Umowa przetwarzania w chmurze

Umowa przetwarzania w chmurze w Polsce to umowa regulująca korzystanie z usług chmury obliczeniowej (cloud computing), w ramach której dostawca usług chmurowych (Cloud Service Provider — CSP) udostępnia klientowi zasoby obliczeniowe, sieciowe i magazynowe przez internet, a klient uiszcza wynagrodzenie najczęściej w modelu płatności za faktyczne zużycie (pay-as-you-go) lub w formie subskrypcji.

Usługi chmurowe dzielą się na trzy główne modele. IaaS (Infrastructure as a Service) — dostawca dostarcza wirtualną infrastrukturę (maszyny wirtualne, sieci, pamięć masową), a klient zarządza systemami operacyjnymi, aplikacjami i danymi. PaaS (Platform as a Service) — dostawca dostarcza platformę do tworzenia i wdrażania aplikacji, eliminując konieczność zarządzania infrastrukturą. SaaS (Software as a Service) — dostawca dostarcza gotowe aplikacje przez internet, a klient korzysta z nich bez konieczności instalacji i zarządzania infrastrukturą.

Pod względem prawnym umowa przetwarzania w chmurze jest umową nienazwaną zawieraną na podstawie zasady swobody umów (art. 353[1] Kodeksu cywilnego — ustawa z dnia 23 kwietnia 1964 r., Dz.U. 1964 nr 16 poz. 93 ze zm.). W zakresie nieuregulowanym stosuje się odpowiednio przepisy o zleceniu (art. 734 i n. w zw. z art. 750 Kodeksu cywilnego). Dostawca świadczy usługi z należytą starannością ocenianą z uwzględnieniem zawodowego charakteru działalności (art. 355 § 2 Kodeksu cywilnego).

Kluczowym elementem prawnym umowy chmurowej jest uregulowanie przetwarzania danych osobowych. Jeżeli klient korzysta z chmury do przetwarzania danych osobowych (klientów, pracowników, kontrahentów), klient jest administratorem danych w rozumieniu rozporządzenia (UE) 2016/679 (RODO), a dostawca chmury — podmiotem przetwarzającym (procesorem). Zgodnie z art. 28 RODO powierzenie przetwarzania wymaga zawarcia umowy DPA (Data Processing Agreement) określającej przedmiot, czas, charakter i cel przetwarzania, rodzaj danych, kategorie osób, środki bezpieczeństwa (art. 32 RODO) i zasady subprocesowania. Nadzór sprawuje Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Lokalizacja danych jest jednym z najistotniejszych zagadnień umowy chmurowej. Przekazywanie danych osobowych do państw trzecich poza Europejskim Obszarem Gospodarczym (EOG) wymaga stosownych zabezpieczeń wynikających z art. 46 RODO, takich jak standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską lub inne zatwierdzone mechanizmy transferu. Dla podmiotów regulowanych (banki, zakłady ubezpieczeń, operatorzy usług kluczowych) lokalizacja danych w Polsce lub UE może być wymogiem ustawowym.

Parametry SLA w umowie chmurowej określają gwarantowany poziom dostępności infrastruktury (np. 99,95% miesięcznie), parametry odtwarzania po awarii: RTO (Recovery Time Objective — czas przywrócenia usługi) i RPO (Recovery Point Objective — maksymalna utrata danych), okno serwisowe i czasy powiadamiania o planowanych przerwach. Naruszenie gwarantowanej dostępności skutkuje kredytami SLA — karą umowną za zobowiązanie niepieniężne (art. 483 Kodeksu cywilnego).

Umowa przetwarzania w chmurze w Polsce jest potrzebna wówczas, gdy przedsiębiorca lub instytucja przenosi systemy informatyczne lub dane do zewnętrznej infrastruktury chmurowej.

Migracja systemu do chmury (lift and shift). Przedsiębiorstwo przenoszące istniejące aplikacje i dane z własnych serwerów do infrastruktury chmurowej (IaaS) zawiera umowę regulującą dostęp do zasobów, lokalizację danych w EOG, SLA i rozliczenie pay-as-you-go.

Uruchomienie nowych aplikacji w chmurze. Organizacje wybierające chmurę jako podstawowe środowisko dla nowych aplikacji (cloud-native) zawierają umowę PaaS lub IaaS z dostawcą chmury, określając zasoby, model DevOps i zasady bezpieczeństwa.

Sektory regulowane — bankowość, ubezpieczenia, ochrona zdrowia. Instytucje finansowe objęte rozporządzeniem DORA i nadzorem Komisji Nadzoru Finansowego (KNF) zawierają umowy cloud z klauzulami wymaganymi przez DORA (art. 30): lokalizacja danych, audyt, exit strategy. Szpitale i przychodnie przetwarzające dane medyczne wymagają umów chmurowych zgodnych z RODO i przepisami o ochronie dokumentacji medycznej.

Operatorzy usług kluczowych (ustawa o KSC). Podmioty objęte ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa korzystające z chmury do przetwarzania danych krytycznych muszą zapewnić zgodność z wymogami bezpieczeństwa KSC, co nakłada wymogi na umowę z CSP.

Zarządzanie danymi pracowniczymi w HR w chmurze. Firmy korzystające z chmurowych systemów HR (Workday, SAP SuccessFactors) przetwarzające dane osobowe pracowników zawierają umowę chmurową z rozbudowaną klauzulą DPA (art. 28 RODO) z określeniem subprocesorów.

Backup i archiwizacja danych w chmurze. Przedsiębiorstwa przechowujące kopie zapasowe danych w chmurze zawierają umowę regulującą szyfrowanie kopii, lokalizację centrum danych, parametry RPO i procedurę odtwarzania danych.

Grupowe umowy ramowe (enterprise agreements). Duże organizacje i grupy kapitałowe korzystające z usług chmurowych na dużą skalę zawierają ramowe umowy enterprise z dostawcą (np. Microsoft EA, AWS Enterprise Agreement), które regulują zobowiązania dotyczące lokalizacji danych, RODO i bezpieczeństwa dla całej grupy.

Umowa przetwarzania w chmurze w Polsce powinna zawierać następujące elementy.

Oznaczenie stron. Pełne dane klienta (administratora danych) i dostawcy chmury: firma, adres, NIP, KRS lub CEIDG, dane rejestrowe zagranicznego dostawcy, dane kontaktu technicznego.

Model usług i zakres zasobów. Dokładny opis modelu usług (IaaS, PaaS, SaaS), dostępnych zasobów (vCPU, RAM, pamięć masowa, sieć), środowisk (produkcja, staging, deweloperskie), dozwolonych przypadków użycia i ograniczeń. forms-legal.com zaleca dołączenie szczegółowej specyfikacji usług (Service Description) jako załącznika.

Lokalizacja danych i zakaz transferu poza EOG. Precyzyjne wskazanie regionów i centrów danych, zakaz przetwarzania poza Europejskim Obszarem Gospodarczym bez pisemnej zgody klienta, mechanizmy transferu danych do krajów trzecich (standardowe klauzule umowne — art. 46 RODO).

Parametry SLA. Gwarantowana dostępność (np. 99,95%), RTO i RPO (plan ciągłości działania), okno serwisowe, czas powiadamiania o planowanych przerwach, kredyty SLA za naruszenie dostępności (art. 483 KC).

Powierzenie przetwarzania danych — DPA (art. 28 RODO). Przedmiot, czas i cel przetwarzania, rodzaj danych, kategorie osób, lista subprocesorów z procedurą powiadamiania o zmianach, środki bezpieczeństwa (art. 32 RODO), prawo do audytu (certyfikaty ISO 27001, SOC 2), usunięcie lub zwrot danych po zakończeniu, pomoc w realizacji praw osób, zgłaszanie naruszeń.

Bezpieczeństwo. Szyfrowanie danych w tranzycie (TLS 1.2+) i w spoczynku (AES-256), uwierzytelnianie wieloskładnikowe (MFA), kontrola dostępu oparta na rolach (RBAC), zarządzanie kluczami szyfrującymi (BYOK — Bring Your Own Key).

Model rozliczenia. Pay-as-you-go lub subskrypcja, szacowany budżet, VAT 23% (lub odwrotne obciążenie przy transakcjach B2B z zagranicznym dostawcą — art. 28b ustawy o VAT), termin płatności, odsetki za opóźnienie (art. 481 KC).

Exit strategy. Procedura zakończenia umowy, eksport danych klienta w standardowym formacie, termin usunięcia danych przez dostawcę (art. 28 ust. 3 lit. g RODO), okres przejściowy.

Odpowiedzialność. Limit odpowiedzialności dostawcy, wyłączenia, zakaz wyłączenia odpowiedzialności za szkodę umyślną (art. 473 § 2 KC).

Umowa przetwarzania w chmurze w Polsce wypełniana jest według poniższych kroków zapewniających zgodność z RODO i Kodeksem cywilnym.

Krok 1 — oznacz strony. Wpisz pełne dane klienta i dostawcy chmury. Dla zagranicznych dostawców (np. Microsoft, AWS, Google) podaj adres europejskiej jednostki zawierającej kontrakt i jej numer VAT UE.

Krok 2 — opisz model usług. Wskaż model (IaaS/PaaS/SaaS) i dokładny zakres zasobów: liczba vCPU, RAM, rozmiar pamięci masowej, dostępne usługi zarządzane. Dołącz Service Description jako Załącznik nr 1.

Krok 3 — określ lokalizację danych. Wpisz regiony i centra danych, w których przetwarzane są dane. Wskaż zakaz przekazywania danych poza EOG bez zgody lub podstawę prawną transferu (standardowe klauzule umowne — art. 46 RODO).

Krok 4 — ustal parametry SLA. Wpisz gwarantowaną dostępność (np. 99,95%), RTO i RPO, okno serwisowe i sposób powiadamiania o przerwach. Wskaż kredyty SLA za naruszenie dostępności (art. 483 KC).

Krok 5 — ureguluj DPA (RODO). Wpisz warunki powierzenia przetwarzania: zakres danych, listę subprocesorów, środki bezpieczeństwa, prawo do audytu i warunki usunięcia danych po zakończeniu umowy. Jeżeli dostawca ma gotowe DPA, dołącz je jako Załącznik nr 2.

Krok 6 — ustal model rozliczenia. Wpisz model płatności (pay-as-you-go lub subskrypcja), szacowany budżet, stawkę VAT 23% i termin płatności. Sprawdź, czy transakcja z zagranicznym dostawcą podlega odwrotnemu obciążeniu VAT (art. 28b ustawy o VAT).

Krok 7 — ureguluj bezpieczeństwo. Wskaż standardy szyfrowania (TLS, AES-256), MFA i certyfikaty bezpieczeństwa wymagane od dostawcy (ISO 27001, SOC 2).

Krok 8 — określ exit strategy. Wpisz procedurę eksportu danych przy zakończeniu umowy, termin usunięcia danych przez dostawcę i format eksportu.

Krok 9 — podpisz umowę. Wpisz miejscowość i datę. Podpisz w dwóch egzemplarzach lub z kwalifikowanym podpisem elektronicznym (art. 78[1] Kodeksu cywilnego).

Umowa przetwarzania w chmurze w Polsce podlega rozbudowanemu reżimowi regulacyjnemu — RODO, ustawie o KSC, DORA i Kodeksowi cywilnemu.

RODO — powierzenie przetwarzania. Art. 28 rozporządzenia (UE) 2016/679 (RODO) wymaga zawarcia umowy DPA między administratorem (klientem) a podmiotem przetwarzającym (dostawcą chmury). DPA musi zawierać: przedmiot, czas, charakter i cel przetwarzania, rodzaj danych, kategorie osób, zobowiązanie do poufności, środki bezpieczeństwa (art. 32), zasady subprocesowania z listą subprocesorów, pomoc administratorowi w realizacji praw osób (art. 15–22 RODO), umożliwienie audytów i inspekcji (art. 28 ust. 3 lit. h), zgłaszanie naruszeń (art. 33), usunięcie lub zwrot danych po zakończeniu. Naruszenie art. 28 RODO może skutkować karami ze strony PUODO.

Transfer danych do krajów trzecich. Art. 46 RODO reguluje przekazywanie danych osobowych do krajów trzecich poza EOG. Podstawą transferu mogą być standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską, Binding Corporate Rules (BCR) lub odpowiednia decyzja Komisji o równoważności. Orzeczenie TSUE (Schrems II) unieważniło Privacy Shield — należy stosować SCC z suplementem dotyczącym oceny transferu (TIA).

Ustawa o KSC. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560) nakłada wymogi bezpieczeństwa na operatorów usług kluczowych korzystających z usług chmurowych. Nowe przepisy implementujące NIS2 mogą rozszerzyć krąg podmiotów i zaostrzyć wymogi.

DORA — sektor finansowy. Rozporządzenie (UE) 2022/2554 (DORA) nakłada na instytucje finansowe obowiązek stosowania w umowach z dostawcami ICT (w tym chmury) klauzul wymaganych przez art. 30 DORA: opis usług, poziomy usług, lokalizacja danych, prawo do audytu, exit strategy. Kluczowi zewnętrzni dostawcy chmury mogą być wyznaczeni przez europejskie organy nadzoru jako CTPP i objęci bezpośrednim nadzorem regulacyjnym. W Polsce nadzór sprawuje KNF.

Odpowiedzialność kontraktowa. Dostawca odpowiada na zasadach art. 471 Kodeksu cywilnego. Strony mogą ograniczyć odpowiedzialność, lecz nie mogą wyłączyć odpowiedzialności za szkodę wyrządzoną umyślnie (art. 473 § 2). Kredyty SLA za naruszenie dostępności są karą umowną za zobowiązanie niepieniężne (art. 483).

Podatki. Usługi chmurowe świadczone przez zagranicznych dostawców (np. AWS, Azure, GCP) na rzecz polskich przedsiębiorców rozliczane są na zasadach importu usług: klient rozlicza VAT w Polsce w ramach odwrotnego obciążenia (art. 28b ustawy o VAT). Lokalni dostawcy naliczają VAT 23%. Krajowy System e-Faktur (KSeF) będzie obejmował faktury za usługi krajowe.

Umowa przetwarzania w chmurze w Polsce bywa wadliwa z powodu typowych błędów.

Błąd 1 — brak lub niekompletne DPA. Korzystanie z chmury do przetwarzania danych osobowych bez umowy powierzenia zgodnej z art. 28 RODO narusza przepisy. Zalecenie: zawrzyj pełne DPA spełniające wymogi art. 28 ust. 3 RODO lub przyjmij DPA dostawcy po zweryfikowaniu jego zgodności z RODO.

Błąd 2 — brak regulacji lokalizacji danych. Umowy bez wskazania regionów przetwarzania danych i zakazu transferu poza EOG narażają klienta na niezgodność z RODO. Zalecenie: wskaż precyzyjnie regiony i centra danych oraz mechanizm transferu do krajów trzecich (standardowe klauzule umowne — art. 46 RODO).

Błąd 3 — brak parametrów RTO i RPO. SLA bez parametrów odtwarzania po awarii nie chroni ciągłości biznesowej. Zalecenie: ustal RTO (czas przywrócenia usługi) i RPO (maksymalna utrata danych), powiązując je z kredytami SLA.

Błąd 4 — brak listy subprocesorów. Art. 28 ust. 2 RODO wymaga zgody administratora na subprocesowanie. Brak listy subprocesorów i mechanizmu powiadamiania narusza RODO. Zalecenie: wymagaj listy subprocesorów i procedury 30-dniowego powiadamiania o zmianach z prawem do sprzeciwu.

Błąd 5 — brak klauzuli exit strategy. Brak procedury eksportu danych i ich usunięcia przez dostawcę po zakończeniu umowy (art. 28 ust. 3 lit. g RODO) naraża klienta na vendor lock-in i niezgodność z RODO. Zalecenie: określ format eksportu danych, termin eksportu i termin usunięcia danych przez dostawcę.

Błąd 6 — pominięcie specyfiki podatkowej transakcji transgranicznych. Klienci nierozliczający VAT w ramach odwrotnego obciążenia przy zakupie usług od zagranicznego dostawcy naruszają przepisy podatkowe. Zalecenie: skonsultuj traktowanie VAT przy transakcjach z niepolskim dostawcą chmury (art. 28b ustawy o VAT).

Błąd 7 — brak prawa do audytu. Umowy bez prawa klienta do audytu zgodności bezpieczeństwa dostawcy naruszają art. 28 ust. 3 lit. h RODO. Zalecenie: zapewnij prawo do audytu — bezpośredniego lub przez zaakceptowane certyfikaty (ISO 27001, SOC 2 Type II).