Kto zodpovedá za nelegálny obsah, čo sa v cloude objaví? Aká je zodpovednosť providera v prípade úniku citlivých údajov? Kedy môže zákazník žiadať náhradu ušlého zisku? Kde sa končí zodpovednosť poskytovateľa cloudu a za čo nesie zodpovednosť používateľ = zákazník? To sú otázky, s ktorými sa stretáva každý poskytovateľ cloudových služieb. Všeobecná odpoveď znie: Súlad s dodržiavaním príslušných obchodných noriem a platných zákonov je v zásade povinnosťou oboch strán. Čo to ale znamená?

Hovoríme o takzvanom modeli zdieľanej zodpovednosti. Obojstranný zmluvný vzťah znižuje záťaž zákazníka, keďže Cloud Service Provider (CSP) prevádzkuje, spravuje a kontroluje komponenty hostiteľského operačného systému a virtualizačnej vrstvy až po fyzické zabezpečenie zariadení, na ktorých služba cloudu funguje. Zákazník naopak preberá zodpovednosť a správu hostovaného operačného systému, vrátane aktualizácií a bezpečnostných záplat, a ďalšieho súvisiaceho aplikačného softvéru.

Takéto rozdelenie sa označuje ako Security OF the Cloud a Security IN the Cloud.

Security OF the Cloud

CSP je zodpovedný za ochranu infraštruktúry, na ktorej bežia všetky poskytované služby. Infraštruktúra je zložená z hardvéru, softvéru, sietí a zariadení, na ktorých sú cloudové služby prevádzkované.

Security IN the Cloud

Zákazník je zodpovedný za správu, obsah a legálnosť svojich údajov, platforiem, aplikácií, klasifikáciu svojich aktív a adekvátne používanie nástrojov na uplatňovanie príslušných oprávnení a prístupov. Presné vedenie hranice medzi zodpovednosťou zákazníka a CSP závisí najmä od konkrétneho zvoleného obchodného modelu (IaaS, PaaS alebo SaaS).

Kto zodpovedá za nelegálny obsah, nahratý v cloude?

V zmysle tzv. modelu zdieľanej zodpovednosti zodpovedá za legálnosť obsahu výlučne zákazník. CSP nemá reálnu technickú možnosť kontrolovať a ovplyvniť obsah, nahratý v cloude, keďže za štandardných okolností nemá prístup k nahratému obsahu. Za nelegálny obsah pritom považujeme akékoľvek súbory, aplikácie, dokumenty, audio a video, software či iné digitálne položky, ktorých držba či vytváranie kópií je v rozpore s právnym poriadkom riadiacim zmluvný vzťah medzi CSP a zákazníkom. Môže ísť napríklad o porušovanie práv duševného vlastníctva (najmä autorských práv), práv na ochranu osobnosti či dokonca o detskú pornografiu.

Výslovné vylúčenie zodpovednosti CSP v obdobných prípadoch obsahujú zmluvné podmienky pravdepodobne všetkých relevantných CSP. Takéto vylúčenie zodpovednosti CSP je aj v súlade s tzv. výnimkou „mere conduit“ (obyčajný kanál), upravenou v slovenskom zákone o elektronickom obchode a v európskej smernici o elektronickom obchode,[1] ktoré sa na poskytovanie cloudových služieb vzťahujú[2]. Jedinou výnimkou v tomto ohľade je situácia, keď sa CSP dozvedel o nelegálnosti obsahu ukladaného v cloude alebo mu odstránenie obsahu nariadil súd. V takých prípadoch sa dokonca musí zákazník zodpovedať smerom k CSP, najmä ak by došlo k ohrozeniu reputácie či dobrej povesti CSP.

[1] Pozri § 6 zákona č. 22/2004 Z. z. o elektronickom obchode v platnom znení. Pozri aj čl. 12 smernice Európskeho parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode).
[2] Podľa § 2 ods. 1 zákona č. 22/2004 Z. z. o elektronickom obchode službou informačnej spoločnosti je služba poskytovaná na diaľku počas spojenia elektronických zariadení elektronickou komunikačnou sieťou spravidla za úhradu na žiadosť príjemcu služby informačnej spoločnosti, najmä komerčná komunikácia, spracovanie, prenos, uchovávanie, vyhľadávanie alebo zhromažďovanie dát a elektronická pošta okrem osobnej elektronickej pošty.

Aká je zodpovednosť CSP v prípade, že nastane bezpečnostný incident týkajúci sa aj úniku citlivých osobných údajov?

Z hľadiska GDPR je zákazník v postavení prevádzkovateľa a poskytovateľ cloudu v postavení sprostredkovateľa. (Tento predpoklad nemusí platiť vždy, to je však iná téma, ku ktorej sa vrátime neskôr.) Voči dotknutým osobám, ktorých osobné údaje v dôsledku bezpečnostného incidentu unikli, zodpovedá primárne zákazník. CSP by zodpovedal, pravdepodobne popri zákazníkovi, len ak by si nesplnil povinnosti, ktoré GDPR ukladá výslovne sprostredkovateľom, alebo ak by konal nad rámec či v rozpore s legálnymi pokynmi zákazníka. V praxi to znamená, že ak si CSP riadne plní všetky svoje povinnosti, na ktoré sa zaviazal v zmluve so zákazníkom, jeho zodpovednosť bude v dôsledku bezpečnostného incidentu nepravdepodobná. V tomto prípade predpokladáme konanie CSP s odbornou starostlivosťou. V režime GDPR je to najmä prijatie primeraných bezpečnostných opatrení podľa čl. 32 GDPR.

Akým spôsobom je riešená výška náhrady škody pri využívaní cloudu?

Zmluvné podmienky pravdepodobne všetkých relevantných CSP obsahujú tiež klauzulu o tzv. limitácií náhrady škody. Takáto limitácia (horná hranica) spravidla predstavuje súhrn zmluvných poplatkov, ktoré poškodený zákazník zaplatil CSP za posledných 6 alebo 12 mesiacov používania cloudových služieb. Aj podľa slovenského práva (Obchodného zákonníka) je možné zmluvne limitovať výšku predvídateľnej náhrady škody. Je však potrebné zdôrazniť, že táto klauzula sa uplatňuje len tam, kde CSP skutočne zodpovedá za škodu, nakoľko samotná skutočnosť, že zákazník využíval alebo nevyužíval cloud, nezakladá žiadny nárok zákazníka na náhradu škody proti CSP.

A čo ušlý zisk? Môže zákazník od CSP žiadať náhradu ušlého zisku v dôsledku napríklad nemožnosti využívať cloudové služby v prípade výpadku služby?

Vo všeobecnosti platí, že ušlý zisk – ako druhá zo zákonom predpokladaných foriem škody popri tzv. skutočnej – je ujmou vtedy, keď u poškodeného nedošlo v dôsledku škodnej udalosti k rozmnoženiu majetkových hodnôt, hoci sa to s ohľadom na pravidelný beh vecí dalo očakávať. Ušlý zisk sa teda neprejavuje zmenšením majetku poškodeného (úbytkom aktív, ako je to u skutočnej škody), ale stratou očakávaného prínosu (výnosu). Nepostačí pritom len pravdepodobnosť rozmnoženia majetku, ale musí byť naisto postavené, že pri pravidelnom behu vecí (nebyť protiprávneho konania škodcu alebo škodnej udalosti) mohol poškodený dôvodne očakávať zväčšenie svojho majetku, ku ktorému nedošlo práve v dôsledku konania škodcu (škodnej udalosti).

Ak by aj tieto podmienky v prípade načrtnutom v otázke boli splnené, stále musí byť naplnená aj základná podmienka, že CSP zodpovedá za škodu (ako sme zdôraznili už v odpovedi na predchádzajúcu otázku). Navyše, obvykle je výška náhrady škody pri poskytovaní cloudových služieb zmluvne limitovaná a ušlý zisk zákazníka zrejme nebude spadať pod tzv. predvídateľný rozsah potenciálnej škody.

Pri zbežnom nahliadnutí do zmluvnej dokumentácie relevantných CSP zistíme, že nárok na náhradu ušlého zisku býva aj výslovne vylúčený. Samozrejme, aj tu platia zákonné hranice prípustného vylúčenia či obmedzenia zodpovednosti za škodu. Podľa slovenského práva totiž zodpovednosť za škodu, vrátane ušlého zisku, nie je možné vopred zmluvne vylúčiť, resp. ponechať len na symbolickej úrovni. Ak by teda boli splnené všetky zákonné podmienky zodpovednosti za škodu (vrátane príčinnej súvislosti, o ktorej sme ešte nehovorili) a zákazník by preukázal, koľko mu v dôsledku škodnej udalosti ušlo financií, napr. sumu konkrétnych takto zmarených obchodov, je možné, že prípadné rozhodovanie slovenského súdu by nemuselo prihliadať na zmluvné vylúčenie zodpovednosti za ušlý zisk a zákazníkovi by bol takýto nárok priznaný.

Tak sa pozrime bližšie na tú príčinnú súvislosť.

Ide o pomerne zložitú záležitosť. V právnej teórii sa vzťah príčinnej súvislosti (kauzálny nexus) označuje ako priama väzba javov (objektívnych súvislostí), v rámci ktorého jeden jav (príčina) vyvoláva druhý jav (následok). O vzťah príčinnej súvislosti ide, ak je medzi škodnou udalosťou a škodou vzťah príčiny a následku. Ak bola príčinou vzniku škody iná skutočnosť, zodpovednosť za škodu nenastáva.

Otázka príčinnej súvislosti nie je otázkou právnou, ale skutkovou, ktorá môže byť riešená len v konkrétnych súvislostiach. Pre posúdenie vzniku zodpovednosti za škodu má preto zásadný význam otázka, v čom konkrétne spočíva škoda (majetková ujma), za ktorú je náhrada požadovaná. Práve vo vzťahu medzi konkrétnou ujmou poškodeného (pokiaľ vznikla) a konkrétnym konaním škodcu (ak je protiprávne) sa zisťuje príčinná súvislosť. Pri zisťovaní príčinnej súvislosti je potrebné škodu izolovať zo všeobecných súvislostí a skúmať, ktorá príčina ju vyvolala. Pritom nie je rozhodujúce časové hľadisko, ale vecná súvislosť príčiny a následku; časová súvislosť ale napomáha pri posudzovaní vecnej súvislosti. V postupnom slede javov je každá príčina niečím vyvolaná (sama je následkom niečoho) a každý ňou spôsobený následok sa stáva príčinou ďalšieho javu.

Zodpovednosť však nemožno robiť závislou na neobmedzenej kauzalite. Atribútom príčinnej súvislosti je totiž „priamosť“ pôsobenia príčiny na následok, pri ktorej príčina priamo (bezprostredne) predchádza následku a vyvoláva ho. Vzťah príčiny a následku musí byť preto priamy, bezprostredný, neprerušený; nestačí, ak je iba sprostredkovaný. Pri zisťovaní príčinnej súvislosti treba v dôsledku toho skúmať, či v komplexe skutočností, prichádzajúcich do úvahy ako (priama) príčina škody, existuje skutočnosť, s ktorou zákon spája zodpovednosť za škodu. Takéto vnímanie príčinnej súvislosti vylučuje najmä akékoľvek nároky na náhradu tzv. nepriamej škody, resp. následnej či odvodenej škody.

Môže sa CSP zodpovednosti za škodu nejako zbaviť?

V slovenskom obchodnom práve je zodpovednosť za škodu konštruovaná ako objektívna[1], teda sa nevyžaduje jej zavinenie (úmyselné či nedbanlivostné), ako je tomu pri všeobecnej zodpovednosti za škodu podľa Občianskeho zákonníka[2]. Z toho vyplýva, že CSP bude štandardne zodpovedať aj za škodu, ktorú v tomto zmysle nezavinil, ak vznikla v dôsledku porušenia jeho povinností (zmluvných alebo zákonných).

Spravidla jediným spôsobom, ako by sa CSP mohol zbaviť tejto objektívnej zodpovednosti, je tzv. liberácia založená na okolnostiach vylučujúcich zodpovednosť[3]. Za takú okolnosť sa považuje vyššia moc (vis maior), teda prekážka, ktorá nastala nezávisle od vôle CSP a bráni mu v splnení jeho povinnosti – ak nemožno rozumne predpokladať, že by CSP uvedenú prekážku alebo jej následky odvrátil či prekonal, alebo že by v čase vzniku záväzku (uzatvorenia zmluvy) túto prekážku predvídal.

Zodpovednosť ale nevylučuje prekážka, ktorá vznikla až v čase, keď CSP bol v omeškaní s plnením svojej povinnosti alebo vznikla z jeho hospodárskych pomerov (napr. úpadok). Účinky vylučujúce zodpovednosť zákon obmedzuje na dobu trvania prekážky, s ktorou sú dané účinky spojené. Objektívna zodpovednosť určite neznamená absolútnu zodpovednosť. Preto sofistikované hackerské útoky proti inak adekvátne pripraveným a obozretným CSP môžu – s prihliadnutím na všetky okolnosti konkrétneho prípadu – spadať pod vyššiu moc a vylučovať tak právnu zodpovednosť CSP voči svojim zákazníkom. Samozrejme, reputačné škody na strane CSP ako priamy dôsledok zverejnenia následkov hekerského útoku takto vylúčiť nemožno.

Obdobne vidíme aj situáciu z optiky GDPR, ktoré tiež zbavuje prevádzkovateľa aj sprostredkovateľa zodpovednosti za škodu v prípadoch, keď sa preukáže, že nenesú žiadnu zodpovednosť za udalosť, ktorá ju spôsobila[4]. Aktuálne na Súdnom dvore EÚ prebieha tzv. prejudiciálne konanie[5], ktoré by malo dať odpoveď okrem iného aj na otázku, či takouto udalosťou je aj hekerský útok.

[1] Pozri § 373 a 757 zákona č. 513/1991 Zb. Obchodný zákonník v platnom znení.
[2] Pozri § 420 a nasl. zákona č. 40/1964 Zb. Občiansky zákonník v platnom znení.
[3] Pozri § 374 a nasl. zákona č. 513/1991 Zb. Obchodný zákonník v platnom znení.
[4] Pozri čl. 82 ods. 3 GDPR.
[5] Pozri zhrnutiu návrhu na začatie prejudiciálneho konania sp. zn. C-341/21 na web stránke Súdneho dvora EÚ.

Je CSP poistený v prípade, ak by zákazníkovi vznikla škoda?

CSP býva štandardne poistený pre prípady, keď by za spôsobenú škodu niesol zodpovednosť. Poškodený si potom z poistného plnenia môže nahradiť škodu, ktorá mu poistnou udalosťou vznikla.

Prečo uprednostniť CSP, ktorý podlieha legislatíve Slovenskej republiky?

Pre slovenského zákazníka je vždy výhodnejšie a jednoduchšie, ak je založená právomoc a príslušnosť slovenského súdu, a nie súdu v zahraničí. Tiež je pre slovenského zákazníka výhodnejšie, ak sa zmluva spravuje slovenským právnym poriadkom, nie cudzím (napr. zákonmi štátu Kalifornia a pod.). Z hľadiska záujmu slovenského zákazníka teda ide o najmä o praktickú otázku vymožiteľnosti jeho práv, čo môže byť komplikovanejšie vo vzťahu k CSP, ktorý nie je usadený, tzn. nemá sídlo na Slovensku.