Software a právní specifika
Zdroj: Systemonline.cz
Autoři: Mgr. et Mgr. Ing. Jan Tomíšek, Ph.D., Mgr. David Sláma
Tradiční forma distribuce softwaru formou instalace na zařízení zákazníka nemusí být vždy ideální. Zákazník mnohdy nemusí disponovat potřebnou infrastrukturou pro běh softwarového řešení nebo třeba nemá zájem sám software provozovat. V mnoha situacích dává smysl, aby část řešení poskytoval dodavatel. V nejvyšším rozsahu jde o poskytování infrastruktury i kompletního softwarového řešení jako služby: Software-as-a-Service neboli SaaS. Smluvní zajištění takového produktu má specifika oproti standardnímu distribučnímu modelu a tato specifika jsou předmětem tohoto textu.
Dodávka SaaS řešení je v prvé řadě stále dodávkou softwaru, proto pro příslušné smlouvy platí v zásadě stejná doporučení jako pro dodávky standardní on-premise dodávky. Je potřeba věnovat dostatečnou pozornost vymezení předmětu a účelu smlouvy, aby bylo i v případě sporu jasné, co je předmětem plnění a s jakými cíli smluvní strany dodávku realizují. Významnou částí obsahu smlouvy budou dodací a platební milníky, aby nebylo pochyb, kdy má dodavatel co dodat a kdy má zákazník co zaplatit. Je vhodné myslet také na nastavení smluvních sankcí, odpovědnosti za škodu a jejím limitacím. U složitějších dodávek je namístě upravit projektové řízení. Ve větším detailu jsme se IT smlouvám z pohledu dodavatele obecně věnovali v jednom z minulých článků.
Mezi zásadní odlišnosti mezi dodávkou SaaS a on-prem řešení patří licenční ujednání, resp. podmínky užívání softwaru, platební podmínky, a zejm. dohoda o úrovni služeb (Service-level Agreement – SLA).
Software: licence a podmínky užití
Otázka licencování SaaS má spíše teoreticko-právní charakter přesahující předmět tohoto textu. Pro dodavatele je podstatné, že i v odborných kruzích se liší názory na to, zda používání SaaS je užíváním díla v autorskoprávním smyslu, tedy zda je k němu nezbytná licence. Je tomu tak proto, že legislativa nestanoví přesně, jaké nakládání s autorským dílem je užitím, což dává prostor pro odlišné interpretace. Časté je, že podmínky užití SaaS řešení nějakou formu licence obsahují, i když podle nás není nezbytná.
Model SaaS se často využívá, když dodavatel vyvinul řešení a provozuje ho na své nebo pronajaté infrastruktuře. Dodavatel poskytuje toto řešení většímu počtu zákazníků. Efektivní je, aby dodavatel vypracoval podmínky užití nebo podobný dokument. Tento dokument vymezí práva a povinnosti zákazníků při používání softwarového řešení jednotně. Vztahy dodavatele se zákazníky jsou pak nastaveny jednotně. To dodavateli šetří čas a prostředky. Nemusí vynakládat prostředky na individuální sjednávání a správu podmínek pro různé zákazníky. Obchodním podmínkám jsme věnovali jeden z minulých článků.
Platební model za software
Platební podmínky jsou u SaaS zpravidla odlišné od on-prem řešení, což je dáno typově jiným způsobem provozu řešení. Dodavatel SaaS zajišťuje nejen samotný software, ale také infrastrukturu, na které software běží, což s sebou nese náklady, které je nezbytné přenést na zákazníka. Tento model však také umožňuje flexibilitu v množství prostředků, které v daný okamžik software využívá – jinými slovy lze škálovat výkon řešení či třeba počet uživatelů podle aktuálních, v čase se měnících potřeb. Tyto parametry by se pak měly promítnout do ceny řešení.
Z uvedených důvodů je obvyklé, že SaaS řešení se poskytuje v subskripčním modelu, tedy za pravidelnou platbu za každý měsíc, rok apod. Ve smlouvě či podmínkách je důležité upravit především způsob výše subskripce, protože mnohdy nepůjde o fixní částku. Cena se pak může lišit podle podle parametrů, jako je počet souběžných či unikátních uživatelů, výpočetní prostředky, úložný prostor, provozní doba řešení, resp. service desku, zaručená míra dostupnosti řešení nebo doby reakcí na hlášení incidentů a jejich odstranění.
Uvedený specifický platební model je pro zákazníka zajímavý tím, že reflektuje kvalitu a kvantitu služeb, jaké zákazník odebírá. Dodavatel si však musí být jistý, že nastavení sjednané ve smlouvě umí fakticky dodat s ohledem na infrastrukturu, kterou má k dispozici.
SLA
Patrně nejvýznamnější částí smluv na poskytování SaaS řešení je dohoda o úrovni služby – Service Level Agreement, neboli SLA. Jde o soubor ujednání, která zásadně ovlivňují poskytování služeb a práva a povinnosti obou smluvních stran.
Mezi základní ujednání v SLA patří jasné nastavení, v jakých časových oknech jsou poskytovány jaké služby, a tedy kdy se počítají které lhůty. Ne vždy zákazník potřebuje nepřetržitý (24/7), tedy i nákladnější, provoz řešení. Často postačí provoz v běžnou pracovní dobu ve všední dny, provozní dobu je však třeba přesně vymezit. To neznamená, že mimo dané časy řešení nebude fungovat, jen zákazník nebude očekávat reakce na incidenty či jejich řešení a výpadky mimo provozní dobu se nebudou počítat do sjednané míry dostupnosti řešení.
Právě dostupnost je častým parametrem SLA, sjednávaným v procentu vyjadřujícím poměr požadované a reálné dostupnosti řešení za určitou jednotku času, např. měsíc. Vyšší míra dostupnosti je nákladnější, a proto zákazníci mnohdy volí určitou kompromisní hodnotu. Z praxe lze konstatovat, že 99% dostupnost je vcelku standardní, zatímco míra na další desetinná místa (99,9 % apod.) již vyjadřuje vysokou dostupnost. S dostupností souvisí i sjednání pravidelných odstávek pro údržbu systému – je vhodné nastavit četnost a termíny, případně způsob jejich určení.
Další služby v rámci SLA pro SaaS: Co zahrnout do smlouvy?
Často se sjednávají termíny pro řešení výpadků a jiných incidentů. V takovém ujednání je potřeba určit mechanismus hlášení incidentů. Zpravidla se definuje určitý servis desk a jeho provozní doba. Je důležité určit, jaké incidenty vyřeší zákazník sám a jaké eskaluje na dodavatele. Dále je nutné určit, kdo a podle jakého klíče bude incidenty klasifikovat. Jasně stanovíme doby reakce na incident, včetně potvrzení přijetí hlášení (i zda postačuje automatizované). Rovněž stanovíme doby vyřešení incidentu, včetně odstranění vady a zda postačuje implementace workaroundu. Tyto doby se zpravidla liší podle závažnosti incidentů pro různé kategorie. Sjednání doby řešení je méně obvyklé a dražší pro zákazníky. Dodavatel totiž na sebe přebírá větší riziko závazkem na čas řešení.
Součástí podmínek poskytování SaaS řešení mohou být další služby související s SLA. Patří mezi ně služby jako řešení uživatelských požadavků (např. drobných změn konfigurace produktu), konzultační činnosti či povinnosti související se zajištěním kybernetické bezpečnosti aj.
Další ujednání
Významným tématem pro smluvní úpravu dodávky SaaS řešení jsou zákaznická data. Patří sem jejich ukládání, zabezpečení a další nakládání s nimi. Zákazníci potřebují ochránit data a mít nad nimi kontrolu, i když jsou uložena ve vzdálené infrastruktuře. Podmínky SaaS nebo smlouva se zákazníkem by měly jasně určit zákazníkovy požadavky na uložení a zabezpečení dat. To zahrnuje například zálohování, pokud je požadováno. Dodavatel by měl vědět, zda zákaznická data mohou obsahovat osobní údaje podle GDPR. V takovém případě bude nezbytné uzavřít příslušnou smlouvu o zpracování osobních údajů.
Zákazník by měl vždy mít práva k zákaznickým datům. Měl by mít možnost si je kdykoli vyžádat zpět. Zákazník by měl mít možnost data odstranit z infrastruktury dodavatele. Může také požádat dodavatele o odstranění dat. Pokud poskytováním služeb vzniknou nová data, měl by být stanoven jejich formát. Tento formát by měl být určen alespoň pro případný export na žádost zákazníka nebo při ukončení služeb.
Zásadní otázkou jsou také sankce, které se obvykle počítají jako určitá sleva z ceny subskripce v případě porušení některého z parametrů SLA či jiné smluvní povinnosti. To však nevylučuje ani sankce stanovené pevnou částkou, ať už jednorázovou, nebo za jednotku času trvajícího nevyhovujícího stavu (např. prodlení s vyřešením incidentu). S nastavením smluvních sankcí souvisí jejich limitace, která bývá obvykle vyjádřena poměrnou částí ceny subskripce a podle síly postavení dodavatele a zákazníka se lze na trhu setkat s velkým rozpětí limitací.
V neposlední řadě je poskytování cloudových služeb specifické, pokud je zákazníkem orgán veřejné správy. V takovém případě může služba souviset s provozem informačního systému veřejné správy. Dodavatel i zákazník budou vázáni dalšími povinnostmi podle zákona o informačních systémech veřejné správy. Tyto povinnosti zahrnují zápis dodavatele a příslušných služeb do katalogu cloud computingu. Toto je samostatné a velmi obsáhlé téma.
