TFL Vsebine / TFLGlasnik

1. DOGOVOR O ZAGOTAVLJANJU RAVNI INFROMACIJSKIH STORITEV

Dogovor o zagotavljanju trial informacijskih storitev (angl. Service Level Agreement, v nadaljnjem besedilu: SLA) je dokument, s katerim se ponudnik informacijske storitve in njegova stranka, uporabnik storitve, dogovorita, da bo ponudnik uporabniku v določenem časovnem obdobju zagotavljal izbrano informacijsko storitev na dogovorjeni ravni kakovosti, uporabnik pa bo za to plačal dogovorjeno ceno. Čeprav bi teoretično tak dogovor lahko bil sklenjen tudi v neformalni obliki, gre zaradi kompleksnosti razmerja praviloma za pogodbo. K temu tolmačenju napotuje tudi Obligacijski zakonik, ki v 15. členu določa, da se pogodba praviloma šteje za sklenjeno, ko se stranki sporazumeta o njenih bistvenih sestavinah. Vsekakor pa menim, da je zavezujoča oblika dogovora priporočljiva že zato, ker strankam olajša morebitno kasnejše reševanje nesoglasij in uveljavljanje odgovornosti.

Sam pojem in praksa sklepanja SLA-ja izvirata iz anglosaksonskega pravnega sistema, vendar pa se z vplivom ponudnikov informacijskih storitev, ki delujejo na svetovnem trgu, SLA-ji vse bolj uveljavljajo tudi v slovenskem pravnem prostoru. Pri tem tudi ne gre zanemariti, da precejšen delež informacijskih storitev vključuje mednarodni element, zato menim, da je smiselno, da se v slovenskem pravnem okolju izoblikujejo terminološke prakse, ki bodo smiselno usklajene z mednarodnim okoljem. SLA je tako treba pojmovno jasno ločiti zlasti od licenčne pogodbe za najem pravice uporabe programske rešitve (angl. End-User Licene Agreement , skrajšano: EUlA), pri katerih prodajalec programske licence za plačilo dovoli uporabo programske rešitve za določeno časovno obdobje in ob pogojih, določenih v pogodbi. Nekoliko manj jasna je razmejitev med SLA-jem in splošnimi pogoji izvajanja storitve (angl. Terms of Servi ce). Ti tako kot SLA-ji določajo pričakovana vedenja uporabnikov in pravila, ki jih morajo upoštevati pri uporabi neke informacijske rešitve oziroma storitve. Vendar so splošni pogoji praviloma zastavljeni bolj generično in enotno za vse stranke ter se za razliko od SLA- jev osredotočajo bolj na ravnanje uporabnika kot pa na raven zagotavljanja storitve s strani ponudnika. Slovenski obligacijski zakonik za zdaj SLA ne obravnava kot samostojne vrste pogodb, zato se SLA-ji tolmačijo v okviru splošnih pravil obligacijskega prava, upoštevajoč namen posamezne pogodbe. Ker slovensko obligacijsko pravo ne določa posebnih pogojev in značilnosti za SLA, lahko pogodbene stranke načeloma prosto določajo obliko in vsebino SLA-ja. ¹ tako je v praksi posamezna vsebina SLA-ja lahko zajeta v različnih pravnih oblikah, od standardiziranih obrazcev za večjo skupino strank do posameznih določb v splošnih pogojih poslovanja. ² tipično pa SLA predstavlja pisno individualno dogovorjeno pogodbo, ki je oblikovana specifično glede na ponujene storitve in potrebe strank, lahko pa je tudi del širše pogodbe o zagotavljanju storitev. Pri tem je priporočljivo, da SLA opredeli navezavo na morebitne druge pogodbe, dogovore in splošne pogoje, ki sta jih stranki sklenili oziroma določili ločeno od SLA-ja, ter določi odnos med SLA-jem in drugimi akti ob neskladju med njimi ali če se kateri izmed aktov naknadno spremeni.

1.1. Pomen sklepanja SLA-jev

Temeljni namen SLA-ja je ureditev razmerij med ponudnikom informacijske storitve in uporabnikom te storitve, in to s ciljem, da se jasno dogovori o vseh pričakovanjih, da se določijo odgovornosti in zmanjšajo možnosti za kasnejše spore. V sloveniji smo zlasti v zadnjem desetletju v marsikateri dejavnosti priča skoraj popolni informatizaciji poslovnih procesov. Če so informacijske rešitve včasih predstavljale dodatne funkcionalnosti za izboljšanje poslovnih procesov, so danes od delovanja informacijskih rešitev v celoti odvisni tudi temeljni poslovni procesi. To pomeni, da ima nedelovanje oziroma nedostopnost teh rešitev za organizacije lahko drage posledice. Slovenska sodna praksa že pozna primere, v katerih so uporabniki informacijskih storitev od ponudnikov poskušali izterjati odškodnino zaradi zatrjevanega neustreznega izvajanja ponujene storitve in s tem povezane škode.  Sodba v išjega sodišča v Ljubljani (I Cpg 1288/2016) razkriva primer, v katerem je tožnik kot uporabnik informacijske storitve od ponudnika zahteval odškodnino, ker naj bi ponudnik z opustitvijo obveščanja o varnostnem incidentu nevede in nenaklepno olajšal izvedbo kaznivega dejanja tretji osebi in s tem uporabniku informacijske storitve povzročil materialno škodo, za katero naj bi po mnenju uporabnika storitve ponudnik storitve odgovarjal na podlagi splošne neposlovne odškodninske odgovornosti. V danem primeru zahtevana odškodnina sicer ni bila prisojena, vendar pa je v prihodnje pričakovati porast tovrstnih odškodninskih tožb uporabnikov informacijskih storitev zaradi škode, ki jo ponudniki informacijskih storitev povzročijo organizaciji uporabnika bodisi zaradi nezagotavljanja dogovorjene ravni storitev bodisi zaradi opustitve oziroma malomarnega izvajanja varnostnih ukrepov in s tem povezane škode, nastale ob varnostnih incidentih. Jasna opredelitev predmeta pogodbe v SLA-ju in jasna delitev odgovornosti in postopkov odpravljanja napak v časovnem okviru teh pogodb bo lahko ključna za nadaljnji uspeh v tovrstnih pravdah. Primarni namen SLA-ja je torej zaščita interesov obeh pogodbenih strank, ki pa je podvržena različnim tveganjem. Ponudnik storitev je v odnosu do uporabnika pogosto v nesorazmerni prednosti po poznavanju področja in tehničnih izrazov, zaradi česar je dogovor za uporabnika včasih izjemno težko razumljiv. Veliko tehničnih izrazov, ki se v praksi uporabljajo, v sektorju ni terminološko usklajenih, zato jih posamezni ponudniki tolmačijo različno, hkrati pa se pomen izrazov z razvojem tehnologij lahko spreminja. Spreminja se tudi odnos med uporabnikom in ponudnikom, saj se SLA-ji praviloma sklepajo za daljše časovno obdobje. Jasno in razumljivo oblikovan SLA lahko pomembno pripomore k obvladovanju navedenih tveganj.

1.2. Pravne podlage

1.2.1. SLOVENSKA ZAKONODAJA

Slovenski obligacijski zakonik posebnih določb, ki bi urejale področje ponujanja informacijskih storitev, za zdaj nima. Pri pravni analizi SLA-ja bi zato morali v vsakem konkretnem sklenjenem dogovoru analizirati predmet in namen pogodbe ter tako ugotoviti, katere določbe Obligacijskega zakonika so poleg splošnega dela aplikativne za konkretni SLA. Vsekakor je treba pri oblikovanju SLA-ja posebno pozornost nameniti posameznim določbam splošnega dela Obligacijskega zakonika. Pri tem bi zlasti opozorila na zahtevo Obligacijskega zakonika, ³ da mora biti pogodbena obveznost določena oziroma določljiva. Predmet SLA-ja so namreč informacijske storitve, katerih opis zahteva uporabo kompleksnih tehnoloških pojmov, terminologija pa ni poenotena in je med ponudniki lahko različna. Stranke imajo zato ob nezadostnem dodatnem opisu predmeta pogodbe lahko različne poglede na vsebino predmeta pogodbe, v skrajnih primerih pa se iz pogodbe niti ne da razbrati, katere storitve so predmet pogodbe. V takem primeru obstaja tveganje, da bo stranka izpodbijala pogodbo zaradi napak volje, ⁴ izrazito nejasno določen predmet pogodbe pa lahko pomeni celo ničnost pogodbe, saj mora biti predmet pogodbe določen oziroma določljiv. ⁵ Tudi če nejasno določen predmet pogodbe ne pripelje do neveljavnosti SLA-ja, se je treba zavedati, da SLA najpogosteje pripravi ponudnik storitve, ki v obligacijskem razmerju nastopa kot strokovnjak, zato ga zavezuje dolžnost ravnanja s skrbnostjo dobrega strokovnjaka. 6 Poleg tega Obligacijski zakonik določa, da je treba nejasna določila, če pogodbo predlaga ena stranka, razlagati v korist druge stranke. ⁷ Zato je tudi v interesu ponudnika, da predmet pogodbe določi dovolj jasno. Še dodatno varstvo v zvezi s pogodbenimi pogoji uporabnikom informacijskih storitev, ki so fizične osebe, daje z akon o varstvu potrošnikov (v nadaljnjem besedilu: ZVPot). V skladu s tem so nepošteni pogoji v takih pogodbah nični, ⁸ nejasna določila pa je treba razlagati v korist potrošnika, ⁹ ki je v danem primeru uporabnik informacijske storitve.

1.2.2. TUJE PRAVNE PODLAGE IN STANDARDI

Za zdaj ni evropskih predpisov, ki bi neposredno urejali področje v smislu predpisovanja vsebine SLA-ja. Vendar pa je pri urejanju razmerja med uporabnikom in ponudnikom kljub temu koristno upoštevati evropske akte, ki v nekaterih primerih vplivajo na obravnavani odnos. Tako med drugim pri izvajanju nekaterih informacijskih storitev uporabnik za izvajanje storitve omogoči ponudniku informacijske storitve dostop in obdelavo zbirk osebnih podatkov, ki jih upravlja. V skladu s splošno uredbo o varstvu podatkov (v nadaljnjem besedilu: GDPR) ¹⁰ bi v danem primeru uporabnika lahko razumeli kot upravljavca osebnih podatkov ¹¹ , ponudnika pa kot obdelovalca osebnih podatkov ¹². Oba subjekta bi lahko bila odškodninsko odgovorna posamezniku za škodo kot posledico ¹³ kršitve GDPR-ja. Pri tem pa je odgovornost obdelovalca omejena na neizpolnjevanje obveznosti iz GDPR-ja in prekoračitev navodil upravljavca ¹⁴. Zato je v primerih, ko uporabnik in ponudnik področja varovanja osebnih podatkov nimata urejenega v ločenem dogovoru o obdelavi osebnih podatkov, pomembno, da se v SLA-ju opredelijo tudi ključne odgovornosti obeh strank na področju varstva osebnih podatkov, katerih obdelava je vključena v izvajanje storitve. Poleg GDPR-ja je bilo na ravni evropske unije sprejetih tudi več sektorsko specifičnih aktov, spremljati pa je treba še nenehen razvoj področja. Poleg splošno veljavnih aktov se zlasti v tujini, pa tudi v sloveniji vse več storitvenih centrov odloča za pridobitev plačljivih certifikatov, ki izkazujejo skladnost njihovega poslovanja z mednarodnimi standardi. Na področju sistema upravljanja informacijskih storitev je eden takih standard IsO/IeC 20000- 1:2018, ¹⁵ ki se nanaša na dobre prakse pri vzpostavitvi ustreznih postopkov pri ponujanju informacijskih storitev. Standard pri tem določa tudi dobre prakse na področju sklepanja SLA-ja, vendar so te vezane na celotno organizacijo procesa zagotavljanja storitev, zlasti na interno organizacijo poslovanja storitvenega centra, sprejem ustreznega kataloga storitev in druge ukrepe. Zato določbe za subjekte, ki se (še) niso odločili za pridobitev certifikata, niso neposredno uporabljive, so pa lahko vir dobrih praks. Prav tako ne gre zanemariti standardov za vodenje varovanja informacij ISO/IEC 27002:2022 in IsO/IeC 27001:2013, ki se neposredno sicer ne nanašajo na vsebino SLA-ja, vendar zajemajo pomembne dobre prakse s področja informacijske varnosti, ki lahko vplivajo tudi na odgovornost posameznih strank, določenih v SLA-ju.

2. VSEBINA SLA-JA

Vsebina SLA-ja je odvisna od tipa storitve, ponudnika, uporabnika in njunega odnosa. Zato bi za kakovostno pripravljen SLA pogodbene stranke morale najprej izvesti ustrezno analizo, s katero bi med drugim ugotovile, kako uporabnik pričakuje, da bodo storitve vplivale na njegovo poslovanje, kakšne so dejanske zmožnosti ponudnika, katera tveganja izvirajo iz navedenega odnosa in s katerimi ukrepi bi ta tveganja lahko obvladovali. Ključno pri tem je, da je dogovor napisan v jasnem, nedvoumnem jeziku in da s tem odseva pogodbeno voljo obeh strank. V nadaljevanju so predstavljene vsebine, o katerih bi se ponudnik in uporabnik informacijskih storitev najpogosteje morala dogovoriti v okviru SLA-ja, in s tem povezane posebnosti SLA-ja kot pogodbe. Pri tem seznam navedenih vsebin vsekakor ne predstavlja niti izčrpnega seznama vseh vsebin niti seznama obveznih vsebin.  Vsebina SLA-ja bi morala namreč temeljiti zlasti na že omenjeni analizi potreb in volje obeh strank.

2.1. Stranke pogodbe 

V izvajanje informacijskih storitev je pogosto tako na strani ponudnika kot na strani uporabnika vključeno več pravno ali poslovno povezanih oseb. Zato je pomembno, da so v pogodbi kot stranke navedeni vsi subjekti, ki bodo dejansko vključeni v izvajanje storitve, oziroma subjekti, ki jih pogodba zavezuje oziroma na katere pogodba vpliva. Če bo namreč v pogodbi na primer kot stranka navedena zgolj matična organizacija, bo uporabnik na sodišču precej težje dokazal odgovornost ponudnika za škodo, ki je zaradi nezagotavljanja storitve nastala povezani organizaciji. Podobno bo imel ponudnik storitve, ki bi se želel razbremeniti krivde v primeru, ko storitve ni zagotavljal zaradi višje sile, ki pa ni vplivala nanj neposredno, ampak zgolj na povezano organizacijo, veliko težjo nalogo, kot če bi bila povezana organizacija stranka pogodbe.

2.2. Namen pogodbe

Pri SLA-ju je posebej priporočljivo, da se v pogodbi jasno in določno navede tudi namen sklenitve pogodbe, zlasti pri uporabniku storitve. Jasna opredelitev, kaj uporabnik od storitve pričakuje in katere poslovne procese namerava podpreti z dano storitvijo, je pomembna informacija za ponudnika pri razumevanju potreb uporabnika ter s tem povezano načrtovanje izvajanja storitve in določanje prednostnih trial. Jasna opredelitev namena ima poleg tega pomembno vlogo pri razlagi pogodbe v morebitnih kasnejših sporih. Pri tem je ključno, da je namen izražen dovolj določno. Zgolj stavek, kot je »Namen dogovora je zagotovitev konsistentne podpore in dobave It storitve stranki,« ne bo imel dodane vrednosti.  Za uporabnika storitve je pomembno, da iz SLA-ja jasno izhaja, katere poslovne procese oziroma dejavnosti storitev podpira, in da je jasno, ali storitve, ki so predmet dogovora, izvajanje zgolj podpirajo ali ga v celoti omogočajo, tako da poslovnega procesa ob izpadu storitve ni mogoče izvajati. Take pogodbene navedbe so lahko ključne pri kasnejšem tolmačenju resnosti kršitve, nujnosti pomoči in odgovornosti za škodo.

2.3. Predmet pogodbe

Pogosto je pri SLA-ju temeljni vir težav nezadostno opredeljen predmet pogodbe. Predmet pogodbe največkrat napiše ponudnik, ki uporablja lastno terminologijo, ta pa je med ponudniki istovrstnih storitev lahko različna. Hkrati lahko uporabnik kot tehnološko manj podkovana stranka ne prepozna s tem povezanih tveganj, kar lahko privede do napačnega razumevanja predmeta pogodbe. Kot je že omenjeno, pomanjkljivo določen predmet pogodbe lahko vodi v napake volje in s tem razveljavitve pogodbe, ¹⁶ v nekaterih primerih pa lahko pomeni celo ničnost pogodbe. Zato je pomembno, da SLA vsebuje dovolj natančen popis vseh storitev, ki jih uporabnik najema oziroma naroča. To pomeni, da bi bilo dobro najprej navesti vse temeljne storitve in se pri tem po možnosti sklicevati na objavljen katalog storitev ponudnika oz. storitvenega centra, če ga ponudnik seveda ima. Prav tako ključna je jasna opredelitev posameznih storitev, če želimo s SLA-jem vzpostaviti sistem merjenja kakovosti izvajanja storitve. Poleg osnovnih storitev, ki jih zagotavlja ponudnik, bi moral SLA jasno določati nabor in obseg predvidenih pomožnih storitev. Iz SLA-ja mora biti na primer jasno, katere vrste podporo zagotavlja ponudnik osnovne storitve (na primer telefonsko podporo, podporo na terenu, spletno podporo in drugo) in ali storitev vključuje izvajanje ukrepov za zagotavljanje kakovosti (kot na primer sistematične preglede delovanja storitev, spremljanja zadovoljstva in drugo). Pomembno je tudi, da je v SLA-ju jasno določeno, katere storitve niso predmet SLA-ja in so iz njega izključene, če bi glede tega lahko obstajal dvom. Nekateri SLA-ji pri tem zaradi kompleksnosti ponujenih storitev in boljše berljivosti nabor storitev opredelijo v prilogi pogodbe. Pri tem je pomembno vedeti, da so priloge praviloma sestavni del pogodbe in imajo enako pravno veljavo kot temeljna pogodba, prav tako pa zanje velja enak sistem spreminjanja kot za pogodbo. Če se stranke tega zavedajo, določanje nabora storitev v prilogi pogodbe samo po sebi ni nujno slaba praksa. Težava pa se pojavi, če stranke priloge spreminjajo drugače, kot predvideva pogodba. Tako na primer stranke včasih priloge spreminjajo brez podpisov odgovornih oseb, brez ustrezne obličnosti ali brez vzpostavljenega sistema spremljanja predhodnih različic. Stranke se morajo zavedati, da je predmet pogodbe ključna sestavina pogodbe, zato bi morali pri spreminjanju tovrstnih prilog ravnati z vso skrbnostjo. Še posebno je po moji oceni problematična praksa, kadar SLA določa le osnovne storitve, ob tem pa predvideva, da bo natančen nabor storitev določen naknadno. Čeprav se tak pristop morda zdi pragmatičen, če ponudnik šele začenja sodelovati s stranko in še ne pozna njenega poslovnega modela, lahko taka praksa vodi v nerazumevanje med ponudnikom in stranko glede pričakovanih storitev, slabe odnose med strankami in posledično pravne spore, pod vprašaj pa lahko postavi tudi samo veljavnost pogodbe.

Celoten članek je dostopen za naročnike!