Zabezpieczenie interesów w umowie z dostawcą usług IT, w tym usług chmurowych, wymaga szczególnej uwagi co do zapisów dotyczących odpowiedzialności, bezpieczeństwa danych, dostępności usług i zgodności z prawem.
Oto kluczowe elementy, na które warto zwrócić uwagę przed zawarciem umowy:
Zakres usług
Przede wszystkim należy precyzyjnie określić przedmiot umowy, w tym zakres usług. Warto określić w umowie minimalny poziom jakości usług, np. dostępność systemu (np. 99%) oraz czas reakcji na awarie.
Bezpieczeństwo danych
Biorąc pod uwagę standardy bezpieczeństwa można wymagać, aby dostawca stosował uznane standardy bezpieczeństwa, np. ISO 27001 lub NIST. Warto zapewnić sobie szyfrowanie danych i częstotliwość wykonywania kopii zapasowych danych oraz to, w jakim czasie po awarii będą one przywracane.
Ochrona danych osobowych
Jeśli dostawca przetwarza dane osobowe w Twoim imieniu, konieczna jest umowa o powierzenie danych osobowych zgodna z RODO. Umowa powinna obejmować takie zagadnienia jak – cel i zakres przetwarzania danych, obowiązki dostawcy i możliwość przeprowadzania audytów zgodności.
Należy ustalić, gdzie fizycznie znajdują się serwery, ponieważ dane mogą podlegać różnym przepisom prawa w zależności od kraju ich przechowywania.
Odpowiedzialność i odszkodowania
Należy zwracać uwagę na limity odpowiedzialności, które podlegają negocjacjom, gdyż klauzule umowne mogą znacznie ograniczać odpowiedzialność dostawcy.
W razie pojawienia się szkód, warto przewidzieć odpowiedzialność dostawcy za szkody spowodowane utratą danych, przestojów systemu lub naruszenia bezpieczeństwa.
Dostępność i awarie
W umowie można wynegocjować maksymalny czas na przywrócenie działania systemu po awarii (Recovery Time Objective, RTO) oraz obowiązek dostawcy obejmujący przedstawianie raportów o stanie usług i informowanie o problemach na bieżąco.
Kontrola i audyty
W umowie można ustalić możliwość przeprowadzania audytów bezpieczeństwa oraz częstotliwość raportowania przez dostawcę zgodności z umową i standardami bezpieczeństwa.
Prywatność i przechowywanie danych
W umowie powinno się znaleźć uzgodnienie dotyczące dostępu do danych w każdym czasie, sposobu postępowania z danymi po zakończeniu współpracy i zasad przenoszenia danych do innego dostawcy.
Rozwiązania umowy i migracja danych
Ważnym elementem umowy jest ustalenie dotyczące sytuacji, kiedy każda ze stron może rozwiązać umowę. Warto wymagać, aby dostawca wspierał proces migracji danych w przypadku zakończenia współpracy i określić należy, jak długo będą świadczone usługi po rozwiązaniu umowy, by umożliwić płynne przejście do nowego dostawcy.
Postanowienia końcowe w umowie
W postanowieniach końcowych umowy zwykle określone jest prawo właściwe, które będzie regulować umowę oraz sądy właściwe do rozstrzygania sporów, co jest szczególnie istotne w przypadku dostawców zagranicznych.
Warto zadbać o to, aby dostawca posiadał odpowiednie ubezpieczenie od odpowiedzialności cywilnej i aby zobowiązał się do zachowania w poufności danych i informacji biznesowych (tajemnica przedsiębiorstwa).
W razie wątpliwości warto rozważyć przed podpisaniem umowy konsultację jej treści z prawnikiem.
Stan na dzień: 4 luty 2025 roku
Zdjęcie: freepik.com
Cyberlaw by Judyta 