PILVIPALVELUSOPIMUKSET – KESKEISET SOPIMUS- EHDOT JA LAINSÄÄDÄNTÖ
Xxxx Xxxxxxxx
PILVIPALVELUSOPIMUKSET – KESKEISET SOPIMUS- EHDOT JA LAINSÄÄDÄNTÖ
JYVÄSKYLÄN YLIOPISTO TIETOJENKÄSITTELYTIETEIDEN LAITOS 2013
Pilvipalvelusopimukset – keskeiset sopimusehdot ja lainsäädäntö Jyväskylä: Jyväskylän yliopisto, 2013, 105 s.
Tietojärjestelmätiede, pro gradu -tutkielma Ohjaaja(t): Tyrväinen, Pasi & Luoma, Eetu
Asiasanat: pilvipalvelut, sopimukset, sopimusehdot, lainsäädäntö
Tässä pro gradu -tutkielmassa keskityttiin tarkastelemaan pilvipalvelusopimusten erityispiirteitä perinteisempiin IT-alan sopimuksiin, kuten ohjelmistolisenssisopimuksiin, verrattuna. Lisäksi tutkielmassa eriteltiin pilvipalvelusopimuksia säätelevää lainsäädäntöä. Tavoitteena oli lisäksi selventää, mitkä ovat keskeisimpiä sopimusehtoja pilvipalvelusopimuksissa sekä miten nämä ehdot ilmenevät käytännön sopimuksissa. Tutkimus oli otteeltaan sekä oikeustieteellinen että teknis-taloudellinen, ja käytetyt tutkimusmenetelmät olivat kirjallisuuskatsaus ja tapaustutkimus.
Kirjallisuuskatsauksen perusteella todettiin, että erikoispiirteitä ovat tekijänoikeuden vähäisempi merkitys, palvelutasosopimukset sekä tietosuojakysymykset. Keskeisimpiä sopimusehtoja olivat lain valinta, irtisanomisehdot, palvelutasosopimukset, auditointiehdot, tietosuojaehdot sekä vastuunrajauslausekkeet.
Tapaustutkimuksessa oli kaksi tapausta, joissa molemmissa analyysiyksikkönä oli pilvipalvelusopimus. Toinen tutkittava sopimus oli sovelluskehitysalustaa palveluna tarjoavan, ja toinen infrastruktuuria palveluna tarjoavan yrityksen käyttöehtosopimus. Tapaustutkimuksen perusteella todettiin johtopäätöksinä, että palvelutasosopimukset ovat keskeisin ja ainoa asiakkaan etuja suojeleva osa sopimusta. Lisäksi todettiin, että palvelujen liian laaja irtisanomisoikeus saattaa olla riskitekijä asiakkaan näkokulmasta. Auditointioikeuksia ei tutkituissa tapauksissa myöskään myönnetty pilvipalvelun tarjoajan asiakkaille.
Cloud Service Contracts – Key Contract Terms and Relevant Legislation Jyväskylä: University of Jyväskylä, 2013, 105 p.
Information Systems, Master's Thesis Supervisor(s): Xxxxxxxxx, Pasi & Xxxxx, Eetu
Keywords: cloud services, contracts, contract terms, law
This pro gradu thesis concentrated on examining the characteristics of cloud service contracts compared to more traditional contracts in the IT field, such as software license agreements. The study also analyzed law relevant to cloud services. In addition, a goal was to identify the key contract terms in cloud service contracts and how these key terms appeared in real world contracts. The research approach of this study combined both legal and techno-economic study approaches, and the research methods used were literature review and case study.
Based on the literature review it was concluded that the characteristics of cloud service contracts are the reduced significance of copyright, service-level agreements and data protection issues. The key contract terms identified were choice of law, contract termination clauses, service-level agreements, audit rights, privacy provisions and limited liability clauses.
In the case study there were two cases both in which the unit of analysis was the contract. The first contract studied was a PaaS service provider's cloud service agreement, the second contract was from an IaaS service provider. Based on the case study it was concluded that service-level agreement is the sole part of the contract whose purpose is to protect the rights of the customer. In addition it was concluded, that a too broadly defined termination clause may be a risk factor from the customer's point of view. In the cases studied, no audit rights were granted.
KUVIO 1: Lisensointivaihtoehdot: väliporras tai loppukäyttäjä (Välimäki, 2009, 180) 20
KUVIO 2: Pilvipalvelujen ontologia (Youseff, Xxxxxxx & Xx Xxxxx, 2008) 31
KUVIO 3: Eri toimijoiden verkko pilvipalveluissa 38
TAULUKOT
TAULUKKO 1: Ohjelmistolisenssi vs. pilvipalvelu 36
TAULUKKO 2: Tutkielman teoriaosuuden keskeinen sisältö 54
TAULUKKO 3: Pilvipalvelusopimusten erityispiirteet käsitellyissä tapauksissa
.........................................................................................................................................71
1.4 Tutkimusmenetelmät ja tiedonkeruutavat 10
1.6 Tutkimusraportin rakenne 11
2.1 Sopimus ja sen syntyminen 12
2.2 Lainvalinta ja toimivaltainen tuomioistuin 13
2.3.2 Tietojärjestelmän hankintasopimus 14
2.3.3 Huolto-, ylläpito ja tukisopimukset 15
2.3.5 Ohjelmistolisenssisopimus 16
2.3.6 Ohjelmistovuokraussopimus 16
2.4 Immateriaalioikeuksien rooli IT-sopimuksissa 16
2.4.1 Tekijänoikeus tietokoneohjelmissa 17
2.4.3 Laitteiston ja ohjelmiston myynti 19
2.4.4 Ohjelmiston käyttöoikeuden myynti 20
2.4.5 Tietokoneohjelman edelleenluovutus 22
2.5 Vakiintuneet sopimusmallit ja -käytännöt 23
2.5.3 Salassapitoehto eli NDA (Non-disclosure Agreement) 24
2.5.5 Vahingonkorvaus ja vastuunrajoituslausekkeet 26
3.1 Pilvipalvelun keskeisiä piirteitä 29
3.2 Pilvipalvelujen jaottelu 30
3.3 Pilvipalvelut palveluntarjoajan näkökulmasta 32
3.3.1 Pilvipalvelujen hinnoittelu ja kustannusrakenne 33
3.3.2 Asiakkaan alhainen sitoutumisaste 33
3.3.3 Yksinkertainen tuotteiden kehitys- ja ylläpitoprosessi 33
3.4 Pilvipalvelut asiakkaan näkökulmasta 34
3.4.2 Asiakkaan odotukset ja koetut riskit 35
3.5 Keskeiset eroavaisuudet ohjelmistolisensoinnin ja pilvipalvelujen välil- lä 35
4 PILVIPALVELUSOPIMUSTEN ERITYISPIIRTEET 37
4.1 Mitä pilvipalvelusopimuksella tarkoitetaan? 37
4.2 Asiakkaan ja palveluntarjoajan väliset sopimukset 39
4.3 Asiakkaan ja välittäjän väliset sopimukset 40
4.4 Välittäjän ja palveluntarjoajan väliset sopimukset 40
4.5 Sopimuskokonaisuus ja eri sopimusasiakirjojen suhde toisiinsa 41
4.6 Tekijänoikeuskysymykset 41
4.6.1 Palveluntarjoajan tekijänoikeudet 41
4.6.3 Asiakkaan tekijänoikeudet omaan dataansa 42
4.8 Sopimuksen irtisanominen 45
4.9 Vastuu palvelun toimivuudesta 46
4.9.2 Palvelutasosopimus eli SLA 47
4.10 Kuluttaja- ja liikesopimukset 48
4.11.1 Pilvipalvelujen asettamat haasteet tietosuojalle 49
4.11.2 Tietosuojalainsäädäntö 50
4.11.3 Tietosuojaehdot pilvipalvelusopimuksissa 51
4.12.1 Toimittajariippuvuus eli vendor lock-in 51
5.3 Tapaustutkimuksen tulokset 56
5.3.1 Lain- ja toimivaltaisen tuomioistuimen valinta 57
5.3.2 Vakioidut sopimusehdot ja sopimuksen osat 58
5.3.4 Sopimuksen keskeyttäminen 59
5.3.5 Sopimuksen irtisanominen 59
5.3.6 Vastuun rajaaminen ja takuu 61
5.3.10 Toimittajariippuvuus 69
5.3.11 Taulukko tapaustutkimuksen tuloksista 69
5.4.1 Vastuunjakokysymyksistä 72
5.4.2 Palvelutasosopimuksen komponenttien määrittely 72
5.4.3 Puuttuva auditointioikeus 73
5.4.6 Toimittajariippumattomuus 74
6.2 Reliabiliteetti, tulosten yleistettävyys ja tutkimuksen rajoitteet 76
LIITE 1 UPCLOUD-PALVELUN KÄYTTÖEHDOT 83
LIITE 2 GOOGLE APP ENGINE -SOPIMUSKOKONAISUUS 88
TIETOSUOJAKÄYTÄNTÖ (GOOGLE, 2012D) 101
Viime vuosina dramaattisesti yleistyneet pilvipalvelut ovat koko ajan yhä ajan- kohtaisempi suuntaus IT-alalla. Käyttöperusteiseen hinnoitteluun perustuvat verkon välityksellä käytettävät ohjelmistot tuovat mukanaan aivan uudenlaista dynaamisuutta ja tehokkuutta. Yhä useampi yritys harkitseekin toimintojensa siirtämistä pilveen tai muuten vain punnitsee pilvipalvelujen mahdollisuuksia. Yritysnäkökulman lisäksi on syytä muistaa, että markkinoilla on paljon myös tavallisille kuluttajille suunnattuja pilvipalveluja.
Pilvipalvelujen erilaisen luonteen ja syntyneiden uusien liiketoimintamal- lien vuoksi pilvipalvelusopimuksiin liittyy kysymyksiä, jotka saattavat erota perinteisempien IT-sopimusten ehdoista. Tästä johtuen on tarpeellista avata pil- vipalveluihin liittyviä keskeisiä kysymyksiä myös sopimusten näkökulmasta. Tässä tutkielmassa pyritään kartoittamaan juuri niitä seikkoja, jotka ovat erityi- siä nimenomaan pilvipalvelusopimuksille.
Seuraavaksi määritellään tässä tutkielmassa esiintyvät keskeiset käsitteet, joita ovat pilvipalvelu, pilvipalvelun tarjoaja, tilaaja pilvipalvelun välittäjä, sopimus sekä palvelutasosopimus.
Tämän tutkielman kontekstissa pilvipalvelulla (Cloud Service) tarkoitetaan niin yrityksille kuin kuluttajillekin suunnattua tarveperusteiseen itsepalveluun perustuvaa verkon välityksellä ja reaaliajassa käytettävä palvelua, johon voi kuulua tietokoneohjelmistoja, sovelluskehitysalustoja tai virtuaalisia palvelimia, ja joita tilaaja voi varata käyttöönsä tarpeensa mukaan. Pilvipalveluun liittyy erityisesti myös skaalautuvuus ja resurssien yhteiskäyttö (Mell & Grance, 2011). Sopimus (Contract) on kahden tai useamman osapuolen tekemä oikeustoi-
mi, jossa luodaan tai muutetaan velvoitteita sekä niitä vastaavia oikeuksia. So-
pimus syntyy tarjouksesta sekä siihen annetusta hyväksyvästä vastauksesta. (Hemmo, 2003a, 10-13) Sopimus voi syntyä myös yhteisymmärryksen tuloksena tai passiivisesti hyväksymällä palvelun käyttöehdot.
Tilaaja (Subscriber) on pilvipalvelun tarjoajan asiakas, joka sopimuksessa määritellyin ehdoin ostaa käyttöoikeuden pilvipalveluun.
Pilvipalvelun tarjoaja (Cloud Provider) on organisaatio, joka tarjoaa asiakkail- leen pilvipalveluita sopimuksessa määritettyä velvoitetta vastaan.
Pilvipalvelun välittäjä (Cloud Broker) on tilaajan ja pilvipalvelun tarjoajan välissä mahdollisesti toimiva kolmas osapuoli, joka etsii ja mahdollisesti yhdis- telee eri toimittajien palveluista asiakkaalle tarjottavan kokonaisuuden. Välittäjä saattaa myös tarjota omaa ohjelmistoaan jonkun toisen toimittajan ohjelmisto- alustan päälle (Armbrust ym., 2009).
Palvelutasosopimus (Service-Level Agreement, SLA) on sopimus, jolla määrite- tään se palvelun minimitaso, jonka palveluntarjoaja on valmis takaamaan asiak- kaalle (Baset, 2012). Minimitaso määritetään kvantitatiivisesti, ja se voi koskea esimerkiksi palvelun saatavuutta, suorituskykyä tai tietoturvan tasoa. Minimi- arvojen alituksesta aiheutuvat seuraamukset määritellään myös palvelutasoso- pimuksessa. (Takki, 2002, 267-268)
Tämä tutkimus pyrkii kartoittamaan ja avaamaan pilvipalvelusopimuksiin liit- tyvää problematiikkaa. Tutkimus on otteeltaan poikkitieteellinen. Tutkimus pyrkii määrittelemään pilvipalvelusopimuksia sekä teknis-taloudellisesta näkö- kulmasta että oikeustieteellistä lähestymistapaa hyödyntäen. Tutkielmassa kes- keisimmässä tarkastelussa on pilvipalvelusopimusten erityispiirteiden määrit- tely suhteessa aikaisempiin IT-alan sopimuksiin. Lisäksi huomio kohdistuu pil- vipalvelusopimuksia ympäröivän lainsäädännön ja oikeudellisen aineksen määrittelyyn.
Tutkimuskysymyksiä ovat siis:
A) Mitä ovat pilvipalvelusopimuksien erityispiirteet verrattuna muihin IT- sopimuksiin, kuten ohjelmistolisenssisopimuksiin?
B) Mitkä ovat keskeisimpiä sopimusehtoja pilvipalvelusopimuksissa?
C) Miten pilvipalvelujen erityispiirteet ja keskeiset sopimusehdot ilmene- vät käytännön sopimusehdoissa?
Pääpaino on erityisesti suomalaisen oikeuskäytännön erittelemisessä, mutta pilvipalvelujen kansainvälisen luonteen huomioon ottaen myös Euroo- pan Unionin oikeuskäytäntöä tulee jonkin verran avata. Kaikessa tarkastelussa lähdetään kuitenkin siitä olettamuksesta, että edes yksi sopimusosapuoli on suomalainen.
Pilvipalveluista on tehty paljon aikaisempaa tutkimusta. Toisaalta nimenomaan sopimuksiin fokusoitunutta tutkimusta on selvästi vähemmän. Yksi tärkeim- mistä suoraan tämän tutkielman aihepiiriin osuvista tutkimuksista on Kulma- lan (2003) ohjelmistovuokraussopimuksia käsittelevä lisensiaatintutkimus. Mui- ta aikaisemmassa pilvipalvelujen tutkimuksessa painottuneita näkökulmia ovat esimerkiksi sopimuksenhallinta, palvelutasosopimukset sekä erityisesti näihin yhdistettävät tekniset ratkaisut.
Sopimuksenhallintaan liittyen esimerkiksi Bocchicchio, Longo ja Mansue- to (2011) ovat kehittäneet tieto- ja prosessimallin pilvipalvelusopimusten hallin- taan. Tutkimuksessa on keskitytty erityisesti pienten ja keskisuurien yritysten tarpeisiin. Xxxxx pyrkii vähentämään sopimusten tekoon liittyviä väärinymmär- ryksiä sekä ristiriitoja palveluntarjoajan ja asiakkaan välillä.
Zou, Xxxx ja Xxx (2010) ovat puolestaan kehittäneet formaalin palveluso- pimusmalliarkkitehtuurin, jolla pyritään lisäämään mahdollisuuksia reaaliai- kaiseen velvoitteiden noudattamisen seurantaan. Lisäksi mallilla pyritään kas- vattamaan pilvipalveluntarjoajan tilinantovelvollisuutta (accountability).
Toinen aikaisemmassa tutkimuksessa esitetty arkkitehtuuritason ratkaisu pilvipalvelusopimusten hallintaan luo ylimääräisen abstraktiotason asiakkaan ja palveluntarjoajan välille. Tämä eroaa nykyisistä välittäjäpalveluista siten, että ehdotetulla abstraktiotasolla pyritään automatisoimaan koko palveluntarjoajan valinta- ja sopimuksentekoprosessi. Arkkitehtuuriin kuuluu luotettu kolmas osapuoli, vaatimustenformalisointipalvelu sekä mainepalvelu. (Xxx, Xxxx & Xxx, 2010)
Andrzejakin, Xxxxxx ja Xxx (2010) päätöksentekomalli sen sijaan pyrkii optimoimaan kustannusten, tehokkuuden ja luotettavuuden muodostamaa ko- konaishyötyä palvelutasosopimuksessa määritellyin rajoituksin. Tämäkin malli on luonteeltaan teknisempi ja keskittyy sopimusprosessin automatisointiin.
1.4 Tutkimusmenetelmät ja tiedonkeruutavat
Tutkielmassa käytettyjä tutkimusmenetelmiä ovat kirjallisuuskatsaus ja tapaus- tutkimus. Kirjallisuuskatsauksella pyritään luomaan teoreettinen viitekehys, jonka perusteella tapaustutkimus voidaan toteuttaa. Tapaustutkimuksen toteu- tus ja siinä käytetyt metodit kuvataan tarkemmin luvussa viisi.
Tutkielman teoriaosan aineisto koostuu sekä sähköisestä aineistosta sekä perinteisestä kirjallisuudesta. Lähteet on kerätty systemaattisesti eri kirjastoista käyttämällä mm. seuraavia hakusanoja sekä niiden yhdistelmiä: cloud compu- ting, cloud services, cloud contracts, cloud licenses, cloud terms of service, soft-
ware as a service, platform as a service, paas, saas, iaas, terms, saas contracts, saas licenses, contracts, service level agreement, software licenses, sla, cloud sla, cloud legal issues, it contracts ja it contract law.
Tutkielmassa hyödynnettyjä kirjastoja ovat JYKDOK, IEEE Explore, ACM Digital Library, The Collection of Computer Science Bibliographies, ScienceDi- rect, SpringerLink sekä VTT:n julkaisuarkisto. Lisäksi oikeudellista tarkastelua varten lähteenä on käytetty lakia, oikeuskäytäntöä sekä oikeuskirjallisuutta sekä Suomesta että ulkomailta. Suomalainen lakiteksti on haettu Finlex-palve- lusta.
Tutkimuksen tuloksena voidaan todeta, että pilvipalvelujen erityispiirteitä esi- merkiksi ohjelmistolisenssisopimuksiin verrattuna ovat tekijänoikeuden vähen- tynyt rooli, tietosuojakysymykset sekä palvelutasosopimukset. Keskeisimpiä sopimusehtoja ovat irtisanomisehdot, lain valinta, palvelutasosopimukset, vas- tuunrajoitusehdot, tietosuojaehdot sekä auditointioikeudet.
Vaikka käytännön sopimusehdoissa huomataan erilaisia painotuksia pal- velutasosopimusten sisällön suhteen, palvelutasosopimukset ovat keskeinen asiakkaan oikeuksia turvaava tekijä. Liian laaja palveluntarjoajan irtisanomisoi- keus on myös riskitekijä asiakkaan näkökulmasta. Myöskään auditointioikeuk- sia ei pilvipalvelusopimuksissa välttämättä myönnetä.
Toisessa luvussa käsitellään IT-alan sopimuksia yleisemmin. Kolmannessa lu- vussa käsitellään pilvipalveluja itsessään ja pyritään määrittämään mikä pilvi- palveluissa eroaa perinteisistä ohjelmistoista. Neljännessä luvussa käsitellään pilvipalvelusopimuksia ja pyritään luomaan viitekehys, jota hyödynnetään vii- dennessä luvussa, joka käsittelee aiheesta tehtyä tapaustutkimusta. Viimeisessä luvussa pohditaan tehtyä tutkimusta ja vedetään lopussa yhteen keskeinen si- sältö.
Tämä luku pyrkii olemassa olevaan tutkimukseen pohjaten luomaan yleiskat- sauksen IT-alalla yleisimmin käytettyihin sopimustyyppeihin. Tarkoituksena on eritellä IT-sopimuksille ominaisia piirteitä, sekä eräitä vakiintuneita käytän- teitä, joita sopimuksiin liittyy. Lisäksi selvitetään, mihin asioihin IT-sopimuksis- sa on perinteisesti kiinnitetty erityishuomiota.
2.1 Sopimus ja sen syntyminen
Sopimuksen kattava oikeustieteellinen ja etenkin kansainvälisesti yksiselittei- nen määrittely (esim. agreement vs. contract, ks. Kurkela, 2003, 35) voi olla han- kalaa. Hemmon (2003a, 11) mukaan Suomen laissa sopimuksen ja oikeustoimen voidaan tulkita tarkoittavan samaa asiaa. Tässä tutkielmassa ei ole syytä syven- tyä sen tarkemmin sopimuksen olemukseen, vaan aikaisemmin esitetty sopi- muksen määritelmä riittää. Sopimus on siis kahden tai useamman osapuolen te- kemä oikeustoimi, jossa luodaan tai muutetaan velvoitteita sekä niitä vastaavia oikeuksia (Hemmo, 2003a, 13).
Oikeustoimilain (1929/228) 1 § mukaan sopimus syntyy tarjouksesta ja sii- hen annetusta hyväksyvästä vastauksesta. Tarjous-vastausmekanismi ei luon- nollisestikaan poissulje esimerkiksi sopimusneuvotteluissa syntyneen konsen- suksen pohjalta syntyneitä sopimuksia.
Sopimuksilla on muotovapaus, joten kirjallinen, suullinen tai sähköinen sopimus on yhtä lailla sitova. Yksi sopimuksen syntytapa ohjelmistolisenssiso- pimuksissa on nk. shrink-wrap-ehdot, joka tarkoittaa sitä, että käyttöehdoissa todetaan käyttäjän hyväksyvän ehdot avaamalla pakkauksen, jossa ohjelmiston sisältävä media ja käyttöehdot ovat. Uudempi variaatio tästä on nk. click-wrap- ehdot, joissa käyttäjä hyväksyy ehdot esimerkiksi asennuksen yhteydessä paini- ketta painamalla. (Kulmala, 2003, 43). Vaihtoehtoisesti sopimus voidaan hyväk-
syä myös passiivisesti palvelua käyttämällä. Esimerkiksi Amazon Digital Servi- ces, Inc. (2012) muotoilee pilvitallennuspalvelunsa sopimusehdoissa sopimuk- sen syntymisen seuraavasti: ”If you use the Service, you will be bound by the Agreement.” Molemmissa edellä mainituissa tapauksissa palvelussa täytyy olla selvä viittaus sopimusehtoihin, että sopimus syntyisi.
2.2 Lainvalinta ja toimivaltainen tuomioistuin
Yksi keskeinen päätettävä asia kansainvälisissä sopimuksissa, kuten pilvipalve- lusopimuksissa, on lainvalinta. Tämä on tärkeää siksi, että sopimuksen osapuo- let ovat usein eri maista ja eri maiden lainsäädännöt ovat usein ristiriitaisia kes- kenään. (Hemmo, 2005, 351) Sovellettavalla lailla on merkitystä etenkin niiltä osin, mitä sopimuksessa jätetään sopimatta. Mitä täsmällisemmin ja yksityis- kohtaisemmin sopimus tehdään, sitä pienemmäksi sovellettavan lain merkitys pienenee. (Hemmo, 2005, 352)
Lainvalinnan lisäksi kansainvälisissä sopimuksissa tulee ratkaista, missä paikassa mahdollinen kanne tulee panna vireille, sekä missä maassa mahdolli- nen tuomio pannaan täytäntöön (Hemmo, 2003b, 457). Sovellettava laki, maa, missä kanne tulee panna vireille sekä tuomiontäytäntöönpanomaa ovat siis toi- sistaan riippumattomia asioita. Sovellettavaksi laiksi voidaan valita esimerkiksi jonkin kolmannen maan laki, mutta kanne voidaan silti sopia vireille pantavak- si palvelua myyvän osapuolen kotikaupungin tuomioistuimessa.
Tärkeää on todeta, että valitun lain pakottavista säädöksistä ei voida sopi- muksella poiketa. Poikkeuksena tähän on se, että tuomioistuinmaan pakottavaa lainsäädäntöä ei voida lainvalinnalla kiertää. (Hemmo, 2003b, 464-465)
Suurimmissa pilvipalveluissa sovelletaan usein Yhdysvaltojen, tai jonkin Yhdysvaltojen osavaltion lakia. Esimerkiksi Microsoft Azure -palvelun sopi- muksessa sovelletaan Washingtonin osavaltion lakia (Microsoft Corporation, 2011), kun taas Googlen Apps -palvelun sopimuksessa sovelletaan Kalifornian osavaltion lakia (Google Inc., 2012c).
Mahdollista riitaa ei kuitenkaan ole pakko automaattisesti ratkaista suo- raan tuomioistuimessa, vaan etenkin yritysten välisissä liikesopimuksissa sovi- taan usein välimiesmenettelystä (Hemmo, 2005, 371).
Kuluttaja-asiakasta ei sopimuksen osapuolena voida kuitenkaan haastaa oikeuteen muualla kuin asuinmaassaan. Lisäksi kuluttajalta ei voida lainvalin- nalla vähentää kuluttajan asuinmaan pakottavan lainsäädännön tarjoamaa tur- vaa. (Naarajärvi & Koivisto, 2002, 145-146) Esimerkiksi mikäli suomalainen ku- luttaja-asiakas solmii ulkomaisen elinkeinonharjoittajan kanssa sopimuksen, jossa sovelletaan jonkin ulkomaan lakia, suomalainen kuluttaja ei voi menettää suomalaisen kuluttajansuojalainsäädännön antamaa turvaa.
Seuraavassa esitetty lista ei pyri olemaan tyhjentävä esitys kaikista mahdollisis- ta sopimustyypeistä, mutta listaus käsittää monia IT-alalla yleisiä sopimustyyp- pejä. Tutkielman kannalta mielenkiintoisimpia sopimustyyppejä ovat erityisesti ohjelmistolisenssisopimus ja ohjelmistovuokraussopimus. Pilvipalvelusopi- muksia käsitellään kokonaan erikseen luvussa neljä. Tarkoituksena on lähinnä luoda yleiskuva erilaisista sopimuksista, joihin viitataan lähdettäessä tarkastele- maan sopimuksille yhteisiä piirteitä tarkemmin.
Suuri osa IT-alalla tehtävistä toimeksiannoista tehdään projektimuotoisena. IT- projekteihin liittyy useita muuttujia, jotka lisäävät epävarmuutta projektin on- nistumisen suhteen. Projektisopimuksen tavoitteena on projektin tavoitteiden saavuttamisen varmistaminen. Projektisopimuksessa määritellään siis osapuo- lien oikeudet ja velvollisuudet sekä projektin toivottu lopputulos. Osapuolina projektisopimuksessa voivat olla selkeästi työn tilaaja sekä työn toteuttaja, mut- ta myös epäselvemmät roolit ovat mahdollisia. Kaikilla osapuolilla on joka ta- pauksessa, jokin suhde projektin toteutukseen. (Hyvönen, 2003, 88) Projektiso- pimusta voidaan kutsua myös systeemityösopimukseksi. Laajuudeltaan projek- tisopimus voi koskettaa yksittäistä muokattavaa tietojärjestelmän ominaisuutta tai kokonaista uuden tietojärjestelmän toimittamista. (Takki, 2002, 191-192) So- pimuksen kohteena voi luonnollisesti mikä tahansa muukin työ kuin tietojärjes- telmän kehittäminen. Esimerkiksi tilaustyönä tehtävä ohjelmisto voidaan tehdä projektimuotisena ja näin ollen osapuolten velvoitteet määritellä projektisopi- muksen kautta.
Projektien hinnoittelu voi olla sekä kiinteähintainen, tai projektin kestoon
ja käytettyyn työmäärään sidottu (Takki, 2002, 193).
2.3.2 Tietojärjestelmän hankintasopimus
Tietojärjestelmän hankintasopimuksella on läheinen yhteys muihin tässä esitel- täviin sopimustyyppeihin. Tietojärjestelmä ja sen toimitus koostuu monista eri- laisista osista. Tietojärjestelmä itsessään koostuu fyysisistä osista eli laitteista ja eri käyttöjärjestelmistä ja sovellusohjelmista. (Salonen, 2000, 26) Lisäksi hankin- tasopimuksessa voidaan sopia järjestelmän käyttöönotosta, siihen liittyvistä asennustöistä, käyttäjien koulutuksesta sekä käyttöönottoa seuraavasta jatku- vasta ylläpidosta. Sopimusosapuolina hankintasopimuksessa ovat tietojärjestel- män tilaaja sekä järjestelmän toimittaja (Salonen, 2000, 26).
Tietojärjestelmän hankintasopimus on sekatyyppinen sopimus, jossa on sekä sovellettavan lainsäädännön että sisällön suhteen hyvin erilaisia piirteitä. Hankintasopimus voidaan siksi myös eriyttää useiksi erillisiksi sopimuksiksi, jolloin esimerkiksi myytävästä tai leasing-vuokratusta laitteistosta, ohjelmistos- ta ja ylläpitopalvelusta tehdään kaikista erilliset sopimukset. (Salonen, 2000, 26)
2.3.3 Huolto-, ylläpito ja tukisopimukset
Tietojärjestelmän elinkaari ei luonnollisesti pääty siihen, että tietojärjestelmä luovutetaan asiakkaalle. Käyttöönottoa seuraa ylläpitovaihe, jolloin järjestel- mään tehdään korjauksia ja tarvittavia muutoksia. Takki (2002, 236) jakaa yllä- pitoa koskevat sopimukset:
• huoltosopimuksiin, joilla tarkoitetaan laitteiston korjaamista ja ylläpitoa koskevaa palvelua
• ylläpitosopimuksiin, joilla tarkoitetaan ohjelmiston päivittämistä, ohjel- mistovirheiden korjaamista tai uusien ominaisuuksien lisäämistä
• tukisopimuksiin, joilla tarkoitetaan järjestelmän käytön opastamista sekä etätukea
Takki (2002, 237) korostaa, että tärkeää ei kuitenkaan ole se, miksi eri palveluita sopimuksessa kutsutaan, vaan se miten palvelujen sisältö on määritelty. Ylläpi- tosopimuksia edeltää usein takuuvaihe, jolloin virheiden korjaaminen sisältyy valmistajan myöntämään takuuseen (Hyvönen, 2003, 92).
Ylläpitosopimuksissa pätee usein etukäteishinnoittelu siten, että ylläpito- maksut ovat tietyn prosentuaalisen osan lisenssimaksuista per vuosi (Takki, 2002, 237).
Konsultointi on yksinkertaisimmillaan asiantuntemuksen tarjoamista kolman- nelle osapuolelle korvausta vastaan (WebFinance Inc., 2013). Takin (2002, 277) mukaan konsultointi on usein tutkimustyötä tai selvitysten tekemistä, joiden perusteella asiakkaan liiketoimintaa voidaan edistää. Tällaisissa tapauksissa konsultointi on toimintavelvoitteeseen perustuvaa, eli sopimuksen kohteena on itse tehty työ.
Toisaalta konsultoinnilla on vahva suhde ulkoistamiseen. Esimerkiksi puhdas koodaustyö voidaan tehdä konsultointisopimuksen kautta, jos työn kohde vaatii erityisosaamista, jota ei yrityksen sisältä löydy. Tällöin konsultilla on puolestaan tulosvelvoite (Takki, 2002, 277), eli sopimuksen kohteena on työn lopputulos.
2.3.5 Ohjelmistolisenssisopimus
Yleisin tapa, jolla ohjelmistokauppaa käydään, on ohjelmistolisenssin myynti. Ohjelmistolisenssisopimus on sopimus rajoitetusta käyttöoikeudesta, jossa sopi- musosapuolia ovat ohjelmiston tekijänoikeuksien, tai levitysoikeuden, haltija ja asiakas. Lisenssisopimuksella asiakas saa käyttöoikeuden ohjelmistoon, mutta tekijänoikeuksien haltija ei kuitenkaan luovu omista oikeuksistaan. Myös li- senssisopimus on sekatyyppinen sopimus, sillä lisensoimisen lisäksi sopimuk- seen voi kuulua monenlaisia muita ehtoja. (Välimäki, 2009, 152)
Ohjelmistolisenssisopimuksiin palataan seikkaperäisemmin vielä tässä lu- vussa immateriaalioikeuksia ja lisensointia koskevissa osioissa.
2.3.6 Ohjelmistovuokraussopimus
Ohjelmistovuokrauksella tai sovelluspalvelusopimuksilla (Application Service Providing) tarkoitetaan tietokoneohjelmien tarjoamista ja käyttöä tietoverkon välityksellä. Ohjelmistovuokraussopimuksessa ostajaosapuoli ei kuitenkaan osta itse ohjelmistolisenssiä. Sen sijaan ostaja saa käyttöoikeuden käyttää ohjel- mistoa, joka kuitenkin fyysisesti sijaitsee palveluntarjoajan palvelimella. Ohjel- miston kehittäjä saattaa itse toimia myös palveluntarjoajana, mutta mahdollista on myös, että palveluntarjoaja on ostanut lisenssin ohjelmistoon joltain kolman- nelta osapuolelta ja vain vuokraa ohjelmistoa eteenpäin. Tässä tapauksessa oh- jelmistovuokraaja ja ohjelmistotoimittaja ovat tehneet lisenssisopimuksen, jonka yhteydessä palveluntarjoajan on täytynyt saada myös ohjelmiston jakeluoikeus. (Kulmala, 2003, 8) Osapuolia ohjelmistovuokraussopimuksessa ovat siis palve- luntarjoaja, tilaaja ja mahdollinen erillinen ohjelmistotoimittaja. Ohjelmisto- vuokraus on pilvipalvelujen selvä edeltäjä, ja nykyään ohjelmistovuokraus on lähellä synonyymia pilvipalvelulle.
2.4 Immateriaalioikeuksien rooli IT-sopimuksissa
Tässä alaluvussa käsitellään immateriaalioikeuksien merkitystä IT-sopimuksis- sa. Mielenkiintoisin ja keskeisin tämän tutkielman kontekstissa on tekijänoi- keus, mutta myös muita oikeuksia kuten patentti- ja mallioikeuksia sivutaan ly- hyesti. Luvussa käsitellään myös näiden oikeuksien lisensointia.
2.4.1 Tekijänoikeus tietokoneohjelmissa
Tekijänoikeuden ja tietokoneohjelmien välinen suhde määritellään tekijänoi- keuslain (1961/404) 1 § 2 momentissa, joka kuuluu seuraavasti: ”Kirjallisena teoksena pidetään myös karttaa sekä muuta selittävää piirustusta tai graafista taikka plastillisesti muotoiltua teosta sekä tietokoneohjelmaa.”
Xxxxx tekijänoikeuslaissakin 2 §:ssä todetaan, teoksen tekijä saa yksinoi- keuden määrätä teoksesta ”valmistamalla siitä kappaleita ja saattamalla se ylei- sön saataviin, muuttamattomana tai muutettuna”.
Oikeudet tietokoneohjelmaan on siis määritelty tekijänoikeuslaissa. Huo- mattava on kuitenkin, että tekijänoikeus ei ole sama kuin omistusoikeus. Teki- jänoikeus koskee vain tiettyjä aktiviteetteja, joita siis ovat kopiointi, levitys ja muuntelu (Välimäki, 2009, 15). Käytännössä kopiointi, levitys ja muuntelu ovat kuitenkin sellaisia aktiviteetteja, joita ilman tietokoneohjelman käyttö on mah- dotonta. Tietokoneohjelma tulee ennen käyttöä kopioida ensin tietokoneen ko- valevylle, josta se edelleen kopioidaan tietokoneen keskusmuistiin ohjelman ajamisen yhteydessä. Levityksen ja muuntelun kielto estää vastaavasti tietoko- neohjelman laillisen saattamisen muiden saataviin, myöskin silloin, kun alkupe- räiseen ohjelmaan on tehty mittavia muutoksia.
Tekijänoikeus ei suojaa tietokoneohjelmaa kuitenkaan aivan kokonaan. Tietokoneohjelmien oikeudellisesta suojasta annettu direktiivi 91/250 erottaa tietokoneohjelman idean ja periaatteet tietokoneohjelman ilmaisumuodosta. Suoja koskee siis vain tietokoneohjelman ilmaisumuotoja. Esimerkiksi algorit- mit, yleiset toimintaperiaatteet, ohjelman ja sen käyttöliittymän looginen raken- ne eivät saa suojaa (Välimäki, 2009, 15). Direktiivissä painotetaan erityisesti tie- tokoneohjelman luonnetta kirjallisena teoksena. Eli erityisesti ohjelman lähde- koodi saa suojaa. Suoja ulottuu luonnollisesti myös tämän ohjelmakoodin kone- kielisiin käännöksiin. (Välimäki, 2009, 17)
Huomattava on myös, että tietokoneohjelman tekijänoikeus syntyy aina luonnolliselle henkilölle tai henkilöille (Välimäki, 2009, 26). Normaalisti työsuh- teessa työtehtävissä syntynyt tekijänoikeus siirtyy työnantajalle työsopimuksen kautta, mutta tietokoneohjelmien kohdalla tekijänoikeuslain 40 b §:ssä nimen- omaisesti todetaan työtehtävissä syntyneen tekijänoikeuden siirtyvän työnanta- jalle. Saman lain 2 momentin mukaan säännöksiä ei kuitenkaan sovelleta kor- keakoulun opetus- tai tutkimustyön yhteydessä syntyneeseen tietokoneohjel- maan. Tilanne on erilainen lisäksi konsultointisopimuksen alla tehdyssä ohjel- mointityössä. Konsultointisopimuksessa täytyy eritoten mainita oikeuksien siir- tymisestä työn ostajalle. (Välimäki, 2009, 31)
Tekijänoikeuslaki ei kohdistu tietokoneohjelmiston käyttöön, vaan edellä mai- nittuihin aktiviteetteihin, kuten kopiointi ja levitys (Välimäki, 2009, 50). Tekijän- oikeuslain 25 j § tunnistaa seuraavia oikeuksia tietokoneohjelmien laillisesti hankkineille käyttäjille:
1. sellaisten kopioiden ja muutosten tekeminen, jotka tarpeen ohjelman aio- tun käytön kannalta
2. ohjelman varmuuskopiointi
3. oikeus tutkia ohjelman toimintaa, jos se tehdään ”ohjelman tietokoneen muistiin lukemisen tai ohjelman näyttämisen, ajamisen, siirtämisen tai tallentamisen yhteydessä”
Tutkimisella tarkoitetaan Takin (2002, 68) mukaan esimerkiksi ohjelman käynnistämisen yhteydessä näytöllä näkyvien tekstien tarkkailua, ja näistä teh- täviä johtopäätöksiä koskien ohjelman toimintalogiikkaa. Samaan on varmasti rinnastettavissa myös ohjelman käyttämien järjestelmäresurssien määrän tark- kailu. Tällaista ei voida käyttäjältä kieltää, kunhan tutkiminen tapahtuu tavalli- sen käytön yhteydessä.
Edellä mainittujen kolmen oikeuden lisäksi tekijänoikeuslain 25 k §:sssä sallitaan ”ohjelman koodin ja sen muodon kääntäminen”, mikäli ”nämä toimen- piteet ovat välttämättömiä sellaisten tietojen hankkimiseksi, joiden avulla voi- daan saavuttaa yhteentoimivuus itsenäisesti luodun tietokoneohjelman ja mui- den ohjelmien välillä”. Tällä tarkoitetaan siis käänteismallinnusta (reverse engi- neering).
Käänteismallinnus on siis selvästi tutkimista syvemmälle menevää toimin- taa, joten oikeutta on jonkin verran rajoitettu. Laissa painoarvoa saa erityisesti yhteentoimivuuden saavuttaminen. Eli esimerkiksi niiden rajapintojen, joiden kautta ohjelma toimii muun järjestelmän tai muiden ohjelmien kanssa, selvittä- minen on sallittua. Käänteismallinnuksen tulee lisäksi rajoittua vain niihin oh- jelman osiin, jotka ovat yhteentoimivuuden näkokulmasta relevantteja. Mikäli yhteentoimivuus on saavutettavissa esimerkiksi uudempien ohjelmistopäivitys- ten avulla, tai ohjelmiston toimittajalta saatavien teknisten dokumenttien avul- la, käänteismallinnus ei ole sallittua. (Xxxxx, 2002, 69) Käänteismallinnusoikeus ei myöskään anna oikeutta muuttaa ohjelman koodia (Xxxxx, 2002, 70), sillä muuntelu on tekijänoikeuden haltijan yksinoikeus.
Edellä mainituista oikeuksista varmuuskopiointi-, tutkimis- ja käänteis- mallinnusoikeus ovat pakottavaa lainsäädäntöä, joten niistä ei voi sopimuksella poiketa. Toisaalta käytön kannata tarpeellisten kopioiden ja muutosten teko-oi- keutta voidaan sopimuksella rajoittaa. (Tekijänoikeuslaki 25 j §, 25 k §)
Lisäksi tekijänoikeuslain 50 a § kieltää suojatun teoksen suojana olevan te- hokkaan teknisen toimenpiteen kiertämisen, mutta tietokoneohjelmat on jätetty erikseen kyseisen säädöksen ulkopuolelle. Tietokoneohjelman teknisen suojan
kiertämisen täytyy olla lain puitteissa mahdollista jo siitä syystä, että varmuus- kopiointioikeus ja mahdollisuus käänteismallinnukseen toteutuisi (Välimäki, 2009, 63).
Kaiken kaikkiaan lain turvaamat käyttäjän oikeudet ovat melko laajat. Tärkeää on kuitenkin muistaa, että oikeudet toteutuvat vain jos tietokoneohjel- maa käyttää sellainen käyttäjä, jolle on siihen myönnetty laillinen käyttöoikeus.
2.4.3 Laitteiston ja ohjelmiston myynti
Immateriaalioikeuksilla on laitteiston ja ohjelmiston myynnissä hyvin erilainen merkitys. Laitteiston kaupassa omistusoikeus siirtyy myyjältä ostajalle. Tällai- nen tilanne on hyvin selvä kaikessa irtaimen tavaran kaupassa. Vaihtoehto suo- ralle myynnille on leasing-sopimus, jossa myytävän laitteiston omistusoikeus siirtyy myyjältä rahoitusyhtiölle, joka maksaa asiakkaan puolesta kauppahin- nan. Asiakas saa käyttöoikeuden laitteistoon, mutta maksaa kustannusosuutta ja tämän korkoa rahoitusyhtiölle. (Salonen, 2000, 33)
Tietokoneohjelman tekijänoikeus ei siis siirry tavallisessa ohjelmistokau- passa, mutta tekijänoikeus voidaan tosin luovuttaa erillisenä tekijänoikeuksien luovutuksena (Salonen, 2000, 35). Esimerkiksi ohjelmistoprojektin, jonka tarkoi- tuksena on tuottaa asiakkaalle räätälöity ohjelmisto, yhteydessä voidaan projek- tisopimuksessa sopia oikeuksien pysyvästä luovutuksesta (Välimäki, 2009, 150). Tällainen ohjelmiston kauppa on juridisesti lähimpänä irtaimen laitteiston myyntiä, jossa kaikki oikeudet siirtyvät kaupan mukana.
Tekijänoikeuskysymykset sopimusneuvottelutilanteissa ovat haastavia. Ohjelmistotoimittajan näkökulmasta kaikista oikeuksista luopuminen ei luon- nollisesti ole mielekäs vaihtoehto, varsinkaan jos on tarkoituksena tarjota sa- mankaltaista tuotetta useille eri asiakkaille. Toisaalta asiakas haluaisi usein mahdollisimman laajat oikeudet itselleen. Tilanne voidaan Takin (2002, 203) mukaan ratkaista siten, että toimittaja ei luovu tekijänoikeuksistaan, mutta sopi- mukseen kirjataan asiakkaalle laajat oikeudet esimerkiksi seuraaviin:
• oikeus ohjelmiston käyttöön ja hallintaan
• oikeus käyttöoikeuden luovuttamiseen kolmannelle osapuolelle
• kappaleiden valmistusoikeus
• oikeus käyttää ohjelmiston lähdekoodia
• oikeus ohjelmiston muuttamiseen ja kehittämiseen
• oikeus ohjelmiston osien käyttöön muissa sovelluksissa
• oikeus ohjelmiston käyttöön eri laite- ja sovellusympäristöissä
• oikeus yritysjärjestelyjen yhteydessä siirtää kaikki oikeudet kolmannelle osapuolelle
Yllä luetellut oikeudet antavat asiakkaalle erittäin laajat oikeudet ohjelmiston käyttöön rajoittamatta kuitenkaan ohjelmiston toimittajan alkuperäisiä tekijän- oikeuksia, tai niistä seuraavia mahdollisuuksia hyödyntää kehittämäänsä ohjel-
mistoa myös osana tulevia kauppoja. Ulkopuolelle jää siis lähinnä oikeus myy- dä tai vuokrata ohjelmaa tai sen osia kolmansille osapuolille (Takki, 2002, 204).
2.4.4 Ohjelmiston käyttöoikeuden myynti
Kuten todettua, lisensointi ei ole oikeuksien myyntiä. Tavallisesti puhuttaessa ohjelmiston myynnistä tarkoitetaan oikeasti vain ohjelmiston käyttöoikeiden myyntiä. Tällaisessa ohjelmiston kaupassa myyjä säilyttää itsellään omistusoi- keuden ohjelmistoon, ja ostaja saa vain käyttöoikeuden ohjelmistoon. Tätä käyt- töoikeutta kutsutaan käyttöoikeuslisenssiksi. (Salonen, 2000, 25) Ohjelmistoli- senssisopimuksen kohteena ei ole itse ohjelmisto vaan ohjelmiston käyttöoi- keus. Tästä seuraa, että lisenssi ei ole sidottu fyysiseen tallennusmediaan eikä näin ollen lakkaa, vaikka itse ohjelman sisältämä levy häviäisi. (Takki, 2002, 166-167)
Periaatteessa CD- tai DVD-levyltä asennettavan ohjelmiston myyntitilan- teessa ostaja saa omistusoikeuden fyysiseen tallennusmediaan ja kaikkiin oheis- tarvikkeisiin, kuten ohjekirjoihin, mutta itse ohjelman käyttöön tarvitaan lisäksi käyttöoikeus, joten näitä ei oikeastaan voida erottaa toisistaan (Kulmala, 2003, 41).
Seuraavassa kuviossa on esitetty eri lisensointivaihtoehtoja (kuvio 1):
Oikeudenhaltija, lisenssinantaja
Lisenssisopimus, kopio
Sovelluskehittäjä, palveluntarjoaja
Lisenssisopimus, ehkä kopio
Lisenssisopimus, ehkä kopio
Loppukäyttäjä, lisenssinsaaja
KUVIO 1: Lisensointivaihtoehdot: väliporras tai loppu-
käyttäjä (Välimäki, 2009, 180)
Kuten kuviosta käy ilmi, oikeudenhaltija, eli lisenssinantaja, voi yksinkertaisim- millaan myöntää käyttöoikeuslisenssin suoraan loppukäyttäjälle. Esimerkiksi asiakkaan ostaessa itselleen kaupasta Microsoft Office -toimisto-ohjelmistopa-
ketin, kyseessä on edellä mainittu tilanne. Tällöin ohjelmistopaketin oikeuden- haltija, eli Microsoft, on lisenssinantaja, ja lisenssin ostanut asiakas puolestaan lisenssinsaaja. Kaupan rooli on toimia jälleenmyyjänä, joka voi mahdollisesti tarjota myydyn ohjelmistopaketin lisäksi omia lisäarvoa tuottavia palveluitaan. Itse lisenssisopimuksessa kauppa ei kuitenkaan ole osallisena.
Vaihtoehtoisesti oikeudenhaltija voi myöntää lisenssisopimuksella käyttö- oikeuden jollekin väliportaalle. Väliporras voi olla esimerkiksi sovelluskehittäjä, joka hyödyntää saamaansa lisenssiä osana loppukäyttäjälle tarjottavaa tuotetta tai palvelua. Lisensoinnin kohteena voi esimerkiksi olla ohjelmistokomponentti tai lisäosa, joka liitetään osaksi sovelluskehittäjän omaa ohjelmistoa. Luonnolli- sesti väliporras tarvitsee aina lisenssisopimukseen ehdon, joka antaa oikeuden kopioida ja levittää komponenttia eteenpäin osana omaa tuotetta (Välimäki, 2009, 179). Väliporras voi lisäksi olla myös palveluntarjoaja, jolloin voidaan li- sensoida kokonainen ohjelmisto, jota edelleen tarjotaan loppukäyttäjälle.
Käyttöoikeuden laajuutta voidaan lisenssisopimuksessa rajata. Käyttöoi- keus voidaan rajata esimerkiksi koskemaan vain tiettyjä laitteita. Tässä tilan- teessa ohjelmistoa ei saa siirtää muille laitteille, kuin sille, jolle se on alun perin asennettu. (Takki, 2002, 174) Toisaalta rajoitus saattaa kohdistua tarkemmin myös esimerkiksi tiettyyn prosessoriin tai prosessorien lukumäärään (Välimäki, 2009, 182). Mahdollista on myös lisenssin henkilökohtaisuus, jolloin käyttöoi- keus on sidottu tiettyihin käyttäjiin. Yksi yleinen rajaamistapa on käyttäjien lu- kumäärän rajoittaminen. Käyttäjiä voidaan rajata esimerkiksi rajoittamalla käyt- täjien enimmäismäärää tai yhtäaikaisten käyttäjien lukumäärää. (Takki, 2002,
174) Käyttöoikeus voidaan sitoa lisäksi tiettyyn käyttöpaikkaan tai käyttötarkoi- tukseen. Ohjelmistovuokrauksen kannalta oleellinen rajoitustyyppi on käyttöön perustuva rajoitus, jolla voidaan rajoittaa esimerkiksi käsitellyn datan määrää, käytettyjä laitteistoresursseja tai kulunutta aikaa (Välimäki, 2009, 183).
Lisenssisopimukseen voidaan lisäksi kirjata erityisesti yllä käsiteltyä välit- täjäporrasta koskevia rajoituksia. Tällaisia ovat esimerkiksi kilpailukielto, käyt- töalakielto tai toimialarajoitukset. Näillä lisenssinantaja pyrkii suojaamaan it- seään siltä, että lisenssinsaaja alkaisi kilpailla lisenssinantajaa vastaan. Mahdol- lisia ovat myös ns. takaisinlisensointiehdot, joilla lisenssinantaja saa oikeuden päästä lisenssinsaajan kehitystyöhön käsiksi. (Välimäki, 2009, 185)
Ohjelmistolisenssisopimuksissa on tyypillisesti monenlaisia sopimusehto- ja, jotka eivät varsinaisesti kuulu immateriaalioikeuden piiriin. Välimäen (2009,
152) mukaan näitä ovat esimerkiksi tekijänoikeusmerkintöjä koskevat ehdot, ohjelman käytön rajoitukset, liitännäispalvelujen ehdot, vastuunrajoitusehdot ja kilpailunrajoitusehdot.
Lisenssirikkomus johtaa usein tekijänoikeusrikkomukseen, koska sopi- musoikeudelliset ja immateriaalioikeudelliset ehdot sidotaan ohjelmistolisenssi- sopimuksissa toisiinsa. Tällä tavoitellaan lisenssinantajalle entistä vahvempaa asemaa. (Välimäki, 2009, 153) Immateriaalioikeuksien loukkauksen tapahtuessa
huolimattomuuden tai tahallisuuden asteella ei ole merkitystä korvausvelvolli- suuden näkökulmasta (Välimäki, 2009, 195). Lisäksi lisenssisopimus on mah- dollista purkaa, jos jompikumpi osapuoli syyllistyy sopimusrikkomukseen (Vä- limäki, 2009, 200).
2.4.5 Tietokoneohjelman edelleenluovutus
Tekijänoikeuslain 2 § mukaan tekijällä on siis yksinomainen oikeus määrätä teoksensa kopioinnista ja levityksestä. Tekijänoikeuslain 19 § mukaan teoksen kappaletta saa levittää edelleen sen jälkeen, kun se on ”ensimmäisen kerran myyty tai muutoin pysyvästi luovutettu”. Tämä ei kuitenkaan lain mukaan kos- ke lainaamista tai vuokraamista.
Välimäki (2009, 43-46) avaa teoskappaleen myynnin ja vuokrauksen väli- siä eroja. Mikäli ohjelmisto on myyty kertaluontisesti ja pysyvästi, tarkoittaa se myyntiä, ja näin ollen kopion saisi myydä myös eteenpäin ilman tekijänoikeu- den haltijan lupaa. Toisaalta jos ohjelmistolisenssin ostajan käyttöoikeus on si- dottu aikaan tai käyttöoikeuteen on kytketty kuukausimaksu, kyseessä on vuokraus.
On tavallista, että ohjelmiston tekijänoikeuksien haltija nimenomaisesti kieltää lisenssisopimuksessa käyttöoikeuden myymisen eteenpäin. Esimerkiksi Adobe Photoshop CS6 -ohjelmiston käyttöoikeussopimuksessa on seuraava siir- to-oikeutta koskeva lauseke (Adobe Systems Inc., 2013):
KÄYTTÄJÄ EI SAA VUOKRATA TAI MYYDÄ OIKEUKSIAAN OHJELMISTOON (MUKAAN LUKIEN RAJOITUKSETTA KAIKKI VERKOSTA LATAAMALLA SAA- TU OHJELMISTO), MYÖNTÄÄ NIIHIN ALIKÄYTTÖOIKEUKSIA, LUOVUTTAA TAI SIIRTÄÄ NIITÄ TAIKKA VALTUUTTAA MINKÄÄN OHJELMISTON OSAN KOPIOIMISTA TOISEN YKSITYISHENKILÖN TAI OIKEUSHENKILÖN TIETOKO- NEELLE, MUUTOIN KUIN TÄSSÄ SOPIMUKSESSA ON NIMENOMAISESTI SAL- LITTU.
Tällainen ehto ei välttämättä kuitenkaan päde. Euroopan unionin tuomioistui- men heinäkuussa 2012 antaman päätöksen C-128/11 mukaan tietokoneohjelman kappaleen levitysoikeus raukeaa, kun tekijänoikeuden haltija on ensimmäisen kerran myynyt kappaleen yhteisön alueella. Päätöksen mukaan myös tällaisen myydyn kappaleen kaikkia tulevia ostajia tulee päätöksen mukaan kohdella oh- jelmiston laillisina käyttäjinä. Päätöksen mukaan levitysoikeuden raukeaminen pätee sekä tallennusmedialla toimitettaviin että Internetistä ladattaviin ohjel- mistoihin. Oleellista on huomata, että alkuperäisen lisenssinsaajan on luovutta- va myyntitilanteessa omasta kopiostaan, jotta tekijänoikeuden haltijan kopioin- tioikeutta ei loukata. Lisenssinsaaja voi siis myydä yhden kappaleen eteenpäin, mikäli samalla poistaa oman kappaleensa. Jos lisenssinsaaja ei poistakaan omaa
kappalettaan, tai myy useamman kuin mihin on ostanut lisenssin, lisenssinsaaja syyllistyy tekijänoikeuden vastaiseen laittomaan kopiointiin.
IT-alan sopimuksiin liittyvät läheisesti myös teollisoikeudet, kuten patenttioi- keus, mallioikeus ja tavaramerkkioikeus. Näistä varsinkin patenttioikeus voi usein olla lisensoinnin kohteena tekijänoikeuksien tavoin (Xxxxxxx, 2001, 4). Tä- män tutkielman laajuudessa teollisoikeuksiin ei kuitenkaan ole tarkoituksen- mukaista syventyä tarkemmin. Myös liikesalaisuus on teollisoikeus. Liikesalai- suutta käsitellään jonkin verran salassapitoehtoja käsittelevän luvun yhteydes- sä.
2.5 Vakiintuneet sopimusmallit ja -käytännöt
Tässä alaluvussa käydään läpi kirjallisuudessa esitettyjä IT-sopimuksille tyypil- lisiä piirteitä ja vakiintuneita käytäntöjä.
Sopimusten tekeminen vaatii aikaa ja resursseja. IT-ala on lisäksi hyvin moni- mutkainen ja vaatii lukuisien seikkojen huomioon ottamista. Tästä syystä IT- alalla vakiosopimukset ovat varsin tavallisia (Salonen, 2000, 71). Vakiosopimuk- sella tarkoitetaan sopimusta, jota ei ole yksilöllisesti neuvoteltu sopimuskump- panin kanssa (Salonen, 2000, 63). On myös mahdollista, että vain osa sopimuk- sesta koostuu vakioehdoista, ja loppuosa on erikseen neuvoteltu.
Erillisiin vakioehtoihin tulee kuitenkin viitata varsinaisessa sopimusteks- tissä, jotta ne tulisivat osaksi sopimusta. Lisäksi osapuolilla on oltava mahdolli- suus tutustua ehtoihin. (Salonen, 2000, 66)
Vakioehdot voidaan laatia itse, mutta markkinoilla on myös eri toimijoi- den laatimia IT-alan yleisiä sopimusehtoja. Suomessa laajin yhtenäinen IT-alan vakioehtokokoelma on IT2010-sopimusehdot, jotka ovat Keskuskauppakama- rin, Ohjelmistoyrittäjät ry:n, Suomen Osto- ja Logistiikkayhdistys LOGO ry:n, Teknologiateollisuus ry:n ja Tietotekniikan liitto ry:n yhteistyön tulos. IT2010- sopimusehdot julkaistiin toukokuussa 2010. (Erlund, Xxxxxxxx, Xxxxxxxx & Tu- runen, 2010, 31) IT2010 korvasi aikaisemmat IT2000 Tietotekniikka-alan sopi- musehdot. Päivitetyssä versiossa huomiota on kiinnitetty mm. pilvipalveluihin, palvelutasokuvauksiin, avoimeen lähdekoodiin, tietoturvaan ja tietosuojaan. Li- säksi monia muita alueita on päivitetty vastaamaan paremmin nykyhetken vaa-
timuksia. (Erlund ym., 2010, 62) IT2010-sopimusehtoja ja pilvipalveluja käsitel- lään tarkemmin luvussa viisi.
IT2010-sopimusehdot on suunniteltu erityisesti elinkeinon harjoittajien vä- lisiin sopimuksiin, eivätkä siten sovellu kuluttajasopimuksiin. IT2010-sopimu- sehtoja laadittaessa tavoitteena on ollut myös yksipuolisesti sovittuja vakioehto- ja parempi kaikkien osapuolien huomioon ottaminen. (Erlund ym., 2010, 31-33)
Esimerkiksi räätälöidyn ohjelmiston tilanneella asiakkaalla on mahdollisuus es- tää toimittajaa myymästä tuotetta tai niiden osia muille samalla alla toimiville yrityksille. Tämä onnistuu kilpailuetulausekkeen sisällyttämisellä sopimukseen (Takki, 2002, 202). Seuraavassa on esimerkki kilpailuetulausekkeesta (Takki, 2002, 202):
”Toimittajalla ei ole oikeutta luovuttaa [kolmannelle osapuolelle / A Oy:lle, B Oy:lle tai C Oy:lle / asiakkaan kanssa samalla alalla Suomessa toimivalle yritykselle / tms. ] tietojärjestelmäprojektissa syntyneitä asiakkaan yksilöllisten tarpeiden mukaan teh- tyjä ohjelmia tai näiden osia taikka olennaisesti niitä vastaavia ohjelmia tai näiden osia ennen kuin X kuukautta on kulunut [toimituspäivästä / loppuhyväksymisestä / tms.].”
2.5.3 Salassapitoehto eli NDA (Non-disclosure Agreement)
Liike-elämässä yritysten tehdessä yhteistyötä sopimusosapuolien välillä teh- dään usein NDA- eli salassapitosopimuksia. Salassapitosopimus voi sisältyä jo- honkin muuhun sopimukseen liitteenä, tai se voidaan tehdä omana sopimukse- naan. Salassapitosopimuksessa toista tai molempaa osapuolta kielletään sopi- mussakon uhalla jakamasta tai käyttämästä määrättyjä tietoja muuhun tarkoi- tukseen kuin on sovittu. Salassapitosopimus tehdään omien liikesalaisuuksien ja saavutettujen kilpailuetujen säilyttämiseksi.
Periaatteessa liikesalaisuudet saavat jonkin verran suojaa myös lainsää- dännössä. Esimerkiksi sopimattomasta menettelystä elinkeinotoiminnassa an- netun lain (1061/1978) 4 § 1 momentissa sanotaan seuraavasti: ”Kukaan ei saa oikeudettomasti hankkia tai yrittää hankkia tietoa liikesalaisuudesta eikä käyt- tää tai ilmaista näin hankkimaansa tietoa.” Liikesalaisuuden määritelmää käsi- tellään esim. saman lain valmistelutöissä. Hallituksen esityksen (114/1978) mu- kaan jotta jokin asia täyttäisi liikesalaisuuden määritelmän, ”tiedon haltijan tu- lee osoittaa jonkin asteista aktiivisuutta liikesalaisuuden säilyttämiseksi”, ja lii- kesalaisuuden salassapidolla täytyy lisäksi olla ”merkitystä sen yrityksen elin- keinotoiminnalle, jonka hallussa liikesalaisuus on.”
Toisaalta yllä mainitun lain säännökseen on olemassa poikkeuksia eikä oi- keudettoman tietojen hankinnan kieltäminen vielä riitä. Esimerkiksi yhteistyö- projekteissa luottamukselliset saadut tiedot eivät ole oikeudettomasti hankittu- ja. Lisäksi Xxxxx (2002, 282) nostaa esille esimerkiksi työsopimuslain 3 luvun 4
§:n, jonka 1 momentti kuuluu: ”Työntekijä ei saa työsuhteen kestäessä käyttää hyödykseen tai ilmaista muille työnantajan ammatti- ja liikesalaisuuksia. Jos työntekijä on saanut tiedot oikeudettomasti, kielto jatkuu myös työsuhteen päättymisen jälkeen.”
Xxxxxx käyttää hyödykseen ammatti- ja liikesalaisuuksia on siis rajattu työ- suhteen kestoon, ellei nimenomaisesti ole kyse oikeudettomasti hankituista tie- doista. Näin ollen yrityksillä saattaa olla tarve salassapitosopimuksiin myös työntekijöilleen, jottei työntekijöiden poistumisen mukana karkaa liikesalai- suuksia.
Salassapitosopimuksilla voidaan siis lainsäädäntöä paremmin turvata lii- kesalaisuuksia. Sopimuksella voidaan myös tarkasti määritellä, mitä tietoja sa- lassapitovelvollisuus koskee, ja mitä kiellon rikkomisesta seuraa. (Hyvönen, 2003, 102)
Tietokoneohjelman tapauksessa selvin liikesalaisuus on ohjelman lähde- koodi, mutta laajemmin myös yleisemmin lisäksi esimerkiksi ohjelman toimin- taperiaate voi olla liikesalaisuus. Liikesalaisuus ei kuitenkaan suojaa aikaisem- min käyttäjän oikeuksiin kuuluvaksi todetulta käänteismallinnukselta. (Välimä- ki, 2009, 119)
Escrow-ehdot ovat asiakkaan sopimustekninen keino turvata oma pääsy osta- mansa ohjelmiston lähdekoodiin. Escrow-ehdot luodaan erityisesti sellaisten ti- lanteiden varalle, jossa alkuperäinen ohjelmiston toimittaja ei enää tarjoakaan ylläpitoa ohjelmistolle. Syynä voivat olla esimerkiksi yritysfuusiosta seuranneet strategiamuutokset tai yrityksen toiminnan päättyminen. Varmistamalla pää- syn lähdekoodiin asiakas voi halutessaan jatkaa ohjelmiston kehitystyötä joko itse tai kolmannen osapuolen kautta. (Hyvönen, 2003, 99)
Erityisen tärkeää on huomata, että pääsy lähdekoodiin ei ole sama kuin te- kijänoikeuden siirtyminen. Escrow-ehdoissa voidaan määritellä kaikkien oi- keuksien luovuttamisesta asiakkaalle, mutta toisaalta myös lähdekoodin käyt- tö- ja hallintaoikeus on usein riittävä. (Takki, 2002, 222)
Eri sopimusosapuolilla on hyvin vastakkaiset intressit. Ohjelmiston toimit- tajalle lähdekoodin paljastaminen on ydinliiketoiminnan paljastamista ulko- puolisille, ja siksi suotavaa ainoastaan tarkoin määritellyissä tilanteissa. (Hyvö- nen, 2003, 97-99) Toisaalta ilman minkäänlaista escrow-ehtoa asiakas saattaisi jäädä täysin tyhjän päälle ja joutuisi todennäköisesti ostamaan täysin uuden jär-
jestelmän, koska vanhaa ohjelmistoa ei ole enää mahdollista kehittää tai ylläpi- tää.
Sana escrow tulee siitä, että escrow-järjestelyssä myytävän ohjelmiston lähdekoodin kopio siirtyy kaupan yhteydessä kolmannen osapuolen hallintaan. Tätä kolmatta osapuolta kutsutaan escrow-agentiksi. Escrow-agentti itse vastaa ainoastaan lähdekoodin säilyttämisestä, ja sopimuksessa määriteltyjen ehtojen täyttyessä lähdekoodin luovuttamisesta asiakkaalle. (Hyvönen, 2003, 98)
2.5.5 Vahingonkorvaus ja vastuunrajoituslausekkeet
Mikäli tarjottavassa tuotteessa tai palvelussa, kuten tietokoneohjelmassa, on vir- he, josta aiheutuu tietokoneohjelman käyttöoikeuden ostaneelle asiakkaalle va- hinkoa, ohjelmiston toimittaja on kauppalain 30 §:n mukaan aiheutuneista va- hingoista korvausvelvollinen. Vahingonkorvauksen määrä on määritelty kaup- palain 67 §:ssä, jonka 1 momentin mukaan: ”Sopimusrikkomuksen vuoksi suo- ritettava vahingonkorvaus käsittää korvauksen kuluista, hinnanerosta, saamat- ta jääneestä voitosta sekä muusta välittömästä tai välillisestä vahingosta, joka sopimusrikkomuksesta on aiheutunut.” Välillistä vahinkoa voi kauppalain 67 § mukaan olla esimerkiksi tuotannon keskeytyminen, liikevaihdon vähentymi- nen, muun omaisuuden vahingoittuminen tai muuta vastaavaa vaikeasti enna- koitavaa vahinkoa. Näin ollen virheestä aiheutuva vahingonkorvausvastuu voi ulottua melko laajalle alalle.
Koska kauppalain virhevastuuta koskevat säännökset eivät kuitenkaan ole pakottavaa lainsäädäntöä, yrityksillä on vahva intressi pyrkiä rajoittamaan omaa vastuutaan sopimukseen kirjatuilla vastuunrajoituslausekkeilla. Pyrki- myksenä on usein rajoittaa pahimmassa tapauksessa syntyvän tappion enim- mäismäärää. Sopimuksessa tämä tarkoittaa yleensä vastuun rajaamista kauppa- hintaan. (Xxxxxxx, 2003, 183) Vastuun rajoittamisessa on siis perimmillään kyse riskienhallinnasta. Rajoittamalla omaa vastuutaan riskin kantaminen siirtyy so- pimuksen muille osapuolille.
Näin ollen myös IT-sopimuksissa on usein erikseen kirjattuja ehtoja vas- tuun rajoittamisesta. Näillä pyritään minimoimaan omia riskejä, mitkä ovat IT- projekteissa usein melko suuria. Esimerkiksi tietojärjestelmän toimittajan kan- nattaa rationaalisesta näkökulmasta pyrkiä rajoittamaan omaa vastuutaan tieto- järjestelmän lopullisesta soveltuvuudesta, koska pakottavaa tietojärjestelmien toimittamista koskevaa lainsäädäntöä ei ole (Salonen, 2000, 174). Tietojärjestel- män toimittajan vastuu on siis sopimukseen perustuvaa sopimusvastuuta, jol- loin vastuun rajoittamispyrkimys on osa järkevää riskien hallintaa.
Luonnollisesti vastuunrajoittamispyrkimykset eivät rajoitu vain tietojärjes- telmiin, vaan vastuunrajoituslausekkeita esiintyy monenlaisissa sopimuksissa. Esimerkiksi seuraavassa on esitetty laajempi vastuunrajoituslauseke, joka löy- tyy Netflix-palvelun suomenkielisistä käyttöehdoista (Netflix Inc, 2012):
”MISSÄÄN TAPAUKSESSA NETFLIX TAI SEN TYTÄRYHTIÖT TAI KUKAAN NII- DEN OSAKKAISTA, JOHTAJISTA, TOIMIHENKILÖISTÄ, TYÖNTEKIJÖISTÄ TAI LISENSSINANTAJISTA EI OLE VASTUUSSA (YHDESSÄ TAI ERIKSEEN) SINULLE HENKILÖVAHINGOSTA TAI MISTÄÄN ERITYISISTÄ, SUORISTA, EPÄSUORIS- TA TAI SEURAAMUKSELLISISTA VAHINGOISTA, TAI MISTÄÄN VAHINGOIS- TA, JOTKA JOHTUVAT KÄYTÖN, DATAN TAI TUOTTOJEN MENETYKSISTÄ, LIIKETOIMINNAN KATKOKSESTA TAI MISTÄÄN MUISTA KAUPALLISISTA VAHINGOISTA TAI TAPPIOISTA, OLI VAHINGON MAHDOLLISUUDESTA SIT- TEN VAROITETTU TAI EI, EIKÄ MISTÄÄN VASTUUTEORIAN MUKAISESTA TAPAHTUMASTA, JOKA JOHTUU NETFLIX-PALVELUN, VERKKOSIVUMME JA KÄYTTÖLIITTYMIEN KÄYTÖSTÄ TAI TOIMINNASTA...”
Tällainen ehto toisaalta poistaisi kirjaimellisesti noudatettuna kaiken vastuun palvelun toimittajalta. Esimerkiksi suomalainen kuluttaja-asiakas saa jo ase- mansa perusteella suojaa. Kuluttajansuojalainsäädännön antama suoja voi näin ollen tulla osaksi sopimusta, vaikka sopimuksessa sovellettavaksi laiksi olisikin valittu sellaisen valtion lainsäädäntö, jossa tällainen vastuun kokonaisvaltainen poisto on mahdollista (Naarajärvi & Koivisto, 2002, 146). Kohtuuttomalta tuntu- viin vastuunrajauksiin tulee aina suhtautua kriittisesti. Esimerkiksi vastuunra- jaus, jossa korvaus rajataan vain puuttuvan tai viallisen komponentin arvoon, mutta josta seuraa koko järjestelmäkokonaisuuden toimimattomuus, on selvästi kohtuuton (Salonen, 2000, 175).
Täydellisen vastuun poistamisen sijaan ohjelmistovalmistaja saattaa kui- tenkin tarjota tuotteelleen rajatun takuun, jolloin tuotteen luvataan toimivan asianmukaisessa käytössä määrätyn ajanjakson ajan. Tällöinkin korvaussumma on yleensä korkeintaan lisenssin hinta. (Välimäki, 2009, 190-191)
Esimerkiksi suomalaisissa IT-2010-vakioehtojen tietojärjestelmiä ja asia- kaskohtaisten ohjelmistojen toimituksia koskevissa erityisehdoissa mainittu seuraavanlainen vastuunrajoituslauseke (Erlund ym., 2010, 270):
Toimittajan vastuu tietojärjestelmän virheistä rajoittuu tämän kohdan 11 mukaisten takuuvelvoitteiden täyttämiseen. Takuun päättymisen jälkeen toimittajan vastuu tie- tojärjestelmän virheistä rajoittuu mahdollisen ylläpito- tai tukisopimuksen velvoittei- siin.
Tässä kyseenomaisessa vastuunrajoituslausekkeessa pyritään sitomaan valmis- tajan vastuu sovittuihin takuuehtoihin tai takuun jälkeiseen ylläpitosopimuk- siin.
Huomattava on myöskin, että mikäli sopimusta on rikottu tahallaan tai törkeästä huolimattomuudesta, vastuunrajoituslausekkeilla ei ole merkitystä (Kurkela, 2003, 187).
Tärkeää on todeta, että sopimus ei välttämättä tarkoita vain yhtä tiettyä asiakir- jaa. Sen sijaan sopimus mielletään kokonaisuudeksi, joka muodostuu varsinai- sesta sopimusasiakirjasta ja siihen viittaamalla liitetyistä muista dokumenteista. Xxxxxxx (2000, 84) mukaan on lisäksi melko tavallista, että sopimustekstissä mainitaan joillakin liitteillä olevan ensisija toisiin liitteisiin nähden. Ilman liittei- den numerointia kaikki liitetyt dokumentit olisivat keskenään oikeudellisesta näkökulmasta samanarvoisia. Lisäksi myös muut tekijät voivat luoda sopimus- suhteessa olevien osapuolten välille oikeuksia ja velvoitteita toisiaan kohtaan. Tällaisia tekijöitä voivat olla esimerkiksi osapuolten välinen sähköpostikeskus- telu, erilaiset tarjoukset, lainsäädäntö, sekä myös suulliset tahdonilmaisut. (Hy- vönen, 2003, 87-88) Muita vastaavia tekijöitä ovat sopimuksen tekoa edeltänyt markkinointi sekä neuvotteluasiakirjat (Salonen, 2000, 84).
Mielenkiintoinen aihe IT-sopimuksissa on sopimuksen kohteen määrittely. Onko sopimuksen kohteena itse työ, vai työn tuloksena syntynyt lopputuotos? Takki (2002, 196-198) lähestyy asiaa erottelemalla irtaimen kaupan, palvelusopi- mukset sekä systeemityösopimukset toisistaan. Mikäli irtaimen kaupassa sopi- mus puretaan, ostaja palauttaa myyjälle saamansa esineen, ja myyjä palauttaa ostajalle vastaanottamansa suorituksen. Toisaalta palvelusopimuksen purkau- tuessa saatua palvelua ei voida palauttaa, joten vastaavasti myöskään asiakkaan maksamaa suoritusta ei voida palauttaa. Takin mukaan systeemityösopimuk- sissa tilanne ei ole aivan yhtä selkeä. Sopimuksessa ei välttämättä suoraan mää- ritellä onko työn tekijällä toiminta- vai tulosvelvoite. Lopullinen arvio siitä, kummasta on kyse, koostuu sekä sopimuksen sisällön perinpohjaisesta arvioin- nista että muiden vallitsevien olosuhteiden huomioon ottamisesta. Esimerkiksi kiinteähintainen toimitussopimus on Takin mukaan lähempänä kauppasopi- musta, kun taas konsulttisopimus useine välivaiheineen lähempänä palveluso- pimusta.
Ennen pilvipalvelusopimusten tarkastelua on syytä selvittää, mitkä tekijät erot- tavat pilvipalvelut perinteisemmistä ohjelmistoista. Aiemmassa pilvipalvelu määriteltiin tarveperusteiseen itsepalveluun perustuvaksi verkon välityksellä ja reaaliajassa käytettäväksi palveluksi, johon voi kuulua tietokoneohjelmistoja, sovelluskehitysalustoja tai virtuaalisia palvelimia, ja joita tilaaja voi varata käyt- töönsä tarpeensa mukaan. Pilvipalveluun määriteltiin liittyväksi erityisesti myös skaalautuvuus ja resurssien yhteiskäyttö. (Mell & Xxxxxx, 2011) Seuraa- vassa eritellään tarkemmin tiettyjä pilvipalvelujen erityispiirteitä sekä perehtyä pilvipalvelujen hyöty- ja riskinäkökulmiin.
3.1 Pilvipalvelun keskeisiä piirteitä
Yllä käytetty pilvipalvelun määritelmä on melko vaikeaselkoinen, eikä siitä vie- lä käy ilmi kaikkia keskeisiä pilvipalvelun piirteitä. NIST:n (National Institute of Standards and Technology) mukaan pilvipalvelun viisi keskeistä ominaisuut- ta ovat siis (Mell & Grance, 2011):
• tarveperusteinen itsepalvelu (on-demand self-service),
• pääsy palveluun verkon välityksellä,
• resurssien yhteiskäyttö (resource pooling),
• palvelun elastisuus sekä
• mitattavuus
Tarveperusteisella itsepalvelulla tarkoitetaan asiakkaan itsenäistä mahdol- lisuutta ottaa käyttöön lisää tietojenkäsittelyresursseja, kuten palvelinkapasi- teettia, tarpeen mukaan ilman erillistä yhteydenottoa palveluntarjoajaan.
Pääsy verkon välityksellä tarkoittaa käytännössä mahdollisuutta käyttää pilvipalvelua www-selaimen välityksellä, jolloin ei olla sidoksissa tiettyyn pää- telaitteeseen eikä myöskään tiettyyn sijaintiin. Joissakin tapauksissa selaimeen saatetaan tarvita kuitenkin erillinen lisäosa (Heino, 2010, 45).
Resurssien yhteiskäytöllä (multitenancy) (Heino, 2010, 42) vuorostaan tar- koitetaan sitä, että palveluntarjoaja voi allokoida samasta keskuksesta resursse- ja dynaamisesti usealle asiakkaalle heidän tarpeidensa mukaan. (Mell & Gran- ce, 2011) Esimerkiksi yksittäinen palvelin saattaa tilanteen mukaan ajaa saman- aikaisesti usean eri käyttäjän sovelluksia. Yhtä lailla yksi käyttäjä saattaa käyt- tää samanaikaisesti usean eri palvelimen resursseja, ja kyseiset palvelimet voi- vat sijaita maantieteellisesti täysin eri puolilla maailmaa.
Palvelun elastisuus sen sijaan tarkoittaa kapasiteetin automaattista skaa- lautuvuutta. Palvelinresursseja voidaan varata ja vapauttaa helposti kysynnän mukaan. Tämä prosessi tapahtuu loppukäyttäjälle näkymättömänä. (Mell & Grance, 2011)
Mitattavuus puolestaan mahdollistaa resurssien käytön tarkan seurannan, hallinnan ja raportoinnin, mikä johtaa palvelun läpinäkyvyyteen (Mell & Gran- ce, 2011). Hyvä mitattavuus mahdollistaa myös käyttöperusteisen hinnoittelun.
Pilvipalveluja jaoteltaessa voidaan käyttää vertikaalista jaottelua eri kerrosten muodostamana pinona (Heino, 2010, 50). Lisäksi pilvipalveluja voidaan jaotella pilvien toteutusmallien eli pilvityyppien mukaan (Mell & Grance, 2011).
Xxxxxxxxx, Xxxxxxxx ja Xx Xxxxxx (2008) ontologian mukaan pilvipalveluja ku- vaava pino koostuu viidestä eri tasosta, joita on havainnollistettu seuraavassa kuviossa (kuvio 1):
Pilvisovellus | ||||
Sovellusympäristö | ||||
Ohjelmistoinfrastruktuuri | ||||
Suorituskyky | Tallennustila | Verkko | ||
Kernel | ||||
Laitteisto | ||||
KUVIO 2: Pilvipalvelujen ontologia (Youseff, Xxxxxxx & Xx Xxxxx, 2008)
Pino havainnollistaa hyvin pilvipalvelujen toimintaideaa. Yhdellä kerroksella tarjottavat palvelut voidaan koostaa alla olevan kerroksen palveluista (Xxxxxxx, Xxxxxxx & Xx Xxxxx, 2008). Asiakas valitsee, miltä tasolta palveluja haluaa käyt- tää. Kaikki valitun kerroksen alapuoliset kerrokset jäävät asiakkaalle näkymät- tömiksi ja palveluntarjoajan vastuulle.
Pinon kaikista ylimmällä tasolla on pilvisovellus. Tavalliselle sovellus- käyttäjälle nimenomaan tämä kerros on se kaikista näkyvin. (Xxxxxxx, Xxxxxxx & Xx Xxxxx, 2008) Esimerkiksi pilvipalveluna käytettävän toimisto-ohjelmiston käyttäjä ei ole kiinnostunut muusta kuin itse käytettävästä sovelluksesta ja kor- keintaan siihen liittyvistä asetuksista ja konfiguraatioista. Kaikki ohjelmisto-, käyttöjärjestelmä- tai laitteistoratkaisut sovelluksen alla ovat täysin pilvipalve- lutarjoajan vastuulla. Tällaista palvelumallia, jossa asiakas käyttää vain ylintä tasoa, eli pilvisovellusta, kutsutaan SaaS-palveluksi (Software as a Service).
Toiseksi korkeimmalla tasolla on sovellusympäristö. Tällä tasolla asiak- kaalle tarjotaan ohjelmointikielitason ympäristö rajapintoineen ja kehitystyöka- luineen. Sovellusympäristön päälle asiakas voi rakentaa omia sovelluksiaan, ja kehitettyjä sovelluksia voidaan myös ajaa saman alustan päällä. (Youseff, Butri- co & Xx Xxxxx, 2008) Palvelumallia, jossa tarjotaan sovellusympäristöä pilvipal- veluna kutsutaan PaaS-palveluksi (Platform as a Service).
Sovellusympäristön alla olevaa tasoa kutsutaan infrastruktuuritasoksi. Tällä tasolla asiakkaalle tarjotaan palveluita, jotka on Youseffin, Xxxxxxxx ja Da Silvan (2008) ontologiassa järjestetty kolmeen ryhmään, joita ovat laitteistore- surssit, tallennustila sekä verkko. Laitteistoresursseilla tarkoitetaan esimerkiksi virtuaalikoneita, joihin asiakas voi asentaa esimerkiksi omia käyttöjärjestel- miään ja ohjelmistojaan (Mell & Grance, 2011). Palveluna tarjottavaa infrastruk- tuuria kutsutaan IaaS-palveluksi (Infrastructure as a Service).
Youseffin, Xxxxxxxx ja Da Silvan (2008) ontologiassa infrastruktuuri- ja lait- teistokerroksen väliin jää kerneltaso, jolla tarkoitetaan niitä ohjelmistoratkaisu- ja, jotka huolehtivat fyysisten laitteistoresurssien hallinnasta. Tällä tasolla toteu-
tetaan esimerkiksi käyttöjärjestelmäydin, klusteroinnista vastaava väliohjelmis- to, sekä virtuaalikoneiden hallinta ja seuranta. (Xxxxxxx, Xxxxxxx & Xx Xxxxx, 2008) Käytännössä tämä kerros yhdistää asiakkaan käyttöön osoitetut virtuali- soidut palvelinresurssit oikeisiin fyysisiin laitteistoresursseihin.
Alimmalle tasolle jää laitteisto eli kaikki ne todelliset fyysiset komponen- tit, joista järjestelmä koostuu. Palvelumallia, jossa asiakas saa vain laitteista koostetun järjestelmän, kutsutaan HaaS-palveluksi (Hardware as a Service). (Xxxxxxx, Xxxxxxx & Xx Xxxxx, 2008) Tällainen palvelusopimus on hyvin lähellä puhdasta leasing-sopimusta sillä erotuksella, että laitteistoa hyödynnetään edel- leen tietoverkon välityksellä. HaaS-palveluntarjoaja hallinnoi ja ylläpitää lait- teistoa tilaajan puolesta, jolloin keskitetyistä palvelinsaleista ja laitteistoresurs- seista syntyy mittakaavaetuja. (Xxxxxxx, Xxxxxxx & Xx Xxxxx, 2008)
Esitetystä ontologiasta on lisäksi huomattava, että pilvisovellus- ja sovel- lusympäristökerrokset voivat tarpeen vaatiessa ohittaa infrastruktuurikerrok- sen, jolloin voidaan saavuttaa esimerkiksi tehokkuusetuja. Tämä tosin vaikeut- taa kehitysprosessia. (Youseff, Xxxxxxx & Da Silva, 2008) Infrastruktuurikerrok- sen olemassaolo on myös tietoturvaa lisäävä tekijä, koska asiakkaat eivät voi suoraan laitteistoresurssien kautta päästä käsittelemään toistensa tietoja.
Pilvipalveluja voidaan jaotella vielä toteutusmallien mukaan, joita ovat yksityi- nen pilvi, yhteisöpilvi, julkinen pilvi ja hybridipilvi. Yksityinen pilvi tarkoittaa pilvipalveluratkaisua, jossa yksi kokonainen pilvi-infrastruktuuri on yhden or- ganisaation käytössä. Yksityinen pilven palveluntarjoaja voi kuitenkin olla jokin kolmas osapuoli. Yhteisöpilvessä pilvi-infrastruktuuri on tiettyjen luotettujen yhteistoimijoiden käytössä, mutta käyttäjäkunta on kuitenkin selvästi rajattu. Xxxxxxxx pilvi on malli, jossa infrastruktuuri on julkisesti avoin kaikille poten- tiaalisille asiakkaille. Hybridipilvellä tarkoitetaan infrastruktuuria, jossa kaksi tai useampaa eri pilvityyppiä palvelevat integroidusti samaa organisaatiota sa- manaikaisesti. Eri infrastruktuurien välillä voi olla esimerkiksi yhteisiä rajapin- toja, joiden avulla voidaan siirtää dataa tai esimerkiksi tasata laitteistoresurssien kuormitusta. (Mell & Grance, 2011)
3.3 Pilvipalvelut palveluntarjoajan näkökulmasta
Seuraavassa tarkastellaan pilvipalvelujen erityispiirteitä palveluntarjoajan nä- kökulmasta. Tärkeitä erityispiirteitä ovat esimerkiksi pilvipalvelujen hinnoittelu ja kustannusrakenne, asiakkaan alhainen sitoutumisaste sekä nopea tuotteiden kehitysprosessi.
3.3.1 Pilvipalvelujen hinnoittelu ja kustannusrakenne
Perinteisemmät hinnoittelumallit eivät sovellu Paleologon (2004) mukaan tarve- perusteisesti käytettyjen palvelujen hinnoitteluun. Syitä tähän on esimerkiksi lyhyempi sopimusten kesto, suurempi todennäköisyys palveluntarjoajan vaih- toon, epävarma kysynnän kehitys sekä palvelujen lyhyempi elinkaari.
Kirjallisuudessa yhdeksi keskeiseksi merkitseväksi pilvipalvelun tunnus- merkiksi onkin esitetty käyttöperusteista hinnoittelua (pay-per-use) (esim. Xxxx, Xx & Xxxx, 2011; Xxxxx, 2010; Armbrust ym., 2009). Käyttöä voidaan mi- tata esimerkiksi kuluneella ajalla, käyttäjien lukumäärällä, käyttökerroilla tai kulutettujen resurssien mukaan. Paljon käytetään myös yksinkertaista kiinteään kuukausimaksuun perustuvaa hinnoittelua (Youseff, Butrico & Xx Xxxxx, 2008).
Käyttöperusteinen hinnoittelu asettaa omat haasteensa pilvipalvelun tar- joajalle. Pilvipalvelutarjoajan kustannusrakenne tosin eroaa merkittävästi perin- teisemmistä IT-alan liiketoimintamalleista. Tarjottavat ratkaisut ovat hyvin ge- neerisiä, eli sovelluksia ei tarvitse räätälöidä jokaiselle asiakkaalle erikseen. Li- säksi pilvipalvelujen multitenanttisuus ja elastisuus mahdollistavat palvelinre- surssien tehokkaamman hyödyntämisen. Yhdestä palvelimesta saadaan paljon suurempi hyöty, kun sen käyttöaikaa voidaan myydä usealle asiakkaalle sa- manaikaisesti. Samalla ei olla riippuvaisia tietystä sijainnista vaan palvelinkes- kuksia voidaan sijoittaa kustannustehokkaasti. Xxx, Xxx, Xxxx, Xxxx ja Xxxxxx (2009) mukaan mittakaavaetujen maksimointi onkin pilvipalvelun tarjoajalle voiton tuottamisen kannalta erityisen keskeistä.
3.3.2 Asiakkaan alhainen sitoutumisaste
Pilvipalvelutarjoajan ja asiakkaan välille ei synny samankaltaista sitoutumisas- tetta (Armbrust ym., 2009), millainen esimerkiksi ohjelmistolisenssin ostamisen jälkeen syntyy. Ohjelmistolisenssi on asiakkaalle enemmänkin kertaluontoinen investointi, jonka hyöty saadaan realisoitua vasta pidemmän käytön jälkeen. Käyttöperusteisessa hinnoittelussa vastaavaa tilannetta ei synny, joten pilvipal- veluntarjoajaa on helppo vaihtaa, jos asiakkaan näkökulmasta suurempi hyöty saadaan joltain toiselta palveluntarjoajalta. Tämä on luonnollisesti riski, joka palveluntarjoajan täytyy huomioida omassa liiketoiminnassaan.
3.3.3 Yksinkertainen tuotteiden kehitys- ja ylläpitoprosessi
Youseffin, Butricon ja Xx Xxxxxx (2008) mukaan pilvipalveluna tarjottavan so- vellusympäristön päälle on yksinkertaista kehittää uusia sovelluksia, koska so- vellusympäristö tarjoaa valmiiksi automaattisen skaalautuvuuden, kuorman ta- sauksen ja valmiin yhteistoimivuuden muiden sovellusympäristöön kuuluvien
xxxxxxxxxxx kanssa. Huomionarvoista on lisäksi se, että pilvisovelluksia kehit- tävä palveluntarjoaja voi halutessaan ostaa sovellusympäristön PaaS-palveluna toiselta palveluntarjoajalta sen sijaan, että toteuttaisi kaiken laitteistosta lähtien itse.
Myös tuotteiden ylläpito on helpompaa, koska asiakasta ei tarvitse pyytää asentamaan sovelluksiin päivityksiä, vaan riittää, että päivitykset asennetaan omille palvelimille, jolloin uusimmat versiot ovat automaattisesti käytettävissä. (Xxxxxxx, Xxxxxxx & Xx Xxxxx, 2008).
3.4 Pilvipalvelut asiakkaan näkökulmasta
Jotkin palveluntarjoajan näkökulmasta riskeiksi koetut asiat ovat asiakkaan nä- kökulmasta päinvastaisesti positiivisia mahdollisuuksia. Seuraavassa perehdy- tään pilvipalvelujen hyötyihin asiakkaan näkökulmasta sekä asiakkaiden koke- miin odotuksiin ja riskeihin.
Yritystoiminnassa keskeinen asia on kustannustehokkuus. Perinteisesti yrityk- sen IT-toiminnot ovat olleet ns. kiinteitä kuluja, jotka eivät ole sidoksissa liike- vaihtoon tai muihin myyntiin sidoksissa oleviin kustannuksiin (Heino, 2010, 171). Tällaisia kuluja ovat esimerkiksi ohjelmistolisenssit, konesalivuokrat, lait- teistohankinnat ja ylläpitokustannukset. Edellä mainitut kulut skaalautuvat huonosti liiketoiminnan tuottojen kasvaessa tai pienentyessä.
Pilvipalvelujen suurin hyöty on juuri niiden kustannustehokkuus. Osa IT- toiminnoista voidaan muuttaa muuttuviksi kustannuksiksi, kun informaatio- teknologiatarpeet voidaankin ostaa palveluna, ja maksaa vain käytön mukaan. (Heino, 2010, 171-172) Kustannussäästöt nähdäänkin yleisesti vahvimpana pil- vipalvelujen hyötynä (Xxxxxxx & Xxxx, 2011). Kustannustehokkuudesta voidaan suoraan johtaa muitakin hyötyjä. Skaalautuvat kustannukset pienentävät mark- kinoille pääsyn esteitä sekä tuotteiden markkinoille saattamiseen kuluvaa aikaa (time to market) (Xxxxxxx, Li, Xxxxxxxxxxxxx, Xxxxx & Xxxxxxxx, 2011).
Kuten aikaisemmin todettiin, asiakkaan on verrattain helppo vaihtaa pal- veluntarjoajaan ilman ylimääräisiä kustannuksia tai vaivaa (Oza, Karppinen & Savola, 2010). Näin ei synny ns. vendor lock-in-tilannetta, jolloin asiakas on va- litun ohjelmistoratkaisun vuoksi riippuvainen palveluntarjoajasta.
Myös pilvipalvelujen laitteistoriippumattomuus on asiakkaan näkökul- masta ehdoton vahvuus, kun myös paljon laitteistoresursseja vaativia sovelluk- sia voidaan käyttää yksinkertaisemmalla päätelaitteella kuten kannettavalla tie- tokoneella tai älypuhelimella (Xxxxxxx ym., 2011).
3.4.2 Asiakkaan odotukset ja koetut riskit
Asiakkailla on usein selviä odotuksia siitä, mitä ominaisuuksia pilvipalveluilta voi vaatia. Osa odotuksista saattaa olla epärealistisiakin. Pilvipalvelun odote- taan olevan luotettava ja vastuukysymysten odotetaan olevan selviä mahdolli- sissa ongelmatilanteissa. Myös yksityisyyden suojan odotetaan olevan kunnos- sa, eikä asiakkaan tietojen odoteta olevan vaarassa missään tilanteessa. Niin ikään saatavuuden, palveluun pääsyn ja tekijänoikeuksien odotetaan toteutu- van asiakkaan ehdoin. (Xxxxxx, Xxx & Xxxxxx, 2008)
Vaikka käytännössä raja ei tulekaan helposti vastaan, Xxxxxxxxxx ym. (2009) mukaan asiakkailla on käsitys loputtomasta suorituskyky- ja tallennus- kapasiteetista, jotka saadaan välittömästi käyttöön.
Benlianin ja Hessin (2011) mukaan suurimmiksi riskeiksi pilvipalveluita käyttöön ottaneet tietohallintojohtajat kokevat palvelun saatavuuden ja strategi- set riskit, joilla tarkoitetaan organisaation muutoskykyä, joustavuutta, vastuu- kysymyksiä sekä sopimusriskejä.
Samoin selvä riski on myös tiedon fyysisen hallintamahdollisuuden mene- tys ja tästä seurausta olevat tietoturvakysymykset. Lisäksi kriittisille järjestel- mille asetetut korkeat saatavuusvaatimukset eivät välttämättä täyty. (Xxxxxxx ym., 2011)
3.5 Keskeiset eroavaisuudet ohjelmistolisensoinnin ja pilvipalvelujen välil- lä
Seuraavassa taulukossa on vielä kiteytetty perinteisten ohjelmistolisenssien ja pilvipalvelujen väliset erot (taulukko 1):
Perinteinen ohjelmisto | Pilvipalvelu | |
Hinnoittelu | Kertasumma tai jatkuva kuu- kausimaksullinen tilaus | Käyttöperusteinen hin- noittelu tai kuukausi- maksu |
Kustannustehok- kuus | Kiinteitä kustannuksia, merki- tään taseeseen | Hyvä, IT-kulut muuttu- via kustannuksia |
Ohjelmiston käyttö | Asennetaan omalle tietoko- neelle | Käytetään web-selaimen välityksellä, laitteistoriip- pumaton |
Laitteisto ja ylläpito | Asiakkaan vastuulla | Palveluntarjoajan vas- tuulla |
Elastisuus | Xxxxxx | Xxxx |
Riskit | Riippuvuussuhde ohjelmiston toimittajaan | Tietosuoja, käyttäjän oi- keudet, palvelutakuu, so- pimusriskit |
TAULUKKO 1: Ohjelmistolisenssi vs. pilvipalvelu
4 PILVIPALVELUSOPIMUSTEN ERITYISPIIRTEET
Tässä luvussa käsitellään pilvipalvelusopimuksia ja niiden erityispiirteitä, sekä selvitetään pilvipalvelusopimusten keskeinen sisältö. Luvussa käsitellään myös yleisesti pilvipalvelusopimuksiin liittyviä kysymyksiä, kuten tekijänoikeutta ja yksityisyyden suojaa. Luvun lopussa tehdään väliyhteenvetoa, ja pyritään muo- dostamaan viitekehys tapaustutkimusta varten.
4.1 Mitä pilvipalvelusopimuksella tarkoitetaan?
Kuten edellisessä luvussa todettiin, pilvipalveluissa on kyse palvelun tarjoami- sesta. Pilvipalvelusopimuksissa ei siis yleisesti ottaen lisensoida, tai myydä mi- tään fyysistä kopiota, vaan kyse on palvelusopimuksista (Välimäki, 2009, 153). Toisaalta on toki mahdollista, että pilvipalvelun käyttöä varten asiakkaan tulee asentaa tietokoneeseensa esimerkiksi jonkinlainen selainlaajennus. Tällaisessa tapauksessa kyseisen laajennuksen käytöstä on tehtävä lisenssisopimus (Väli- mäki, 2009, 153). Käytännössä lisensoinnista sovitaan osana muuta sopimusko- konaisuutta.
Pilvipalvelua asiakkaalle tarjoavan yrityksen ei tarvitse olla tarjottavan oh- jelmiston tekijänoikeuksien haltija, vaan kyseessä saattaa olla vain pilvipalvelu- ja välittävä organisaatio. Tekijänoikeuslain 19 § mukaan välittäjä tarvitsee kui- tenkin välitettävien lisenssien lisäksi levitysoikeuden ohjelmiston tekijänoi- keuksien haltijalta.
Kuten tutkielman toisessa luvussa todettiin, perinteisessä ohjelmistolisen- soinnissa on yleensä vain kolme lisensointivaihtoehtoa, eli joko suoraan oikeuk- sien haltijalta loppukäyttäjälle tai ensin oikeuksien haltijalta välitasolle, jolta loppukäyttäjälle. Pilvipalveluissa vastaava kuvio on monimutkaisempi. Seuraa- vassa on esitetty pilvipalvelujen mahdolliset toimijat ja niiden välille syntyvät sopimussuhteet (kuvio 3):
Perinteinen ohjelmistotoimittaja | |||
lisensoi | lisensoi | lisenso | |
i
käyttöoikeus
käyttöoikeus
käyttöoikeus
välitysoikeus kolmansille
käyttöoikeus
Välittäjäpalvelu
SaaS- palveluntarjoaja
PaaS-alustapalvelun tarjoaja
Infrastruktuurin tarjoaja
Loppukäyttäjä
KUVIO 3: Eri toimijoiden verkko pilvipalveluissa
Kuviosta huomataan, että edellisessä luvussa esitellyn pilvipalvelujen pinomal- lin mukaisesti myös eri oikeushenkilöiden väliset sopimussuhteet voivat nou- dattaa samaa mallia. SaaS-palvelua, eli esimerkiksi pilvessä ajettavia laskentaso- velluksia, tarjoava yritys saattaa olla sopimussuhteessa oman asiakkaansa lisäk- si myös pilvialustan tarjoavaan PaaS-palveluntarjoajaan, joka puolestaan saat- taa tilata pilvi-infrastruktuurin palveluna IaaS-palveluntarjoajalta. Yhtä lailla on mahdollista, että sama palveluntarjoaja on yhtäaikaisesti kaikissa edellä maini- tuista rooleista. Huomattava on, että edelleenkään perinteisen ohjelmistotoimit- tajan asemaa ei välttämättä voida täysin poissulkea. On mahdollista, että pilvi- palveluntarjoaja lisensoi jonkin ohjelmistokomponentin tai kokonaisen ohjel- miston, joita hyödynnetään asiakkaalle tarjottavassa ratkaisussa.
Uusi toimija on pilvipalvelun välittäjä. Välittäjäpalvelu saattaa esimerkiksi olla yhdistelijä, joka tarjoaa lukuisista eri pilvipalveluista asiakkaalle kokonais- ratkaisun. Tällöin välittäjän tehtävänä on myös huolehtia eri palveluiden yh- teentoimivuudesta sekä niiden välisestä tiedonsiirrosta. Välittäjä saattaa myös tarjota tarjottujen palveluiden päälle omia lisäkomponenttejaan, esimerkiksi omaa käyttöliittymää. Yksinkertaisimmillaan välittäjä voi esimerkiksi olla vain luokittelija ja tarjota haku-, vertailu- ja valinta-apua pilvipalvelun käyttöönot- toon. Välittäjän rooli voi olla puhtaasti myös konsultti, joka toimii välikätenä palveuntarjoajan ja asiakkaan välillä. Rooli muistuttaa läheisesti esimerkiksi kiinteistönvälittäjää. (Xxxx, Xxxxxx, Xxxxxxxxxx, Xxxxx & Krcmar, 2010)
Seuraavissa alaluvuissa perehdytään tarkemmin eri toimijoiden välisiin sopimuksiin sopimustyyppi kerrallaan. Ensimmäisenä käsitellään asiakkaan ja palveluntarjoajan välisiä sopimuksia.
4.2 Asiakkaan ja palveluntarjoajan väliset sopimukset
Loppukäyttäjän ja pilvipalveluntarjoajan välinen sopimus on palvelusopimus, jossa sopimuksen kohteena on pääsy suljettuun palveluun. Kuten ohjelmistoli- senssisopimus, myös pilvipalvelusopimus on tyypiltään sekatyyppinen, koska palvelun käyttöoikeuden lisäksi sopimuksen kohteina voivat olla ylläpitopalve- lun tarjoaminen sekä käytön tuki (Kulmala, 2003, 85).
Palveluntarjoajan velvollisuuksia ovat laitteiston ja ohjelmiston toiminnas- ta huolehtiminen, mahdollisten ohjelmistopäivitysten asentaminen ja ylipää- tään kaikki järjestelmän toimintaan liittyvä ylläpito (Kulmala, 2003, 77). Käyttä- jän ainoa velvollisuus on sopimuksessa määrätyn vastikkeen maksaminen (Kul- mala, 2003, 86). Asiakkaan vastuulle tosin jää palvelun soveltuminen aiottuun käyttötarkoitukseen, sillä sopimuksiin sisältyy yleensä ”as is”- tai ”sellaisena kuin se on”-ehto, jolla palveluntarjoaja jättäytyy asian ulkopuolelle (Kulmala 2003, 108).
Kuten aikaisemminkin jo todettua, asiakkaan ja palveluntarjoajan välisissä sopimuksissa hinnoittelu perustuu suurimmaksi osaksi käyttöperusteiseen hin- noitteluun tai kiinteään kuukausimaksuun. Kiinteään kuukausimaksuun voi- daan sitoa samalla kiinteä käyttäjien maksimimäärä. (Kulmala, 2003, 109)
Erityisen tärkeässä asemassa asiakkaan ja palveluntarjoajan välisissä sopi- muksissa on palvelutasosopimus, jossa määritetään palvelun minimitaso, jonka palveluntarjoaja on valmis takaamaan asiakkaalle (Baset, 2012). Palvelutasoso- pimuksia käsitellään tarkemmin luvussa 4.9.
Huomattavaa on, että palveluntarjoaja on asiakkaalleen vastuussa palve- lunkatkoksista, vaikka syy olisi ulkoinen ja oman vaikutuspiirin ulkopuolella. Poikkeuksia ovat ns. force majeure-syyt, kuten luonnonkatastrofit, sotatila tai yleisen sähkönjakelun katkeaminen. Kuvitellaan tilanne, jossa esimerkiksi pal- veluntarjoaja A:n SaaS-pilvisovellus lakkaa vastaamasta. Asiakas B:n tiedot hä- viävät, eikä työskentelyä voida jatkaa ennen kuin palvelu käynnistyy uudel- leen. Syy katkokseen paljastuu kolmannen osapuolen, palveluntarjoaja C:n, lait- teistosta. Palveluntarjoaja C tarjoaa A:lle IaaS-palvelua, johon kuuluu virtuaali- sia palvelimia, joiden lukumäärää voidaan käytön mukaan kasvattaa. Asiakas B vaatii palvelutasosopimuksen nojalla palveluntarjoaja A:lta vahingonkorvauk- sia, jotka A joutuu maksamaan. Palveluntarjoaja C voi tosin vastaavasti olla korvausvelvollinen A:lle, mikä näiden keskinäisessä sopimuksessa on palvelu- tasosta näin sovittu.
4.3 Asiakkaan ja välittäjän väliset sopimukset
Koska välittäjän rooli vaihtelee, asiakkaan ja välittäjän välistä sopimusta ei voi- da määritellä yksiselitteisesti. Osapuolten väliset velvollisuudet eroavat sen mukaan, onko välittäjäosapuoli konsultti, kauppapaikka vai eri palvelujen yh- distelijä. Seuraavassa on oletettu, että välittäjä tosiasiallisesti välittää jonkin toi- sen palveluntarjoajan palvelua asiakkaalle, eli dataliikenne asiakkaalta palve- luntarjoajalle kulkee välittäjän kautta.
Palvelun käyttöoikeuden rajat on mahdollisesti rajattu hyvin tarkkaan jo välittäjäpalvelun ja pilvipalveluntarjoajan välisessä sopimuksessa (Kulmala, 2003, 78, joten asiakkaan neuvotteluvara rajautuu hinnoitteluun ja välittäjän tar- joamaan omaan palvelutasosopimukseen. Kuten yllä, myös asiakkaan ja välittä- jän välisen sopimuksen kohteena on siis pääsy palveluun, sillä erotuksella, että asiakkaan ja varsinaisen palveluntarjoajan välille ei synny sopimussuhdetta. Asiakkaan näkökulmasta sopimus muistuttaakin normaalia asiakkaan ja palve- luntarjoajan välistä sopimusta.
4.4 Välittäjän ja palveluntarjoajan väliset sopimukset
Tyypiltään välittäjän ja palveluntarjoajan välinen sopimus on lähimpänä jäl- leenmyynti- tai jakelusopimusta (Kulmala, 2003, 77). Sopimus saattaa muistut- taa VAR-sopimusta (Value Added Reseller), jos välittäjän ansaintalogiikka pe- rustuu muiden palveluntarjoajien palveluiden päälle tuotettavien lisäominai- suuksien tai lisäpalveluiden myyntiin (Böhm ym., 2010). Tärkein sopimuksen kohde on kuitenkin oikeus palvelun käyttöoikeuden välittämiseen. Oleellista on lisäksi määritellä, minkälaisin teknisin laitteistovaatimuksin palvelun välitys voidaan järjestää. (Kulmala, 2003, 105). Välittäjän tarjoamat lisäpalvelut, kuten omat käyttöliittymät, eivät kuitenkaan saa lisätä esimerkiksi vasteaikaa loppu- käyttäjältä palveluntarjoajalle.
Jakelu- tai välityssopimuksen hinnoitteluperusteisiin soveltuu palvelusta riippuen joko käyttäjäkohtainen tai käytettyyn järjestelmäresurssien määrää. Välittäjä maksaa siis jokaisesta asiakkaastaan palveluntarjoajalle. (Kulmala, 2003, 105)
Sopimuksessa on lisäksi syytä kiinnittää huomiota työnjakoon esimerkiksi käytön tuen järjestämisessä (Kulmala, 2003, 105). Ongelmatilanteiden selvittä- minen ja asiakkaan neuvominen voi periaatteessa olla kumman osapuolen vas- tuulla tahansa, mutta asia on hyvä ratkaista jo sopimusvaiheessa.
Osapuolten välisestä vastuunjaosta Kulmala (2003, 106) ehdottaa, että pal- veluntarjoaja vastaisi siitä, että omistaa käyttöoikeuden ja tarvittavat tekijänoi- keudet kaikkiin tarjottavan palvelun komponentteihin. Näin ollen palveluntar-
xxxxx vastaisi kaikista vahingonkorvausvaateista, joita joko välittäjälle tai palve- lun loppukäyttäjään kohdistuu oikeudellisten rikkomusten johdosta.
Kulmala (2003, 106) mainitsee myös osapuolten tiedonantovelvollisuudes- ta, että palveluntarjoajalla olisi syytä olla velvollisuus informoida välityspalve- lua mahdollista palvelua koskevista muutoksista hyvissä ajoin. Tällaisia muu- toksia voivat olla esimerkiksi suunnittelut ohjelmistopäivitykset tai lisäominai- suuksien käyttöönotto.
4.5 Sopimuskokonaisuus ja eri sopimusasiakirjojen suhde toisiinsa
Tavallisesti pilvipalvelujen sopimusteksti muodostuu useista eri dokumenteis- ta. Esimerkiksi Google Docs -pilvipalvelun sopimuskokonaisuuteen kuuluu ai- nakin, yleiset käyttöehdot, lisäehdot, ohjelmasäännöt, tietosuojakäytäntö ja teki- jänoikeuksia koskevat ehdot (Google Inc., 2013). Yleisten sopimusoikeudellisten periaatteiden mukaan mikäli eri sopimusasiakirjojen ehdot ovat ristiriidassa keskenään, erityisehdot ovat etusijalla yleisiin sopimusehtoihin nähden. Esi- merkiksi palvelutasosopimuksen ehdot menevät pääsopimuksen edelle. Sopi- musasiakirjojen pätevyysjärjestys on hyvä lisätä myös itse sopimustekstiin.
Pilvipalvelusopimuksiin liittyy monisyisiä tekijänoikeuskysymyksiä. Seuraa- vassa nämä kysymykset on jaettu palveluntarjoajan tekijänoikeuksia, tekijänoi- keuslain tarkoittaman tietokoneohjelman käyttäjän oikeuksia sekä asiakkaan omaan dataan kohdistuvia tekijänoikeuksia käsitteleviin alalukuihin.
4.6.1 Palveluntarjoajan tekijänoikeudet
Tekijänoikeus ei periaatteessa koske ohjelmiston käyttöä. Kuten sanottu, aktivi- teetit, jotka kuuluvat tekijänoikeuksiin on kopiointi, levitys ja muuntelu. Pilvi- palvelutoimittaja ei siis välttämättä saa suojaa tekijänoikeuslainsäädännön no- jalla, koska asiakas ainoastaan käyttää ohjelmistoa verkon välityksellä (Välimä- ki, 2009, 147). Käytännössä tämä tarkoittaa sitä, että pilvipalvelun luvatonta käyttöä ei voida tuomita tekijänoikeusrikkomuksena toisin kuin vastaavaa pe- rinteisen ohjelmiston luvatonta käyttöä (Kulmala, 2003, 68). Verrattaessa pilvi- palveluja ja perinteisiä ohjelmistolisenssisopimuksia huomataan, että ansainta- logiikka on näissä erilainen. Ohjelmistolisenssisopimuksen kohteena on myytä- vä rajoitettu kopiointioikeus. Vastaavasti pilvipalveluissa sopimuksen kohteena on pääsy suljettuun palveluun. (Kulmala, 2003, 58)
Palveluntarjoajan toimiessa välittäjän asemassa siten, että palveluntarjoaja ei itse omista välittämänsä ohjelmiston oikeuksia, tarvitaan luonnollisesti väli- tettävän tuotteen oikeuksien haltijalta lupa palvelun edelleen välittämiseen lop- puasiakkaille. Ohjelmistotoimittajan ja välittäjän välillä vallitsee siis tekijänoi- keudellinen suhde (Kulmala, 2003, 67).
Kuten todettua, tietokoneohjelman laillisesti hankkineella on tiettyjä oikeuksia, kuten tarpeellisten kopioiden ja muutosten teko-oikeus, varmuuskopiointioi- keus, ohjelman tutkimisoikeus sekä ohjelman uudelleenmallinnusoikeus.
Pilvipalveluympäristössä mikään yllä mainituista ei kuitenkaan päde. Yllä mainitut oikeudet koskevat ohjelman ”laillisesti hankkinutta käyttäjää”, mikä voidaan ymmärtää vain fyysisen kappaleen hankkineeksi käyttäjäksi. Myös di- gitaalisesti toimitettu, mutta fyysiselle medialle asennettava ohjelma voidaan rinnastaa tähän. (Kulmala, 2003, 70)
Aikaisemmin tutkielmassa käytiin läpi tietokoneohjelman edelleenmyyn- tioikeutta, joka pilviympäristössä vaatii uudelleentarkastelua. Kuten todettiin, oleellista on siis erottaa myynti ja vuokraaminen toisistaan. Pilvipalvelut perus- tuvat usein muunlaiseen hinnoitteluun kuin kertasuoritukseen, ja lisäksi pilvi- palvelun käyttö on usein sidottu aikaan. Näin ollen pilvipalvelujen käytössä ei voi myöskään olla kyse pysyväisluonteisesta käyttöoikeuden luovutuksesta (Kulmala, 2003, 40). Asia on huomioitu myös tietoyhteiskunnan tekijänoikeus- direktiivissä (2001/29). Direktiivin 29. johdantokappaleessa todetaan, että ”Oi- keuksien sammuminen ei koske palveluja eikä varsinkaan suorakäyttöpalvelu- ja.” Näin ollen pilvipalvelun käyttäjällä ei siis ole oikeutta siirtää käyttöoikeut- taan eteenpäin ilman palveluntarjoajan lupaa. Käyttöoikeuden siirtämiseen tar- vitaan lupa siinäkin tapauksessa, että palveluntarjoajan ja käyttäjän välisessä sopimuksessa käyttöoikeuden siirtoa ei nimenomaisesti kielletä (Kulmala, 2003, 73).
4.6.3 Asiakkaan tekijänoikeudet omaan dataansa
Olennainen ero aikaisempaan tarkasteluun syntyy, jos asetelma käännetään toi- sinpäin. Tarkasteluun otetaan siis asiakkaan tekijänoikeus omaan itse tuotta- maansa sisältöön. Asiakkaan tekijänoikeuksista esimerkiksi juuri kopiointioi- keus voi osoittautua ongelmalliseksi, kun tarkastellaan oman tietokoneohjel- man ajamista palveluntarjoajan palvelimella. Seuraava kuvitteellinen esimerkki havainnollistaa kopioinnin problematiikkaa.
Asiakasyritys A kehittää omaa sovellustaan hyödyntäen kehitystyössä palveluntarjoaja B:n tarjoamaa PaaS-sovellusympäristöä. Sovelluskehitys, tai ai-
nakin osa siitä, tapahtuu siis www-selaimen välityksellä käytettävillä työkaluil- la. Työn tuloksena syntynyt ohjelmakoodi tallennetaan myös palveluntarjoaja B:n palvelimelle. Palveluntarjoaja B:n omista teknisistä ratkaisuista johtuen yri- tys A:n tiedot voivat sijaita ajankohdasta riippuen eri päivinä eri palvelimilla. Lisäksi palveluntarjoaja B:n palvelimet tekevät automaattisia varmuuskopioita kaikista palvelimille tallennetuista tiedoista.
Asiakasyritys A:n tietokoneohjelmaa kopioidaan siis lukuisia kertoja. En- sinnäkin Internetin välityksellä tehtävä työ vaatii tiedon edestakaista siirtämistä yritys A:n tietokoneilta palveluntarjoaja B:n palvelimille, mikä aiheuttaa tietojen kopioitumista erilaisiin tilapäisiin välimuisteihin, jotka sijaitsevat sekä yritys A:n että B:n hallinnoimien tietokoneiden ulkopuolella (Välimäki, 2009, 35).
Lisäksi kopiointia tapahtuu palveluntarjoaja B:n omien tietokoneiden vä- lillä, jolloin tiedot saattavat kulkea myös julkisen verkon kautta.
Internetissä siirrettävästä datasta tehtäviä välikopioita käsitellään tietoyh- teiskunnan tekijänoikeusdirektiivissä. Direktiivin 5 artiklan mukaan kopiointi- oikeus ei koske:
tilapäistä kappaleen valmistamista, joka on väliaikaista tai satunnaista sekä erottama- ton ja välttämätön osa teknistä prosessia ja jonka ainoa tarkoitus on mahdollistaa
a) välittäjän toimesta tapahtuva teoksen tai muun aineiston siirto verkossa kolman- sien osapuolien välillä, tai
b) sen laillinen käyttö,
ja jolla ei ole itsenäistä taloudellista merkitystä.
Lisäksi samassa artiklassa nimenomaisesti mainitaan ”...poikkeuksien kosketta- van myös toimia, jotka mahdollistavat selailun sekä aineiston tilapäisen tallen- tamisen välimuistiin, mukaan lukien siirtojärjestelmien tehokkaan toiminnan mahdollistava tallennus...” Välittäjä ei direktiivin mukaan saa kuitenkaan muuttaa tietoja millään tavalla.
Suomen tekijänoikeuslaissa tilapäistä kappaleen valmistamista koskevaan 11 a §:ään on kuitenkin syystä tai toisesta lisätty seuraava poikkeus: ”Mitä 1 momentissa säädetään, ei sovelleta tietokoneohjelmaan eikä tietokantaan.” Eli kirjaimellisen laintulkinnan mukaan minkäänlainen tilapäinen kopiointi ei ole sallittua ilman oikeudenhaltijan lupaa. Välimäen (2009, 36) mukaan kyseessä lienee tahaton erehdys, jota edesauttoi jo valmiiksi monimutkainen direktiivi. Tilanne on joka tapauksessa lainsäädännön näkökulmasta sekava.
Helpompi tapaus on palveluntarjoaja B:n ”sisäisesti” tekemä kopiointi, joka tosin saattaa kulkea julkisen verkon kautta. Tietokoneohjelmien tekijänoi-
keusdirektiivin 4 artiklan mukaan tietokoneohjelman tekijän yksinoikeuksiin kuuluu:
tietokoneohjelman tai sen osan pysyvä tai tilapäinen toisintaminen millä tavoin ja missä muodossa tahansa. Jos tietokoneohjelman lukeminen tietokoneen muistiin, näyttäminen, ajaminen, siirtäminen tai tallentaminen edellyttää tällaista toisintamis- ta, nämä toimet edellyttävät oikeudenhaltijan suostumusta
Direktiivi tosin sallii laillisen käytön yhteydessä tehtävät välttämättömät ko- piot, mutta palveluntarjoaja B:llä ei ole mitään laillisia käyttöoikeuksia yrityk- sen A tietokoneohjelmaan. Palveluntarjoaja B ei siis voi kopioida A:n tietoja il- man lupaa.
Näin ollen A:n ja B:n välisissä sopimuksissa palveluntarjoaja B:lle tulee myöntää jonkinlainen rajoitettu oikeus kopioida A:n dataa. Rajoitus voi olla esi- merkiksi vaatimus palveluntarjoajan oman palvelun optimoinnin kannalta vält- tämättömästä toimesta. B:lle ei tietenkään tarvitse antaa oikeutta päästä tarkas- telemaan itse dataa, ainoastaan mahdollisuus datan kopioimiseen tarvittaessa.
Yksi merkittävä kysymys pilvipalveluissa on välittäjän vastuu. Tässä tapauk- sessa välittäjällä ei tarkoiteta vain aikaisemmin käsiteltyjä välittäjäpalveluita, vaan myös alkuperäinen palveluntarjoaja on välittäjän roolissa, kun tarkastel- laan tiedon siirtoa ja liikkumista. Keskeisin ongelma on välittäjän vastuu välit- täjän kautta palveluun tallennetusta sopimusehtojen vastaisesta, tai lainvastai- sesta, sisällöstä.
EU-lainsäädännössä teknisten välittäjien vastuuta säätelee direktiivi säh- köisestä kaupankäynnistä (2000/31). Direktiivin artiklat 12, 13 ja 14 antavat vas- tuuvapauden pelkkää siirtotoimintaa, välimuistiin tallennusta ja tiedon säily- tystä tarjoaville välittäjäpalveluille. Direktiivillä tavoitellaan selvästi pelkästään teknisten toimijoiden vapauttamista vastuusta, jotta tietoyhteiskunnan palvelu- jen tarjonta ei häiriytyisi (Pihlajarinne, 2012, 69). Mielenkiintoisin pilvipalvelu- jen kontekstissa on direktiivin 14 artiklan mukainen säilytyspalvelun määritel- mä, joka kuuluu seuraavasti:
Jos tietoyhteiskunnan palvelun tarjoaminen käsittää palvelun vastaanottajan toimit- tamien tietojen tallentamisen, jäsenvaltioiden on varmistettava, että palvelun tarjoaja ei ole vastuussa palvelun vastaanottajan pyynnöstä tallennettujen tietojen osalta
Direktiivin sanamuodon mukaan pilvitallennuspalvelun tarjoajaa ei siis voida pitää vastuussa pilvitallennuspalveluun tallennetuista tiedoista. Ongelmallisek- si tilanteen tekee se, että mihin vedetään raja, onko kyseessä pilvitallennuspal- velusta vai jostain muusta palvelusta, johon tietojen tallentaminen kuuluu vain
yhtenä osana. (Pihlajarinne, 2012, 74) Esimerkiksi SaaS-palvelussa keskeisin ele- mentti on itse käytettävät sovellukset, mutta tähän liittyy myös samoissa sovel- luksissa käsiteltävän tiedon tallennusta. Pihlajarinteen (2012, 79) mukaan tilan- netta tulee arvioida määrittämällä 1) tallennusominaisuuden olennaisuuden as- teen koko palvelun näkökulmasta ja 2) tallennusominaisuuden itsenäisyyden suhteessa muuhun palvelun toiminnallisuuteen.
Sähkökauppadirektiivin 15 artiklan mukaan yllä käsitellyille palveluille ei myöskään voida asettaa yleistä velvoitetta valvoa siirtämiään ja tallentamiaan tietoja, eikä velvoittaa pyrkimään aktiivisesti saaman selville laitonta toimintaa osoittavia tosiasioita tai olosuhteita.
Koska pilvipalvelu on yleensä nk. bulkkituote (Heino, 2010, 44), palveluntarjoa- jilla ei ole tarvetta neuvotella sopimuksia erikseen jokaisen asiakkaan kanssa. Tästä johtuen pilvipalveluiden tarjoajat käyttävät paljon valmiita sopimusmal- leja, eli vakiosopimuksia. Vakiosopimuksilla on tendenssi puolustaa vahvasti palveluntarjoajan omia etuja, etenkin mitä isommasta toimijasta on kyse (Greenwald, 2011). Käytännössä tämä tarkoittaa sitä, että pienemmällä yksittäi- sellä asiakkaalla on melko rajalliset mahdollisuudet neuvotella joustavampia ehtoja.
Xxxxxxxxxxx (2011) mukaan on todennäköistä, että pienempi pilvipalve- luntarjoaja tarjoaa asiakkaan kannalta hieman edullisempia sopimusehtoja. Toi- saalta pienempien palveluntarjoajien heikommat kilpailumahdollisuudet mark- kinoilla asettavat epävarmuustekijöitä palvelun jatkuvuudelle.
Sopimuksissa ei ole pakko erityisemmin määritellä irtisanomisaikaa tai vaati- muksia irtisanomisen perusteille (Hemmo, 2005, 300). Jos tällaisia ehtoja ei ole määritelty, sopimus on irtisanottavissa välittömästi ja ilman perusteita.
Pilvipalveluiden vakiosopimuksissa on monesti myös hyvin laaja palve- luntarjoajan irtisanomisoikeus. Esimerkiksi Amazon Web Services, Inc. (2012) varaa pilvipalveluidensa asiakassopimuksessa oikeuden irtisanoa asiakkaan palvelun niin halutessaan 30 päivän varoitusajalla. Yritysten välisissä sopimuk- sissa tätä pienempi irtisanomisaika on jo melko kohtuuton. Lisäksi yritysten vä- lisissä sopimuksissa myös asiakkaan irtisanomisoikeus on syytä määritellä tar- kasti.
Sopimuksen päättymiseen liittyy myös muita kysymyksiä. Sopimuksessa itsessään olisi hyvä käsitellä, mitä asiakkaan datalle tehdään sopimuksen pää- tyttyä. Ellei asiasta ole selvästi sovittu, seuraavat kysymykset voivat olla epäsel- viä: Onko asiakas sopimuksen mukaan edelleen datansa omistaja vai onko asia- kas mahdollisesti sopimusta tehdessään luopunut osasta oikeuksistaan dataa kohtaan? Kuinka kauan palveluntarjoaja on velvoitettu säilyttämään asiakkaan dataa sopimuksen päättymisen jälkeen? Miten data hävittäminen toteutetaan? (Xxx, Xxxxxxxxx & Xxxxxx, 2010)
4.9 Vastuu palvelun toimivuudesta
Vastuunrajauslausekkeita käsiteltiin tutkielman toisessa luvussa. Myös pilvipal- velusopimuksissa esiintyy vastaavaan tyyppisiä ehtoja. Palveluntarjoajan vas- tuun laajuuden määrittämisessä keskeisimmässä asemassa on tosin palvelutaso- sopimus. Seuraavassa käsitellään sekä vastuunrajausehtoja että palvelutasoso- pimuksia.
Lähtökohtana tarkastelulle voidaan pitää olettamusta, että esimerkiksi SaaS- palveluntarjoaja on yhtä lailla asiakkaalle virhevastuussa palveluna tarjottavan ohjelman toimivuudesta kuin perinteinen ohjelmistovalmistaja (Kulmala, 2003, 121). Palveluntarjoajan on myöskin mahdoton ennakoida näiden ohjelmistoihin jääneiden virheiden seurauksia (Takki, 2002, 145-146), eli pilvipalveluntarjoajil- la on siis intressejä rajata omaa vastuutaan. Esimerkiksi Amazon Web Services, Inc.:n (2012) vastuunrajausehdoissa palveluntarjoaja ei ole vastuussa suorista, epäsuorista tai tuottamuksellisista vahingoista. Käytännössä palveluntarjoajan vastuu rajataan siis siihen minimiin, mitä laki asiakkaalle suojaa. Tällainen vas- tuunrajaus tarkoittaa kuitenkin eri asioita esimerkiksi Suomessa ja Yhdysval- loissa. Yhdysvalloissa kaikki vastuu voidaan siirtää asiakkaalle, mutta Suomes- sa palveluntarjoajalle saattaa joka tapauksessa jäädä osa vastuusta. Vastuiden määräytyminen voi siis olla hyvin tapauskohtaista. (Xxx, Xxxxxxxxx & Xxxxxx, 2010) Kuten aiemmin todettiin, törkeä huolimattomuus tai tahallinen sopimus- rikkomus on joka tapauksessa vastuunrajausehtojen yläpuolella (ks. esim. Hem- mo, 1994, 299-304).
Vastuulausekkeella palveluntarjoaja ei myöskään voi pestä käsiään sopi-
musehtojen laiminlyönnistä. Pilvipalvelusopimukseen voidaan esimerkiksi kir- jata ehtoja palveluntarjoajan ilmoitusvelvollisuudesta poikkeustilanteissa, joita voivat olla sopimusrikkomukset, tietomurrot tai palveluntarjoajan palvelimia
koskeva poliisitutkinta (Xxxxxxx ym., 2011). Näillä asioilla on yhteys myös tie- tosuojakysymyksiin, joita käsitellään lisää myöhemmin.
4.9.2 Palvelutasosopimus eli SLA
Palvelutasosopimus on siis se dokumentti, joka määrittää palveluntarjoajan asiakkaalle takaamaan palvelun minimitason (Baset, 2012). Palvelutasosopimus ei varsinaisesti ole uusi, tai ainoastaan pilvipalveluja koskettava asia, mutta pil- vipalveluympäristössä palvelutasosopimus on käytännössä ainoa dokumentti, joka määrittää palveluntarjoajan vastuun rajat palvelun toimivuudesta ja turvaa näin asiakasta sopimusrikkomukselta.
Palvelutasosopimuksessa määritellään palvelun laadun eri mittareilta vaa- dittava raja-arvot, joiden puitteissa palvelun tulee toimia. Palvelutasosopimuk- sessa on hyvä myös määritellä, mitä sanktioita osapuolille tulee, mikäli mitattu palvelun laatu ei pysykään raja-arvojen määrittämällä alueella. (Takki, 2002, 267-268)
Basetin (2012) mukaan yleisimmät palvelutasosopimuksen komponentit
ovat:
• Palvelutakuu ja ajallinen kesto, jolle takuu annetaan
• Palvelutakuun granulariteetti
• Takuun poikkeukset
• Hyvitykset
• Palvelutakuun mittaus ja raportointi
Palvelutakuuta voidaan mitata esimerkiksi palvelun saatavuudella, vasteajalla, korjaukseen kuluvalla ajalla tai järjestelmän palautumisajalla (Baset, 2012). Näistä tärkeimpiä on yleensä palvelun saatavuus, jolla tarkoitetaan siis sitä pro- sentuaalista osuutta tarkasteltavasta ajasta, jolloin palvelu on käytettävissä ja vastaa pyyntöihin. Organisaatioiden palvelun saatavuusvaatimukset voivat etenkin kriittisten järjestelmien osalta vaatia 99,99% palvelutasoa, mitä pilvipal- velutarjoajat eivät välttämättä ole valmiita lupaamaan (Xxxxxxx ym., 2011). Muita palvelutakuuta kuvaavia suureita voivat olla esimerkiksi keskimääräinen vasteaika, keskimääräinen aika virhetilanteiden välillä sekä korjaukseen kuluva aika (Takki, 2002, 268).
Oleellista on kiinnittää huomiota sen ajallisen keston määrittämiseen, jolle palvelutakuu annetaan. Jos määritetty kesto on esimerkiksi yksi kuukausi (30 päivää), 99,9% palvelutakuulla sallittaisiin kuukaudessa yhteensä hieman yli 43 minuuttia, jolloin palvelu ei olisi käytettävissä. Näin ollen yksittäinen puolen tunnin yhtäjaksoinen palvelukatkos ei olisi vielä sopimusrikkomus. Toisaalta jos palvelutakuu annetaan vuorokaudeksi kerrallaan, sama 99,9% saatavuus sallisi vain 86 sekunnin katkoksen päivässä. Eli mitä lyhyempi palvelutakuun
tarkasteluaika, sen tiukempi palvelutakuu on yksittäisen katkoksen suhteen (Baset, 2012). Toisaalta tapauskohtaista on se, että kumpi vaihtoehdoista on toi- vottavampi, lyhyet jokapäiväiset katkot vai pidemmät mutta harvinaisemmat katkokset.
Tarkasteluajan lisäksi keskeistä on myös palvelutakuun granulariteetti eli se mittakaava, johon palvelutakuu kohdistetaan. Palvelutakuu voi kohdistua suurimmillaan esimerkiksi yksittäiseen palvelimeen tai palvelinkeskukseen, mutta toisaalta palvelutakuu voi koskettaa myös vain yksittäistä transaktiota. (Baset, 2012)
Tyypillisiä poikkeuksia takuuseen ovat asiakkaan väärinkäytöstilanteet ja aikataulun mukaiset ylläpito- ja huoltotoimet. Lisäksi on yleistä, että todistus- taakka palvelutakuun täyttämättömyydestä siirretään asiakkaan kannettavaksi. (Baset, 2012)
Käytännössä kaikkiin vakioiduista pilvipalvelusopimuksista sisältyy jon- kinlainen palvelutasosopimus. Xxx (2011) mukaan ongelmana on lähinnä se, että vahingonkorvauksien maksimimäärät jäävät useissa sopimuksissa melko vähäisiksi. Basetin (2012) mukaan yleinen korvaus on määrältään korkeintaan 100% korvaus niiltä instansseilta, joissa palvelutason minimitaso ei ylittynyt. Palvelutasosopimuksella on myös selvä yhteys seuraavassa käsiteltäviin vas- tuu- ja velvollisuuskysymyksiin.
4.10 Kuluttaja- ja liikesopimukset
Lähtökohtaisesti kuluttaja- ja yritysasiakas ovat eri asemassa solmiessaan pilvi- palvelusopimusta. Tästä johtuen on syytä käsitellä hieman liikesopimusten ja kuluttajasopimusten välisiä eroja.
Yritysten välisissä sopimuksissa sopimusoikeus pitää lähtökohtana olettamusta osapuolten tasavertaisuudesta. Yritystoimintaan voidaan ajatella luonnollisesti sisältyvän tiettyjä riskejä, ja yritysten oletetaan hallitsevan oman alansa lainsää- däntöä osana omaa asiantuntemusta. Lisäksi yrityksien voidaan edellyttää käyt- tävän oikeudellisia palveluita. (Hemmo, 2003a, 31)
Tästä johtuen yritys ei voi vaatia sopimuksen sovittelua vetoamalla pelk- kiin suuriin riskeihin. Riskialtis sopimus on täysin hyväksyttävä, vaikka sopi- muksentekohetkellä yhtä todennäköisiä sopimuksen hyväksymisestä seuraavia skenaarioita olisivat liikevaihdon kaksinkertaistaminen tai konkurssi. (Hemmo, 2003a, 31)
Suomessa oikeustoimilain 36 § antaa periaatteessa mahdollisuuden koh- tuuttomien ehtojen sovitteluun, mutta tällöin esimerkiksi vallinneiden olosuh- teiden on täytynyt muuttua merkittävästi sopimuksentekohetken tilanteesta. Helpointa on sopia sopimuksen kohtuullistamisesta tai muuttamisesta jo sopi- muksessa itsessään. Sopimukseen voidaan esimerkiksi kirjata kohta olosuhde- muutosten vaikutuksesta sopimuksen ehtoihin.
Kuluttajan ja yrityksen väliset sopimukset ovat selvästi vinoutuneemmat. Ai- kaisemmin esitelty luettavien dokumenttien määrä, sekä sopimustekstin luke- miseen vaadittava tietämys on jotain, mitä ei yksittäiseltä kuluttajalta voida vaatia. Tästä johtuen lainsäädännössä pyritäänkin suojelemaan selvästi heikom- paa osapuolta, eli tässä tapauksessa kuluttajaa (Hemmo, 2003a, 23). Kuluttajaa suojaavaa lainsäädäntö on pakottavaa lainsäädäntöä, jolloin sopimuksella ei voida kuluttajan oikeuksia rajoittaa.
Kuluttajansuojalain 2. luvun 15 §:ssä myönnetään kuluttajille etämynnissä tuotteen palautusoikeus. Kyseiseen oikeuteen on saman lain 16 §:ssä kuitenkin säädetty tietokoneohjelmia koskeva poikkeus, jolloin palautusoikeus raukeaa avattaessa fyysisenä toimitun levyn sinetti. Pilvipalvelujen tapauksessa kysee- seen tulee paremmin 16 § 2 momentti, jonka mukaan: ”palveluksen suorittami- nen tai hyödykkeen toimittaminen sähköisesti on kuluttajan suostumuksella aloitettu ennen peruuttamisajan päättymistä ja kuluttajalle on ilmoitettu pe- ruuttamisoikeuden puuttumisesta”. Tämä johtuu siitä, ettei saatua palvelua voi- da palauttaa.
Kuten yllä tekijänoikeuksia käsiteltäessäkin todettiin, pilvipalvelua käyttävän asiakkaan luottamuksellisen tiedon tallennus sekä vastaavasti palvelun käyt- töön liittyvä tiedonsiirto eivät välttämättä kunnioita valtioiden rajoja. Tämä joh- taa myös vaikeisiin yksityisyyden suojaa koskeviin ongelmiin. Seuraavassa on käsitelty pilvipalveluihin liittyviä tietosuojahaasteita, tietosuojan tasoa määrit- televä lainsäädäntö sekä lopuksi vielä pilvipalvelusopimusten tietosuojaehtoja.
4.11.1 Pilvipalvelujen asettamat haasteet tietosuojalle
Svantesson ja Xxxxxx (2010) erottelevat kaksi eri pilvityyppiä käsitellessään yk- sityisyyden suojaa. Kansallisissa pilvissä kaikki pilveen kuuluvat palvelimet si- jaitsevat samalla lainsäädäntöalueella, eli käytännössä yhden valtion alueella.
Rajat ylittävät pilvet on sen sijaan hajautettu usean maan alueille. Samalla taval- la myös osavaltioiden rajat ylittävät pilvet voidaan rinnastaa tähän.
Molemmille pilvityypeille yhteisiä ongelmia ja yksityisyyden suojaan ylei- sestikin liitettyjä kysymyksiä ovat asianmukainen tietojen kerääminen ja käyttö, tietojen luovutus, tietoturva, tietojen säilytysaika, asianomaisen pääsy tietoon sekä mahdollisuus tiedon korjaamiseen sekä edellä mainittuihin liittyvä tiedo- tusvelvollisuus. (Xxxxxxxxxx & Xxxxxx, 2010)
Lisää ongelmia ilmenee pilvissä, joiden palvelimet on hajautettu usean eri valtion alueelle. Ongelman ydin on tiedon siirto eri toimivalta-alueiden välillä, jolloin tiedon siirtoon ja hallinnointiin voi kohdistua ulkoisen lain vaatimuksia. (Xxxxxxxxxx & Xxxxxx, 2010) Valtioiden rajat eivät vielä itsessään aiheuta ongel- mia, vaan keskeistä on se, onko alueiden välillä sellaisia lainsäädäntöeroja, jotka vaikuttavat pilvipalvelujen toimintaan.
4.11.2 Tietosuojalainsäädäntö
Yksityisyyden suojan näkökulmasta tärkein normisto tulee EU:n tietosuojadi- rektiivistä (95/46), joka on vaikuttanut tietosuojan tasoon myös Euroopan unio- nin ulkopuolella. (Birnhack, 2008)
Tietosuojadirektiivi erittelee henkilötietojen käsittelyssä kaksi roolia, rekis- terinpitäjän ja henkilötietojen käsittelijän. Rekisterinpitäjä kantaa kaiken vas- tuun tietosuojan loukkauksista, kun taas käsittelijän tehtävä on ainoastaan pro- sessoida dataa rekisterinpitäjän ohjeiden mukaan. (Xxxxxx, Kertesz & Xxxxxx, 2012)
Lisäksi tietosuojadirektiivin 25 artikla kieltää henkilötietojen siirron Eu- roopan Unionin jäsenmaasta EU:n ulkopuolelle, mikäli kohdemaassa ei pystytä takaamaan riittävää tietosuojan tasoa. Riittävällä tietosuojalla tarkoitetaan vä- hintään sitä tasoa, mikä henkilötiedoilla olisi EU-jäsenmaassa. Direktiivi ei kos- ke julkisista rekistereistä siirrettäviä henkilötietoja. Asianosainen voi myös yksi- selitteisellä luvallaan sallia henkilötietojensa siirron. Myös riittävällä sopimuk- seen perustuvalla suojalla voidaan taata direktiivin tarkoittama riittävä suoja.
Esimerkiksi Yhdysvaltojen lainsäädännön tarjoama tietosuoja ei ole riittä- vällä tasolla, koska maan tietosuojalainsäädäntö on jo peruslähtökohdiltaan eri- lainen kuin Euroopan unionissa (Birnhack, 2008).
Tietosuojadirektiivi rajoittaa siis henkilötietojen siirtoa EU-jäsenvaltion ja Yhdysvaltojen välillä, mutta EU-komission päätöksellä 2000/520 riittävä tieto- suoja voidaan taata myös, jos tietoja käsittelevä organisaatio noudattaa Euroo- pan Union ja Yhdysvaltojen välisen Safe Harbor -sopimuksen periaatteita. Safe Harbor-sopimuksella on pyritty helpottamaan eurooppalaisten ja amerikkalais- ten yritysten välistä kaupankäyntiä.
Safe Harbor -sopimusta on kuitenkin kritisoitu. Xxxxxxxxx (2008) mukaan Yhdysvaltojen kauppaministeriön ylläpitämä lista Safe Harbor -järjestelyyn
kuuluvista ei kaikilta osin ole vastannut todellisuutta. Esimerkiksi tuolloin lis- tan 1 597 organisaatiosta oikeasti vain 348 organisaatiota noudatti Safe Harbor
-järjestelyn perusperiaatteita.
4.11.3 Tietosuojaehdot pilvipalvelusopimuksissa
Sopimuksessa kannattaa siis vaatia vaikutusmahdollisuutta oman tiedon tallen- nussijaintiin. Jotkin palveluntarjoajat ovat jo havahtuneet ongelmaan ja tarjoa- vat mahdollisuutta tiedon tallentamiseen vain EU-alueelle (Xxxxxxx ym., 2011).
Yhdysvaltalaisilla palvelimilla sijaitsevaan tietoon kohdistuu muutenkin ylimääräisiä riskejä. Tietosuoja ei ole lainsäädännön puolesta yhtä vahvaa, ja vi- ranomaisilla on lakiin perustuva oikeus hyvinkin tarkkaan tietoliikenteen seu- rantaan. (Xxxxxx, Xxx & Xxxxxx, 2008)
Tiedon suojaus ei siis sopimusteknisin keinoin ole aina mahdollista, jolloin tiedon salauksen merkitys kasvaa. Sopimukseenkin voidaan salausvaatimus merkitä, mutta käytännön toteutuksen mahdollisuus riippuu tapauksesta. (Xxx- xxx, Xxx & Xxxxxx, 2008) Kyseessä on siis nimenomaan tekninen salaus, eikä so- pimusosapuolten välinen salassapitosopimus, jota aikaisemmin käsiteltiin.
Lopuksi käsitellään vielä lyhyesti toimittajariippuvuutta ja auditointioikeutta pilvipalveluissa.
4.12.1 Toimittajariippuvuus eli vendor lock-in
Perinteisen ohjelmistotoimittajan ja asiakkaan välille voi kehittyä toimittajariip- puvuussuhde eli ns. vendor lock-in-tilanne. Toimittajan vaihtamisesta voi ai- heutua suuria kustannuksia. (Xxx, Xxxxxxx & Xxxxxxxx, 2008)
Vaikka pilvipalvelusopimus on helposti irtisanottavissa ja uuden palvelun käyttöönotto onnistuu tarvittaessa välittömästi, on toimittajariippuvuuden syn- tyminen mahdollista. Xxxxxxxxx ym. (2011) mukaan on mahdollista, että palve- luntarjoaja ei noudata mitään standardeja, jolloin asiakkaan data on sellaisessa muodossa, että tiedonsiirto muun palveluntarjoajan palveluun ei onnistu. Li- säksi on todettava, että uuden pilvipalvelun käyttöönottoon liittyvän tuen ja koulutuksen järjestämisestä aiheutuu kustannuksia. Käyttäjä ei myöskään voi vaikuttaa palveluntarjoajan jatkuvasti tekemiin päivityksiin ja muutoksiin. (Chow ym., 2009)
Auditointioikeudella tarkoitetaan asiakkaan mahdollisuutta objektiiviseen ar- viointiin sen suhteen, onko palveluntarjoaja noudattanut sovittuja määräyksiä ja vaatimuksia. Arkaluonteista ja kriittistä tietoa käsittelevien pilvipalveluiden kohdalla esimerkiksi palveluntarjoajan tietosuojakäytännöt ovat keskeinen au- ditointikohde. Maantieteellisesti hajautetussa useita käyttäjiä ja palvelimia kä- sittävässä järjestelmässä auditoinnin järjestäminen ei kuitenkaan ole helppoa. (Chow ym., 2009). Auditointioikeus ei luonnollisestikaan ole automaattinen, vaan se täytyy asiakkaalle sopimuksella myöntää.
Tutkielman teoriaosan päätteeksi on mahdollista vastata tutkielman kahteen ensimmäiseen tutkimuskysymykseen:
A) Mitä ovat pilvipalvelusopimuksien erityispiirteet verrattuna muihin IT-sopi- muksiin, kuten ohjelmistolisenssisopimuksiin? ja
B) Mitkä ovat keskeisimpiä sopimusehtoja pilvipalvelusopimuksissa? Seuraavaan taulukkoon (taulukko 2) on tiivistetty teoriaosuuden keskei-
simmät tulokset. Taulukossa esitettyjä tuloksia hyödynnetään runkona myös luvun viisi tapaustutkimuksen yhteydessä.
Tutkimuksessa käsitelty asia | Merkitys ohjelmistolisens- sisopimuksissa | Merkitys pilvipalvelusopi- muksissa |
lain- ja tuomiois- tuimen valinta | Tärkeä kaikissa sopimuk- sissa (ks. Hemmo, 2005, 351-352 ja Hemmo, 2003b, 457). | Tärkeä kaikissa sopimuksissa, lisämerkitystä pilvipalvelujen rajat ylittävän luonteen vuok- si. |
toimittajariippu- xxxx | Xxxxx todellinen, xxxxxx vaihtaa ohjelmistotoimitta- jaa korkeampi (Ven, Xxxxxxx & Xxxxxxxx, 2008). | Mahdollinen, syy esim. stan- dardien puute (Xxxxxxx ym., 2011). |
vakiosopimukset | vakiosopimukset tavallisia (Salonen, 2000, 71). | Xxxxxxx, ei tarvetta neuvotella jokaisen asiakkaan kanssa erikseen. |
tekijänoikeudet | Keskeisessä osassa, lisens- sisopimus antaa toiselle osapuolelle kopiointi- tai levitysoikeuden (Välimäki, | Tekijänoikeus ei koske tietoko- neohjelman käyttöä, joten teki- jänoikeuslaki ei sovellu pilvi- palvelusopimuksiin (Välimä- |
2009, 15). Käyttäjällä erityisoikeuksia, esim. ohjelman tutkiminen, varmuuskopiointi (Tekijän- oikeuslain 25 j §). Kertaluonteisesti myyty käyttöoikeus siirrettävissä eteenpäin Välimäki (2009, 43-46). | ki, 2009, 147). Myöskään tekijänoikeuslain myöntämät käyttäjän oikeudet eivät sovellu pilvipalveluihin (Kulmala, 2003, 70). Ei käyttöoikeuden edelleen- luovutusoikeutta (Kulmala, 2003, 73). | |
sopimuksen irti- sanomisehto | Harvinainen, koska kerta- luonteisissa käyttöoikeu- den luovutuksissa pysyvä vaikutus. | Yksipuoliset irtisanomisehdot mahdollisia (esim. Amazon Web Services, Inc., 2013), riski asiakkaalle. Lisäksi päättymi- sestä seuraavat velvoitteet määriteltävä (Oza, Karppinen & Savola, 2010). |
vastuun rajaami- nen | Ohjelmistovalmistaja pyr- kii rajaamaan vastuutaan. Mahdollinen takuu. (Väli- mäki, 2009, 190-191) | Keskeinen. Palveluntarjoajan vastuu rajataan sopimuksissa usein lain sallimaan minimiin (Oza, Xxxxxxxxx & Xxxxxx, 2010). |
palvelutasosopi- mus | Ei sovellu, koska kyseessä ei palvelu. | Keskeinen asiakkaan turva. Palvelutasosopimuksen kom- ponentit (Baset, 2012): -Palvelutakuu ja ajallinen kes- to, jolle takuu annetaan -Palvelutakuun granulariteetti - Takuun poikkeukset - Hyvitykset - Palvelutakuun mittaus ja ra- portointi |
auditointioikeus | Tärkeä lähinnä asiakkaalle räätälöitävissä ohjelmistois- sa | Asiakkaan näkökulmasta tär- keä, esim. tietosuojakäytäntö- jen auditointi (Chow ym., 2009) |
tietosuojakysy- mykset | Ei merkityksellisiä, asiakas huolehtii itse omien tieto- xxxxx xxxxxxxxxxxxxx ja kä- sittelystä. | Keskeisiä, esim. - tiedon tallennussijainti (Xxxxxxx ym., 2011) - tiedon siirto maiden välillä (Xxxxxxxxxx & Xxxxxx, 2010; tietosuojadirektiivi 95/46) - tiedon luovutus kolmansille (Xxxxxxxxxx & Xxxxxx, 2010) - tiedon käsittely (Xxxxxxxxxx & Xxxxxx, 2010) - tiedon salausvaatimus (Xxx- xxx, Xxx & Xxxxxx, 2008) |
TAULUKKO 2: Tutkielman teoriaosuuden keskeinen sisältö
Tämän tutkielman kolmas tutkimuskysymys on siis: ”Miten pilvipalvelujen eri- tyispiirteet ja keskeiset sopimusehdot ilmenevät käytännön sopimusehdoissa?” Tuohon kysymykseen pyritään vastaamaan tässä tutkielman empiirisessä osas- sa. Seuraavassa kuvataan tarkemmin valittu tutkimusmetodi perusteluineen, jonka jälkeen kuvataan tutkimuksen kohde ja eritellään tutkimuksen tulokset.
Tutkielman empiirisen osion tutkimusstrategiaksi on valittu tapaustutkimus, koska tavoitteena on siis selvittää, miten pilvipalvelujen erityispiirteet ja keskei- set sopimusehdot ilmenevät tosielämän pilvipalvelusopimuksissa.
Yinin (2003) mukaan tapaustutkimus soveltuu käytettäväksi tutkimusstra- tegiaksi erityisesti silloin, kun halutaan vastata miten tai miksi -alkuisiin kysy- myksiin. Lisäksi Xxx toteaa tapaustutkimuksen soveltuvan tilanteisiin, jossa tut- kitaan nykyajan ilmiötä tosielämän kontekstissa. Yin toteaa lisäksi, että tapaus- tutkimuksessa voi olla yhden tapauksen sijaan myös useampi tutkittava tapaus.
Tapaustutkimuksen suunnittelussa on Yinin (2003) mukaan huomioitava seuraavat komponentit:
1. Tutkimuskysymykset,
2. tutkimuksen mahdolliset väitteet,
3. analyysiyksikkö,
4. logiikka, jolla tutkimuksessa kerätty data yhdistetään väitteisiin sekä
5. kriteerit, joilla tuloksia tulkitaan.
Tämän tapaustutkimuksen tutkimuskysymys käsiteltiin yllä. Varsinaisia väitteitä ei ole, mutta syötteenä tapaustutkimukseen ovat kirjallisuuskatsauk- sessa tunnistetut erityispiirteet ja keskeinen sopimusten sisältö. Tutkielman analyysiyksikkö on siis sopimus. Tutkittavat sopimukset esitellään seuraavassa.
Tässä tapaustutkimuksessa käsiteltävät pilvipalvelusopimukset ovat kahdelta eri kansainväliseltä pilvipalveluntarjoajalta, joista toinen on Euroopan unionin sisäpuolelta ja toinen Yhdysvalloista. Seuraavassa kuvataan lyhyesti molem- pien palvelutarjoajien tarjoamat palvelut.
UpCloud Oy on suomalainen vuonna 2012 markkinoille tullut IaaS-infrastruk- tuuripalveluja tarjoava yritys. UpCloud tarjoaa virtuaalisia palvelimia, joille voidaan asentaa mm. Linux-, Windows Server, BSD- ja Solaris-pohjaisia käyttö- järjestelmiä. Tutkielman kirjoitushetkellä UpCloudilla on palvelinsaleja sekä Helsingissä että Lontoossa, ja yrityksen on tarkoitus laajentaa toimintaansa Chi- cagoon, Las Vegasiin ja Singaporeen. (UpCloud Oy, 2013)
UpCloudin pilvipalvelusopimus on useasta asiakirjasta koostuva sopimus. Näitä asiakirjoja ovat asiakkaan tekemä tilauslomake sekä siihen liitetyt palve- lukuvaukset, yleiset sopimusehdot, palvelutasosopimus sekä yleiset käyttöeh- dot (UpCloud Oy, 2012). Sopimusteksti löytyy myös liitteistä (liite 1), ja se on ollut ajan tasalla vielä tutkielman tekohetkellä maaliskuussa 2013.
Alun perin hakukoneyhtiönä aloittanut Google tarjoaa lukuisia erilaisia palve- luja, kuten pilvitallennusta, SaaS ja Iaas -palveluita sekä pilvitietokantapalvelu- ja. (Google Inc., 2013a) Tässä tutkielmassa keskitytään Googlen App Engine
-PaaS-sovellusalustapalveluun. Sisältämiensä kehitystyökalujen lisäksi App En- gine tukee Java-, Python- sekä Go -ohjelmointikieliä. (Google Inc., 2013c)
Google App Engine -sopimus koostuu palvelun yleisistä sopimusehdoista, palvelutasosopimuksesta, yleisistä käyttöehdoista sekä tietosuojaehdoista (Google Inc., 2012a). Sopimusteksti löytyy kokonaisuudessaan myös liitteistä (liite 2), ja se on ollut ajan tasalla vielä tutkielman tekohetkellä maaliskuussa 2013.
5.3 Tapaustutkimuksen tulokset
Seuraavassa tarkastellaan tapaustutkimuksen tuloksia. Tutkimustulokset on esitetty aihealueittain käyttäen hyödyksi teoriaosuuden lopussa esitettyä yh- teenvetotaulukkoa (taulukko 2).
5.3.1 Lain- ja toimivaltaisen tuomioistuimen valinta
Molemmissa tapauksissa palveluntarjoaja on valinnut sovellettavaksi laiksi it- selleen tutun kotimaansa lain. UpCloudin sopimuksessa ei ole määritetty toimi- valtaista tuomioistuinta, vaan riidan ratkaisutavaksi on valittu välimiesmenet- tely.
UpCloud: The Contract will be governed by the substantive laws of Finland, with the exception of any conflict of law principles. Any and all disputes, which the parties fail to settle amicably, arising out of or relating to the Contract will be finally settled by arbitration in English language in accordance with the Rules of the Arbitration Institute of the Finland Chamber of Commerce.
Google on tehnyt lainvalintaehdostaan valikoivan, eli tietyille asiakasryhmille, kuten kunnille, osavaltion tai liittovaltion yksiköille on oma lainvalintaehtonsa. Kaikki yritys- ja yksityisasiakkaat kuuluvat kuitenkin samaan kategoriaan, jol- loin sovellettavaksi laiksi valitaan Kalifornian osavaltion laki. Googlen sopi- muksessa toimivaltaisia tuomioistuimia ovat Santa Claran piirikunnan tuomio- istuimet.
Google: a. For City, County, and State Government Entities. If Customer is a city, county or state government entity, then the parties agree to remain silent regarding governing law and venue.
b. For Federal Government Entities. If Customer is a federal government entity then the following applies: ALL CLAIMS ARISING OUT OF OR RELATING TO THIS AGREEMENT OR THE SERVICE WILL BE GOVERNED BY THE LAWS OF THE UNITED STATES OF AMERICA, EXCLUDING ITS CONFLICT OF LAWS RULES. SOLELY TO THE EXTENT PERMITTED BY FEDERAL LAW: (I) THE LAWS OF THE STATE OF CALIFORNIA (EXCLUDING CALIFORNIA'S CONFLICT OF LAWS RULES) WILL APPLY IN THE ABSENCE OF APPLICABLE FEDERAL LAW; AND (II) FOR ALL CLAIMS ARISING OUT OF OR RELATING TO THIS AGREEMENT OR THE SERVICE, THE PARTIES CONSENT TO PERSONAL JURISDICTION IN, AND THE EXCLUSIVE VENUE OF, THE COURTS IN SANTA XXXXX XXXXXX, CALIFORNIA.
c. For All Other Entities. If Customer is any entity not set forth in Section 16.10(a) or
(b) then the following applies: ALL CLAIMS ARISING OUT OF OR RELATING TO THIS AGREEMENT OR THE SERVICE WILL BE GOVERNED BY CALIFORNIA LAW, EXCLUDING THAT STATE'S CONFLICT OF LAWS RULES, AND WILL BE LITIGATED EXCLUSIVELY IN THE FEDERAL OR STATE COURTS OF SANTA XXXXX XXXXXX, CALIFORNIA, USA;THE PARTIES CONSENT TO PERSONAL JURISDICTION IN THOSE COURTS.
5.3.2 Vakioidut sopimusehdot ja sopimuksen osat
Molemmissa tapauksissa kyseessä on kaikille asiakkaille oletuksena tarjottavat vakiosopimusehdot, joten mahdollisesta neuvotteluvarasta tai mahdollisuudes- ta yksilöityihin sopimuksiin ei ole tietoa.
Tekijänoikeuksien suhteen molemmat tapaukset ovat samanlaisia. Kummalle- kaan osapuolelle ei synny oikeutta vastapuolen tekijänoikeuksiin eikä muihin- kaan immateriaalioikeuksiin, kuten patentteihin tai tavaramerkkeihin.
UpCloud: Intellectual Property Rights. All intellectual property rights to the content uploaded into the Service by or on behalf of the Customer will remain the exclusive property of the Customer or its licensors. All intellectual property rights relating to the provision of the Services, including suggestions for improvements made by the Customer, will remain the exclusive property of UpCloud or its licensors.
Google: Except as expressly set forth herein, this Agreement does not grant either party any rights, implied or otherwise, to the other's content or any of the other's intellectual property. As between the parties, Customer owns all Intellectual Property Rights in any Application and Customer Content, and Google owns all Intellectual Property Rights in the Service.
Lisäksi Googlen tapauksessa sopimusehdoissa erityisesti kielletään käyttäjiä ko- pioimasta, muokkaamasta, käänteismallintamasta palvelun lähdekoodia. Lisäk- si käyttöoikeuden luovuttaminen kolmansille osapuolille on kielletty. Google kieltää myös palvelunsa käytön toiminnoissa, joihin liittyy korkea riski. Tällai- silla tarkoitetaan esimerkiksi ydinvoimalaitoksia, lentoliikenteen ohjausta tai elämän ylläpitojärjestelmiä, joihin liittyy henkilö- ja ympäristövahinkojen riski.
Google: 4.3 Restrictions. Customer will not, and will not allow third parties under its control to: (a) copy, modify, create a derivative work of, reverse engineer, decompile, translate, disassemble, or otherwise attempt to extract the source code of the Service or any component thereof (subject to Section 4.4 below); (b) use the Service for High Risk Activities; (c) sublicense, resell, or distribute the Service or any component thereof separate from any integrated Application; (d) use the Service to create, train, or improve (directly or indirectly) a substantially similar product or service, including any other machine translation engine
5.3.4 Sopimuksen keskeyttäminen
Molemmat palveluntarjoajat pitävät itsellään oikeuden keskeyttää sopimus vä- liaikaisesti. UpCloud varaa itselleen oikeuden keskeyttää sopimuksen määräai- kaisesti, mikäli on syytä epäillä asiakasta sopimuksen rikkomisesta.
UpCloud: Temporary Suspension. If the Customer has breached the provisions of the Contract or UpCloud has justifiable reasons to believe such a breach exists, UpCloud may temporarily suspend the provision of the Services.
Google voi keskeyttää sopimuksen, mikäli asiakas, asiakkaan data tai asiakkaan luoman palvelun loppukäyttäjä rikkoo Acceptable Use Policy -ehtoja. Rikkojan ollessa loppukäyttäjä asiakkaalla on vuorokausi aikaa ryhtyä toimenpiteisiin ennen palveluntarjoajan väliintuloa.
Poikkeuksena edelliseen Google varaa oikeuden välittömään palvelun keskeytykseen mikäli kyse on turvallisuuskysymyksestä.
Google: 5.1 Suspension/Removals. If Customer becomes aware that any Application or an End User's use of an Application, or Customer Data violates the Acceptable Use Policy, Customer will immediately suspend the Application, remove the applicable Customer Data, or suspend access to an End User (as may be applicable). If Customer fails to suspend or remove as noted in the prior sentence, Google may specifically request that Customer do so. If Customer fails to comply with Google's request to do so within twenty-four hours, then Google may suspend Google accounts of the applicable End Users, disable the Application, and/or disable the Account (as may be applicable) until such violation is corrected.
Google: 5.2 Emergency Security Issues. Despite the foregoing, if there is an Emergency Security Issue, then Google may automatically suspend the offending End User account, Application or the Account. Suspension will be to the minimum extent required, and of the minimum duration, to prevent or terminate the Emergency Security Issue. If Google suspends an End User account or the Application or Account, for any reason, without prior notice to Customer, at Customer's request, Google will provide Customer the reason for the suspension as soon as is reasonably possible.
5.3.5 Sopimuksen irtisanominen
Sopimuksen irtisanomisehdoissa on tapausten välillä selviä eroja. Molemmissa tapauksissa erotellaan ilman syytä tapahtuva irtisanominen (Termination for Convenience) ja erityisistä syistä tapahtuva irtisanominen.
Upcloud on oikeutettu sopimuksen mukaan irtisanomaan palvelun ilman syytä 30 päivän irtisanomisajan päätteeksi. Asiakkaan vastaava irtisanomisaika on viisi päivää.
UpCloud: Termination for Convenience. The Customer may terminate the Contract for any reason by issuing 5 days written notice to UpCloud. UpCloud may terminate the Contract for any reason by issuing 30 days written notice to the Customer.
UpCloudin sopimuksessa todetaan, että kummatkin osapuolet ovat oikeutettuja sopimuksen välittömään irtisanomiseen, mikäli toinen osapuoli rikkoo sopi- muksen ehtoja, eikä 15 päivässä pysty asiaa oikaisemaan.
UpCloud: Termination for Cause. Either party may terminate the Contract with immediate effect if the other party has materially breached the provisions of the Contract and has failed to rectify the breach within a 15 days period from the receipt of a written notice thereof.
Googlen tapauksessa irtisanomisehtoja on kolmea eri tyyppiä, joita ovat sopi- musrikosta seuraava irtisanomisoikeus, palvelun käyttämättömyydestä seuraa- va irtisanomisoikeus sekä vielä ilman syytä tapahtuva irtisanominen.
Kummatkin osapuolet ovat oikeutettuja irtisanomiseen 30 päivän huo- mautusajalla, mikäli vastapuoli rikkoo sopimusehtoja. Lisäksi irtisanomisoikeus toteutuu, mikäli vastapuoli lopettaa liiketoimintansa tai ajautuu maksukyvyttö- mäksi. Toiselle osapuolelle syntyy irtisanomisoikeus lisäksi, jos sopimusta riko- taan useammin kuin kaksi kertaa, vaikka tilanne oikaistaisiinkin.
Google: 9.2 Termination for Breach. Either party may terminate this Agreement for breach if: (i) the other party is in material breach of the Agreement and fails to cure that breach within thirty days after receipt of written notice; (ii) the other party ceases its business operations or becomes subject to insolvency proceedings and the proceedings are not dismissed within ninety days; or (iii) the other party is in material breach of this Agreement more than two times notwithstanding any cure of such breaches.
Googlen palvelun käyttämättömyyteen perustuvan irtisanomisehdon mukaan Googlella on oikeus palvelun irtisanomiseen, jos palvelua ei käytetä 90 päivään.
Google: 9.3 Termination for Inactivity. Google reserves the right to terminate the Service for inactivity, if, for a period exceeding ninety days, Customer (a) has failed to access the Admin Console, (b) an Application has not served any requests, and (c) no electronic bills are being generated.
Edellisistä irtisanomisehdoista huolimatta Googlen sopimuksessa on myös mo- lemminpuolinen oikeus sopimuksen välittömään irtisanomiseen ilman erityistä syytä. Sopimuksen irtisanomisesta ei myöskään synny muita velvoitteita, kuten vahingonkorvausvelvollisuutta osapuolten välille.
Google: 9.4 Termination for Convenience. Customer may stop using the Service at any time. Customer may terminate this Agreement for convenience at any time on prior written notice and upon termination, must cease use of the Service. Google may
terminate this Agreement for its convenience at any time without liability to Customer. Subject to Section 7.2, Google may discontinue the Service or any portion or feature for any reason at any time without liability to Customer.
Googlen sopimuksessa on määritelty tarkemmin myös irtisanomisesta seuraa- vat oikeusvaikutukset. Irtisanomisen jälkeen kaikki sopimuksessa osapuolille myönnetyt oikeudet lakkaavat, asiakkaan laskut erääntyvät välittömästi ja asia- kas on velvoitettu poistamaan datansa ja omat sovelluksensa palvelusta. Lisäksi osapuolilla on velvollisuus palauttaa tai tuhota toisen osapuolen luottamuksel- liset tiedot, jos tästä aiheutuvat kustannukset ovat järkevissä rajoissa.
Google: 9.5 Effects of Termination. If the Agreement expires or is terminated, then: (i) the rights granted by one party to the other will immediately cease; (ii) all Fees (including Taxes) owed by Customer to Google are immediately due upon receipt of the final electronic bill; (iii) Customer will delete the Software, any Application and any Customer Data; and (iv) upon request, each party will use commercially reasonable efforts to return or destroy all Confidential Information of the other party.
5.3.6 Vastuun rajaaminen ja takuu
Kummassakin sopimuksessa on takuuta ja vastuunrajoitusta koskevat ehdot, mutta etenkin vastuunrajausehtojen sisällössä tapausten välillä on huomattavia eroja.
UpCloud ei anna palvelustaan myöhemmin käsiteltävän palvelutasosopi- muksen lisäksi muuta takuuta ja toteaa, että palvelua ei ole suunniteltu virheet- tömäksi.
UpCloud: Limited Warranty. UpCloud will offer service level compensations to the Customer according to the SLA. In all other respects the Services are provided on "as- is" and "as-available" basis, and UpCloud will not give the Customer any warranty or guarantee , express or implied, for the Services, including but without limitation to warranties of merchantability, fitness for any particular purpose, performance, or non-infringement. The parties expressly note that the Services are not designed to be error-free or uninterrupted and therefore they are neither intended nor fit for purposes that require fail-safe performance.
UpCloud rajaa asiakkaalle aiheuttamansa välillisen vahingon vastuunsa ulko- puolelle. Suorien vahinkojen korvaussumman maksimimääräksi on asetettu asiakkaan vahinkoa edeltäneiden kuuden kuukauden aikana maksamien palve- lumaksujen kokonaissumma. Ehdoissa todetaan, että vastuunrajausehtoja ei so- velleta tahallisesta toiminnasta tai törkeästä huolimattomuudesta aiheutunee- seen vahinkoon.
UpCloud: Limited Liability. UpCloud will be liable for direct damage which UpCloud has caused to the Customer up to the total amount paid by the Customer
for the Services during a period of 6 months preceding the damaging event. UpCloud will not be liable for indirect damage or loss of profits. These limitations will not apply to damage caused by willful misconduct or gross negligence. In order to be valid and enforceable, all claims for damages must be made within 30 days from the date the damage was or should reasonably have been noticed by the Customer.
Myöskään Google ei tarjoa palveluunsa ylimääräisiä takuita erillisen palveluta- kuusopimuksen lisäksi.
Google: EXCEPT AS EXPRESSLY PROVIDED FOR HEREIN, TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, GOOGLE DOES NOT MAKE ANY OTHER WARRANTY OF ANY KIND, WHETHER EXPRESS, IMPLIED, STATUTORY OR OTHERWISE, INCLUDING WITHOUT LIMITATION WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR USE AND NONINFRINGEMENT. GOOGLE IS NOT RESPONSIBLE OR LIABLE FOR THE DELETION OF OR FAILURE TO STORE ANY CONTENT AND OTHER COMMUNICATIONS MAINTAINED OR TRANSMITTED THROUGH USE OF THE SERVICE. CUSTOMER IS SOLELY RESPONSIBLE FOR SECURING AND BACKING UP ITS APPLICATION AND CUSTOMER CONTENT. GOOGLE DOES NOT WARRANT THAT THE OPERATION OF THE SOFTWARE OR THE SERVICE WILL BE ERROR-FREE OR UNINTERRUPTED. NEITHER THE SOFTWARE NOR THE SERVICE ARE DESIGNED, MANUFACTURED, OR INTENDED FOR HIGH RISK ACTIVITIES.
Toisin kuten ensimmäisessä tapauksessa, Googlen rajaa sopimuksessaan kaikki välittömät ja välilliset mahdollisesti aiheutuneet vahingot vastuunsa ulkopuo- lelle. Vastuunrajaus koskee vastaavasti tosin myös asiakasta.
Google: 3.1 Limitation on Indirect Liability. TO THE MAXIMUM EXTEND PERMITTED BY APPLICABLE LAW, NEITHER PARTY, NOR GOOGLE'S SUPPLIERS, WILL BE LIABLE UNDER THIS AGREEMENT FOR LOST REVENUES OR INDIRECT, SPECIAL, INCIDENTAL, CONSEQUENTIAL, EXEMPLARY, OR PUNITIVE DAMAGES, EVEN IF THE PARTY KNEW OR SHOULD HAVE KNOWN THAT SUCH DAMAGES WERE POSSIBLE AND EVEN IF DIRECT DAMAGES DO NOT SATISFY A REMEDY.
Google: 13.2 Limitation on Amount of Liability. TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, NEITHER PARTY, NOR GOOGLE'S SUPPLIER'S, MAY BE HELD LIABLE UNDER THIS AGREEMENT FOR MORE THAN THE AMOUNT PAID BY CUSTOMER TO GOOGLE DURING THE TWELVE MONTHS PRIOR TO THE EVENT GIVING RISE TO LIABILITY.
Googlen vastuurajausehtoja ei sovelleta luottamuksellisen tiedon käsittelyä kos- keviin velvollisuuksiin, immateriaalioikeuksiin eikä indemnification-ehtoihin.
Google: 13.3 Exceptions to Limitations. These limitations of liability do not apply to breaches of confidentiality obligations, violations of a party's Intellectual Property Rights by the other party, or indemnification obligations.
Indemnification-ehdoilla pyritään suojamaan toista osapuolta mahdollisen kol- mannen osapuolen vaateita vastaan. Esimerkiksi indemnification-ehdon voi- massa ollessa palveluntarjoaja ei joudu takautuvasti vastaamaan asiakkaan pal- velua käyttäessä tekemistä tekijänoikeuden loukkauksista. Googlen sopimuk- sen indemnification-ehdot ovat kaksisuuntaisia.
Google: 14.1 By Customer. Customer will indemnify, defend, and hold harmless Google from and against all liabilities, damages, and costs (including settlement costs and reasonable attorneys' fees) arising out of a third party claim: (i) regarding any Application or Customer Content; (ii) that Customer Brand Features infringe or misappropriate any patent, copyright, trade secret or trademark of a third party; or
(iii) regarding Customer's, or its End Users', use of the Service in violation of the Acceptable Use Policy.
Google: 14.2 By Google. Google will indemnify, defend, and hold harmless Customer from and against all liabilities, damages, and costs (including settlement costs and reasonable attorneys' fees) arising out of a third party claim that Google's technology used to provide the Service (excluding any open source software) or any Google Brand Feature infringes or misappropriates any patent, copyright, trade secret or trademark of such third party. Notwithstanding the foregoing, in no event shall Google have any obligations or liability under this Section arising from: (i) use of any Service or Google Brand Features in a modified form or in combination with materials not furnished by Google, and (ii) any Customer Content.
Palvelutasosopimuksen osalta tapauksien väliset erot ovat huomattavia. UpC- loud lupaa 100% virtuaalipalvelimien ja verkon saatavuuden. Saatavuuden mit- taamisessa ei kuitenkaan huomioida alle viiden minuutin pituisia katkoksia, jol- loin 100% saatavuudella ei todellisuudessa tarkoiteta jatkuvaa saatavuutta.
UpCloud: Service Guarantee. UpCloud will guarantee 100% virtual server and network availability to the Customer. The network will be deemed available if UpCloud's routers and switches are available and responding properly. For all unscheduled interruptions in the provision of the Services, which are due to hardware or telecommunications failures that last longer than 5 minutes, UpCloud shall offer compensation to the Customer.
UpCloud lupaa mahdollisen palvelukatkoksen ajalta 50-kertaisen korvauksen asiakkaan kyseiseltä ajalta maksamiin vastikkeisiin nähden. Korvauksen maksi- mimäärä yhdeltä katkokselta on kuitenkin 100% maksetuista vastikkeista vii-
meiseltä 30 päivältä. Kaikkien katkoksien yhteenlaskettu korvaussumma ei myöskään voi ylittää 250% viimeisiltä 30 päivältä maksetuista vastikkeista.
UpCloud: Amount of Compensation. The amount of compensation will be 50 times UpCloud's charges for the Services allocated for the period of the interruption of the Services. The maximum amount of compensation for an individual interruption is 100% of UpCloud's charges for the Services during 30 calendar days preceding the interruption. The total sum of aggregated compensations cannot exceed 250% of UpCloud's charges for the Services during 30 calendar days preceding the latest interruption.
UpCloud maksaa korvaukset riittämättömästä palvelutasosta palvelukrediittei- nä, joita voidaan käyttää vain palvelusta aiheutuvien laskujen maksuun.
UpCloud: Payment of Compensation. When a failure in the Services has been corrected, UpCloud will offer the Customer compensation which the Customer may reclaim within 15 days. The compensation will be paid to the Customer's service account in the form of credits and may not be exchanged for cash or other forms of payment.
UpCloud ei kuitenkaan pidä varsinaisina katkoksina aikataulun mukaisia huol- totöitä, kolmannen osapuolen ohjelmiston aiheuttamia virheitä, käyttäjän toi- mista, kuten ohjeiden vastaisesta käytöstä tai käyttäjän omista käyttöjärjestel- mistä aiheutuneita virhetilanteita, käyttösääntöjen vastaisesta käytöstä aiheutu- neita virheitä, kolmannen osapuolen hyökkäyksiä tietojärjestelmiin, viran- omaisten vaatimaa katkosta tai asiakkaan riittämättömästä pre-paid-tilistä joh- tuneita palvelun katkoksia.
UpCloud: Exemptions from Service Guarantee. The following situations will be exempt from UpCloud's service guarantee:
-Scheduled interruptions
-Failures caused by errors in third party software utilized in the Services
-Failures in products or services which are not included in the Services
-Failures caused by the Customer's actions contrary to user instructions or resulting from the Customer's operating systems or application software used within the Services
-Violations of UpCloud's acceptable use policy
-Failures due to hostile actions by third parties such as denial-of-service attacks
-Interruptions resulting from law and public authority enforced activities
-Customer does not have sufficient pre-paid balance on the Customer's service account for the use of the Services at the time of the interruption in the Services.
Google takaa palvelulleen 99,95% saatavuuden kalenterikuukaudelle. Kuten yllä, myös Google tarjoaa palvelutasosopimuksen rikkomisesta krediittejä.
Google: During the Term of the Google App Engine License Agreement or the Google App Engine and Google Cloud SQL License Agreement (as applicable, the "Agreement"), the Covered Service will be operational and available to an Eligible Application at least 99.95% of the time in any calendar month (the "SLA"). If Google does not meet the SLA, and if Customer meets its obligations under this SLA, Customer will be eligible to receive the Financial Credits described below. This SLA states Customer's sole and exclusive remedy for any failure by Google to meet the SLA. Capitalized terms not defined herein have the meaning set forth in the Agreement.
Google määrittelee palvelun olevan saavuttamattomissa, jos 10% kyselyistä pa- lauttaa virheilmoituksen. Sopimusehdoissa ei määritellä, lasketaanko niitä ky- selyjä, jotka eivät palauta mitään.
Google: "Downtime" means more than a ten percent Error Rate for any Eligible Application.
Googlen lopullinen palvelun saatavuusprosentti lasketaan siten, että kalenteri- kuukauden kokonaisminuuttimäärän ja saavuttamattomissa olleen ajan erotus jaetaan kuukauden kokonaisminuuttimäärällä. Saavuttamattomissa olleeseen aikaan ei kuitenkaan lasketa alle viiden minuutin mittaisia katkoksia.
Google: "Downtime Period" means, for an Application, a period of five consecutive minutes of Downtime. Intermittent Downtime for a period of less than five minutes will not be counted towards any Downtime Periods.
Google: "Monthly Uptime Percentage" means total number of minutes in a month, minus the number of minutes of Downtime suffered from all Downtime Periods in a month, divided by the total number of minutes in a month.
Googlen palvelutasosopimuksen mukaan lopullinen korvaussumma määräytyy siten, että mikäli kalenterikuukauden palvelun saatavuusprosentti on 99- 99,95%, korvataan 10% kyseisen kuukauden palvelumaksuista, 95-99% saata- vuusprosentilla korvataan 25% maksuista ja alle 95% saatavuusprosentilla mak- suista korvataan puolet. Maksimimäärä kaikkien korvausten yhteenlasketusta määrästä on puolet kalenterikuukauden palvelumaksuista.
Google: "Financial Credit" means the following:
Monthly Uptime Percentage Percentage of monthly bill credited to future
monthly bills of Customer
99.00% – < 99.95% 10%
95.00% – < 99.00% 25%
< 95.00% 50%
Google: Maximum Financial Credit. The aggregate maximum number of Financial Credits to be issued by Google to Customer for any and all Downtime Periods that occur in a single billing month shall not exceed 50% of the amount due by Customer for the Eligible Application for the applicable month. Financial Credits will be made in the form of a monetary credit applied to future use of the Service and will be applied within 60 days after the Financial Credit was requested.
Palvelutasosopimuksen ulkopuolelle Google jättää ”tekijät, jotka ovat Googlen kohtuullisen hallinnan ulkopuolella”, asiakkaan omista tai kolmannen osapuo- len ohjelmistoista tai laitteista johtuvat katkokset tai katkokset, jotka ovat aiheu- tuneet käyttöehtojen vastaisista toimista.
Google: SLA Exclusions. The SLA does not apply to any errors: (i) caused by factors outside of Google’s reasonable control; (ii) that resulted from Customer’s software or hardware or third party software or hardware, or both; (iii) that are result of abuses or other behaviors that violate the Agreement; or (iv) Eligible Applications that are being limited by quotas listed in the Admin Console.
Tietosuojakysymyksiä on tapaustutkimuksen sopimuksissa käsitelty vaihtele- valla syvyydellä. UpCloud tyytyy sopimuksessa toteamaan, että UpCloud nou- dattaa tietosuojaan ja henkilötietojen käsittelyyn sovellettavaa lainsäädäntöä. Lisäksi molempia osapuolia kielletään luovuttamasta luottamuksellisia tietoja kolmansille osapuolille.
UpCloud: Privacy and Personal Data Protection. UpCloud will comply with applicable privacy and personal data legislation. The description of personal data file is provided on UpCloud's website .
UpCloud: Confidentiality. Each party shall keep the other Party's confidential information as strictly confidential, shall not disclose it to any third party, and shall not use it for any unauthorized purposes. These obligations of confidentiality shall survive the termination of the Contract.
Googlen sopimuksessa tietosuojaa on käsitelty seikkaperäisemmin. Google to- teaa käsittelevänsä asiakkaan dataa noudattaen kohtuullisia turvallisuusstan- dardeja ja samoja periaatteita kuin oman datansa käsittelyssä. Sopimusehdoissa todetaan Googlen olevan tietosuojadirektiivin näkökulmasta vain asiakkaan da- tan käsittelijä.
Google: 2.2 Facilities and Data Transfer. All facilities used to store and process an Application and Customer Data will adhere to reasonable security standards no less
protective than the security standards at facilities where Google processes and stores its own information of a similar type. Google has implemented at least industry standard systems and procedures to ensure the security and confidentiality of an Application and Customer Data, protect against anticipated threats or hazards to the security or integrity of an Application and Customer Data, and protect against unauthorized access to or use of an Application and Customer Content. Google may process and store an Application and Customer Data in the United States or any other country in which Google or its agents maintain facilities. By using the Service, Customer consents to this processing and storage of an Application and Customer Data. The parties agree that Google is merely a data processor.
Googlen sopimusehtojen mukaan asiakkaalla on mahdollisuus valita tallenne- taanko asiakkaan kehittämän sovelluksen loppukäyttäjän tiedot Yhdysvalloissa vai Euroopan unionin sisällä oleville palvelimille. Kyseinen ehto tarkoittaa vain pysyvää tallennussijaintia. Tilapäisestä tiedon tallennusta saa tapahtua ehtojen mukaan myös Yhdysvalloissa. Tallennusehto ei myöskään päde, mikäli tietoja kopioidaan muihin Googlen palveluihin.
Google: Data Storage. Customer may select via the Service whether the Core App Engine End User Data will be stored permanently, at rest, in either the United States or the European Union, and Google will store it accordingly ("App Engine Data Location Setting"). If no selection is made, Core App Engine End User Data will be stored permanently, at rest, in the United States.
Google: Transient Storage. Core App Engine End User Data may be stored transiently or cached in any country in which Google or its agents maintain facilities before reaching permanent storage.
Google: Limitations. No App Engine Data Location Setting will apply to Core App Engine End User Data copied in another location or used with other Google products and services (including any other Google Cloud Platform services). If so, the Core App Engine End User Data will be processed and stored pursuant to Section 2.2 of this Agreement.
Google toteaa kuuluvansa Safe Harbor -ohjelmaan ja aikoo pysyvänsä ohjel- massa tai liittyvänsä vastaavaan korvaavaan järjestelyyn, jotta tietosuojadirek- tiivin edellyttämä tietosuojan taso täyttyisi.
Google: 2.5 Privacy Policies. The Service is subject to Google's Privacy Policy. Changes to the Privacy Policy will be made as stated in the applicable policy. In addition, Google is enrolled in the U.S. Department of Commerce Safe Harbor Program and will remain enrolled in this program or another replacement program (or will adopt a compliance solution which achieves compliance with the terms of Article 25 of Directive 95/46/EC) throughout the Term of the Agreement.
Google velvoittaa asiakkaansa huolehtimaan loppukäyttäjien tietosuojasta so- veltuvan lainsäädännön mukaisesti. Asiakkaan täytyy lisäksi saada loppukäyt- täjiltä lupa tiedon siirtoon kolmannelle osapuolelle, jotta Googlen voi toimia palveluntarjoajana. Asiakkaalla tarkoitetaan Googlen välitöntä sopimusasiakas- ta ja loppukäyttäjällä Google tarkoittaa mahdollisia kolmansia osapuolia, joille asiakas myy Googlen alustan päälle kehittämäänsä palvelua.
Google: 4.2 Privacy. Customer will protect the privacy and legal rights of its End Users under all applicable laws and regulations, which includes a legally adequate privacy notice communicated from Customer. Customer may have the ability to access, monitor, use, or disclose Customer Data submitted by End Users through the Service. Customer will obtain and maintain any required consents from End Users to allow Customer's access, monitoring, use and disclosure of Customer Data. Further, Customer will notify its End Users that any Customer Data provided as part of the Service will be made available to a third party as part of Google providing the Service.
Luottamuksellisen tiedon käsittelyyn liittyen molemmilla osapuolilla on velvol- lisuus olla jakamatta tietoa muille kuin sitä tarvitseville osapuolille, ja silloinkin vain kirjallisen salassapitosopimuksen kanssa. Molemmilla osapuolilla on sopi- muksen mukaan velvollisuus ilmoittaa toiselle osapuolelle, mikäli luottamuk- sellisia tietoja joudutaan lain määräämänä luovuttamaan.
Google: 8.1 Obligations. The recipient of the other party's Confidential Information will not disclose the Confidential Information, except to Affiliates, employees, agents, or professional advisors who need to know it and who have agreed in writing (or in the case of professional advisors are otherwise bound) to keep it confidential. The recipient will ensure that those people and entities use the Confidential Information only to exercise rights and fulfill obligations under this Agreement, while using reasonable care to keep it confidential. The recipient may also disclose Confidential Information when required by law after giving reasonable notice to the discloser if allowed by law. The recipient may also disclose Confidential Information to the extent required by applicable Legal Process; provided that the recipient uses commercially reasonable efforts to: (i) promptly notify the other party of such disclosure before disclosing; and (ii) comply with the other party's reasonable requests regarding its efforts to oppose the disclosure. Notwithstanding the foregoing, subsections (i) and (ii) above will not apply if the recipient determines that complying with (i) and (ii) could: (a) result in a violation of Legal Process; (b) obstruct a governmental investigation; and/or (c) lead to death or serious physical harm to an individual. As between the parties, Customer is responsible for responding to all third party requests concerning its use and its End Users' use of the Services.
Kummassakaan tapauksessa asiakkaalle ei sopimusehdoissa erityisesti määrite- tä oikeutta minkäänlaiseen palveluntarjoajan toiminnan auditointiin.
UpCloud tarjoaa sopimuksessaan asiakkaalle tiedonsiirtopalvelua, mikäli asia- kas haluaa vaihtaa palveluntarjoajaa.
UpCloud: Transition Services. UpCloud will provide the Customer with transition services in order to enable the Customer to transfer its content to another service provider. The Customer must order the transition services before the termination of the Contract. The description of the transition services and applicable prices are provided on UpCloud's website.
Google ei vastaavaa palvelua sopimuksessaan tarjoa. Googlen App Engine -do- kumentaatiossa todetaan, että käyttäjää ei pakoteta käyttämään App Engine -ra- japintoja, vaan myös avoimia standardeja ja kirjastoja tuetaan (Google Inc., 2013c).
5.3.11 Taulukko tapaustutkimuksen tuloksista
Seuraavaan taulukkoon on koottu vielä lyhyesti tapaustutkimuksen tuloksia (taulukko 3):
Teoriaosassa käsitelty erityispiirre | Tapaus UpCloud | Tapaus Google |
lain- ja tuomioistuimen valinta | Sovelletaan palveluntar- joajan kotimaan lakia, rii- dan ratkaisu välimiesme- nettelyllä. | Sovelletaan yleisesti pal- veluntarjoajan kotimaan lakia, erityisehtoja val- tiollisille toimijoille. Toimivaltainen tuomiois- tuin kotimaassa. |
tekijänoikeudet | Ei synny oikeuksia vasta- puolen tekijänoikeuksiin tai muihin immateriaali- oikeuksiin. | Ei synny oikeuksia vasta- puolen tekijänoikeuksiin tai muihin immateriaali- oikeuksiin. Ei oikeutta luovuttaa |
käyttöoikeutta kolman- sille osapuolille. | ||
sopimuksen päättyminen | Oikeus keskeyttää palve- lun tarjoaminen sopi- musrikkomuksesta. Palveluntarjoajan irtisa- nomisoikeus 30 päivää, asiakkaan 5 päivää. Molemmilla osapuolilla välitön irtisanomisoikeus sopimusrikkomuksesta, sisältäen 15 päivän oikai- sumahdollisuuden. | Oikeus keskeyttää palve- lun tarjoaminen sopi- musrikkomuksesta. Irtisanomisperusteita so- pimusrikko (30 päivän ir- tisanomisaika), palvelun käyttämättömyys (90 päi- vää). Lisäksi molemminpuoli- nen oikeus irtisanomi- seen ilman erityistä syy- tä. |
vastuun rajaaminen | Ei takuuta palvelutasoso- pimuksen lisäksi. Ei vastuuta välillisistä vahingoista, välittömät vahingot rajattu kuuden kuukauden palvelumak- sujen kokonaissummaan. | Ei takuuta palvelutasoso- pimuksen lisäksi. Ei vastuuta välittömistä tai välillisistä vahingois- ta. Vastuunrajausehtoja ei sovelleta luottamukselli- sen tiedon käsittelyyn, immateriaalioikeuksiin eikä indemnification-eh- toihin. |
palvelutasosopimus | 100% saatavuus, alle 5min katkoja ei huomioi- da. Korvaukset palvelukre- diittejä. 50-kertainen korvaus me- netetyltä ajalta makse- tuista vastikkeista. Yksit- täisen korvauksen maksi- | 99,95% saatavuus kalen- terikuukaudelle, alle 5min katkoja ei huomioi- da. Palvelu saavuttamat- tomissa, jos 10% kyselyis- tä palauttaa virheen. Korvaukset palvelukre- diittejä. Korvaussumma määräy- |
mimäärä viimeisen 30 päivän aikana maksettu- jen vastikkeiden summa. | tyy lopullisen saatavuus- prosentin mukaan. Mak- simimäärä 50% kuukau- den vastikkeista. | |
tietosuoja | Käsittely sopimuksessa vähäistä, lainsäädäntöä todetaan noudatettavan. | Palveluntarjoaja tietosuo- jadirektiivin näkökul- masta datan käsittelijä. Asiakkaalla mahdolli- suus valita datan tallen- nussijainti. Safe Harbor -ohjelman periaatteita noudatetaan. Osapuolilla velvollisuus olla jakamatta luotta- muksellista tietoa kol- mansille osapuolille. |
auditointioikeus | Ei määritelty oikeutta au- ditointiin. | Ei määritelty oikeutta au- ditointiin. |
toimittajariippuvuus | Asiakkaalle tarjotaan tie- donsiirtopalvelua palve- luntarjoajaa vaihdettaes- sa. | Ei tiedonsiirtopalvelua. App Engine -kirjastojen lisäksi myös avoimia standardeja ja kirjastoja tuetaan. |
TAULUKKO 3: Pilvipalvelusopimusten erityispiirteet käsitellyissä tapauksissa
Tässä tapaustutkimuksessa tutkittiin siis kahta eri tapausta, joista toinen on IaaS-palveluntarjoaja ja toinen on PaaS-palveluntarjoaja. Tapaustutkimuksella pyrittiin löytämään vastausta erityisesti tutkimuskysymykseen C) Miten pilvi- palvelujen erityispiirteet ja keskeiset sopimusehdot ilmenevät käytännön sopi- musehdoissa?
Molemmissa tapauksissa käsiteltiin tutkimuksessa keskeisiksi sopimuseh- doiksi ehdotettuja teemoja. Eriäviä sisällöllisiä painotuksia näissä sopimuseh-
doissa kuitenkin oli. Mahdollisia syitä painotuseroille on palveluntarjoajien eri sijainti pilvipalvelutarjoajien joukossa (ks. kuvio 3). Toinen palveluntarjoajista tarjoaa puhdasta infrastruktuuripalvelua, kun taas toinen tarjoaa sovelluskehi- tysalustaa. Lisäksi toisella tapauksista on merkittävästi suurempi markkina-ase- ma, jolloin sopimusehtojen laatimisessa voidaan tehokkaasti keskittyä minimoi- maan omia riskejä. Toisaalta pienempi toimija ei voi vastaavaa tehdä, vaan asiakkaalle edullisempien sopimusehtojen tarjoaminen voi olla osa kilpailustra- tegiaa.
Kolmanneksi voidaan todeta, että tapaustutkimuksessa tarkastelluissa so- pimusteksteissä on havaittavissa toisen osapuolen amerikkalainen ja toisen eu- rooppalainen tausta. Tiettyjen toistuvien sopimuslauseiden tai päältäpäin mel- ko selvien asioiden äärimmäisen yksityiskohtainen käsittely voi johtua eri sopi- musoikeudellisista lähtökohdista. Yhdysvaltojen yleiseen sopimusoikeuteen ei tässä tutkielmassa ole kuitenkaan ollut mahdollista enempää syventyä. Seuraa- vassa käydään vielä läpi tärkeimpiä teemoja.
5.4.1 Vastuunjakokysymyksistä
Molemmissa tapauksissa palveluntarjoajan vastuuta on siis rajattu. Googlen ta- pauksessa vastuuta on pyritty minimoimaan täysin. Näyttäisi siis siltä, että pal- velutasosopimus todellakin on merkittävin, ja käytännössä ainoa, asiakkaan etuja suojeleva osa pilvipalvelusopimusta.
Googlen määrittämät tarkat indemnification-ehdot on riskin hallinnallises- ta näkökulmasta ymmärrettäviä, sillä asiakkaalla on aina oikeus kehittää oma asiakasratkaisunsa Googlen tuotteiden päälle. PaaS-palveluntarjoajalla, kuten muillakaan pilvipalveluntarjoajille, ei ole mahdollisuutta kontrolloida täysin, millaista sisältöä asiakas palveluunsa tuottaa. Lisäksi asiakasratkaisussa vierai- levat kolmannet osapuolet eivät missään vaiheessa ole sopimussuhteessa Goog- len kanssa, joten PaaS-palveluntarjoajalla on intressi suojella itseään muiden osapuolten oikeuden aiheuttamilta oikeuden loukkauksilta ja mahdollisilta ta- kautuvilta vahingonkorvausvaateilta.
5.4.2 Palvelutasosopimuksen komponenttien määrittely
Palvelutasosopimuksessa keskeisessä asemassa näyttäisi olevan käsitteiden määrittely. Kuinka pitkä palvelun saavuttamattomuus luokitellaan hyvitykseen oikeuttavaksi katkokseksi? Mitä poikkeuksia on määritelty? Miten vahingon- korvauksen suuruus määräytyy? Miten saatavuusprosentti lasketaan? Ilman sa- mankaltaista käsitteiden määrittelyä palvelun saatavuutta kuvaavat suureet ei- vät ole keskenään verrannollisia.
Palvelutasosopimuksen komponenttien määrittelyssä on kysymys myös vahvoista mielikuvista. UpCloudin 100% takuu palvelun saatavuudesta herät- tää positiivisia mielikuvia enemmän kuin 99,95% takuu. Luonnollisestikaan to- teutunut lupaus ei ole lähelläkään sataa prosenttia, jos mukaan lasketaan alle viiden minuutin katkokset, joita suuri osa katkoksista todellisuudessa voi olla. Luku laskee entisestään, jos lasketaan mukaan katkokset, jotka eivät täytä hy- väksyttyjen katkosten määritelmää. Näitä poikkeustilanteita UpCloudin sopi- musehdoissa oli lueteltu useita. Näin ollen prosentuaalista saatavuusprosenttia tärkeämmiksi nousevatkin mahdolliset poikkeukset, jotka jätetään tarkastelun ulkopuolelle.
Lisäksi molemmissa tarkastelluissa tapauksista palvelutasolupaukset kes- kittyivät täysin palvelun saatavuuteen. Järjestelmän suorituskyvylle, esimerkik- si vasteajalle, ei annettu mitään takuita. Tämä antaa tukea jo kirjallisuudessa esitetylle palvelutasosopimusten saatavuuskeskeisyydelle (Baset, 2012).
5.4.3 Puuttuva auditointioikeus
Tutkituissa tapauksissa puuttuva asiakkaan auditointioikeus on palveluntarjoa- jan näkökulmasta ymmärrettävä. Auditointi on palveluntarjoajalle selvä yli- määräinen riskitekijä. Toisaalta vaikka yleisistä sopimusehdoista auditointi puuttuukin, on mahdollista, että yksittäistapauksissa asia on neuvoteltavissa.
Etenkin Googlen tapauksessa irtisanomisoikeus on molemmin puolin hyvin laaja. Periaatteessa Googlen sopimusrikkoon perustuvissa irtisanomisehdoissa on määritelty kohtuullinen irtisanomisaika, mutta silti sopimukseen on kirjattu tämän lisäksi molemminpuolinen oikeus välittömään irtisanomiseen ilman eri- tyistä syytä. Tällaista sopimusehtoa on tuskin tarkoitettu käytettäväksi pääsään- töisenä irtisanomisen mahdollistajana, vaan tarkoituksena on ehkä ollut varau- tua odottamattomiin tilanteisiin ilman ylimääräisiä riskejä.
Asiakkaan näkökulmasta palveluntarjoajan lyhyt irtisanomisaika on kui- tenkin joka tapauksessa riski, joka kannattaa sopimusta hyväksyttäessä ottaa huomioon.
Tietosuojaa oli käsitelty tapauksissa hyvin erilaajuisina. Periaatteessa UpClou- din sopimuksessa lyhyesti todettu tietosuojalakien noudattaminen on riittävää, sillä kuten todettua, eurooppalainen tietosuojalainsäädäntö on huomattavasti vastaavaa yhdysvaltalaista lainsäädäntöä tiukempaa. Toisaalta sopimuksessa ei
käsitellä ollenkaan osapuolten ilmoitusvelvollisuuksia poikkeustilanteissa, ku- ten luottamuksellista tietoa koskevan tietomurron tai lain määräämään luovut- tamisen yhteydessä.
Googlen tarjoama valinnanvapaus tiedon tallennussijainnin suhteen on ehdottomasti asiakkaalle lisäarvoa tuova ominaisuus, joskaan väliaikaiseen tie- don tallentumiseen ei voida vaikuttaa.
5.4.6 Toimittajariippumattomuus
Tapausten suora vertailu ei ole toimittajariippumattomuuden kohdalla järke- vää, sillä jo lähtökohtaisesti IaaS-palveluntarjoajan vaihtaminen pitäisi olla hel- pompaa. Joka tapauksessa kaikki ylimääräinen tuki, mitä palveluntarjoaja on valmis tarjoamaan tiedon siirtämiseen uudelle palveluntarjoajalle, tuo asiak- kaalle lisäarvoa.
Googlen tapauksessa toimittajariippuvuuden taso riippuu asiakkaan omista valinnoista. Vaakakupissa on toisaalta Googlen valmiit rajapinnat, joi- den avulla ohjelmistokehitys on nopeampaa, mutta samalla palveluntarjoajan vaihtaminen on hankalampaa ilman mittavaa koodin uudelleenkirjoitusta. Toi- saalta valmiit rajapinnat voidaan sivuuttaa, jolloin työmäärä kasvaa, mutta toi- mittajariippumattomuus säilyy parempana.
Tässä luvussa käydään vielä tiiviisti läpi tutkimuksessa käytettyjä menetelmiä, tutkimuksen tuloksia, ja pohditaan tulosten merkitystä. Lisäksi luvussa tarkas- tellaan kriittisesti koko tutkimusta sekä esitetään mahdollisia jatkotutkimusai- heita.
Tutkielmassa käsiteltiin siis pilvipalvelusopimusten erityispiirteitä ja sopimuk- sia ympäröivää lainsäädäntöä. Tutkielman tavoitteena oli avata pilvipalveluso- pimuksiin liittyvää problematiikkaa. Varsinaisia tutkimuskysymyksiä olivat A) Mitä ovat pilvipalvelusopimuksien erityispiirteet verrattuna muihin IT-sopi- muksiin, kuten ohjelmistolisenssisopimuksiin? B) Mitkä ovat keskeisimpiä sopi- musehtoja pilvipalvelusopimuksissa? ja C) Miten pilvipalvelujen erityispiirteet ja keskeiset sopimusehdot ilmenevät käytännön sopimusehdoissa?
Otteeltaan poikkitieteellisessä tutkielmassa käytettyjä tutkimusmenetel- miä oli kirjallisuuskatsaus ja tapaustutkimus.
Tutkimuksessa saatujen tulosten mukaan pilvipalvelusopimusten erityis- piirteitä ovat tekijänoikeuden vähentynyt painoarvo, tietosuojakysymykset sekä palvelutasosopimukset. Keskeisimpiä sopimusehtoja ovat tietosuojaan liit- tyvät velvoitteet, palvelutasosopimuksen komponenttien määrittely, irtisano- misehdot, lainvalinta, vastuunrajausehdot, sekä mahdolliset auditointioikeudet. Käytännön sopimusehtoja tutkittiin tapaustutkimuksen yhteydessä, jolloin saatiin vahvistusta kirjallisuudessa havaitulle palvelutasosopimuskeskeisyydel- le. Palveluntarjoajat pyrkivät rajaamaan oman vastuunsa palvelun toiminnasta lähinnä palvelutasosopimuksessa annettuihin takuisiin. Lisäksi merkitykselli-
siksi osoittautuivat irtisanomisehdot sekä tietosuojakysymykset.
6.2 Reliabiliteetti, tulosten yleistettävyys ja tutkimuksen rajoitteet
Tutkimuksen reliaabeliuksella tarkoitetaan Hirsjärven, Remeksen ja Sajavaaran (2003, 216) mukaan tutkimuksen kykyä antaa ei-sattumanvaraisia tuloksia. Tä- män tutkielman tulokset perustuvat lähdeaineistoon, jossa keskeisessä osassa on oikeuskirjallisuus sekä lainsäädäntö. Näiden perusteella ei voi tehdä sattu- manvaraisia tulkintoja, joten tutkimuksen tuloksia on pidettävä reliaabeleina.
Tulosten merkitystä pohdittaessa keskeisessä asemassa on tulosten yleis- tettävyys. Tutkimuksen teoriaosa vastaa luotettavasti tutkimuskysymyksiin A ja B, eli pilvipalvelujen erityispiirteet ja keskeiset sopimusehdot selviävät kirjal- lisuuskatsauksen aikana. On esimerkiksi selvää, että tietosuojakysymykset, irti- sanomisehdot ja palvelutasosopimukset ovat kriittisen tärkeitä kaikissa pilvi- palvelusopimuksissa. Tutkimustuloksia ei kuitenkaan voida yleistää kosketta- maan koko maailmaa, sillä tutkielmassa tarkasteltiin pilvipalvelusopimuksia lä- hinnä EU-lainsäädännön näkökulmasta.
Toisaalta tapaustutkimuksessa pohditut, tutkimuskysymykseen C vastaa- vat, eli keskeisten sopimusehtojen käytännön esiintymistä koskevat tulokset ja johtopäätökset, ovat tutkittujen tapausten perusteella vielä tulkinnanvaraisia. Kahden tapauksen perusteella ei voida vielä vetää täysin yleistäviä johtopää- töksiä, sillä pilvipalvelusopimukset ovat melko heterogeeninen joukko.
Kaikkia tutkimuksen aihepiiriin liittyviä kysymyksiä ei pystytty tämän tutkielman kontekstissa käsittelemään niin syvällisesti, kuin olisi mahdollista. Esimerkiksi tietosuojasta yksinään pystyisi tekemään jo vähintään tämän tut- kielman laajuisen tutkimuksen. Myöskään varsinaista oikeuskäytäntöä, kuten korkeimman oikeuden päätöksiä, ei tässä laajuudessa pystytty tarpeeksi käsitte- lemään. Pilvipalvelujen luonteen huomioon ottaen myös Yhdysvaltojen lainsää- dännön syvällisempi tarkastelu olisi tarpeen.
Mahdollisia jatkotutkimusaiheita voisi esimerkiksi olla räätälöityjen ja vakioso- pimusten väliset erot pilvipalveluissa, pilvipalvelusopimusten lainsäädännölli- set erot Euroopan ja Yhdysvaltojen välillä tai sen tutkiminen, kuinka välittäjien lisääntyminen vaikuttaa pilvipalvelusopimuksiin. Myös aasialaisen lainsäädän- nön tarkastelu olisi tärkeää.
LÄHTEET
Adobe Systems Inc. (2013). ADOBE Ohjelmiston käyttöoikeussopimus. Saatavilla www-osoitteessa (viitattu 10.2.2013): xxxx://xxx.xxxxx.xxx/xxxxxxxx/xxxxx/xxxx/Xxx_XXXxxxxxxx-XXXXX- 20111031_1230.pdf
Amazon Digital Services, Inc. (2012). Amazon Cloud Drive: Terms of Use. Saatavilla www-osoitteeessa (viitattu 23.3.2013): xxxx://xxx.xxxxxx.xxx/xx/xxxx/xxxxxxxx/xxxxxxx.xxxx/? nodeId=200557360
Amazon Web Services, Inc (2012). AWS Customer Agreement. Saatavilla www- osoitteessa (viitattu 23.3.2013): xxxx://xxx.xxxxxx.xxx/xxxxxxxxx/
Xxxxxxxxx, X., Kondo, D. & Xx, X. (2010). Decision Model for Cloud Computing under SLA Constraints. MASCOTS, 2010 18th Annual IEEE/ACM International Symposium on Modeling, Analysis and Simulation of Computer and Telecommunication Systems. 257-266.
Xxxxxxxx, M., Xxx, X., Xxxxxxxx, R., Xxxxxx, X., Xxxx, X., Xxxxxxxxx, X., Xxx, X., Xxxxxxxxx, D., Xxxxxx, X., Xxxxxx, I. & Xxxxxxx, X. (2009). Above the Clouds: A Berkeley View of Cloud Computing. EECS Department, University of California, Berkeley. Saatavilla www-osoitteessa (viitattu 27.11.2011): xxxx://xxx.xxxx.xxxxxxxx.xxx/Xxxx/XxxxXxxx/0000/XXXX-0000-00.xxxx
Baset, S. (2012). Cloud SLAs: present and future. ACM SIGOPS Operating Systems Review. 46(2). 57-66.
Xxxxxxx, X. & Xxxx, X. (2011). Opportunities and risks of software-as-a-service: Findings from a survey of IT executives. Decision Support Systems. 52(1). 232-246.
Xxxxxxxx, X. (2008). The EU Data Protection Directive: An Engine of a Global Regime. Computer Law & Security Report. 24(6). 508-520.
Xxxxxxxxxx, M., Xxxxx, X. & Xxxxxxxx, X. (2011). Contract Management for Cloud Services: Information modelling aspects. Integrated Network Management (IM), 2011 IFIP/IEEE International Symposium on. 1035-1042.
Xxxxxxxx, X. (2007). Moving The Model. Information Professional. 4(6). 26-29.
Xxxx, X., Xxxxxx, X., Xxxxxxxxxx, S., Xxxxx, C. & Xxxxxx, X. (2010). Towards a generic value network for cloud computing. GECON'10 Proceedings of the 7th international conference on Economics of grids, clouds, systems, and services. 129-140.
Xxxx, X., Xx, X., Xxxx, X. (2011). Overview and analysis of cloud computing research and application. E -Business and E -Government (ICEE), 2011 International Conference on. 1-4.
Xxxx, X., Xxxxx, P., Xxxxxxxxx, M., Xxx, X., Xxxxxxx, J., Xxxxxxx, R. ym. (2009). Controlling data in the cloud: outsourcing computation without outsourcing control. Proceedings of the 2009 ACM workshop on Cloud computing security. 85-90.
Xxxxxxxx, X. (2008). The US Safe Harbor – Fact or Fiction? Galexia Pty Ltd. Saatavilla www-osoitteessa (viitattu 26.3.2013): xxxx://xxx.xxxxxxx.xxx/xxxxxx/xxxxxxxx/xxxxxx/xxxx_xxxxxx_xxxx_xx_xxxxxx n_2008/
Xxxxxx, X., Xxxxxxxx, X., Xxxxxxxx, X. & Xxxxxxx, X. (2010) IT2010 - käytännön käsikirja. Lakimiesliiton kustannus. Helsinki.
Euroopan parlamentin ja neuvoston direktiivi tekijänoikeuden ja lähioikeuksien tiettyjhen piirteiden yhdenmukaistamisesta tietoyhteiskunnassa. 2001/29/EY.
Euroopan parlamentin ja neuvoston direktiivi tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista ("Direktiivi sähköisestä kaupankäynnistä"). 2000/31/EY.
Euroopan parlamentin ja neuvoston direktiivi yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. 95/46/EY.
Google Inc. (2011). Google-dokumenttien käyttöehdot. Saatavilla www-osoitteesta (viitattu 15.5.2013): xxxx://xxx.xxxxxx.xxx/xxxxxx-x-x/xxxx/xx/xxxxx.xxxx
Google Inc. (2012a). App Engine Service Level Agreement. Saatavilla www- osoitteessa (viitattu 26.3.2013): xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxx
Google Inc. (2012b). Google App Engine Terms of Service. Saatavilla www- osoitteessa (viitattu 26.3.2013): xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxxxx
Google Inc. (2012c). Google Apps for Business -verkkosopimus. Saatavilla www- osoitteessa (viitattu 26.03.2013): xxxx://xxx.xxxxxx.xxx/xxxx/xxxx/xx/xxxxx/xxxxxxx_xxxxx.xxxx
Google Inc. (2012d). Tietosuojakäytäntö. Saatavilla www-osoitteessa (viitattu 26.3.2013): xxxx://xxx.xxxxxx.xxx/xxxxxxxx/xxxxxxx/
Google Inc. (2013a). Google App Engine – Cloud Platform. Saatavilla www- osoitteessa (viitattu 26.3.2013): xxxxx://xxxxx.xxxxxx.xxx/xxxxxxxx/
Google Inc. (2013b). Google Cloud Platfrom Acceptable Use Policy. Saatavilla www- osoitteessa (viitattu 26.3.2013): xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxx/xxxxx/xxx
Google Inc. (2013c). What is (isn't) Google App Engine? Saatavilla www- osoitteessa (viitattu 18.3.2013): xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxxxxxxx/xxxxx/xxxxxxxxx
Xxxxxxxxx, X. (2011). Cloud Control. Business Insurance. 45(23). 18-21.
Hallituksen esitys Eduskunnalle laeiksi sopimattomasta menettelystä elinkeinotoiminnassa ja markkinatuomioistuimesta annetun lain muuttamisesta. HE 114/1978 vp.
Xxxxx, X. (2010). Pilvipalvelut. Talentum Media. Helsinki.
Xxxxx, X. (1994). Vahingonkorvauksen määräytymisestä sopimussuhteissa – siviilioikeudellinen tutkimus. Suomalainen lakimiesyhdistys. Helsinki.
Xxxxx, X. (2003a). Sopimusoikeus I (2. uud. painos). Talentum. Helsinki. Xxxxx, X. (2003b). Sopimusoikeus II (2. uud. painos). Talentum. Helsinki. Xxxxx, X. (2005). Sopimusoikeus III. Talentum. Helsinki.
Xxxxxxxxx, S., Xxxxx, P. & Xxxxxxxxx, P. (2003). Tutki ja kirjoita (11. painos).
Tammi. Helsinki.
Xxxxxxx, X. (toim.). (2003). Ohjelmistoliiketoiminta. WSOY. Helsinki. Kauppalaki. 355/1987.
Komission päätös yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä. 2000/520/EY. EYVL. L 215.
Xxxxxxx, X. (2003). Ohjelmistovuokraussopimukset. Turun yliopisto.
Oikeustieteellinen tiedekunta. Lisensiaatintutkimus.
Xxxxxxx, X. (2003). Globalisoitunut sopimuskäytäntö ja sopimusoikeudelliset periaatteet. Edita. Helsinki.
Laki varallisuusoikeudellisista oikeustoimista. 228/1929.
Laki sopimattomasta menettelystä elinkeinotoiminnassa 1061/1978.
Xxxxxx, X., Xxx, X. & Xxxxxx, X. (2008). Cloud Computing and Information Policy: Computing in a Policy Cloud? Journal of Information Technology and Politics. 5(3). 269-283.
Xx, X., Xx, X. Xxx, X. Xxx, X. & Xxxx, X. (2009). The Method and Tool of Cost Analysis for Cloud Computing. 2009 IEEE International Conference on Cloud Computing. 93-100.
Xxxxxxx, X. (2001). Immateriaalioikeuksien lisensointi. Xxxxxxxxx Xxxxx, X. (toim.)
Immateriaalioikeudet kansainvälisessä kaupassa. Talentum. Helsinki.
Xxxxxxx, S., Xx, Z., Xxxxxxxxxxxxx, X., Xxxxx, X. & Xxxxxxxx, X. (2011). Cloud Computing - The Business Perspective. Decision Support Systems. 51(1). 176-189.
Microsoft Corporation. (2011). Microsoft Online Subscribtion Agreement. Saatavilla www-osoitteessa (viitattu 26.3.2013): xxxxx://xxxx.xxxxxxxxxxxxxxx.xxx/Xxxx/Xxxx_Xxxxxxxxxx.xxxx? country=USA&lang=en
Xxxx, X. & Xxxxxx, X. (2011). The NIST Definition of Cloud Computing. NIST Special Publication 800-145. U.S. Department of Commerce. National Institute of Standards and Technology. Saatavilla www-osoitteessa
(viitattu 27.11.2011): xxxx://xxxx.xxxx.xxx/xxxxxxxxxxxx/XxxxXXx.xxxx#000-
145
Naarajärvi, P. & Xxxxxxxx, X. (2002). Which Law, Which Forum? Jurisdiction and Applicable Law in International Electronic Commerce. WSOY. Helsinki.
Netflix Inc. (2012). Käyttöehdot. Saatavilla www osoitteessa (viitattu 22.1.2013): xxxxx://xxxxxx.xxxxxxx.xxx/XxxxxXxXxx?xxxxxxxxx-XX
Neuvoston direktiivi tietokoneohjelmien oikeudellisesta suojasta. 91/250/ETY Xxx, N., Xxxxxxxxx, X. & Xxxxxx, X. (2010). User experience and Security in the
Cloud – An Empirical Study in the Finnish Cloud Consortium. Cloud Computing Technology and Science (CloudCom), 2010 IEEE Second International Conference on. 621-628.
Xxxxxxxxx, X. (2004). Price-at-Risk: A methodology for pricing utility computing services. IBM Systems Journal. 43(1). 20-31.
Xxxxxxxxxxxx, X. (2012). Internetvälittäjä ja tekijänoikeuden loukkaus. Lakimiesliiton Kustannus. Helsinki
Xxxxxxx, X. (2002). Tietojenkäsittelyjärjestelmän hankinta : tutkimus järjestelmän oikeaa mitoitusta ja toimivuutta koskevasta sopimusvastuusta. Finn Lectura. Helsinki.
Xxxxxxxxxx, X. & Xxxxxx, X. (2010). Privacy and consumer risks in cloud computing. Computer Law & Security Review. 26(4). 391-397.
Xxxxx, X. (2002). IT-Sopimukset – käytännön käsikirja (2. uud. painos). Talentum.
Helsinki.
Tekijänoikeuslaki. 404/1961.
UpCloud Oy. (2012). Palvelun käyttöehdot. Saatavilla www-osoitteessa (viitattu 18.3.2013): xxxx://xx.xxxxxxx.xxx/xxxxxxxxxxxx/xxxxxxxxxxx
UpCloud Oy. (2013). Yritysesittely. Saatavilla www-osoitteessa (viitattu 18.3.2013): xxxx://xx.xxxxxxx.xxx/xxxxxx
Varadi, S., Xxxxxxx, X. & Xxxxxx, X. (2012). The necessity of legally compliant data management in European cloud architectures. Computer Law & Security Review. 28(5). 577-586.
Xxx, X., Xxxxxxx, X. & Xxxxxxxx, X. (2008). Should You Adopt Open Source Software? IEEE Software. 25(3). 54-59.
Xxxxxxxx, X. (2009). Oikeudet tietokoneohjelmistoihin. Talentum. Helsinki.
WebFinance Inc. (2013). What is consulting? Definition and meaning. Saatavilla www-osoitteessa (viitattu 17.1.2013): xxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxx.xxxx
Xx, X. (2012). From cloud computing to cloud manufacturing. Robotics and Computer-Integrated Manufacturing. 28(1). 75-86.
Xxx, X. (2003). Case Study Research: Designs and Methods (3. painos). SAGE Publications. Thousand Oaks, California.
Xxxxxxx, X., Xxxxxxx, M., Xx Xxxxx, D. (2008). Toward a Unified Ontology of Cloud Computing. Grid Computing Environments Workshop, GCE '08. 1-10.
Xxx, X., Xxxx, X. & Xxx, X.-X. (2010). A Formal Service Contract Model for Accountable SaaS and Cloud Services. Services Computing (SCC), 2010 IEEE International Conference on. 73-80.
OIKEUSTAPAUKSET
Asia C 128/11. UsedSoft GmbH vastaan Oracle International Corp. Yhteisöjen tuomioistuimen tuomio.
LIITE 1 UPCLOUD-PALVELUN KÄYTTÖEHDOT GENERAL TERMS (UPCLOUD OY, 2012)
UpCloud toimii kansainvälisillä markkinoilla, jonka johdosta käyttöehtosopimus on laadittu englanniksi. Mikäli sopimus herättää kysymyksiä, ystävällinen asiakaspalvelumme kertoo sopi- muksen yksityiskohdista mielellään myös suomeksi.
Scope. These General Terms of Service ("Terms") will be applied to a contract ("Contract") between UpCloud Ltd, a Finnish private limited company with Business ID 2431560-5, having its registered address at Xxxxxxxxxx 00, 0. xxx, XX-00000 Xxxxxxxx, Xxxxxxx ("UpCloud"), and a customer ("Customer") to whom UpCloud provides cloud-based infrastructure and software services for the Customer's commercial purposes ("Services"). The parties expressly acknowledge that the Services are neither intended nor fit for use by consumers.
Contract Documents. The Contract is created when UpCloud receives an appropriately filled-in registration or order form ("Order") which the Customer has submitted through a registration and/or purchasing procedure at UpCloud's website. In connection with the registration procedure the Customer will create a service account. The Contract is comprised of the Order, service descriptions attached or referred to in the Order, the service level agreement ("SLA"), the acceptable use policy ("AUP") and these Terms.
Provision of Services. UpCloud shall provide the Customer with the Services, which are specified in the Order. If the provided Services differ from the specifications, UpCloud shall correct the Services promptly after the notification by the Customer.
Service Levels. UpCloud shall offer compensation to the Customer for all unscheduled interruptions in the provision of the Services according to the terms of the SLA.
Support. UpCloud shall provide the Customer's administrative users with technical support on the Services through phone, e-mail, and ticketing system. Contact details and service hours are provided on UpCloud's website.
Access to Service Account. The Customer will be responsible for activities that occur under the Customer's service account, including actions taken by the Customer's employees and other representatives as well as their compliance with user instructions and the AUP. The Customer must promptly notify UpCloud if the Customer suspects that an unauthorized third party is using, or may have access to, the Services or the Customer's service account.
Third Party Software. The Customer must comply with third party software license terms if the use of such software is offered by UpCloud for the provision of the Services, or if such software is obtained and uploaded in the Services by the Customer. Certain third party software cannot be uploaded by the Customer but must always be offered by UpCloud.
External Back-Up Copies. The Customer is responsible for appropriate back-up of its content, which is stored in the Services, outside UpCloud's network.
Changes to Services. UpCloud is entitled to develop its services and business offerings. In case of a change in the Services, UpCloud will notify the Customer in advance. If UpCloud considers that a change will have a material effect in the Services, UpCloud will notify the Customer at least 30 days before the change will be effected and reserve the Customer a possibility to terminate the Contract.
Prices. The prices of the Services are specified in the Order. Unless otherwise agreed, UpCloud charges the Customer is advance for each one hour period of the Services according to
UpCloud's price list which is valid at the time. Applicable value added tax and other duties will be added to the prices unless the prices are specified VAT inclusive.
Payment Terms. UpCloud shall charge the Services by debiting credits from the Customer's service account on a pre-paid basis after the Customer has submitted the Order. Invoices are made available on the Customer's service account. With the exception of credits offered by UpCloud free-of-charge for a trial period, the Customer will purchase credits that will be deposited into the Customer's service account. The Customer cannot order the Services unless the Customer has sufficient credits on the service account. The credits are not refundable unless otherwise decided by UpCloud at its sole discretion.
Privacy and Personal Data Protection. UpCloud will comply with applicable privacy and personal data legislation. The description of personal data file is provided on UpCloud's website .
Confidentiality. Each party shall keep the other Party's confidential information as strictly confidential, shall not disclose it to any third party, and shall not use it for any unauthorized purposes. These obligations of confidentiality shall survive the termination of the Contract.
Intellectual Property Rights. All intellectual property rights to the content uploaded into the Service by or on behalf of the Customer will remain the exclusive property of the Customer or its licensors. All intellectual property rights relating to the provision of the Services, including suggestions for improvements made by the Customer, will remain the exclusive property of UpCloud or its licensors.
Limited Warranty. UpCloud will offer service level compensations to the Customer according to the SLA. In all other respects the Services are provided on "as-is" and "as-available" basis, and UpCloud will not give the Customer any warranty or guarantee , express or implied, for the Services, including but without limitation to warranties of merchantability, fitness for any particular purpose, performance, or non-infringement. The parties expressly note that the Services are not designed to be error-free or uninterrupted and therefore they are neither intended nor fit for purposes that require fail-safe performance.
Limited Liability. UpCloud will be liable for direct damage which UpCloud has caused to the Customer up to the total amount paid by the Customer for the Services during a period of 6 months preceding the damaging event. UpCloud will not be liable for indirect damage or loss of profits. These limitations will not apply to damage caused by willful misconduct or gross negligence. In order to be valid and enforceable, all claims for damages must be made within 30 days from the date the damage was or should reasonably have been noticed by the Customer.
Assignment and Third Party Benefits. UpCloud may assign the Contract in whole or in part to another group company or in connection with the trade sale which includes the provision of the Services. The Customer may assign the Contract with UpCloud's prior written consent which UpCloud will not unreasonably withhold. The Contract will not create any third party beneficiary rights in any third party.
Temporary Suspension. If the Customer has breached the provisions of the Contract or UpCloud has justifiable reasons to believe such a breach exists, UpCloud may temporarily suspend the provision of the Services.
Termination for Convenience. The Customer may terminate the Contract for any reason by issuing 5 days written notice to UpCloud. UpCloud may terminate the Contract for any reason by issuing 30 days written notice to the Customer.
Termination for Cause. Either party may terminate the Contract with immediate effect if the other party has materially breached the provisions of the Contract and has failed to rectify the breach within a 15 days period from the receipt of a written notice thereof.
Transition Services. UpCloud will provide the Customer with transition services in order to enable the Customer to transfer its content to another service provider. The Customer
must order the transition services before the termination of the Contract. The description of the transition services and applicable prices are provided on UpCloud's website.
Entire Agreement and Amendments. The Contract constitutes the entire agreement and supersedes all previous commitments between the parties in respect of the provision of the Services. All amendments to the Contract must be made in writing. UpCloud may modify these Terms and other contract documents by notifying the Customer in writing, such as by e-mail or by posting a revised document version on UpCloud's website. If UpCloud considers that a revision will have a material effect on the Contract, UpCloud will notify the Customer at least 30 days before the revision will be effected and reserve the Customer a possibility to terminate the Contract.
Non-Waiver. A failure by either party to enforce any provision of the Contract will not be deemed to constitute a present or future waiver of such provision. All waivers must be made in writing.
Force Majeure. Force Majeure is an event that prevents, or makes unduly difficult, the performance of the Services or the fulfillment of the provisions of the Contract, such as war, rebellion, natural catastrophe, general interruption in energy distribution or telecommunications, fire, strike, embargo, or another equally significant and unforeseen event independent of the parties. Each party shall be entitled to suspend its duties without liability thereof in case of Force Majeure affecting the party either directly or through its subcontractor.
Severability. Should any provision of the Contract be declared unenforceable by a court of competent jurisdiction, the remaining provisions of the Contract will remain in full force and effect to the fullest extent permitted by law. The parties shall attempt through negotiation in good faith to replace the unenforceable provision with such provisions that correspond as closely as possible to the original intention of the parties.
Governing Law and Arbitration. The Contract will be governed by the substantive laws of Finland, with the exception of any conflict of law principles. Any and all disputes, which the parties fail to settle amicably, arising out of or relating to the Contract will be finally settled by arbitration in English language in accordance with the Rules of the Arbitration Institute of the Finland Chamber of Commerce.
Version 2012-04-04
SERVICE LEVEL AGREEMENT
Scope. This service level agreement ("SLA") is an integral part of the Contract between UpCloud and the Customer.
Service Guarantee. UpCloud will guarantee 100% virtual server and network availability to the Customer. The network will be deemed available if UpCloud's routers and switches are available and responding properly. For all unscheduled interruptions in the provision of the Services, which are due to hardware or telecommunications failures that last longer than 5 minutes, UpCloud shall offer compensation to the Customer.
Scheduled Interruptions. UpCloud will notify the Customer by e-mail or on UpCloud's website about scheduled interruptions in the provision of the Services at least 24 hours in advance, with the exception of important security updates and patches which UpCloud may deploy without prior notice.
Error Notifications. In case of an interruption in the Services, the Customer has to notify UpCloud by e-mail to xxxxxxx@xxxxxxx.xxx. The interruption is deemed to begin when the
failure starts to affect the Customer's use of the Services, and to end when the failure has been corrected. UpCloud will notify the Customer about the correction of the failure.
Payment of Compensation. When a failure in the Services has been corrected, UpCloud will offer the Customer compensation which the Customer may reclaim within 15 days. The compensation will be paid to the Customer's service account in the form of credits and may not be exchanged for cash or other forms of payment.
Amount of Compensation. The amount of compensation will be 50 times UpCloud's charges for the Services allocated for the period of the interruption of the Services. The maximum amount of compensation for an individual interruption is 100% of UpCloud's charges for the Services during 30 calendar days preceding the interruption. The total sum of aggregated compensations cannot exceed 250% of UpCloud's charges for the Services during 30 calendar days preceding the latest interruption.
Sole Remedy. The above-mentioned payment of compensation will be the sole remedy of the Customer for interruptions or other failures in the Services. In case of a disagreement over the amount of the compensation payable to the Customer, UpCloud's decision on the issue will be binding and final.
Exemptions from Service Guarantee. The following situations will be exempt from UpCloud's service guarantee:
• Scheduled interruptions
• Failures caused by errors in third party software utilized in the Services
• Failures in products or services which are not included in the Services
• Failures caused by the Customer's actions contrary to user instructions or resulting from the Customer's operating systems or application software used within the Services
• Violations of UpCloud's acceptable use policy
• Failures due to hostile actions by third parties such as denial-of-service attacks
• Interruptions resulting from law and public authority enforced activities
• Customer does not have sufficient pre-paid balance on the Customer's service account for the use of the Services at the time of the interruption in the Services.
No compensation will be payable to the Customer during a free-of-charge trial period.
Version 2012-04-04
ACCEPTABLE USE POLICY
Scope. This acceptable use policy ("AUP") is an integral part of the Contract between UpCloud and the Customer.
User Instructions. The Customer must comply with separate user instructions concerning the Services. The Customer shall provide reasonable cooperation with regard to investigations on suspected breaches of the Contract.
Customer's Legal Compliance. The Customer must comply with applicable laws and regulations. For example, the Customer must have necessary rights to use the content which has been uploaded in the Service by or on behalf of the Customer.
Illegal or Offensive Use of Services. The Customer is not entitled to use the Services for purposes which UpCloud deems to be illegal or offensive. If the Customer is uncertain whether
or not its use of the Services could be deemed illegal or offensive, the Customer should contact UpCloud in advance and request permission. For example, UpCloud considers the following actions or content to be illegal or offensive:
• Use of the Services in connection with fraudulent activities
• Storage or transfer of, or linking to, content that violates trade secrets, copyrights, trademarks, patents, or other intellectual property rights, or contributes to the said violations
• Storage or transfer of, or linking to, content that is harassing or excessively violent, inciting to hate or violence, or threatening with violence
• Storage or transfer of, or linking to child pornography or content containing non- consensual sexual acts
• Promotion of illegal material or products
• Unauthorized access to, or attempting to access, systems, networks or data
• Use of a user account or computing without the owner's authorisation
• Collection of user information such as email addresses without the consent of the person identified (phishing)
• Monitoring of network traffic or data without authorization
Mass Emailing. If the Customer wishes to use the Services for sending of bulk e-mail or other mass communications, the Customer must first receive UpCloud's written consent.
Disruptive Use of Services. The Customer may use, investigate, and modify the operating environment of the Services only within the limits of the user instructions. The Customer may not use the Services in any way that causes security risks to the Service or interferes with the operation of the Services. For example, UpCloud considers the following actions to be disruptive on the operation of the Services:
Intentional or careless use of the Services in excess of a typically expected server load, such as continuosly high CPU or I/O use rate
Intentional or careless configuration of servers that enables unauthorized third party access or otherwise lacks adequate security requirements
Measures which are mainly aimed to circumvent, or interfere with, the monitoring, controlling, or charging of the Services by UpCloud
Version 2012-04-04
LIITE 2 GOOGLE APP ENGINE -SOPIMUSKOKONAISUUS
GOOGLE APP ENGINE TERMS OF SERVICE (GOOGLE INC., 2012)
Your Agreement with Google
This License Agreement for Google App Engine (the "Agreement") is made and entered into by and between Google Inc., a Delaware corporation, with offices at 0000 Xxxxxxxxxxxx Xxxxxxx, Xxxxxxxx Xxxx 00000 ("Google") and the business entity agreeing to these terms ("Customer"). This Agreement is effective as of the date Customer clicks the "I Accept" button below (the "Effective Date"). If you are accepting on behalf of Customer, you represent and warrant that: (i) if you have full legal authority to bind Customer to this Agreement; (ii) you have read and understand this Agreement; and (iii) you agree, on behalf of Customer, to this Agreement. If you do not have the legal authority to bind Customer, please do not click the "I Accept" button below. This Agreement governs Customer's access to and use of the Service.
1. Licenses.
1.1 From Google to Customer. Subject to this Agreement, Google grants to Customer a worldwide, non-sublicensable, non-transferable, non-exclusive, terminable, limited license to (a) use the Service, (b) integrate the Service into any Application and provide the Service, solely as integrated into the Application, to users of the Application and (c) use any Software provided by Google as part of the Service.
1.2 From Customer to Google. By submitting, posting, generating or displaying any Application and/or Customer Data on or through the Service, Customer gives Google a worldwide, non-sublicensable, non-transferable, non-exclusive, terminable, limited license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Application and/or including Customer Data for the sole purpose of enabling Google to provide Customer with the Service in accordance with the Agreement.
Provision of the Service.
2.1 Console. Google will provide the Service to Customer. As part of receiving the Service, Customer will have access to the Admin Console, through which Customer may administer the Service.
2.2 Facilities and Data Transfer. All facilities used to store and process an Application and Customer Data will adhere to reasonable security standards no less protective than the security standards at facilities where Google processes and stores its own information of a similar type. Google has implemented at least industry standard systems and procedures to ensure the security and confidentiality of an Application and Customer Data, protect against anticipated threats or hazards to the security or integrity of an Application and Customer Data, and protect against unauthorized access to or use of an Application and Customer Content. Google may process and store an Application and Customer Data in the United States or any other country in which Google or its agents maintain facilities. By using the Service, Customer consents to this
processing and storage of an Application and Customer Data. The parties agree that Google is merely a data processor.
2.3 Data Storage Selection.
Data Storage. Customer may select via the Service whether the Core App Engine End User Data will be stored permanently, at rest, in either the United States or the European Union, and Google will store it accordingly ("App Engine Data Location Setting"). If no selection is made, Core App Engine End User Data will be stored permanently, at rest, in the United States.
Transient Storage. Core App Engine End User Data may be stored transiently or cached in any country in which Google or its agents maintain facilities before reaching permanent storage.
Limitations. No App Engine Data Location Setting will apply to Core App Engine End User Data copied in another location or used with other Google products and services (including any other Google Cloud Platform services). If so, the Core App Engine End User Data will be processed and stored pursuant to Section 2.2 of this Agreement.
2.4 Accounts. Customer must have an Account to use the Service, and is responsible for the information it provides to create the Account, the security of its passwords for the Account, and for any use of its Account. If Customer becomes aware of any unauthorized use of its password or its Account, Customer will notify Google as promptly as possible.
2.5 Privacy Policies. The Service is subject to Google's Privacy Policy. Changes to the Privacy Policy will be made as stated in the applicable policy. In addition, Google is enrolled in the U.S. Department of Commerce Safe Harbor Program and will remain enrolled in this program or another replacement program (or will adopt a compliance solution which achieves compliance with the terms of Article 25 of Directive 95/46/EC) throughout the Term of the Agreement.
2.6 New Applications. Google may make new applications, tools, features or functionality available from time to time through the Service, the use of which may be contingent upon Customer's agreement to additional terms.
2.7 Modifications.
To the Service. Subject to Section 9.4 (Termination for Convenience), Google may make commercially reasonable Updates to the Service from time to time. If Google makes a material change to the Service, Google will inform Customer, provided that Customer has subscribed with Google to be informed about such change.
To the Agreement. Google may make changes to this Agreement, including pricing from time to time. Unless otherwise noted by Google, material changes to the Agreement will become effective 90 days after they are posted, except if the changes apply to new functionality in which case they will be effective immediately. If Customer does not agree to the revised Agreement, please stop using the Service. Google will post any modification to this Agreement to the Terms URL.
3. Payment Terms.
3.1 Free Quota. The Service is provided to Customer without charge up to the Fee Threshold.
3.2 Online Billing. Google will issue an electronic bill to Customer for all charges accrued above the Fee Threshold. Fees are solely based on Google's measurements of Customer's use of
the Service, may include monthly fees, and Google's determination is final. For use above the Fee Threshold, Customer shall be responsible for all Fees up to the amount set in the Account and shall pay all Fees in U.S. Dollars or in such other currency as agreed to in writing by the parties. Customer shall pay all Fees in accordance with the payment terms in the Service FAQ.
3.3 Delinquent Payments. Late payments may bear interest at the rate of 1.5% per month (or the highest rate permitted by law, if less). Google reserves the right to suspend your Account for any late payments.
3.4 Taxes. Customer is responsible for any Taxes, and Customer will pay Google for the Services without any reduction for Taxes. If Google is obligated to collect or pay Taxes, the Taxes will be invoiced to Customer, unless Customer provides Google with a timely and valid tax exemption certificate authorized by the appropriate taxing authority. In some states the sales tax is due on the total purchase price at the time of sale and must be invoiced and collected at the time of the sale. If Customer is required by law to withhold any Taxes from its payments to Google, Customer must provide Google with an official tax receipt or other appropriate documentation to support such withholding payments.
3.5 Invoice Disputes & Refunds. To the fullest extent permitted by law, Customer waives all claims relating to Fees unless claimed within sixty days after charged (this does not affect any Customer rights with its credit card issuer). Refunds (if any) are at the discretion of Google and will only be in the form of credit for the Service. Nothing in this Agreement obligates Google to extend credit to any party.
4. Customer Obligations.
4.1 Compliance. Customer is solely responsible for its Applications and Customer Data, and for making sure its Applications or Customer Data comply with the Acceptable Use Policy. Google reserves the right to review the Application or Customer Data to ensure Customer's compliance with the Acceptable Use Policy. Customer is responsible for ensuring all End Users comply with Customer's obligations under the Agreement.
4.2 Privacy. Customer will protect the privacy and legal rights of its End Users under all applicable laws and regulations, which includes a legally adequate privacy notice communicated from Customer. Customer may have the ability to access, monitor, use, or disclose Customer Data submitted by End Users through the Service. Customer will obtain and maintain any required consents from End Users to allow Customer's access, monitoring, use and disclosure of Customer Data. Further, Customer will notify its End Users that any Customer Data provided as part of the Service will be made available to a third party as part of Google providing the Service.
4.3 Restrictions. Customer will not, and will not allow third parties under its control to:
(a) copy, modify, create a derivative work of, reverse engineer, decompile, translate, disassemble, or otherwise attempt to extract the source code of the Service or any component thereof (subject to Section 4.4 below); (b) use the Service for High Risk Activities; (c) sublicense, resell, or distribute the Service or any component thereof separate from any integrated Application; (d) use the Service to create, train, or improve (directly or indirectly) a substantially similar product or service, including any other machine translation engine; (e) create multiple Applications or Accounts to simulate or act as a single Application or Account (respectively) or otherwise access the Service in a manner intended to avoid incurring Fees; (f) use the Service to operate or enable any telecommunications service or in connection with any
Application that allows End Users to place calls to or to receive calls from any public switched telephone network; or (g) process or store any Customer Data that is subject to the International Traffic in Arms Regulations maintained by the Department of State. Customer acknowledges that the Service is not HIPAA compliant and Customer is solely responsible for any applicable compliance with HIPAA.
4.4 Open Source Components. Open source software licenses for components of the Service released under an open source license constitute separate written agreements. Open source software is listed in the Documentation. To the limited extent the open source software licenses expressly supersede this Agreement, the open source license instead governs Customer's agreement with Google for the specific included open source components of the Service, or use of the Service (as may be applicable).
4.5 Documentation. Google may provide Documentation for Customer's use of the Service. The Documentation may specify restrictions (e.g. attribution of HTML restrictions) on how the Applications may be built or the Service may be used and Customer agrees to comply with any such restrictions specified.
4.7 Application and No Multiple Accounts, Bills. Any Application must have material value independent from the Services. Google has no obligation to provide multiple bills or Accounts to Customer under the Agreement.
5. Suspension and Removals.
5.1 Suspension/Removals. If Customer becomes aware that any Application or an End User's use of an Application, or Customer Data violates the Acceptable Use Policy, Customer will immediately suspend the Application, remove the applicable Customer Data, or suspend access to an End User (as may be applicable). If Customer fails to suspend or remove as noted in the prior sentence, Google may specifically request that Customer do so. If Customer fails to comply with Google's request to do so within twenty-four hours, then Google may suspend Google accounts of the applicable End Users, disable the Application, and/or disable the Account (as may be applicable) until such violation is corrected.
5.2 Emergency Security Issues. Despite the foregoing, if there is an Emergency Security Issue, then Google may automatically suspend the offending End User account, Application or the Account. Suspension will be to the minimum extent required, and of the minimum duration, to prevent or terminate the Emergency Security Issue. If Google suspends an End User account or the Application or Account, for any reason, without prior notice to Customer, at Customer's request, Google will provide Customer the reason for the suspension as soon as is reasonably possible.
6. Intellectual Property Rights; Brand Features.
6.1 Intellectual Property Rights. Except as expressly set forth herein, this Agreement does not grant either party any rights, implied or otherwise, to the other's content or any of the other's intellectual property. As between the parties, Customer owns all Intellectual Property Rights in any Application and Customer Content, and Google owns all Intellectual Property Rights in the Service.
6.2 Brand Features Limitation. If Customer wants to display Google Brand Features in connection with its use of the Service, Customer must obtain written permission from Google through process specified in the Trademark Guidelines. For the sole purpose of providing the Service, Customer permits Google to display any Brand Features that may appear in its Application. Any use of a party's Brand Features will inure to the benefit of the party holding Intellectual Property Rights to those Brand Features. A party may revoke the other party's right to use its Brand Features pursuant to this Agreement with written notice to the other and a reasonable period to stop the use.
7. Technical Support Service
7.1 By Customer. Customer is responsible for technical support of its Application.
7.2 Deprecation Policy.
Google will announce if we intend to discontinue or make backwards incompatible changes to this API or Service. We will use commercially reasonable efforts to continue to operate that Service without these changes until the later of: (i) one year after the announcement or (ii) April 20, 2015, unless (as Google determines in its reasonable good faith judgment):
required by law or third party relationship (including if there is a change in applicable law or relationship), or
doing so could create a security risk or substantial economic or material technical burden.
This Deprecation Policy doesn't apply to versions, features, and functionality labeled as "experimental."
8. Confidential Information.
8.1 Obligations. The recipient of the other party's Confidential Information will not disclose the Confidential Information, except to Affiliates, employees, agents, or professional advisors who need to know it and who have agreed in writing (or in the case of professional advisors are otherwise bound) to keep it confidential. The recipient will ensure that those people and entities use the Confidential Information only to exercise rights and fulfill obligations under this Agreement, while using reasonable care to keep it confidential. The recipient may also disclose Confidential Information when required by law after giving reasonable notice to the discloser if allowed by law. The recipient may also disclose Confidential Information to the extent required by applicable Legal Process; provided that the recipient uses commercially reasonable efforts to: (i) promptly notify the other party of such disclosure before disclosing; and (ii) comply with the other party's reasonable requests regarding its efforts to oppose the disclosure. Notwithstanding the foregoing, subsections (i) and (ii) above will not apply if the recipient determines that complying with (i) and (ii) could:
(a) result in a violation of Legal Process; (b) obstruct a governmental investigation; and/or (c)
lead to death or serious physical harm to an individual. As between the parties, Customer is responsible for responding to all third party requests concerning its use and its End Users' use of the Services.
9. Term and Termination.
9.1 Agreement Term. The license granted in this Agreement will remain in effect, unless terminated earlier as set forth in this Agreement.
9.2 Termination for Breach. Either party may terminate this Agreement for breach if: (i) the other party is in material breach of the Agreement and fails to cure that breach within thirty days after receipt of written notice; (ii) the other party ceases its business operations or becomes subject to insolvency proceedings and the proceedings are not dismissed within ninety days; or
(iii) the other party is in material breach of this Agreement more than two times notwithstanding any cure of such breaches.
9.3 Termination for Inactivity. Google reserves the right to terminate the Service for inactivity, if, for a period exceeding ninety days, Customer (a) has failed to access the Admin Console, (b) an Application has not served any requests, and (c) no electronic bills are being generated.
9.4 Termination for Convenience. Customer may stop using the Service at any time. Customer may terminate this Agreement for convenience at any time on prior written notice and upon termination, must cease use of the Service. Google may terminate this Agreement for its convenience at any time without liability to Customer. Subject to Section 7.2, Google may discontinue the Service or any portion or feature for any reason at any time without liability to Customer.
9.5 Effects of Termination. If the Agreement expires or is terminated, then: (i) the rights granted by one party to the other will immediately cease; (ii) all Fees (including Taxes) owed by Customer to Google are immediately due upon receipt of the final electronic bill; (iii) Customer will delete the Software, any Application and any Customer Data; and (iv) upon request, each party will use commercially reasonable efforts to return or destroy all Confidential Information of the other party.
10. Publicity.
Customer is permitted to state publicly that it is a customer of the Service, consistent with the Trademark Guidelines. Customer agrees that Google may include Customer's name or Brand Features in a list of Google customers, online or promotional materials. Customer also agrees that Google may verbally reference Customer as a customer of the Google products or services that are the subject of this Agreement. This section is subject to the "Brand Features Limitation" section of the Agreement. For clarification, neither party needs to seek approval from the other if the party is repeating a public statement that is substantially similar to a public statement that has been previously approved.
11. Representations.
Each party represents that: (a) it has full power and authority to enter into the Agreement; and (b) it will comply with all laws and regulations applicable to its provision, or use, of the Service, as applicable. Google warrants it will provide the Service in accordance with the applicable SLA.
12. Disclaimer.
EXCEPT AS EXPRESSLY PROVIDED FOR HEREIN, TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, GOOGLE DOES NOT MAKE ANY OTHER WARRANTY OF ANY KIND, WHETHER EXPRESS, IMPLIED, STATUTORY OR
OTHERWISE, INCLUDING WITHOUT LIMITATION WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR USE AND NONINFRINGEMENT. GOOGLE IS NOT RESPONSIBLE OR LIABLE FOR THE DELETION OF OR FAILURE TO STORE ANY CONTENT AND OTHER COMMUNICATIONS MAINTAINED OR TRANSMITTED THROUGH USE OF THE SERVICE. CUSTOMER IS SOLELY RESPONSIBLE FOR SECURING AND BACKING UP ITS APPLICATION AND CUSTOMER CONTENT. GOOGLE DOES NOT WARRANT THAT THE OPERATION OF THE SOFTWARE OR THE SERVICE WILL BE ERROR-FREE OR UNINTERRUPTED. NEITHER THE SOFTWARE NOR THE SERVICE ARE DESIGNED, MANUFACTURED, OR INTENDED FOR HIGH RISK ACTIVITIES.
13. Limitation of Liability.
13.1 Limitation on Indirect Liability. TO THE MAXIMUM EXTEND PERMITTED BY APPLICABLE LAW, NEITHER PARTY, NOR GOOGLE'S SUPPLIERS, WILL BE LIABLE UNDER THIS AGREEMENT FOR LOST REVENUES OR INDIRECT, SPECIAL, INCIDENTAL, CONSEQUENTIAL, EXEMPLARY, OR PUNITIVE DAMAGES, EVEN IF THE PARTY KNEW OR SHOULD HAVE KNOWN THAT SUCH DAMAGES WERE POSSIBLE AND EVEN IF DIRECT DAMAGES DO NOT SATISFY A REMEDY.
13.2 Limitation on Amount of Liability. TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, NEITHER PARTY, NOR GOOGLE'S SUPPLIER'S, MAY BE HELD LIABLE UNDER THIS AGREEMENT FOR MORE THAN THE AMOUNT PAID BY CUSTOMER TO GOOGLE DURING THE TWELVE MONTHS PRIOR TO THE EVENT GIVING RISE TO LIABILITY.
13.3 Exceptions to Limitations. These limitations of liability do not apply to breaches of confidentiality obligations, violations of a party's Intellectual Property Rights by the other party, or indemnification obligations.
14. Indemnification.
14.1 By Customer. Customer will indemnify, defend, and hold harmless Google from and against all liabilities, damages, and costs (including settlement costs and reasonable attorneys' fees) arising out of a third party claim: (i) regarding any Application or Customer Content; (ii) that Customer Brand Features infringe or misappropriate any patent, copyright, trade secret or trademark of a third party; or (iii) regarding Customer's, or its End Users', use of the Service in violation of the Acceptable Use Policy.
14.2 By Google. Google will indemnify, defend, and hold harmless Customer from and against all liabilities, damages, and costs (including settlement costs and reasonable attorneys' fees) arising out of a third party claim that Google's technology used to provide the Service (excluding any open source software) or any Google Brand Feature infringes or misappropriates any patent, copyright, trade secret or trademark of such third party. Notwithstanding the foregoing, in no event shall Google have any obligations or liability under this Section arising from: (i) use of any Service or Google Brand Features in a modified form or in combination with materials not furnished by Google, and (ii) any Customer Content.
14.3 Possible Infringement.
Repair, Replace, or Modify. If Google reasonably believes the Service infringes a third party's Intellectual Property Rights, then Google will: (a) obtain the right for Customer, at
Google's expense, to continue using the Service; (b) provide a non-infringing functionally equivalent replacement; or (c) modify the Service so that it no longer infringes.
Suspension or Termination. If Google does not believe the foregoing options are commercially reasonable, then Google may suspend or terminate Customer's use of the impacted Service.
14.4 General. As a condition to indemnification for a claim, the party seeking indemnification must promptly notify the other party of the claim in writing and cooperate with the other party in defending the claim. The indemnifying party has full control and authority over the defense, except that: (a) any settlement requiring the party seeking indemnification to admit liability or to pay any money will require that party's prior written consent, such consent not to be unreasonably withheld or delayed; and (b) the other party may join in the defense with its own counsel at its own expense. Notwithstanding the foregoing, if the indemnified party settles without the prior written consent of the indemnifying party, the indemnifying party has no obligation of contribution. THE INDEMNITIES ABOVE ARE THE ONLY REMEDY UNDER THIS AGREEMENT FOR VIOLATION OF A THIRD PARTY'S INTELLECTUAL PROPERTY RIGHTS.
15. Government Purposes (applicable to United States government customers only).
The Service was developed solely at private expense and is commercial computer software and related documentation within the meaning of the applicable civilian and military Federal acquisition regulations and any supplements thereto. If the user of the Service is an agency, department, employee, or other entity of the United States Government, under FAR
12.212 and DFARS 227.7202, the use, duplication, reproduction, release, modification, disclosure, or transfer of the Service, including technical data or manuals, is governed by the terms and conditions contained in this Agreement, which is Google's standard commercial license agreement.
16. Miscellaneous.
16.1 Notices. All notices must be in writing and addressed to the other party's legal department and primary point of contact. The email address for notices being sent to Google's Legal Department is xxxxx-xxxxxxx@xxxxxx.xxx. Notice will be treated as given: (a) on receipt as verified by written automated receipt or by electronic log (as applicable).
16.2 Assignment. Neither party may assign any part of this Agreement without the written consent of the other, except to an Affiliate where: (a) the assignee has agreed in writing to be bound by the terms of this Agreement; (b) the assigning party remains liable for obligations under the Agreement if the assignee defaults on them; and (c) the assigning party has notified the other party of the assignment. Any other attempt to assign is void.
16.3 Change of Control. If a party experiences a change of Control (for example, through a stock purchase or sale, merger, or other form of corporate transaction): (a) that party will give written notice to the other party within thirty days after the change of Control; and (b) the other party may immediately terminate this Agreement any time between the change of Control and thirty days after it receives that written notice.
16.4 Force Majeure. Neither party will be liable for failure or delay in performance to the extent caused by circumstances beyond its reasonable control.
16.5 No Agency. This Agreement does not create any agency, partnership or joint venture between the parties.
16.6 No Waiver. Neither party will be treated as having waived any rights by not exercising (or delaying the exercise of) any rights under this Agreement.
16.7 Severability. If any term (or part of a term) of this Agreement is invalid, illegal or unenforceable, the rest of the Agreement will remain in effect.
16.8 No Third-Party Beneficiaries. This Agreement does not confer any benefits on any third party unless it expressly states that it does.
16.9 Equitable Relief. Nothing in this Agreement will limit either party's ability to seek equitable relief.
16.10 Governing Law.
For City, County, and State Government Entities. If Customer is a city, county or state government entity, then the parties agree to remain silent regarding governing law and venue.
For Federal Government Entities. If Customer is a federal government entity then the following applies: ALL CLAIMS ARISING OUT OF OR RELATING TO THIS AGREEMENT OR THE SERVICE WILL BE GOVERNED BY THE LAWS OF THE UNITED STATES OF AMERICA, EXCLUDING ITS CONFLICT OF LAWS RULES. SOLELY TO THE EXTENT PERMITTED BY FEDERAL LAW: (I) THE LAWS OF THE STATE OF CALIFORNIA (EXCLUDING CALIFORNIA'S CONFLICT OF LAWS RULES) WILL APPLY IN THE ABSENCE OF APPLICABLE FEDERAL LAW; AND (II) FOR ALL CLAIMS ARISING OUT OF OR RELATING TO THIS AGREEMENT OR THE SERVICE, THE PARTIES CONSENT TO PERSONAL JURISDICTION IN, AND THE EXCLUSIVE VENUE OF, THE COURTS IN SANTA XXXXX XXXXXX, CALIFORNIA.
For All Other Entities. If Customer is any entity not set forth in Section 16.10(a) or (b) then the following applies: ALL CLAIMS ARISING OUT OF OR RELATING TO THIS AGREEMENT OR THE SERVICE WILL BE GOVERNED BY CALIFORNIA LAW, EXCLUDING THAT STATE'S CONFLICT OF LAWS RULES, AND WILL BE LITIGATED EXCLUSIVELY IN THE FEDERAL OR STATE COURTS OF SANTA XXXXX XXXXXX, CALIFORNIA, USA;THE PARTIES CONSENT TO PERSONAL JURISDICTION IN THOSE COURTS.
16.11 Amendments. Any amendment must be in writing, signed by both parties, and expressly state that it is amending this Agreement.
16.12 Survival. The following Sections will survive expiration or termination of this Agreement: 6.1 (Intellectual Property Rights), 8 (Confidential Information), 9.5 (Effects of Termination), 13 (Limitation of Liability), 14 (Indemnification) and 16 (Miscellaneous).
16.13 Entire Agreement. This Agreement supersedes all other agreements between the parties relating to its subject matter. In entering into this Agreement, neither party has relied on, and neither party will have any right remedy based on, any statement, representation or warranty (whether made negligently or innocently), except those expressly set out in this Agreement. The terms located at a URL referenced in this Agreement and the Documentation
are hereby incorporated by this reference. After the Effective Date, Google may provide Customer with an updated URL in place of any URL in this Agreement.
16.14 Interpretation of Conflicting Terms. If there is a conflict among the documents that make up this Agreement, the documents will control in the following order: the Agreement, and the terms located at any URL.
16.15 Counterparts. The parties may execute this Agreement in counterparts, including facsimile, PDF and other electronic copies, which taken together will constitute one instrument.
16.16 Definitions.
"Account" means Customer's Google account (either xxxxx.xxx address or an Email address provided under the
"Google Apps" product line); subject to those terms of service, as may be applicable. "Admin Console" means the online tool provided by Google to Customer for
administering the Service.
"Affiliate" means any entity that directly or indirectly controls, is controlled by, or is under common control with a party.
"Application(s)" means any web application Customer creates using the Service, including any source code written by Customer to be used with the Service.
"Brand Features" means the trade names, trademarks, service marks, logos, domain names, and other distinctive brand features of each party, respectively, as secured by such party from time to time.
"Confidential Information" means information that one party (or an Affiliate) discloses to the other party under this Agreement, and which is marked as confidential or would normally under the circumstances be considered confidential information. It does not include information that the recipient already rightfully knew, that becomes public through no fault of the recipient, that was independently developed by the recipient, or that was lawfully given to the recipient by a third party. Customer Data is considered Customer's Confidential Information.
"Control" means control of greater than fifty percent of the voting rights or equity interests of a party.
"Core App Engine End User Data" means content provided through the use of an Application running on Google App Engine, by those End Users who are not acting as Developer End Users (and information related to those End Users stored by the Application), but excluding authentication information for those End Users' Google accounts.
"Customer Data" means content provided, transmitted or displayed via the Service by Customer, or its End Users; but excluding any data provided as part of the Account.
"Documentation" means the Google documentation in the form generally made available by Google to its customers for use with the Service, as may be found here: xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxxx or such other URL as Google may provide.
"Emergency Security Issue" means either: (a) Customer's or its End User's use of the Service in violation of the Acceptable Use Policy, which could disrupt: (i) the Service; (ii) other Customers' or its End Users' use of the Service; or (iii) the Google network or servers used to provide the Service; or (b) unauthorized third party access to the Service.
"End Users" means the individuals Customer permits to use the Application.
"Export Control Laws" means all applicable export and re-export control laws and regulations, including the Export Administration Regulations ("EAR") maintained by the U.S. Department of Commerce, trade and economic sanctions maintained by the Treasury
Department's Office of Foreign Assets Control, and the International Traffic in Arms Regulations ("ITAR") maintained by the Department of State.
"Fee Threshold" means the threshold (as may be updated from time to time), which is more fully described here: xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxxx/xxxxxx.
"Fees" means the applicable fees for the Service and any applicable Taxes as set forth here: xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxxx/xxxxxxx.
"High Risk Activities" means uses such as the operation of nuclear facilities, air traffic control, or life support systems, where the use or failure of the Service could lead to death, personal injury, or environmental damage.
"HIPAA" means the Health Insurance Portability and Accountability Act of 1996 as it may be amended from time to time, and any regulations issued thereunder.
"Intellectual Property Rights" means current and future worldwide rights under patent law, copyright law, trade secret law, trademark law, moral rights law, and other similar rights.
"Legal Process" means a request for disclosure of data made pursuant to law, governmental regulation, court order, subpoena, warrant, governmental regulatory or agency request, or other valid legal authority, legal procedure, or similar process.
"Privacy Policy" means Google's privacy policy located at: xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxxxxx.xxxx or such other URL as Google may provide.
"Protected Health Information" means the definition on 45 CFR 160.103, limited to the information created or received by a business associate from on or behalf of a covered entity.
"Service" means the Google App Engine Service as more fully described here: xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/ or such other URL as Google may provide. The APIs provided under the Service are listed here: xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxxxxxxxx_xxxxxxxx or such other URL as Google may provide.
"Service FAQ" means those FAQs more fully described here: xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xx or such other URL as Google may provide.
“Service Level Agreement” or “SLA” means the service level agreement then in effect for the Service available at the following URL: xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxx or such other URL as Google may provide.
"Software" means any downloadable tools, software development kits or other such proprietary computer software provided by Google in connection with the Service, which may be downloaded by Customer, and any updates Google may make to such Software from time to time.
"Taxes" means any duties, customs fees, or taxes (other than Google's income tax)
associated with the purchase of the Service, including any related penalties or interest.
"Terms URL" means the following URL: xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxxxx or such other URL as Google may provide.
"Third Party Request" means a request from a third party for records relating to an End User's use of the Services. Third Party Requests can be a lawful search warrant, court order, subpoena, other valid legal order, or written consent from the End User permitting the disclosure.
"Trademark Guidelines" means Google's Guidelines for Third Party Use of Google Brand Features, located at the following URL: xxxx://xxx.xxxxxx.xxx/xxxxxxxxxxx/xxxxxxxxxx.xxxx or such other URL as Google may provide.
"Updates" means the periodic software updates provided by Google to Customer from time to time. Updates are designed to improve, enhance and further develop the Service and may take the form of bug fixes, enhanced functions, new software modules and completely new versions.
"Updates" means the periodic software updates provided by Google to Customer from time to time. Updates are designed to improve, enhance and further develop the Service and may take the form of bug fixes, enhanced functions, new software modules and completely new versions.
Included Software and Licenses for the Java Language Version of App Engine
The following third party software is distributed with Google App Engine for Java SDK and is provided under other licenses and/or has source available from other locations. Package Name License
Jetty Apache 2.0 license
Apache Ant Apache 2.0 license
Jakarta Commons Logging Apache 2.0 license Jakarta HTTP Client Apache 2.0 license
Jakarta Commons Codec Apache 2.0 license Jakarta Commons EL Apache 2.0 license
Jakarta Jasper Apache 2.0 license
Jakarta Taglibs Apache 2.0 license Apache Geronimo Apache 2.0 license
Last updated December 20, 2012.
APP ENGINE SERVICE LEVEL AGREEMENT (GOOGLE INC. 2012B)
During the Term of the Google App Engine License Agreement or the Google App Engine and Google Cloud SQL License Agreement (as applicable, the "Agreement"), the Covered Service will be operational and available to an Eligible Application at least 99.95% of the time in any calendar month (the "SLA"). If Google does not meet the SLA, and if Customer meets its obligations under this SLA, Customer will be eligible to receive the Financial Credits described below. This SLA states Customer's sole and exclusive remedy for any failure by Google to meet the SLA. Capitalized terms not defined herein have the meaning set forth in the Agreement.
Definitions. The following definitions shall apply to the Google App Engine SLA. "Covered Service" means the components of the Service listed at the following URL:
xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxxxxxx/xxx_xxxxx_xxxx, or such other URL as may be provided by Google.
"Downtime" means more than a ten percent Error Rate for any Eligible Application. "Eligible Application" means an Application that has been created by Customer using the
High Replication Datastore setting.
"Downtime Period" means, for an Application, a period of five consecutive minutes of Downtime. Intermittent Downtime for a period of less than five minutes will not be counted towards any Downtime Periods.
"Error rate" for the Service is defined with the Covered Services.
"Financial Credit" means the following:Monthly Uptime Percentage Percentage of monthly bill credited to future monthly bills of Customer
99.00% – < 99.95% | 10% |
95.00% – < 99.00% | 25% |
< 95.00% | 50% |