neupotřebitelnými, nebo
- učiní zásah do technického nebo programového vybavení počítače nebo jiného technického zařízení pro zpracování dat,
a tím způsobí na cizím majetku značnou škodu, bude potrestán odnětím svobody až na šest měsíců (dle škody až na dva roky), zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
Jak minimalizovat riziko ztráty dat uživatelem?
Minimalizovat riziko ztráty dat lze několika postupy:
- „správnou volbou osvědčeného“ poskytovatele hostingu, přičemž toto manažerské rozhodnutí je vždy závislé na dostupných informacích, srovnání stávající a očekávané a zejména garantované bezpečnosti zajištění dat;
- dostatečnou smluvní úpravou odpovědnosti za ztrátu dat a odpovědnosti za škodu, zejména pak smluvní úpravou (resp. kontrolou) bezpečnosti zajištění serverů, na nichž jsou data umístěna, a to požadavkem na ochranu před fyzickým poškozením serveru (např. vlivem přírodních živlů), před jejich odcizením (zabezpečení budovy), přístupem vlastních osob poskytovatele (kamerový dohled) nebo průnikem zvenčí datovou sítí (ochrana před hackery, viry apod.).
- redundancí dat, tj. ukládáním dat do záložního uložiště, na vlastní servery nebo u jiného poskytovatele hostingu či jiného datového centra stejného poskytovatele, či jejich pravidelným zálohováním.
Závěr
Odpovědnost za škodu a limitace její náhrady jsou ve vztahu k možné ztrátě dat v rámci poskytování hostingových a softwarových služeb velmi problematickým tématem jak pro uživatele, tak pro poskytovatele. Nejen v této oblasti je nutné hledat přijatelný kompromis odpovídající míře přijatelného rizika. Takový kompromis musí být odpovídajícím způsobem promítnut do smluvní úpravy. Proto je třeba vždy dostatečně smluvně upravit odpovědnost za zabezpečení serverů a na to navazující odpovědnost za ztrátu dat a způsobenou škodu.
Autor: JUDr. Lukáš Jansa, advokát, email: jansa@lawyer.cz
Autor působí jako advokát v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři v.o.s., kde se zabývá zejména obchodním právem, právem informačních technologií, problematikou pracovněprávních vztahů v oblasti IT a internetovým právem. Autor publikuje z oblasti IT a přednáší IT firmám z oblasti práva informačních technologií a je spoluautorem odborné publikace "Softwarové právo".