Maikuu viimasel nädalavahetusel kogunesid Helsinkis rahvusvahelise advokaadiühenduse ALFA International Euroopa liikmebüroode partnerid ja esindajad. Esmakordselt oli osalejate ridades ka Eesti, mille esindamise rolli kandsid Advokaadibüroo Lepmets & Nõges partnerid Ott Lepmets ja Kristjan Nõges. Muu hulgas osalesid vandeadvokaadid Ott Lepmets ja Kristjan Nõges põnevas paneeldiskussioonis, mille teemaks oli tarkvara kui teenus (SaaS) tüüpi lepingute tulevik. Lisaks meie büroo partneritele osalesid paneelis ka veel Dr. Georg Huber (GPK Pegger Kofler & Partner, Austria) ning paneeli modereeris Pav Younis (Weinhold Legal, Tsehhi).
Meie büroo partner Kristjan Nõges avaldas ürituse kohta järgmist: „Tegemist oli suurepärase võimalusega vahetada mõtteid oma ala tõeliste tippudega. Kahtlemata tuleb kiita ka teemavalikut, sest tarkvara kui teenus tüüpi lepingute turg on viimase seitsme aasta jooksul viiekordistunud, ulatudes nüüdseks juba kaugelt üle triljoni dollari. Paneel arutas tarkvara kui teenus tüüpi lepingute tööpõhimõtteid, eriti seonduvalt tehisintellekti rakendamise ja suurte andmekogude kasutamisega ning uuris, kuidas see joondub järjest rangemaks muutuvate andmekaitseregulatsioonidega. Lisaks heideti pilk ka Euroopa Liidu kavandatavatele regulatsioonidele tehisintellekti taltsutamise valdkonnas. Saime tõeliselt põneva arutelu.“
Mis on tarkvara kui teenus (SaaS)?
Tarkvara kui teenus (Software-as-a-service) on üks kolmest põhilisest pilveteenusest. Teised kaks on veel IaaS ehk taristu kui teenus (Infrastructure-as-a-service) ja PaaS ehk platvorm kui teenus (Platform-as-a-service). Tarkvara kui teenus tähendab sisuliselt võtmed-kätte tarkvaralahendust, millele pääseb ligi üle interneti ning mille eest saab tasuda lähtuvalt kasutamise ulatusest või kestusest. Erinevalt väljaostetavast tarkvarast tagab selline lähenemine kliendile rohkem paindlikkust ja õhemaid opereerimiskulusid. Kui tarkvara hoiab ennast ise ajakohasena ning kui tarkvara pakkuja poolt on alati tagatud kompetentne klienditugi, siis väheneb drastilistelt ettevõtete vajadus eraldi IT-osakonna järele. Tuntuimad näited sellisest tarkvarateenusest on Gmail, Slack ja Office365. Kasutusmugavuse kõrval on andmete pilves hoidmine sageli ka turvalisem, kui andmete lokaalne hoiustamine.
Saas lepingute põhilised komponendid
Tarkvara kui teenus lepingud ei moodusta meie õiguskorras iseseisvat lepinguliiki. Niisiis pole seadusandja ette andnud spikrit, kuhu lepingu koostamisel vaadata ja just seetõttu on mõistlik juba varakult teha koostööd spetsialistidega, kes mõistavad reguleeritava teenuse olemust. SaaS lepingute koostamisel tuleb kindlasti silmas pidada ja eriti hoolikalt reguleerida selliseid elemente nagu teenuste kättesaadavus, litsentseerimine, tasustruktuur, uuendused, andmekaitse ja andmete turvalisus ning muidugi vastutus. Iga eelnimetatud element peidab endas väga erinevaid lahendusi ja võimalusi, mis tuleb põimida kliendi huvidest lähtuvalt üheks tervikuks. Vaatame järgnevalt lähemalt näiteks litsentseerimist ja andmekaitset ning turvalisust.
Mida pidada silmas litsenseerimisel?
Litsentseerimise esemeks on intellektuaalne omand, mis tähendab laias plaanis mõistuse poolt loodut. SaaS lepingu kontekstis hõlmaks see tarkvara koodi, brändingut, disaini, tunnetust ja asetust. Teisisõnu just seda, mis teeb sinu tarkvara unikaalseks ja milles peitub enamus selle väärtusest. Pole kahtlustki, et intellektuaalset omandit tuleb hoolega kaitsta ja seda saab teha lepinguliselt.
Täiendavalt tuleb siinkohal arvestada ka kõigega, mis pärineb tarkvarapakkuja klientidelt. On tavaline, et enamus tarkvarateenuse kliente saavad teenust kasutades üles laadida pilte või dokumente. Kui tarkvarateenuse pakkuja soovib neid ka enda jaoks kasutada, tuleb selleks küsida vastav luba. Niisiis peaks SaaS leping sisaldama ka klausleid sellest, mida võib teha andmetega, mis pärinevad teenuse klientidelt. Lisaks peaks leping reguleerima ka seda, kellele ja millises ulatuses kuulub intellektuaalne omand, mis luuakse tarkvara kasutamise tulemusel.
Mida pidada silmas andmekaitses ja turvalisuses?
Kui teemaks tuleb andmekaitse ja GDPR, siis sageli pööritatakse silmi. See on ka arusaadav, kuivõrd tarkvarateenuse pakkuja seisukohal on antud teemablokk äri ajamisel just kui järjekordne takistus. Samas on teema olulisust raske ülehinnata. Seda ilmestab suurepäraselt näiteks Metale (endine Facebook) äsja tehtud trahv GDPR-i sätete rikkumise eest, mille ulatuseks oli 1,2 miljardit dollarit. Andmekaitse on kahtlemata valdkond, millele tuleks mõelda juba toote arendusfaasis.
Tarkvarateenuse osutaja peab aru saama, millal ta tegutseb vastutava ja millal volitatud töötlejana ning millised kohustused sellega kaasnevad. Mõlemal juhul peab tarkvarateenuse osutajal olema täpne ülevaade sellest, milliseid isikuandmeid ta kogub, millisel eesmärgil ja millisel õiguslikul alusel. Selline ülevaade tuleb avaldada teenuse lõppkasutajale. Paigas peavad olema süsteemid isikuandmetega seotud päringutele reageerimiseks ja inimesed, kes selle eest vastutavad. Hoolega tuleb läbi mõelda, kuidas toimub andmete säilitamine ja kes ning millisel ajahetkel andmetele ligi pääsevad. Milliseid turvameetmeid kasutatakse? Millised on protseduurireeglid, kui ilmneb andmeleke? Kus hoitakse andmeid füüsiliselt ja kuidas reageeritakse juhul, kui nendega midagi juhtub?
Nendele ja kõigile teistele tarkvara kui teenus lepingutega seotud küsimustele aitavad leida õiged vastused Advokaadibüroo Lepmets & Nõges advokaadid.