Pregledni znanstveni članek 683 UDK: 347.44:004.77 PRAVNA ANALIZA POGODBE O RAČUNALNIŠTVU V OBLAKU Tadeja Pirnat Battelli, univerzitetna diplomirana pravnica, odvetniška pisarna Rucellai & Raffaelli, Milano 1. UVOD Ne glede na opredelitev storitve računalništva v oblaku, bodisi da je računalništvo v oblaku skupek računalniških sredstev (angl. utility computing), namenjenih shranjevanju, upravljanju in arhiviranju podatkov, bodisi preprosteje, da je računalništvo v oblaku celotna potrošnja zunaj požarnega zidu (angl. consuming outside the firewall), imajo vse vrste in modeli te storitve nekatere skupne značilnosti. Te so: povečanje zmogljivosti računalnika brez naložb v novo infrastrukturo, brez usposabljanja novih kadrov in brez pridobivanja licenc za uporabo posamezne programske opreme; plačevanje storitve po uporabi (angl. pay-per-use) na podlagi pogodbenega razmerja med ponudnikom in naročnikom (angl. on-demand service); dosegljivost storitev vsakomur in vsepovsod v realnem času prek interneta; ter dinamičnost in nadziranost storitev.1 Namen posebnega načina poimenovanja različnih računalniških virov s kratico angleških izrazov je natančno opisati in prikazati glavne lastnosti in funkcije storitve. Vsaka od ponujenih oblik je v nenehnem razvoju in nadgradnji, kar je nepremagljiva ovira pri nastavitvi »stebrov« dinamične storitve računalništva v oblaku. V nadaljevanju so predstavljene tri osnovne oblike storitve (angl. service models): 1 (18. 3. 2015). Pravnik • 132 (2015) 9-10 684 Tadeja Pirnat Battelli - Software as a Service (Saas):2 programska oprema kot storitev, naložena v oblak;3 uporabnik nima možnosti sam razvijati programske opreme in je pri uporabi in nadzorovanju zelo omejen (najvidnejši primer take storitve je Gmail); - Platform as a Service (Paas):4 platforma kot storitev, ki je lahko skupek različnih programov, orodij in druge strojne računalniške opreme, ki jo ponuja ponudnik, uporabnik pa na tej operacijski opremi programske rešitve (najvidnejši primer take storitve je Google App Engine) razvija in uporablja sam; - Infrastructure as a Service (Iaas):5 uporaba virtualnih strojnih virov kot storitev, ki jo uporabnik najame, na katerih lahko po lastni želji uporablja operacijske sisteme in programske rešitve (najvidnejši primer take storitve je Amazon Web Services). Oblike storitev računalništva v oblaku, ki so sorodne osnovnim oblikam, vendar niso omejeno le nanje, so Desktop as a Service (DaaS),6 pri kateri gre za obliko infrastrukture virtualnega namizja kot storitev, ki jo upravlja tretja osebe, tj. ponudnik DaaS (angl. DaaS Provider) (najvidnejša primera take storitve sta Amazon Work Spaces in AppStream); Metal as a Service (MaaS),7 pri kateri gre za operacijski sistem, zasnovan na podlagi Canonical system8 (tj. nameščanje, upravljanje in stopnjevanje operacijskih sistemov prek enega ali več t. i. strežnikov Ubuntu) z namenom, da lajša in avtomatizira dinamično oskrbovanje podatkov v računalniških okoljih, angl. big data workloads (najvidnejši primer take storitve je Ubuntu 12.04 LTS);9 in Disaster Recovery as a Service (DRaaS),10 pri katerem gre za obliko infrastrukture fizičnih in virtualnih strežnikov na drugem kraju (angl. off-site),11 ki jo zagotavlja tretja oseba, za pri- 2 Peter Mell, Timothy Grance: The NIST Definition ofCloud Computing. Recommendations of the National Institute of Standards and Technology, september 2011, str. 2. 3 Oblak je videti kot skladovnica strežnikov, naloženih eden na drugega, na katerem velja večnajemniško pogodbeno razmerje (angl. multi-tenant model) naročnikov. (29. 3. 2015). 4 P. Mell, T. Grance, nav. delo, str. 2. 5 P. Mell, T. Grance, nav. delo, str. 3. 6 (3. 4. 2015). 7 (21. 4. 2015). 8 (19. 4. 2015). 9 Prav tam. 10 (2. 4. 2015). 11 Angleški izraz off-site opisuje stanje, v katerem se strežniki ponudnika storitve računalništva v oblaku DRaaS fizično nahajajo drugje in tako ponudniku omogočajo Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 685 mere nevarnosti izgube podatkov po naravnih nesrečah ali zaradi človekovega posredovanja (eden od primerov te storitve je VMware).12 Obstajata tudi dve zelo nenavadni obliki računalništva v oblaku, t. i. Green Cloud Computing13 in Cloud Computing Deep Dive.14 Namestitveni modeli storitev računalništva v oblaku (angl. deployment model) prerazporedijo strukturo in lastništvo računalniških virov na različne izvajalce in v skladu s pogodbenim razmerjem v zvezi z upravljanjem storitve vsakemu od njih dodelijo pravice in odgovornosti . Namestitvenih modelov je več oblik, osnovne štiri so: 1. zasebni oblak (angl. private cloud):15 infrastruktura je v zasebni lasti podjetja ali druge pravne osebe. Obstajata dve vrsti zasebnega oblaka. Notranji zasebni oblak (angl. on-premisesprivate cloud) pomeni, da je oblak v zasebni lasti določene organizacije, nahaja se na njenem registriranem sedežu in ji omogoča popoln nadzor, lastništvo in dostop do storitve računalništva v oblaku. Drugi tip je zunanji zasebni oblak (angl. externally hosted private cloud) in pomeni, da je oblak prav tako v zasebni lasti določene organizacije, upravljanje storitve pa je s pogodbenim razmerjem zaupano tretjemu, ki je specializiran za upravljanje z osebnimi podatki in s storitvijo; 2. javni oblak (angl. public cloud):16 infrastruktura je specializirana za ponujanje storitev splošni javnosti, ki je v lasti in/ali pa jo upravlja bodisi zasebno podjetje bodisi javna organizacija ali druga vladna organizacija. Fizično se nahaja na registriranem sedežu ponudnika (ta ni nujno lastnik javnega oblaka), uporabniki pa žal nimajo nikakršnega nadzora nad lokacijo infrastrukture, ki je pogosto splet skupnih računalniških virov, ki omogočajo zagotovo in ekonomično storitev; 3. hibridni oblak (angl. hybrid cloud):17 infrastruktura je sestavljena iz dveh ali več različnih vrst oblaka, pri kateri ima ponudnik najeti prostor v jav- popolno izvajanje načrta za obnovitev storitve po naravni nesreči pri popolnem ali delnem uničenju infrastrukture. 12 (2. 4. 2015). 13 Green Cloud Computing je kombinacija tehničnih sredstev računalništva v oblaku, ki omogoča manjšo porabo električne energije, nižje emisije iz objektov, v katerih se fizično nahajajo strežniki itd. (2. 4. 2015). 14 Cloud Computing Deep Dive je kombinacija tehničnih sredstev računalništva v oblaku, ki omogočajo zelo visoko varnost storitve. (2. 4. 2015). 15 P. Mell, T. Grance, nav. delo, str. 3. 16 Prav tam. 17 Prav tam. Pravnik • 132 (2015) 9-10 686 Tadeja Pirnat Battelli nem oblaku za nekritične storitve računalništva (na primer interakcija s posameznimi odjemalci ciljnega trga podjetja), kritične storitve (na primer upravljanje osebnih podatkov odjemalcev) pa ohrani v zasebnem oblaku, ki ostane v njegovi lasti. Največji izziv za ponudnika je integracija obeh vrst oblakov, zasebnega in javnega oblaka, vendar je to hkrati tudi njegova prednost, saj je tako omogočena visoka kakovost in varnost storitve računalništva v oblaku; 4. skupnostni oblak (angl. community cloud):18 infrastruktura je sestavljena iz različnih zasebnih oblakov in je namenjena specifični rabi posamezne skupnosti ali med seboj povezanih več skupnosti in/ali organizacij s skupnim interesom. Je v lasti in/ali upravljanju in/ali nadzoru teh med seboj povezanih skupnosti, tretjega ali kombinacije obeh; nahaja se lahko na registriranem sedežu upravljavca, ni pa nujno. 2. POGODBA O RAČUNALNIŠTVU V OBLAKU 2.1. Splošno o pogodbi o računalništvu v oblaku Pogodba o računalništvu v oblaku je pogodba, s katero se ponudnik zaveže proti plačilu po uporabi ali brezplačno nuditi dinamično storitev računalništva v oblaku po naročilu naročniku, ki je bodisi fizična oseba (t. i. B2C),19 majhno in srednje veliko podjetje ali veliko podjetje (t. i. B2B)20 bodisi vladna organizacija ali drugo javno podjetje. Pogodba ni kodificiran tip pogodbe, zato je za potrebe pravne varnosti pogodbenih strank in ugotovitve izpolnitvenih pogodbenih ravnanj potrebna pravna analiza obstoječih pogodbenih modelov z uporabo obligacijskega prava, prava elektronskega poslovanja, potrošniškega prava in prava varstva osebnih podatkov. Pravna analiza računalništva v oblaku zato pomeni analizo oblike pogodbe, načina sklenitve, predmeta pogodbe in njenih sestavin, ravni storitve, vrste pogodbene obveznosti, obdelovanja, upravljanja in varstva osebnih podatkov, pravic do odstopa od storitve, obveznosti ponudnika obveščanja naročnika na storitev in analizo drugih logistič-no-tehničnih ukrepov in postopkov. Pri pravni analizi pogodbe o računalništvu v oblaku sta še zlasti pomembni vprašanji, kako struktura pogodbe vpliva na naročnika pri sklepanju pogodbe in kakšno odškodninsko odgovornost prevzame nase ponudnik prek pogodbenega razmerja. 18 Prav tam. 19 Elektronsko poslovanje s končnimi porabniki. 20 Elektronsko poslovanje med podjetji. Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 687 2.2. Posebnosti pogodbe o računalništvu v oblaku Pravna analiza posameznega obligacijskega razmerja, ki ni zakonsko urejeno in ne pomeni posebnega kodificiranega tipa pogodbe, se opravi v vseh primerih, ko je treba določiti, katero tipično pravno pravilo, določeno v Obligacijskem zakoniku (OZ),21 je mogoče uporabiti za opredelitev pravne narave takega netipičnega pogodbenega razmerja. To so skoraj vsa kompleksna gospodarska globalna razmerja, ki izvirajo iz pravnih sistemov s tradicijo common law in katerih predmet je skupek različnih in med seboj prepletenih storitev, po katerih je visoko povpraševanje. Ta razmerja so urejena s posebnimi pravnimi pravili in oblikujejo vrsto pogodbenega obligacijskega razmerja, označenega s pojmom inominatne ali brezimenske pogodbe, torej tiste, ki niso kodificirane ne v posebnih zakonih ne v OZ. Vendar ali je mogoče pogodbam računalništva v oblaku pripisati splošne določbe obligacijskega prava ali je morda treba določiti posebno vrsto ad hoc ter jih izključiti iz inominatnih pogodb? Zadostujejo za opredelitev njihove pravne narave tipska pravna pravila civilnega prava ali gre za izvajanje splošnih pravnih načel in pravnih standardov iz pravnega sistema s tradicijo common law? Pogodbeno razmerje o računalništvu v oblaku vsekakor vodijo splošna načela civilnega prava, kot so avtonomno urejanje pogodbenega razmerja, načelo vestnosti in poštenja, načelo skrbnega ravnanja, prepoved zlorabe pravic, načelo enake vrednosti dajatev, dolžnost izpolnitve obveznosti, prepoved povzročanja škode, mirno reševanje sporov ter spoštovanje poslovnih običajev in poslovne prakse med udeleženci.22 Zakaj torej tipska pravna pravila OZ in splošna načela civilnega prava za pogodbe o računalništvu v oblaku niso dovolj za popolno opredelitev njihovih pogodbenih določb? Razlogov je veliko, vendar jih je mogoče v grobem strniti v tri motive. Prvi je najvidnejši, in sicer ta pogodbena pravna razmerja izvirajo iz pravnih sistemov s tradicijo common law. To je razvidno že iz naslovov teh pogodbenih modelov, ki se pogosto končajo s končnico -ing: leasing, factoring, engeneering, franchising, outsourcing itd. Tudi pogodba o računalništvu v oblaku (angl. cloud computing contract) izvira oziroma ima lastnosti pogodbe o gostovanju (angl. hosting contract), pogodbe o zunanjem izvajanju (angl. outsourcing contract) in licenčne pogodbe (angl. license contract).23 Drugi motiv je globalno avtonomno dinamično urejanje pogodbenih razmerij elektronskega poslovanja, ki je v navzkrižju z nacionalnim togim obligacijskim 21 Ur. l. RS, št. 83/01. 22 Nina Plavšak, Miha Juhart, Renato Venčur: Obligacijsko pravo - splošni del. GV Založba, Ljubljana 2009, str. 166-169. 23 (24. 3. 2015). Pravnik • 132 (2015) 9-10 688 Tadeja Pirnat Battelli pravom, kodificiranim v duhu sistema, osredinjenega predvsem na potrošnjo, medtem ko so bile investicije zapostavljene. Tretji motiv pa je delitev načina poslovanja na osnovne dejavnosti, tj. osrednjo dejavnost (ang. core business) in zunanje izvajanje preostalih dejavnosti (angl. outsourcing). Zakaj torej ob poznavanju, da uveljavljeni kodificirani pogodbeni tipi niso dovolj, ne pride do kodifikacije v posebnih zakonih opisani novi gospodarsko--socialni pogodbeni pojavi tudi na nacionalni ravni? Obravnavam tematiko, ki je za evropskega zakonodajalca »sovražna«, ker je ni mogoče uokviriti z dispozitivnimi tipskimi pravnimi pravili in jo je težko podrediti metodam razlage pogodb in pri tem ohraniti dinamičnost pojava. Najvidnejši primer takega poskusa je pripisovanje (s pridržkom) pogodbi o leasingu lastnosti zakupne (587. člen OZ) in prodajne pogodbe (438. člen OZ) in jo tako opredeliti kot mešano atipično zakupno-prodajno pogodbo. Pogodbeni modeli, ki izvirajo iz pravnih sistemov s tradicijo common law, so samozadostni in popolni. Pristop k določanjem modelov takega pogodbenega razmerja ne nastane prek zakonskega evropskega okvira, ki se ga tudi načrtno ignorira, ampak izhaja iz »žive materije«, tj. načina poslovanja prek interneta, ki pomeni najvišjo optimizacijo stroškov za najučinkovitejšo ponudbo storitve. Ko imamo opravka s pogodbami »brez nacionalnosti«, katerih naloga je uresničiti enotnost prava znotraj enotnosti trga na globalni ravni, nima smisla razviti nacionalni pravni sistem, v katerega se ga umesti. To pa ne pomeni, da se na nacionalni ravni slepo sprejme pogodbene modele, ki izvirajo iz pravnih sistemov s tradicijo common law. V vsakem primeru je nujna kritična pravna analiza pogodbe o računalništvu v oblaku z vidika slovenskega pravnega sistema. 2.3. Oblika in sklenitev pogodbe Za pogodbena razmerja računalništva v oblaku je značilna standardna oblika pogodbe. Gre za t. i. tipizirane oziroma adhezijske pogodbe, pri katerih se pogajanja omejijo le na dejstvo, da udeleženec sprejme enostransko standardizirano ponudbo drugega udeleženca obligacijskega razmerja.24 Tak način sklenitve pogodbe prek splošnih pogojev se imenuje sklenitev s pristopom. O pogodbeni svobodi je zelo težko govoriti pri sklepanju tipiziranih in vnaprej izdelanih pogodbah, saj pri sestavi oba udeleženca ne sodelujeta enako pomensko. Na pogodbeno vsebino vplivajo tudi gibanje trga in specializirani strokovnjaki, pri čemer ima prvi dejavnik čedalje večjo moč.25 V praksi je 24 Stojan Cigoj: Teorija obligacij - splošni del obligacijskega prava. Uradni list Republike Slovenije, Ljubljana 2003, str. 147. 25 S. Cigoj, nav. delo, str. 94. Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 689 tak način nastajanja pogodbe o storitvi, po kateri je veliko povpraševanja, pogost. Skratka, ko govorimo o obliki pogodbe, govorimo pravzaprav o načinu sklenitve pogodbe. Standardna oblika pogodbe, katere predmet je storitev v javnem oblaku ponujena nedoločenemu številu naročnikov (angl. multi-standard contracts),26 je za potrošnika cenovno ugodnejša rešitev, saj je pogosto neplačljiva ali pa zanemarljivo poceni, vendar pa pri taki ponudbi naročnik na vnaprej določena pogodbena določila ne more vplivati.27 Drugi način sklenitve pogodbe je prek pogajanj. Izhodišče pogajanj je standardna oblika pogodbe storitve računalništva v zasebnem oblaku, ponujena določeni organizaciji (angl. single contract). Pogajanja pred sklenitvijo pogodbe po slovenskem pravu ne zavezujejo in jih lahko stranka prekine, kadarkoli želi. Stranka, ki se je pogajala brez namena skleniti pogodbo oziroma je brez utemeljenega razloga opustila pogajanja, vsekakor odgovarja za škodo, povzročeno drugemu udeležencu (20. člen OZ). V pravnih sistemih s tradicijo common law se stranki glede storitve računalništva v oblaku pogajata o treh R-ih: risk, relationship in result28 (tveganje, pogodbeno razmerje in delovanje storitve). Pogajanja so, v nasprotju s prvim načinom sklenitve pogodbe, dolga, naporna in od udeleženca zahtevajo veliko kupno moč ter pogajalsko in strokovno pripravljenost.29 Pogodba, sklenjena prek pogajanj, ima lahko različne oblike: sklenitev pogodbe bodisi prek interneta na daljavo bodisi prek sočasne 26 (11. 4. 2015). 27 V naprej določena pogodbena določila so: pravica do odstranitve osebnih podatkov, če ponudnik oceni, da ogrožajo varnost storitve; odgovornost za varstvo podatkov ponudnik omejuje izključno na tisto, kar zahteva zakon; ponudnik ima pravico do spremembe storitve; storitev pogosto ni časovno omejena; ponudnik ni odgovoren za morebitno izgubo podatkov; mnogo ponudnikov ne ponuja nadzora nad strukturami računalniških virov, ki jih delijo z drugimi ponudniki računalništva v oblaku in se tudi ne ozirajo na dejstvo, da imajo drugi ponudniki dostop do osebnih podatkov vseh potrošnikov, ki si delijo javni oblak. Slednje je tudi največji problem računalništva v oblaku in najtežje pri ugotavljanju in dokazovanju morebitne »zlorabe« uporabe osebnih podatkov. 28 Prek pogajanj o treh R-ih se pogosto odvijajo različni scenariji o vsebinah storitve: naročnik si bo lahko pridobil pravico kadarkoli zahtevati spremembo storitve, ponudnik pa pravico do odstranitve osebnih podatkov in prekinitve storitve, ko o tem obvesti naročnika; naročnik bo lahko zahteval široke garancije, ponudnik pa v zameno finančno stabilnost naročnika in časovno omejitev zahtevane garancije delovanja storitve; naročnik bo po vsej verjetnosti vztrajal na odškodninski odgovornosti ponudnika za primere izgube osebnih podatkov, opravljanju varnostnih kopij, obnovitev storitve po (naravni) nesreči, ponudnik pa bo v zameno temu prilagodil ceno storitve; naročnik z visoko pogajalsko močjo si bo prek pogajanj pri ponudniku pridobil svoj račun in svojo skupino strokovnjakov, ki bodo upravljali s storitvijo, imeli pravico do nadzora in soodločanja pri izboljšavi storitve. 29 (11. 4. 2015). Pravnik • 132 (2015) 9-10 690 Tadeja Pirnat Battelli fizične prisotnosti ponudnika oziroma njegovega pooblaščenega zastopnika in naročnika oziroma njegovega pooblaščenega zastopnika. Naročnik storitev računalništva v oblaku, ponujeno v javnem oblaku nedoločenemu številu potrošnikov, sprejme preko metode click-wrap, izdelane prek splošnih pogojev poslovanja. V preambuli analizirane pogodbe AWS Customer Agreement je določen način sklenitve pogodbe, in sicer: »This Agreement takes effect when you click an 'I accept' button or check box presented with these terms or, if earlier, when you use any of the Service Offerings (the »Effective Date«) [..J.«30 To pomeni, da je čas sklenitve pogodbe trenutek, ko naročnik na svojem osebnem računalniku pritisne na ikono »Sprejmem« oziroma potrdi polje, namenjeno za sprejem pogodbenih pogojev, ali z uporabo storitve, tj. »Datum začetka veljavnosti«. Metoda click-wrap torej pomeni način trenutne sklenitve pogodbe prek elektronskega portala s preprosto izmenjavo elektronske pošte v skladu s sedmim odstavkom 7. člena Zakona o elektronskem poslovanju na trgu (ZEPT).31 Naročilo v elektronski obliki se šteje za prejeto, ko je naročniku omogočen dostop do takega potrdila (peti odstavek 7. člena ZEPT). Ob tem je treba omeniti pomanjkljivost obveznosti, naj se pogodba sklepa prek elektronskega sporočila, ki je enakovredna pisni obliki, opremljena z elektronskim podpisom. Elektronski podpis je urejen z Zakonom o elektronskem poslovanju in elektronskem podpisu (ZEPEP),32 ta pa ne določa obveznosti sklenitve pogodbe o računalništvu v oblaku z varnim elektronskim podpisom, overjenim s kvalificiranim podpisom, tj. tistim, ki je enakovreden lastnoročnemu podpisu (15. člen ZEPEP). Menim, da za veljavno sklenitev pogodbe zadošča elektronsko sporočilo, prek katerega se lahko naročnik seznani z vsebino pogodbe. Menim, da varen elektronski podpis kljub kvalificiranemu potrdilu ne pripomore k že danemu soglasju naročnika in je zaradi dodatnih stroškov in zamudnega postopka overitve elektronskega podpisa pri elektronskem poslovanju zgolj ovira. Sklepanje pogodb v elektronski obliki zavezuje ponudnika storitve, tako da mora pogodbena določila in splošne pogoje zagotoviti v taki obliki, da jih lahko prejemnik storitve shrani in reproducira (prvi odstavek 7. člena ZEPT). To ni edini in niti ne nujen način sklenitve pogodbe, je pa najpogostejši, še zlasti kadar je ponudnik storitve mednarodni in vseprisotni velikan informacijsko-komunikcijske tehnologije, katerega način poslovanja je globalen in hiter. OZ ne predpisuje formalne oziroma pisne oblike sklenitve pogodbe o računalništvu v oblaku, vendar pa mora biti vsaj del pogodbe, 30 (15. 4. 2015). 31 Ur. l. RS, št. 96/09. 32 Ur. l. RS, št. 98/04 - UPB1. Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 691 ki določa obliko obdelovanja osebnih podatkov na podlagi osebne privolitve naročnika, sklenjen v pisni obliki ali katerikoli drugi obliki, ki omogoča seznanitev z namenom obdelave podatkov, kot to določa 8. člen Zakona o varstvu osebnih podatkov (ZVOP-1).33 Po prvem odstavku 21. člena OZ je pogodba sklenjena v trenutku, ko je ponudnik prejel izjavo naročnika, da ponudbo prejema. Čas sklenitve pogodbe je vezan na to, ali gre pri objavi na spletni strani ponudnika za ponudbo ali gre za vabilo k dajanju ponudb tega standardiziranega pogodbenega modela, ki izvira iz pravnih sistemov s tradicijo common law. V prvem primeru se po prvem odstavku 22. člena OZ za trenutek sklenitve pogodbe šteje, ko ponudnik prejme izjavo o sprejemu ponudbe, pod pogojem, da ima ponudba vse bistvene sestavine pogodbe. Ponudba je torej veljavna, če vsebuje bistvene sestavine, kar pri pogodbah o računalništvu v oblaku pomeni določitev ravni storitve (oziroma obliko in vrsto storitve), načina plačila (posebnost računalništva v oblaku kot storitve, ponujene prek interneta je 'plačaj po uporabi' (angl. pay-per-use), ni pa to nujno), omejitve odgovornosti udeležencev v razmerju, pogoje za odstop in prenehanje razmerja ter vsa pogodbena vprašanja glede varstva osebnih podatkov po ZVOP-1. V drugem primeru se po tretjem odstavku 22. člena OZ vsak predlog, naslovljen nedoločenemu številu oseb, ki vsebuje vse bistvene sestavine pogodbe, šteje za vabilo k dajanju ponudb. Kaj to pomeni za pogodbo o računalništvu v oblaku? Prejem ponudbe naročnika oziroma prejem izjave naročnika o sprejemu ponudbe po 28. členu OZ lahko za ponudnika pomeni bodisi trenutek plačila storitve prek spleta bodisi začetek njene uporabe, bodisi prek opustitvenega ravnanja in ostalo, kar se lahko na podlagi poslovne prakse razume kot izjava o sprejemu ponudbe. Seveda gre tukaj za različne trenutke začetka pogodbenega razmerja. Poslovna praksa pri elektronskem poslovanju trenutek plačila za storitev prek spletnega bančništva izenačuje s trenutkom sklenitve pogodbe, ne glede na to, ali naročnik storitev dejansko uporablja ali ne. Ne glede na prakso pošiljanje bančnih podatkov prek interneta ponudniku storitve o računalništvu v oblaku kot plačilo za storitev še ne pomeni trenutka sklenitve pogodbe. Za čas sklenitve pogodbe o računalništvu v oblaku naj se določi trenutek, ko naročnik od ponudnika prejme potrdilo o prejemu izjave o sprejemu ponudbe prek elektronskega poštnega portala. Če naročnik ne obvesti ponudnika o zavrnitvi prejetega potrdila o njegovemu sprejemu ponudbe, je treba uporabiti pravilo, po katerem opustitveno ravnanje pomeni poslovno voljo po sklenitvi pogodbe. Vsekakor pa elementov formalnega sklepanja pogodb in elementov dejanske storitve ne moremo enačiti s primeri določa- 33 Ur. l. RS, št. 94/07 - UPB1. Pravnik • 132 (2015) 9-10 692 Tadeja Pirnat Battelli nja trenutka sklenitve pogodbe, ne glede na naravo storitve. Zato učinkov začetka pogodbenega razmerja o računalništvu v oblaku ne moremo vezati na trenutek plačila za storitve, bodisi predhodnega bodisi po uporabi, ali morda dejanskega uživanja storitve. Pogosto se v predhodnih določbah pogodb o računalništvu v oblaku določi čas sklenitve pogodbe, ki je v primeru analizirane pogodbe, trenutek klika na gumb »Sprejmem« oziroma, če gre za predhodno dejansko uporabo storitve, od trenutka začetka uporabe storitve. Za kraj sklenitve pogodbe se šteje po splošnem obligacijskem pravilu v skladu z drugim odstavkom 21. člena OZ kraj, kjer je imel ponudnik registriran sedež oziroma prebivališče v trenutku, ko je dal ponudbo. Kraj sklenitve pogodbe je primerneje vezati na čas sklenitve pogodbe. To pomeni, da se za čas sklenitve na daljavo prek interneta v skladu z 10. členom Zakona o elektronskem poslovanju in elektronskem podpisu (ZEPEP)34 šteje (če ni drugače dogovorjeno) tisti čas, ko elektronsko sporočilo o prejemu izjave s strani ponudnika o sprejemu ponudbe preide v prejemnikov informacijski sistem. Potemtakem je kraj sklenitve tisto mesto, kjer je imel prejemnik naslov IP v trenutku, ko je odprl svoj poštni elektronski nabiralnik. Menim torej, da je treba za kraj sklenitve pogodbe šteti kraj, v katerem je elektronsko sporočilo vstopilo v prejemnikov informacijski sistem, in ne kraj registriranega sedeža ponudnikove dejavnosti. Vsekakor pa ne izključujem možnosti, da se lahko za kraj sklenitve pogodbe določi tudi kraj strežnika, kjer je bilo elektronsko sporočilo o prejemu izjave s strani naročnika o sprejemu ponudbe prvič registrirano. Vendar ostaja registracija na strežniku neodvisna od dejstva, da se tako ponudnik kot tudi naročnik oziroma prejemnik elektronskega sporočila seznanita z vsebino. Registracija sporočila na strežniku še ne pomeni seznanitve z vsebino sporočila. To pa je razlog, zakaj menim, da je pravilnejša teorija o kraju sklenitve pogodbe, v katerem je prejemnikov osebni poštni elektronski nabiralnik oziroma njegov naslov IP, v katerega prejme ponudnikovo potrdilo o prejemu njegove izjave o prejemu ponudbe, ki jo lahko nato shrani in pregleda po lastni presoji. Ne glede na obliko pogodbe o računalništvu v oblaku in način njene sklenitve je skupina strokovnjakov za pogodbe o računalništvu v oblaku35 v svojem mnenju svetovala pridobitev t. i. predpogodbene informiranosti. Gre za sklop informacij, prek katerih ponudnik pouči naročnika (končnega potrošnika ali pa majhno ali srednje veliko družbo) o predmetu prenosa vsebine v oblak in načinu delovanja storitev; kakšni so posebni tehnični, finančni in pravni pogoji, ki se nanašajo na prenos podatkov v oblak; kdo so akterji pri opravljanju storitve itn. Tako postane predpogodbeno informiranje naročnika na storitve 34 Ur. l. RS, št. 98/04. 35 (27. 4. 2015). Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 693 računalništva v oblaku postopek, ki lahko traja dlje časa in ni enkratno dejanje. Ta postopek mora imeti obliko in okvir ki sta prilagojena zmožnostim razumevanja posameznega naročnika, kar je lahko za ponudnika storitve zelo zamudno in zahtevno. Cilj oblike (angl. form matters)36 in okvirja (angl. framing matters)37 informiranja je ponuditi naročniku kompleksnost podatkov na standardiziran, reduciran in koherenten način (angl. smart disclosure). Pametno in učinkovito poučen naročnik je posledica notranjih (osebna sposobnost razumevanja in strokovna poučenost naročnika o storitvi) in zunanjih (tehnični, politični, medijski in institucionalni) elementov transparentnosti interneta. Povedano drugače, informiranje naročnika o tem, kdo ima potencialni dostop do njegove vsebine, ki je v IKT-storitvah, kje natančno so njegovi osebni podatki, poučevanje o previdnostnih ukrepih za varovanje te vsebine, so nadgradnja zakonskega okvira varovanja IKT storitev na individualni ravni. 2.4. Sestava pogodbe Pogodba o računalništvu v oblaku je v večini primerov sestavljena kot standardna pogodba, ki se sklicuje na več splošnih pogojev. Enaka je tudi struktura pogodbe AWS Customer Agreement,38 ki jo tukaj analiziram. Gre za adhezijsko pogodbo, urejeno prek splošnih pogojev, objavljeno na spletni strani družbe Amazon. Vsebinsko gledano pa pogodba o računalništvu v oblaku vsebuje splošne določbe, splošne pogoje in določbe o varstvu osebnih podatkov. Splošni pogoji AWS Customer Agreement se imenujejo Policies (14. člen AWS Agreement),39 v prevodu »pravila ravnanja«. Vsebina pogojev je lahko kratka in jasna ali pa dolga in zapletena, vsekakor pa se nenehno posodablja. Ponudnik se v členih pogodbe sklicuje na splošne pogoje tako, da pripne spletni naslov, prek katerega je mogoče najti vsebino splošnih pogojev. Tako se domneva, da se je naročnik seznanil z njihovo vsebino, ki se nenehno spreminja, in da je podal svoje soglasje. Obstoj soglasja podpisnika glede splošnih pogojev konkretne podpisane pogodbe se ugotavlja na podlagi 120. člena OZ, ki določa posebna pravila o splošnih pogojih. Tretji odstavek 120. člena OZ predpisuje, da splošni pogoji zavezujejo, če so bili podpisniku znani ali bi mu morali biti znani z uporabo standarda dobrega gospodarja oziroma standarda dobrega strokovnjaka, če podpisnik pri sklepanju pogodbe izpolnjuje obveznosti iz nje- 36 (27. 4. 2015). 37 Ena od pobud, ki obravnava informiranost potrošnik glede IKT-storitve, je nemški projekt Terms of Service. Didn't read. Več o projektu na: (27. 4. 2015). Nemški projekt cilja na ocenitev in etiketiranje vseh splošnih pogojev poslovanja v EU. 38 (27. 4. 2015). 39 Prav tam. Pravnik • 132 (2015) 9-10 694 Tadeja Pirnat Battelli gove poklicne dejavnosti. Najpogostejši splošni pogoji pogodbe o računalništvu v oblaku so:40 - pogoji storitve (angl. Terms of Service): dokument, ki določa namen storitve, pravice in obveznosti naročnika ter ponudnika storitve, pravice intelektualne lastnine, določbe, povezane z varstvom osebnih podatkov, prenehanje pogodbe in veljavno zakonodajo; - raven storitve (angl. Service Level Agreement - - SLA): dokument, v katerem sta določeni vrsta in raven storitve. Podrobneje so opisani način uresničitve storitve, zmogljivost omrežja, zmogljivost in napake strežnika, dostop do storitve in način nadzora nad storitvijo. Posledica kršitev teh določb je ponudnikova poslovna odškodninska odgovornost zaradi neizpolnitve zahtev, določenih v SLA; - sprejemljiva uporaba (angl. Acceptable Use Policy): dokument, v katerem ponudnik določi dovoljen in prepovedan način uporabe storitve; - zasebnost (angl. Privacy Policy): dokument, v katerem je urejeno ravnanje z osebnimi podatki naročnika v skladu z Direktivo 95/46/ES o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov z dne 24. 10. 199541 znotraj Evropske unije (EU), mednarodno obdelovanje podatkov v skladu z dogovori o varnem pristanu (angl. Safe Harbor)42, kadar gre za iznos osebnih podatkov izven EU, iznos osebnih podatkov prek t. i. zavezujočih korporacijskih pravil (angl. Corporate Binding Rules),43 pra- 40 (27. 4. 2015). 41 UL L 281, 23. 11. 1995, str. 31-50. 42 Po Odločbi Komisije 2000/520/ES z dne 26. julija 2000 in v skladu z Direktivo 95/46/ ES Evropskega parlamenta in Sveta se šteje, da načela zasebnosti varnega pristana (Safe Harbor Guidelines) in najpogosteje postavljena vprašanja - FAQ (»načela«), ki jih je izdalo Ministrstvo za trgovino ZDA (notificirano pod dokumentarno številko K(2000)2441), zagotavljajo ustrezno raven zaščite osebnih podatkov, ki se prenašajo iz Skupnosti v organizacije oziroma podjetja s sedežem v ZDA. Načela varnega pristana so namenjena izključno organizacijam ZDA, ki prejemajo osebne podatke iz EU za izpolnitev pogojev ustreznosti varstva osebnih podatkov. Odločitev organizacij, da izpolnijo pogoje varnega pristana, je povsem prostovoljna. Po načelih varnega pristana morata biti pri vsakem prenosu podatkov izpolnjena naslednja pogoja: (a) organizacija, ki prejema podatke, je nedvomno in javno razglasila zavezanost k spoštovanju načel varnega pristana, in (b) organizacija je podvržena zakonskim pooblastilom vladnega organa v ZDA, ki je pooblaščen za preiskave pritožb ter za pridobitev pomoči v primeru nepoštenih ali goljufivih praks, pa tudi odškodnine za posameznike, ne glede na njihovo državo stalnega prebivališča ali državljanstvo, kadar organizacije načel varnega pristana ne spoštujejo. Vira: in (4. 5. 2015). 43 To so zavezujoča poslovna pravila, določena z notranjim aktom multinacionalne korporacije oziroma skupine podjetij, med katerimi mora imeti vsaj eno od podjetij Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 695 vice strank do izvajanja nadzora nad ponudnikovim upravljanjem s podatki (tj. pogodbeni obdelovalec), jasna določitev organizacijskih, tehničnih in logističnih ukrepov za varstvo podatkov, naloženih v oblak, možnost vključevanja najema podobdelovalca, načina vračanja podatkov ali brisanja podatkov po prenehanju pogodbe in pravne obveznosti hrambe podatkov. Splošni pogoji nimajo lastne obveznostne moči in začnejo veljati le če je sklenjena konkretna standardna pogodba, na katero se nanašajo. Potrošnik mora biti na obstoj splošnih pogojev izrecno opozorjen na jasen in razumljiv način, njihova vsebina pa mu mora biti brez težav dostopna (22. člen Zakona o varstvu potrošnikov - ZVPot).44 Po 24. členu ZVPot se šteje, da so splošni pogoji nepošteni: - če povzročijo znatno neravnotežje pogodbenih pravic in obveznosti udeležencev; - če so v škodo potrošnika; - če je izpolnitev v skladu s splošnimi pogoji neutemeljeno drugačna od tistega, kar je potrošnik utemeljeno pričakoval in - če nasprotujejo načelom vestnosti in poštenja. Ti splošni pogoji so nični. Drugače povedano, pogodbeni pogoji zavezujejo potrošnika le, če je bil pred sklenitvijo pogodbe z njimi seznanjen. Seznanitev potrošnika se lahko doseže prek zgoraj omenjenega postopka (smart disclosure) ali prek pravne domneve (tretji odstavek 22. člena ZVPot). To je še toliko pomembneje pri posebnih vrstah pogodbe, kot so pogodbe, sklenjene na daljavo (43. člen ZVPot), za katere velja, da mora ponudnik zagotoviti v zmernem roku določene vrste podatkov, kot to določata 43.b in 43.c člen ZVPot. Poudariti je treba nujno potrošnikovo pravico o odstopu od pogodbe. Pri sklenitvi pogodbe na daljavo ima potrošnik pravico, da v petnajstih dneh ponudniku sporoči, da odstopa od pogodbe, ne da bi mu bilo treba navesti posebne razloge. Pogoji za odstop od pogodbe so eni od nujnih podatkov, ki jih mora ponudnik v zmernem roku zagotoviti naročniku v pisni obliki (43.c člen ZVPot), nikakor pa ne sme omejiti zakonskih pogojev o odstopu. Potrošnik se tej pravici ne more odpovedati. Tako pogodbeno določilo je nično. Učinki odstopa od pogodbe računalništva v oblaku so takojšnje prenehanje pogodbenega razmerja med naročnikom in ponudnikom, vračilo plačila za storitve najpozneje v petnajstih dneh od prejema registriran sedež v EU. Ta notranji akt predstavlja pravila korporacije, s katerimi se vsi udeleženci v prenosu podatkov zavežejo za varovanje osebnih podatkov v skladu z Direktivo 95/46/ES. 44 Ur. l. RS, št. 98/04 - UPB2. Pravnik • 132 (2015) 9-10 696 Tadeja Pirnat Battelli sporočila o odstopu od pogodbe in izbris osebnih podatkov, ki jih je naročnik prenesel v oblak. Kršenje teh določb pomeni prekršek s premoženjsko globo, kot je določena v 77. členu ZVPot. 2.5. Vrsta obveznosti Čeprav so pogodbena razmerja storitev računalništva v oblaku zelo raznolika, je mogoče najti skupno vrsto obveznosti. Ugotavlja se jo na podlagi izpolnitve-nega ravnanja, tj. namena, zaradi katerega je udeleženec vstopil v obligacijsko razmerje, in pomeni predmet obligacijskega razmerja, ki ga je drugi udeleženec dolžan izpolniti. Izpolnitveno ravnanje ponudnika pogodbe o računalništvu v oblaku AWS Customer Agreement se pojavi pod skupnim nazivom ponujene storitve (angl. Service Offerings).45 Člen 10 pogodbe, ki opredeljuje omejitev odgovornosti ponudnika (angl. Disclaimers),46 določa, da so ponujene storitve zagotovljene »kot take« (angl. as is). To pomeni, da ponudnik storitve ne prevzema nikakršne odgovornosti za nemoteno delovanje storitve, delovanje brez napak ali brez spornih vsebin. Storitev je ponujena v stanju, v katerem se v času sklenitve pogodbe nahaja. Člen 3 pogodbe - varnost in varstvo osebnih podatkov (angl. Security in Data Privacy) - jasno prikazuje vrsto obveznosti ponudnika, s tem, da se izvajalec storitve zavezuje le, da bo za zaščito osebnih podatkov in varnosti storitve izvajal razumne in ustrezne ukrepe. V praksi to pomeni, da za izgubo podatkov ali nedelovanje storitve računalništva v oblaku ponudnik storitve onkraj razumnih varnostnih ukrepov ni odgovoren. Izraza »razumni in primerni ukrepi« in »zagotovitev storitve kot take« imata še veliko razlagalnega prostora in so pokazatelj, da gre pri storitvi računalništva v oblaku za obligacijo prizadevanja in ne za obligacijo rezultata. Pri obligacijah prizadevanja je merilo odgovornosti izvajalca za pravilno izpolnitveno ravnanje zahteva po ravnanju v skladu z ustrezno strokovno skrbnostjo.47 Ponudnik storitve krši svoje obveznostno ravnanje, če ne ravna v skladu z zahtevano strokovno (profesionalno) skrbnostjo, določeno v drugem odstavku 6. člena OZ. Pravni standard profesionalne skrbnosti je izhodišče pri ugotavljanju kršitve pogodbene obveznosti ponudnika storitve in njegove poslovne odškodninske odgovornosti. To je standard skrbnosti, ki se zahteva pri izpolnjevanju obve- 45 Člen 14 pogodbe AWS Costumer Agreement določa za predmet pogodbe AWS Content, AWS Marks, AWS Site in drugo. Sveženj različnih ponujenih računalniških virov je opisan v Service Level Agreement (SLA), ki so del vsake pogodbe računalništva v oblaku in imajo lahko različno obliko in vsebino. V grobem je njihov smisel v tem, da nudijo natančen tehničen opis delovanja storitve. Družba Amazon ponuja različne tipe SLA, kot na primer Amazon EC2 SLA, (27. 4. 2015). 46 (15. 5. 2015). 47 N. Plavšak, M. Juhart, R. Venčur, nav. delo, str. 225. Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 697 znosti iz poklicne dejavnosti in se ugotavlja na podlagi pravil stroke, znanja, izkušenj ponudnika storitve in poslovne prakse, ki se pričakujejo od ponudnika istega področja v enakih okoliščinah. Upoštevajo se dejavniki, ki vplivajo na delovanje storitve in so lahko tudi onkraj dosega ponudnikovega delovanja ter popolnoma nepredvidljivi. Smisel pogodbenih določb, s katerimi ponudnik omeji svojo odškodninsko odgovornost, ni torej v terminološkem zavajanju naročnika, ampak v tem, da obstajajo določene storitve, katerih končnega natančnega rezultata ni mogoče vnaprej predvideti in se odgovornost izvajalca nanaša na splošni pravni standard strokovne skrbnosti, katere vsebino in lastnosti v primeru spora za vsak primer posebej ugotavlja pristojno sodišče. V primeru ugotovitve kršitve pogodbene obveznosti se povrnitev škode ugotavlja v skladu s splošnimi pravili o poslovni odškodninski odgovornosti. Ponudnik storitve računalništva v oblaku omeji odškodninsko odgovornost zaradi neizpolnitve na dva načina. Pri prvem se zaveže za določeno odstotno ali časovno omejeno nemoteno delovanje storitve, ki je lahko nižja od stoodstotnega delovanja. V pogodbah o računalništvu v oblaku je ta način omejitve zaradi tvegane narave storitve pogost. Ponudnik zagotavlja, da si bo z »razumnimi ukrepi« prizadeval doseči čim bolj nemoteno delovanje (ki ga lahko opredeli, na primer, v višini 98 odstotkov popolnega delovanja v času uporabe storitve). Izpad delovanja storitve še ne pomeni nujno kršitve pogodbene obveznosti, ampak le zmanjšana varnost storitve v zvezi z varnostjo osebnih podatkov in dostopom do storitve. Drugi način, s katerim ponudnik omeji svojo poslovno odškodninsko odgovornost zaradi neizpolnitve, se v pogodbah pogosto pojavi kot dodatek prvemu načinu in je razdeljen na dva dela. Prvi se nanaša na popolno izključitev poslovne odškodninske odgovornosti za posredno in naključno škodo (angl. indirect and consequental damages),48 drugi del omeji odškodninsko odgovornost za neposredno škodo na določeno zgornjo mejo (angl. cap on the liability for the direct damages),49 ki jo vsak ponudnik izračunava na podlagi lastnih pravil (zgornja meja odškodninskega zahtevka je lahko na primer vrednost letne naročnine). Člen 11 AWS Customer Agreement, ki opredeljuje omejitve odgovornosti (angl. Limitations of Liability),50 izključuje poslovno odškodninsko odgovornost ponudnika za vsako posredno ali ne- 48 Sam de Silva: 5th Meeting of European COmmission Expert Group on CLoud Computing Contracts (9 April 2014); Liability Discussion Paper; Partner, Penningtons Manches LLP, UK; Chair of the Technology Law Reference Group, Law Society of England and Wales, str. 2. (1. 10. 2015). 49 Prav tam. 50 (15. 1. 2015). Pravnik • 132 (2015) 9-10 698 Tadeja Pirnat Battelli posredno škodo,51 ki se pojavi v zvezi z prekinitvijo, odpovedjo, nezmožnostjo uporabe, nemotenim delovanjem in vseh nepričakovanih izpadov električne energije, nepooblaščenega dostopa do storitve, škodo, nastalo zaradi stroškov nabave nadomestnih storitev, naložb in neuspelih shramb osebnih podatkov. V teh primerih ponudnik storitve omeji poslovno odškodninsko odgovornost do višine zneska, ki ga je naročnik plačal 12 mesecev pred vložitvijo odškodninskega zahtevka. Instituti civilnega odškodninskega prava se razlikujejo od opisanega primera iz pravnega sistema s tradicijo common law, ki šteje za neposredno škodo tisto, ki je rezultat naravne posledice kršitve pogodbenih obveznosti. Posredno škodo pa tisto, ki pomeni utemeljen in verjeten sum, da gre za naravno posledico neizpolnitve obveznosti.52 Posredni škodi pravnega sistema s tradicijo common law je pri nas enakovreden pravni institut izgubljenega dobička (132. člen OZ), neposredni škodi pa institut navadne škode (132. člen OZ). Utemeljenost odškodninskega zahtevka pogodbi zveste stranke se ugotavlja na podlagi vsebine pogodbe in je v sistemih s tradicijo common law zelo zapleten in nepredvidljiv postopek, odvisen od konkretnega primera. Del doktrine kljub temu zagovarja, da je izgubljeni dobiček civilnega prava zaradi narave storitve računalništva v oblaku pravzaprav neposredna škoda sistema common law.53 Najpomembnejše pri obravnavi poslovne odškodninske odgovornosti ponudnika storitve računalništva v oblaku je izbira prava in izbira sodišča, ki bo pravno razlagalo pogodbene določbe, s katerimi želi ponudnik omejiti odškodninsko odgovornosti zaradi neizpolnitve. Kot sem že omenila, OZ ne pozna pravnega instituta posredne in neposredne škode. Obliki pravno priznane premoženjske škode sta v skladu s 132. členom OZ navadna škoda in izgubljeni dobiček. To so tiste kršitve pravic, ki povzročijo zmanjšanje premoženja zaradi stroškov ali preprečitev povečanja premoženja, ki bi jih lahko pogodbi zvesta stranka utemeljeno pričakovala, če druga stranka ni v celoti, pravilno in pravočasno izpolnila obveznosti. Posebno pravilo tretjega odstavka 242. člena OZ določa, da je veljavno pogodbeno določilo tisto, ki določa najvišji znesek odškodnine, če tako določen znesek ni v očitnem nesorazmerju s škodo. To je v skladu z načelom avtonomije obligacijskih razmerij, na podlagi katerega lahko udeleženci svoje medsebojne pravice in obveznosti prosto urejajo, pod pogojem, da to ne nasprotuje načelom vestnosti in poštenja (5. člen OZ). Naročnik na storitev bo lahko ne glede na zgornjo omejitev odškodnine zahteval 51 Odškodninski sistem v pravnih sistemih s tradicijo common law pravno priznano škodo veže na institute, kot so direct, indirect, special, consequential, exemplary damages itn. 52 S. de Silva, nav. delo, str. 3. 53 Rolf H. Weber, Dominic N. Staiger: Cloud Computing: A cluster of complex liability issues. European Journal of Current Issues, 20 (2014) 1, str. 10. Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 699 višji znesek odškodnine oziroma celoten znesek, če je bila škoda povzročena iz hude malomarnosti ali namenoma (četrti odstavek 242. člen OZ). Torej, ko je vzrok za neizpolnitev obveznosti tisto ravnanje ponudnika storitve računalništva v oblaku, ki je v nasprotju s standardom skrbnosti razumnega človeka.54 Treba je omeniti, da je skupina strokovnjakov za pogodbe o računalništvu v oblaku, ki jo je imenovala Evropska komisija 18. junija 2013,55 v razpravi o nepoštenih pogodbenih določbah določila za nepošteno določbo o omejevanju odškodninske odgovornosti ponudnika zaradi neizpolnitve na podlagi Direktive Sveta 93/13/EGS56 z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah. V odstavku b Priloge 1 Direktiva določa za nepošteno vsako: »nepravilno izključevanje ali omejevanje zakonske pravice potrošnika do prodajalca ali ponudnika ali druge stranke, če prodajalec ali ponudnik v celoti ali delno ne izpolni ali pomanjkljivo izpolni katerega od pogodbenih pogojev, vključno z možnostjo izravnave dolga prodajalcu ali ponudniku zoper vsako terjatev, ki jo lahko ima potrošnik do prodajalca ali ponudnika«. Po mnenju Skupine je nepoštena vsaka nepravilna omejitev odškodninske odgovornosti na najvišji možni znesek, saj omejuje in posledično tudi izključuje pravico do povrnitve škode, do katere je upravičena pogodbi zvesta stranka. 2.6. Končne določbe Tipično določilo pogodbe o računalništvu v oblaku oziroma vseh pogodbenih modelov iz pravnih sistemov s tradicijo common law, je klavzula o celotni pogodbi (angl. entire agreement):57 »[...] this Agreement is the entire agreement between you and us regarding the subject matter of the Agreement [...]«. To pomeni, da pogodba pomeni celotno pogodbeno razmerje med udeležencema v zvezi s predmetom pogodbe in spada med t. i. boiler plate clauses.58 Standardna pogodbena določila, značilna izključno za gospodarske pogodbene modele iz pravnih sistemov s tradicijo common law, se praviloma pojavijo med zadnjimi pogodbenimi določili. Razlog, zakaj je ta klavzula postavljena prav na koncu 54 N. Plavšak, M. Juhart, R. Venčur, nav. delo, str. 863. 55 Dne 18. junija 2013 je Evropska Komisija ustanovila skupino strokovnjakov za pogodbe o računalništvu v oblaku (angl. Expert Group on Cloud Computing Contracts) z nalogami določiti jasne in varne pogodbene določbe za pogodbe o računalništvu v oblaku, v katerih je naročnik potrošnik ali majhno oziroma srednje veliko podjetje. (15. 5. 2015). 56 UL L 95, 21. april 1993, str. 29-34. 57 Člen 13.12. AWS Customer Agreement. 58 (15. 5. 2015). Pravnik • 132 (2015) 9-10 700 Tadeja Pirnat Battelli pogodbe, je delno v njihovi manjši ekonomski pomembnosti delno v zvijačnosti ponudnika, ki upa da sopogodbenik vsebini ne bo namenjal prevelike pozornosti. Vsebina boiler plate clauses pa je zelo pomembna, saj pomeni pravni okvir pogodbenih pravic in obveznosti med sopogodbenikoma. Pa ne samo to. Ta pogodbena določila določajo tudi, katero sodišče je pristojno za morebitne spore, katero pravo se bo uporabilo in drugo. Evropsko civilno pogodbeno pravo, vajeno tehnik razlaganja nejasnih in spornih določb, se pred določbami boiler plate v angleškem jeziku znajde v zadregi. Obvezno razlagalno pravilo, ki ga določa drugi odstavek 82. člena OZ se uporablja samo za sporna pogodbena določila. Pogodbeno določilo je sporno, kadar stranki enemu in istemu pogodbenemu določilu pripisujeta različen pomen in sta tudi hkrati nasprotni stranki v pravdi. V skladu s 83. členom OZ se nejasna pogodbena določila razlaga v korist stranke, ki ni sodelovala pri sklepanju pogodbe, v primerih ko je bila pogodba sklenjena po vnaprej natisnjeni vsebini ali kako drugače pripravljena ali predlagana s strani ene pogodbene stranke. Analizirana boiler plate clause pomeni določbo, ki jo je stranka enostransko vnaprej in brez sodelovanja druge stranke sklenila po načeu vzemi ali pusti. Sodnik bo tako v primeru spora med strankama pogodbeno določbo razlagal v korist stranke, ki pri sklepanju pogodbe ni sodelovala. Postavlja se torej vprašanje, ali ne gre morda le za »stilne pogodbene določbe«59 (kot jih imenuje tuja evropska doktrina) in potemtakem za neobstoječe, kajti ne izražajo svobodne in izrecne volje pogodbenih strank, ki je predpostavka za veljavno sklenitev pogodbe. Najbolj eklatantni primer stilne pogodbene določbe je neodvisnost (angl. severability) (13.10. člen AWS Customer Agreement), ki določa posledice delne ničnosti in neveljavnosti pogodbenih določil. V OZ so pravila o neveljavnosti pogodb določena v splošnem delu (86.-99. člen OZ) in so kogentne ali prisilne narave. Namen pogodbenega določila je določati izjemo od pravil o neveljavnosti pogodbe, saj določa, da se nična in neveljavna pogodbena določila razlagajo v prid obstoječega dela pogodbe; če pa to ni mogoče, pa da so odstranjena avtomatično ter da ostane v veljavi preostali del pogodbe. Tu gre očitno za stilno pogodbeno določilo, saj je povsem brez veljave. V skladu z 88. členom OZ ostane pogodba, ki je utrpela delno ničnost, v veljavi pod pogojem, če lahko obstane pogodba brez ničnega dela in če nično določilo ni bilo pogoj ne odločilen nagib, zaradi katerega sta udeleženca obligacijskega razmerja sklenila pogodbo. Končna določba pogodbe AWS Customer Agreement o računalništvu v oblaku je izbira prava in izbira sodišča (angl. Governing Law. Venue) (13.11. člen AWS Customer Agreement), ki bo odločalo v primeru kolizije med zakoni več držav, ne pomeni stilne pogodbene določbe. 59 Giorgio De Nova: II contratto alieno. Druga izdaja, G. Giappichelli Editore, Torino 2011, str. 58. Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 701 Na splošno je vredno omeniti, da za potrošniške pogodbe, ki jih sklene fizična oseba za namen, ki ga ni mogoče obravnavati kot poslovno ali poklicno dejavnost te osebe, z drugo osebo, ki opravlja svojo poklicno ali poslovno dejavnost, velja (splošno) pravilo, določeno v 6. členu Uredbe (ES) št. 593/2008 Evropskega parlamenta in Sveta60 o pravu, ki velja za pogodbena obligacijska razmerja, po katerem se uporablja pravo države, v kateri ima potrošnik običajno prebivališče. Po prvem in tretjem členu Uredbe (ES) št 593/2008 mora podjetnik z registriranim sedežem zunaj EU svojo poklicno ali profesionalno dejavnost usmerjati v državo, v kateri ima potrošnik običajno prebivališče, ali v več držav, od katere je ena od teh držav država, v kateri ima potrošnik običajno prebivališče . Ne glede na to splošno pravilo lahko stranki pogodbenega razmerja v skladu z načelom o svobodni izbiri prava izbereta drugo pravo, pod pogojem da z izbiro ne prikrajšata potrošnika za zaščito, ki mu je zagotovljena za primere, ko stranki ne izbereta nobenega prava. Pristojnost sodišč glede pogodb, sklenjenih prek interneta, ureja tudi Uredba sveta (ES) št. 44/2001 z dne 22. decembra 2000 o pristojnosti in priznavanju ter izvrševanju sodnih odločb v civilnih in gospodarskih zadevah (v nadaljevanju Uredba).61 Poseben problem so pogodbe o računalništvu v oblaku brez pogodbenega določila o izbiri sodišča. Splošne določbe Uredbe določajo, da je pristojno sodišče države članice, v kateri ima tožena stranka stalno prebivališče, ne glede na njeno državljanstvo. Za potrošniške določbe velja pristojnost sodišča, v kateri ima potrošnik stalno prebivališče, če je potrošnik sklenil pogodbo z osebo, ki opravlja gospodarsko dejavnost ali poklicno dejavnost v državi članici, ali pa to svojo dejavnost usmerja v to državo članico (15. člen Uredbe). Če se uporabijo posebne določbe o pristojnosti, lahko potrošnik v skladu s 16. členom Uredbe sproži postopek zoper drugo pogodbeno stranko bodisi pred sodišči v državi članici, v kateri ima stalno prebivališče, bodisi pred sodišči kraja, v katerem ima sopogodbenik stalno prebivališče. V skladu s posebno pristojnostjo, določeno v prvem odstavku 5. člena Uredbe, je lahko oseba s stalnim prebivališčem v državi članici tožena tudi v drugi državi članici, in sicer pred sodiščem v kraju izpolnitvene zadeve, tj. kraj, v katerem so bile opravljene pogodbene storitve ali pa bi te morale biti opravljene v skladu s pogodbo (5. člen Uredbe sveta (ES) št. 44/2001). Kaj natančno pomeni kraj izpolnitvene zadevne obveznosti pri pogodbah o računalništvu v oblaku? Ali gre za kraj, v katerem je bila storitev opravljena prek avtomatiziranih sredstev programske opreme, ali pa gre za kraj, v katerem je strežnik fizično nameščen? Vsekakor je pri storitvi računalništva v 60 UL L 177, 4. 7. 2008, str. 6-16. 61 UL L 12, 16. 1. 2001, str. 1. Pravnik • 132 (2015) 9-10 702 Tadeja Pirnat Battelli oblaku nemogoče določiti kraj izpolnitvene zadevne obveznosti, saj sta tako storitev (angl. cloud service) kot tudi strežnik oblaka (angl. server of the cloud) nastanjena v oblaku. Če je bila torej storitev opravljena prek avtomatiziranih sredstev programske opreme, je zelo težko, če ne nemogoče, določiti izpolni-tveni kraj. In v obeh primerih dosežemo enak rezultat. Vse storitve, vključno s strežnikom, so v oblaku. Zelo težko je določiti lokacijo, na kateri se opravlja storitev računalništva v oblaku. Tukaj se pojavlja prva pravna praznina, saj ni določbe, po kateri bi bilo mogoče določiti kraj izpolnitvenega obveznostnega ravnanja. Tako pravno praznino bi lahko zapolnili na dva načina. Prvič, lahko bi zahtevali obveznost določbe o izbiri prava in o izbiri sodišča v pogodbah o računalništvu v oblaku kot bistveno sestavino pogodbe; in, drugič, na ravni EU bi lahko oblikovali jasno določbo o tem, kaj pomeni kraj izpolnitvene zadevne obveznosti za ponudnike računalništva v oblaku.62 3. SKLEPNE MISLI Pravna analiza pogodbe je pristop k identifikaciji pogodbe, sklenjene v kompleksnih gospodarskih razmerjih. Njen namen je prepoznavanje elementov splošnega tipskega izpolnitvenega ravnanja in primerjava ugotovljenih elementov z elementi tipične pogodbe, ki je zakonsko opredeljena v OZ. Pogodba o storitvi računalništva v oblaku se pojavlja v različnih standardnih oblikah in ni urejena z zakonskimi viri, zato je resen problem v zvezi s klasifikacijo pogodbe. Pogodbo se uvršča v kategorijo modernih kompleksnih poslovnih pogodb pravnih sistemov s tradicijo common law, ki imajo končnico -ing. Tuja doktrina te pogodbe natančno obravnava in analizira. Doktrina, pravni strokovnjaki, poslovna praksa in drugi izoblikujejo izhodišča in merila za uporabo obligacijskih pravil kot odgovor na številna pogodbena vprašanja. Računalništvo v oblaku je inominatna ali brezimenska pogodba, click-wrap metode, izdelane prek splošnih pogojev. Ima zakonske znake licenčne pogodbe, pogodbe zunanjega izvajanja in pogodbe gostovanja. Žal pa pogodbe o storitvi računalništva v oblaku ni mogoče v celoti in izključno vezati na zakonske znake zgoraj omenjenih pogodb, saj izpolnitveno ravnanje spremljajo tehnični parametri za uporabo storitve računalništva (določeni v SLA) in na podlagi teh tehničnih parametrov ponudnik v pogodbenem razmerju določi kakovost in zmogljivost storitve. Smisel in bistvo pravne analize je predvsem jasna določitev poslovne odškodninske odgovornosti zaradi neizpolnitve pogodbenih obveznosti. Odgovornost ponudnika storitve je povezana z več obveznostmi pogodbenega razmerja. Pri storitvi računalništva v oblaku gre za obligacijo prizadevanja, 62 (29. 4. 2015). Pravnik • 132 (2015) 9-10 Pravna analiza pogodbe o računalništvu v oblaku 703 kar pomeni, da bo sodišče kljub nejasnim in spornim določilom o omejevanju odškodninske odgovornosti ponudnika vezalo poslovno odškodninsko odgovornost ponudnika storitve zaradi neizpolnitve na pravni standard profesionalne skrbnosti. Končne določbe pogodbe o računalništvu v oblaku, t. i. boiler plate clauses, so standardna stilna pogodbena določila v pravnih sistemih s tradicijo common law. Njihovo veljavo je treba vezati na obvezna razlagalna pravila civilnega prava. Ni mogoče spregledati nezmožnosti določitve kraja iz-polnitvenega ravnanja zadevne obveznosti. Posledica določitve kraja izpolni-tvenega ravnanja je namreč določitev veljavnega prava v vseh primerih, ko to ni določeno v sami pogodbi. Pogodba o računalništvu v oblaku kot novi primat pogodbenega internetnega samozadostnega modela, značilnega za pravne sisteme s tradicijo common law, ima z vidika slovenskega prava veliko posebnosti. Obligacijsko pravo, potrošniško prava in pravo elektronskega poslovanja s splošnimi pravili in načeli komaj dohajajo spremembe in nastanek novih oblik poslovanja. Pravnik • 132 (2015) 9-10 Pubblicazione scientifica 705 UDK: 347.44:004.77 LANALISI GIURIDICA DEL CONTRATTO DI CLOUD COMPUTING Tadeja Pirnat Battelli, dottoressa in legge, Studio legale Rucellai e Raffaelli, Milano L'analisi dei servizi di cloud computing, denominati con l'acronimo inglese »... as a Service« (SaaS, IaaS, PaaS), ha portato gli esperti a formulare diverse de-finizioni. Dal punto di vista strettamente tecnico, tra le definizioni piu det-tagliate si legge »il cloud computing é un'insieme delle tecnologie che permet-tono di elaborare (mere conduit), archiviare (hosting) e memorizzare (caching) i contenuti dellutente, accessibili e richiesti direttamente on-line (on-demand), con tariffazione in base all' uso (pay-per-use)«, mentre tra le piu semplici »il cloud computing é consumare allesterno del firewall«. L'attraente modo di locu-zione di questo servizio, accompagnato dai c. d. deployment models (private, public, hybrid, community cloud) ha un particolare obiettivo. In breve, le varie combinazioni di modelli di dispiegamento e modelli di servizio connotano le funzioni, le caratteristiche fondamentali e il rapporto tra il fornitore, l'utente e altri soggetti (i. e. cloud auditor, broker, carrier ecc.). Tali combinazioni, in particolare, denotano chi ha il controllo e chi la gestione del servizio. L'insieme di questi elementi determina la natura del contratto per il servizio di cloud. L'utilizzo del servizio SaaS nel modello di dispiegamento public cloud riguarda il software installato nei data center che possono essere sia di proprieta del fornitore stesso sia di proprieta dell'ente pubblico o di altro soggetto, offerti all'u-tente tramite un'interfaccia, quale, ad esempio, l'interfaccia web. Il principale vantaggio del SaaS cloud pubblico consiste nel fatto nell'offrire al pubblico un servizio su richiesta, nella misura e per il tempo effettivamente necessario. Tra gli svantaggi, la completa perdita del controllo da parte dell'utente sul contenu-to trasferito nel cloud (il luogo del server), la sicurezza e il modo di erogazione del servizio utilizzato. Per quel che riguarda piu tipicamente gli aspetti contrattualistici del cloud computing, tale materia e relativamente giovane e come tale »trascurata« dal Pravnik • 132 (2015) 9-10 706 Tadeja Pirnat Battelli legislatore nazionale. Non solo, trattasi di contratti di derivazione statunitense, dalla tradizione di common law, i c. d. -ing (i. e. outsourcing, leasing, hosting, factoring ecc.), con un'autonomia e dinamiche nella stesura di modelli stan-dardizzati diversa dall'autonomia contrattuale tipica del legislatore civilistico europeo. Ed e proprio a quest'ultimo che si rivolge la presente analisi della struttura di tali modelli contrattuali. Non solo, l'approfondimento utilizza quale parametro giuridico l'ObHgacijski zakonik (qui di seguito OZ), un rigido codice delle obbligazioni sloveno, codificato nello spirito di un sistema economico orientato verso i consumi, che trascura tuttavia l'aspetto degli investimenti. Un problema nel mondo dove le imprese si concentrano sul core business ed esternalizzano (outsourcing) le attivita accessorie nell'ottica di poter rinvestire il risparmio cosí ottenuto. Nello specifico, il contratto di cloud computing e composto da tre macro elementi: le condizioni generali, le varie policies e la modalita di trattamento dei dati. Tale modello contrattuale autosufficiente e perfetto nasce dalla »materia viva«, ovvero dal commercio on-line. Una »materia« globale, che non conosce nazioni e confini, che elimina i tempi e altri limiti del commercio classico. L'a-nalisi giuridica del tema si pone particolari quesito: e utile a livello nazionale una disciplina ad hoc per questo tipo di contratto che opera su un mercato unico ed internazionale? Qual e la natura giuridica di questo »contratto alieno che ignora il diritto europeo« per citare G. De Nova? Sin dagli anni novanta il legislatore, la dottrina e la giurisprudenza europea hanno prestato grande at-tenzione alla materia del commercio elettronico sempre protagonista di dibat-tito culturale senza tuttavia trovare un accordo sul punto. Attualmente si trova sul mercato una vasta tipologia di contratti di cloud computing e il presente articolo concentra l'analisi sul contratto di tipo B2C e B2B, public cloud, SaaS (i. e. AWS Customer Agreement), che rappresenta la forma piu diffusa di servi-zio. Il contratto ha la struttura di un atto unilaterale (denominato in Slovenia inominatna pogodba e disciplinato dagli artt. 50 e ss dell'OZ), che mira all'au-tosufficienza, che presenta la classica forma di un contratto internazionale (la spiegazione dei termini, le clausole di stile, le policies e varie premesse ...). La manifestazione di volonta ai sensi del primo comma dell'art. 18 dell' OZ puo avvenire in qualsiasi modalita, salvo le clausole di trattamento dei dati, per le quali e in Slovenia prescritto l'obbligo di informare anticipatamente per iscritto il soggetto dell'avvenuto trattamento, come stabilito dall'art. 8 del ZVOP-1-UPB1. La conclusione del contratto di cloud computing avviene spesso tramite il c. d. click-wrap method e successivamente tramite posta elettronica (art. 7, co. 7 del ZEPT). In piu, la conclusione puo avvenire anche tramite la negoziazio-ne. I negoziati tra le parti si concentrano sulle tre R: risk, relationship e result. Ai sensi dell'art. 20 dell'OZ, le trattative precontrattuali non vincolano le parti Pravnik • 132 (2015) 9-10 L'analisigiuridica del contratto di cloud computing 707 e sono prive di valore giuridico. Non comportano alcun obbligo di contrarre, ma la violazione del dovere di buona fede, qualora la parte decida ingiustifica-tamente di recedere dalle trattative, genera l'obbligo risarcitorio. La questione della manifestazione di volonta di un contraente legata al click-wrap method non sembra presentare particolari problematiche. Al contrario, sembra essere l'unica modalita che veramente risponde alle esigenze del commercio elettro-nico per la sua semplicita rispetto invece alle trattative precontrattuali costose, troppo tecniche e lunghe. Ció non sminuisce l'importanza e la necessita di informare adeguatamente il consumatore ovvero il sottoscrittore del contratto. Il processo informativo e nominato smart disclosure. Ed e proprio in questa innovazione dei profili informativi che un cloud provider e un cloud auditor devono investire le proprie energie per trovare dall'altra parte un consumatore consapevole. Tuttavia, e piu importante stabilire il momento esatto e il luogo preciso della conclusione del contratto di cloud computing. La premessa del contratto analizzato disciplina che: »... il contratto é concluso nel momento in cui si faccia click col mouse su "I accept" ovvero, se anteriore, nel momento in cui si cominci ad utilizzare il servizio ...«. Considerata la teoria civilistica europea, e quindi anche slovena, sull'istituto dell'offerta al pubblico (art 22., co. 1 dell' OZ) e dell'invito a offrire (art. 22, co. 3 dell' OZ) si ritiene che il momento della conclusione del contratto avvenga quan-do l'utente prende conoscenza tramite posta elettronica (non necessariamente con una firma digitale) dell'accettazione da parte del fornitore. Non si condivide l'opinione per cui un semplice utilizzo del servizio oppure il pagamento on-line del servizio di cloud computing possa significare l'inizio di un rapporto con-trattuale tra un fornitore ed un'utente, nonostante la prassi contraria. Semmai quell'effettivo utilizzo del servizio puó presentare una prova gratuita, per prendere una decisione piu consapevole. Vi e il principio generale secondo il quale il luogo di stipula del contratto e da ritenersi quello dove il fornitore abbia la sede registrata della propria attivita o il proprio domicilio nel caso si tratti di persona fisica, al momento dell'offerta (art. 21, co. 2 dell' OZ). E' invece piu opportuno stabilire il luogo in relazione alla conclusione del contratto: esso sara da ritenersi quello in cui sia ubicato l'utente mentre viene a conoscenza dell'accettazione da parte del fornitore attraverso la propria posta elettronica. Come sopra accennato, il secondo macro elemento del contratto e costituito dalle cosiddette policies. Si tratta di documenti, spesso complessi e in continuo aggiornamento, elencati nel modello di contratto. Il contraente puó consultare tali documenti cliccando sull'indirizzo URL che richiama il contenuto delle policies. La disciplina in materia dei contratti a distanza (artt. 43. e ss del ZVPot-UPB2) insieme alla disciplina delle clausole vessatorie (art. 24 del Pravnik • 132 (2015) 9-10 708 Tadeja Pirnat Battelli ZVPot-UPB2) e a una vasta gamma di disposizioni a tutela del consumatore, ormai a livello europeo con la Direttiva 2000/31/CE sul commercio elettroni-co, forniscono un inquadramento regolamentare alle policies e conseguenti in-terpretazioni della loro applicabilità. E non è per nulla diverso in Slovenia: vige l'obbligo, a carico del fornitore del servizio cloud, di fornire le informazioni all'utente in modo diretto, semplice, costantemente aggiornato e facilmente ac-cessibile prima dell'eventuale compilazione del contract form on-line (art. 43.b, co. 1 del ZVPot-UPB2). Le principali policies spesso presenti nei contratti di cloud computing sono le: Terms of Service, Service Level Agreement (SLA), Acceptable Use Policy e Privacy Policy. Questi documenti informano l'utente sulla modalità di erogazione del servizio, determinano forme di audit, la modalità di trattamento dei dati e altre regole di comportamento delle parti. Sempre all'interno dello schema regolamentare di tutela del consumatore si ha, anche per i contratti di cloud computing, il diritto di recesso sottoposto a un breve termine (quindici giorni) di scadenza ai sensi del Codice di consumo sloveno che rappresenta oggetto di uno degli obblighi di informazione (art. 43.c del ZVPot-UPB2). La violazione di tale obbligo da luogo alla pena pecuniaria ai sensi dell'art 77. ZVPot-UPB2. Lesercizio del diritto di recesso nei contratti di cloud computing pone anche come conseguenza la cancellazione del contenuto messo nel cloud (c. d. right to be forgotten). Il servizio offerto »as is«, cioè nello stato in cui si trova nel momento della con-clusione nonostante possibili interruzioni, errori e/o contenuti danneggiati, determina l'istituto civilistico dell'obbligazione di mezzi (art. 6, co. 2 dell'OZ) per il quale non vi è nessuna responsabilità per il risultato. Nonostante que-sto classico disclaimer, presente in ogni modello contrattuale statunitense, il fornitore non è sollevato dalla responsabilità. Vi sono due modi particolari stabiliti nelle policies (SLA) con i quali spesso si argina l'indennizzo dell'utente. Il primo modo è tramite un limite massimale del corretto funzionamento del servizio senza interruzioni spesso stabilito al 98% del tempo totale. Al di sotto di questo limite l'utente ha diritto al risarcimento del danno arrecato a seguito delle interruzioni o errori del servizio (c. d. server downtime). L'indennizzo non avviene attraverso il rimborso in denaro, ma con il corrispettivo di giorni gratuiti usufruibili nell'anno successivo a quello dell'abbonamento al servizio. Il secondo modo è cumulativo al primo e dipende dalla specie del danno patrimoniale. Il sistema civil law riconosce due tipi di danno patrimoniale, il lucro cessante (art. 132 dell'OZ) e il danno emergente (art. 132 dell'OZ), mentre il sistema common law usa i c. d. indirect and consequental damages e direct damages. Spesso si prevede la responsabilità nei contratti di cloud computing soltanto per i c. d. direct damages sottoposti ad un limite massimale (c. d. cap on liability for direct damages), equivalente, secondo una parte della dottrina, Pravnik • 132 (2015) 9-10 L'analisigiuridica del contratto di cloud computing 709 a lucro cessante del sistema civil law. L'utente potrà nonostante il massimale chiedere un risarcimento più alto ai sensi dell'art. 242, co. 4 dell' OZ. Rimane comunque il compito del foro competente di determinare il risarcimento del danno nel caso dell'inadempimento contrattuale. I c.d. boiler plate clauses nel contratto di cloud computing, chiamati dalla dot-trina anche clausole di stile, si limitano a rappresentare una prassi statunitense e non rispondono alla libera manifestazione della volontà delle parti, visto che si concludono in base al sistema take it or leave it. Questo metodo di stipula-zione di clausole boiler plate è per un legislatore europeo inaccettabile, e quindi inefficace. Si condivide l'opinione per cui si tratta di mere clausole di stile. Ai sensi dell'art. 82 dell' OZ si interpretano le clausole poco chiare contro l'autore della clausola nel fenomeno dei contratti per adesione. Dove il regolamento contrattuale è disciplinato in una maniera uniforme, il che è spesso il caso nei contratti di cloud computing, le clausole ambigue si interpretano a favore dell'aderente, cioè utente, che di regola è la parte contraente più debole. Quindi come si superano gli ostacoli nell'interpretazione slovena, attuante anche quel-la europea, delle clausole statunitensi? Un classico esempio di avvicinamento dei due sistemi contrattuali potrebbe essere l'assegnazione, seppure con riser-va, delle caratteristiche del contratto di compravendita (art. 438. dell' OZ) e del contratto di locazione (art. 587. dell' OZ) al contratto di leasing. Nella dottrina slovena tale avvicinamento prende forma nella definizione di »mešana atipična zakupno prodajna pogodba« (contratto atipico misto di locazione-vendita). Cosi facendo il contratto di cloud computing potrebbe diventare un incrocio tra il contratto di hosting web, il contratto di outsourcing e il contratto di licen-za. L'obiettivo dell'articolo è quindi quello di abbattere le barriere del diritto sloveno, ovvero europeo, e trovare una lingua comune ai due sistemi contrattuali di origine diversa per dare luogo a un commercio elettronico più sicuro, più snello, più ricco e più chiaro. Pravnik • 132 (2015) 9-10 Avtorski sinopsisi 739 Pregledni znanstveni članek UDK: 347.44:004.77 PIRNAT BATTELLI, Tadeja: Pravna analiza pogodbe o računalništvu v oblaku Pravnik, Ljubljana 2015, let. 70 (132) št. 9-10 Veliko študij in raziskav analizira računalništvo v oblaku iz različnih vidikov, vendar vsi zelo navdušujoči praktični predlogi o tem, kaj je računalništvo v oblaku, vključujejo prepričanje, zaupanje in odvisnost. Prepričanje prenesti vsebino v oblak, zaupanje v pridobljene koristi storitve IKT na zahtevo in odvisnost od nevarnosti, ki jih IKT namestitveni modeli strežnikov za hrambo podatkov prenašajo. Pogodba s končnico -ing, ki ureja računalništvo v oblaku, je razmeroma mlada in kot taka popolnoma spregledana s strani nacionalne zakonodaje, pri čemer je nenehno predmet obravnav na evropski ravni. Članek obravnava splošno in posebno strukturo pogodbe o računalništvu v oblaku z vidika slovenskega obligacijskega prava. Konkretneje, članek odgovori na naslednja vprašanja. Kakšna je pravna narava in struktura pogodbe? Kakšne so posledice t. i. click-wrap metode sklepanja pogodbe? Ali gre pri obveznostih za obligacijo rezultata ali obligacija prizadevanja? Kako je pogodbeno urejena odškodninska odgovornost ponudnika storitve? Kakšen je namen splošnih pogojev pogodbe? Kako slovenski zakonodajalec razlaga t. i. boiler plate pogodbene določbe? Poleg naštetega opozarjam vse potrošnike na morebitna neravnovesja pogodbenih moči, ko se pogodba sklene prek klika na ikono »Sprejmem«. Pravnik • 132 (2015) 9-10 740 Authors' Synopses Review Article UDC: 347.44:004.77 PIRNAT BATTELLI, Tadeja: Cloud Computing Contract - Legal Analysis in View of Slovene Law, Pravnik, Ljubljana 2015, [*] Pravnik, Ljubljana 2015, Vol. 70 (132), Nos. 9-10 Many studies and papers analyze cloud computing from various points of views. However, all the very inspiring practical proposals could be about trust, confidence and dependence. Trust to put one's content in the cloud, confidence to obtain the benefits requested of such pay-per-use on-demand IT service and, finally, dependence on all the risks such IT deployment models of storage and memory space bear. Understanding the cloud computing stack, this type of -ing contract can be knotty and as such completely neglected by the Slovene regulation, although constantly under the radar by various European expert groups. This article examines the specific structure of cloud computing contract in view of the existing national legislation. In particular, the article answers the following questions: What is the legal nature and the form of the contract? What are the consequences of the so-called click wrap method? What is the purpose of various policies and smart disclosure in cloud computing contract? What is the type of obligation in the contract, of result or of means? Liability of cloud provider? How to interpret the so-called boiler plate clauses under the Slovene law? Finally, all consumers are informed how to overcome the significant contractual imbalances due to adhesion to cloud computing contracts by clicking the »I accept« button. What is yours, stays yours! Pravnik • 132 (2015) 9-10