Комментарии по основным вопросам, связанным с договорами об облачных вычислениях (подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, 2019 год): Права на данные клиента и другой контент
Часть вторая. Разработка договора
D. ПРАВА НА ДАННЫЕ КЛИЕНТА И ДРУГОЙ КОНТЕНТ
Права поставщика на данные клиента для предоставления услуг
Поставщики обычно резервируют право доступа к данным клиента на основе принципа «необходимо знать». Такая договоренность позволяет предоставить сотрудникам поставщика, субподрядчикам и другим третьим сторонам (например, аудиторам) доступ к данным клиента в тех случаях, когда это необходимо для предоставления услуг облачных вычислений (включая эксплуатационное обслуживание, техническую поддержку и обеспечение безопасности), а также для контроля за соблюдением используемых ППИ, лицензий на использование прав ИС, СУО и других договорных документов. Стороны могут согласовать ситуации, в которых поставщику будет разрешен доступ к данным клиента, и меры, которые обеспечат конфиденциальность и целостность данных клиента.
Отдельные права на доступ к данным клиента можно рассматривать как косвенно предоставленные поставщику клиентом, который нуждается в той или иной услуге или функции: без этих прав поставщик не сможет предоставить услуги. Так, например, если поставщик обязан регулярно делать резервные копии данных клиента, то выполнение этой задачи неизбежно предусматривает предоставление права копировать данные. Точно так же в случаях, когда с данными клиента должны работать субподрядчики, поставщик должен иметь возможность передать им эти данные.
TВ договоре может быть прямо указано, какие права в отношении данных, необходимые для выполнения договора, клиент предоставляет поставщику, имеет ли поставщик право — и в какой степени — передавать эти права третьим сторонам (например, своим субподрядчикам) и каковы географические и временные рамки предоставленных или подразумеваемых прав. Географические ограничения могут иметь особо важное значение, когда в соответствии с законодательством данные не могут покидать определенную страну или регион (Читать далее по этой теме). В договоре, как правило, будет также устанавливаться, может ли клиент — и при каких условиях — отозвать предоставленные или подразумеваемые права. Поскольку способность предоставлять услуги на необходимом уровне качества может зависеть от прав, предоставленных клиентом, прямым следствием отзыва тех или иных прав может стать изменение или прекращение договора.
Использование поставщиком данных клиента для других целей
В большинстве юрисдикционных систем поставщику не предоставляется автоматически право использовать данные клиента для своих собственных целей. Поставщик может обратиться с просьбой об использовании данных клиента для других целей помимо тех, которые связаны с предоставлением услуг облачных вычислений в соответствии с договором (например, для целей рекламы, сбора статистических данных, подготовки аналитических отчетов или прогнозов, участия в других видах извлечения данных). В этой связи необходимо рассмотреть следующие вопросы: a) какая информация о клиенте и его конечных пользователях будет собираться и каковы причины и цели сбора и использования этой информации поставщиком; b) будет ли эта информация передаваться другим организациям, компаниям или отдельным лицам, и если да, то по каким причинам, и будет ли это делаться с согласия клиента или без такого согласия; и c) каким образом будет обеспечиваться выполнение требований в отношении конфиденциальности и безопасности, если поставщик будет делиться этой информацией с третьими сторонами. В тех случаях, когда использование поставщиком данных клиента будет затрагивать персональные данные, сторонам, как правило, потребуется дополнительно тщательно оценить свои обязательства по выполнению нормативных требований в соответствии с применимым законодательством о защите данных.
В тех случаях, когда договор дает поставщику право использовать данные клиента для своих собственных целей, в договоре также могут быть приведены допустимые основания для такого использования, предусмотрены обязательства в отношении обезличивания данных клиента и придания им анонимности для обеспечения соблюдения положений о защите данных и других применимых норм и установлены ограничения на воспроизведение контента и придание его гласности. Как правило, поставщик может использовать данные клиента для своих собственных целей только как анонимные открытые данные или в агрегированной и обезличенной форме в течение срока действия договора или после этого.
Использование поставщиком названия, логотипа и торговой марки клиента
Стандартными условиями поставщиков может предусматриваться право поставщика использовать название, логотипы и торговые марки клиента для создания себе рекламы. Стороны могут договориться об удалении или изменении этих положений, включая ограничения на допустимое использование названия клиента и требование о получении от клиента заблаговременного разрешения на использование его названия, логотипа и торговой марки.
Действия поставщика в отношении данных клиента по распоряжению официальных властей или в порядке соблюдения нормативных требований
Стандартные условия поставщика могут предусматривать право поставщика по своему усмотрению раскрывать данные клиента официальным органам или предоставлять им доступ к этим данным (например, в результате включения такой формулировки, как «если такие действия отвечают наилучшим интересам поставщика»). Они также обычно предусматривают право поставщика незамедлительно удалить или блокировать данные клиента, как только поставщик узнает о незаконности контента или удостоверяется в этом или же если он должен реализовать право субъектов данных на полное удаление информации о них, с тем чтобы избежать ответственности в соответствии с законодательством (процедура «обнаружение и освобождение» (см. ниже ОТВЕТСТВЕННОСТЬ)). Стороны могут договориться о том, чтобы ограничить обстоятельства, в которых поставщик может совершать такие действия, например ситуациями, когда поставщик получает постановление суда или другого государственного органа предоставить доступ к данным или удалить или изменить их.
Стороны могут как минимум договориться о том, что клиента будут незамедлительно уведомлять о постановлениях государственных органов или о собственных решениях поставщика в отношении данных клиента, с предоставлением описания соответствующих данных, если такое уведомление не будет противоречить законодательству. Когда заблаговременное уведомление и привлечение клиента невозможно, договор может предусматривать обязательство поставщика незамедлительно направлять клиенту уведомление постфактум с той же самой информацией. Стороны также могут согласовать положения относительно ведения журнала регистрации всех постановлений, просьб и других действий, касающихся данных клиента, и предоставления клиенту доступа к такому журналу.
Права на производные данные услуг облачных вычислений
Стороны могут договориться о правах клиента на производные данные услуг облачных вычислений и порядке осуществления таких прав в период действия договора и после его прекращения.
Положение о защите прав ИС
Некоторые виды договоров об облачных вычислениях могут иметь своим результатом создание объектов прав ИС либо совместно поставщиком и клиентом (например, совершенствование услуг благодаря предложениям клиента), либо только клиентом (новые прикладные программы, программное обеспечение и другие нововведения). В договоре может содержаться специальное положение об ИС, определяющее, какая из сторон договора обладает правами ИС на различные объекты, развернутые или разработанные в облачной среде, и каким образом стороны могут использовать эти права. Если положения договора не подлежат согласованию, клиенту, возможно, потребуется ознакомиться с любыми положениями об ИС, чтобы установить, предоставляет ли поставщик достаточные гарантии и обеспечивает ли он клиенту необходимые средства для защиты и использования его прав ИС и избежания рисков обособленности. (Читать далее по этой теме).
Функциональная совместимость и возможность переноса данных
Законодательство может не содержать требований обеспечивать функциональную совместимость и возможность переноса данных. Ответственность за это может нести исключительно сам клиент, который будет обязан разработать совместимые стандартные программы для экспорта данных, если в договоре не предусмотрено иное, например путем включения договорных обязательств в отношении функциональной совместимости и возможности переноса данных и оказания помощи в экспорте данных после прекращения действия договора (см. ниже Помощь поставщика в экспорте данных). Договор может предусматривать использование любого общепринятого, широко распространенного стандартного или совместимого формата для экспорта данных и другого контента либо предоставлять право выбора между имеющимися форматами. В договор также могут быть включены положения, затрагивающие права клиента на совместные продукты и прикладные программы или программное обеспечение, без которых использование данных и другого контента в другой системе может оказаться невозможным (см. выше).
Извлечение данных в юридических целях
Клиентам, возможно, потребуется получить возможность производить поиск и находить размещенные в облаке данные в их изначальном виде для соблюдения юридических требований (например, в ходе расследований). Электронные записи, возможно, должны будут отвечать стандартам ревизии и доказывания. Некоторые поставщики, вероятно, смогут оказать клиентам помощь в извлечении данных в формате, предусмотренном законом. Форма и условия такой помощи могут быть определены в договоре.
Удаление данных
Вопросы удаления данных будут актуальны в течение всего срока действия договора, но особенно после его прекращения (см. ниже Удаление данных). Например, определенные данные, возможно, потребуется удалить в соответствии с планом клиента по хранению данных. На определенном этапе существования чувствительных данных их, возможно, потребуется ликвидировать (например, путем уничтожения жестких дисков по окончании срока эксплуатации оборудования для хранения этих данных). Также удаление данных может потребоваться по запросу правоохранительных органов об их удалении или после подтверждения нарушения прав ИС (см. выше Действия поставщика в отношении данных клиента по распоряжению официальных властей или в порядке соблюдения нормативных требований).
Стандартные условия поставщика могут содержать лишь положения о том, что данные клиента будут периодически удаляться. Стороны могут договориться об удалении данных, их резервных копий и метаданных незамедлительно, эффективно, необратимо и окончательно в соответствии с инструкциями по хранению и использованию данных или же указаниями или распоряжениями в иной форме, переданными клиентом поставщику. В договоре могут предусматриваться сроки и другие условия удаления данных, включая обязанность направить подтверждение удаления данных после завершения этого процесса и предоставить доступ к контрольным записям, подтверждающим факт удаления.
В зависимости от характера и чувствительности данных могут быть оговорены особые стандарты или процедуры удаления. Может быть предусмотрено требование о том, что поставщик обязан удалить данные в других местах и с других носителей, включая системы субподрядчиков и других третьих сторон, с различными уровнями удаления, например, с очисткой данных, обеспечивающей конфиденциальность данных до их полного удаления или уничтожения аппаратных средств. Более надежное удаление, предполагающее физическое уничтожение, а не реконфигурацию аппаратуры, может потребовать больших расходов и не всегда является возможным (например, в случае хранения на тех же носителях данных других лиц). Эти аспекты могут потребовать включения в договор требований использовать отдельную инфраструктуру для хранения наиболее чувствительных данных клиента.