NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS _ER
Correct misalignment Corrected by marina.urusova on 10/1/2019 12:05:20 PM Original version Change languages order
NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS V1909103.docx (English)NOTES ON THE MAIN ISSUES OF CLOUD COMPUTING CONTRACTS V1909105.docx (Russian)
V.19-09103V.19-09103
Notes on the Main Issues of Cloud Computing ContractsКомментарии по основным вопросам, связанным с договорами об облачных вычислениях
(prepared by the secretariat of the United Nations Commission on International Trade Law, 2019)(подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, 2019 год)
PrefaceПредисловие
UNCITRAL considered the topic of contractual aspects of cloud computing at its forty-seventh to fiftieth sessions, in 2014 to 2017, respectively, on the basis of proposals by Canada (A/CN.9/823 and A/CN.9/856), progress reports of Working Group IV (Electronic Commerce) and oral reports by the Secretariat.ЮНСИТРАЛ рассматривала тему договорных аспектов облачных вычислений на своих сорок седьмой — пятидесятой сессиях в 2014–2017 годах на основе, соответственно, предложений Канады (A/CN.9/823 и A/CN.9/856), докладов Рабочей группы IV (Электронная торговля) о ходе работы и устных докладов Секретариата.
At those sessions, UNCITRAL requested the Secretariat and the Working Group to conduct preparatory work on the topic.На этих сессиях ЮНСИТРАЛ просила Секретариат и Рабочую группу провести подготовительную работу по этой теме.
The Working Group considered the topic in detail at its fifty-fifth session (New York, 24–28 April 2017) on the basis of a note by the Secretariat (A/CN.9/WG.IV/WP.142) and at its fifty-sixth session (New York, 16–20 April 2018) on the basis of a draft checklist on contractual aspects of cloud computing prepared with the input of experts, including during an expert group meeting convened by the Secretariat in Vienna on 20 and 21 November 2017 (A/CN.9/WG.IV/WP.148).Рабочая группа подробно рассматривала эту тему на своей пятьдесят пятой сессии (Нью-Йорк, 24–28 апреля 2017 года) на основе записки Секретариата (A/CN.9/WG.IV/WP.142) и на своей пятьдесят шестой сессии (Нью-Йорк, 16–20 апреля 2018 года) на основе проекта контрольного перечня основных вопросов, касающихся договоров об облачных вычислениях, подготовленного при участии экспертов, в том числе в ходе совещания группы экспертов, созванного Секретариатом в Вене 20 и 21 ноября 2017 года (A/CN.9/WG.IV/WP.148).
Following its decision at its fifty-first session to review the draft notes on the main issues of cloud computing contracts prepared by the Secretariat before their publication, UNCITRAL, at its fifty-second session in 2019, approved the publication of the notes as amended at the session as Secretariat notes in the six official languages of the United Nations in the form of an online reference tool and a paper and electronic booklet.После принятия на пятьдесят первой сессии решения о рассмотрении подготовленного Секретариатом проекта комментариев по основным вопросам, связанным с договорами об облачных вычислениях, до их издания, ЮНСИТРАЛ на своей пятьдесят второй сессии в 2019 году утвердила издание этих комментариев с поправками, внесенными Секретариатом, на шести официальных языках Организации Объединенных Наций в форме онлайнового справочника, а также бумажного и электронного буклета.
This publication reproduces the Notes on the Main Issues of Cloud Computing Contracts as approved by UNCITRAL for publication in 2019.В настоящем издании воспроизводятся Комментарии по основным вопросам, связанным с договорами об облачных вычислениях, утвержденные ЮНСИТРАЛ для публикации в 2019 году.
ContentsСодержание
ChapterГлава
PageСтр.
IntroductionВведение
11
Part One.Часть первая.
Main pre-contractual aspectsОсновные аспекты до заключения договора
23
A.A.
Verification of mandatory law and other requirementsОпределение применимого законодательства и других требований
23
Data localizationЛокализация данных
23
Choice of a contracting partyВыбор партнера по договору
23
B.B.
Pre-contractual risk assessmentОценка рисков до заключения договора
24
Verification of information about a specific cloud computing service and a selected contracting partyПроверка информации о конкретной услуге облачных вычислений и о выбранном партнере по договору
34
IP infringement risksРиски нарушения прав ИС
35
Risks to data security, integrity, confidentiality and privacyРиски в плане безопасности, целостности, конфиденциальности и неприкосновенности данных
45
Penetration tests, audits and site visitsТесты на проникновение, проверки и посещение объектов
46
Lock-in risksРиски обособленности
46
Business continuity risksРиски прерывания деятельности
57
Exit strategiesСтратегии выхода
57
C.C.
Other pre-contractual issuesДругие вопросы, возникающие до заключения договора
57
Disclosure of informationРаскрытие информации
57
ConfidentialityКонфиденциальность
58
Migration to the cloudМиграция в облако
58
Part Two.Часть вторая.
Drafting a contractРазработка договора
79
A.A.
General considerationsОбщие соображения
79
Freedom of contractСвобода договора
79
Contract formationСоставление договора
79
Contract formФорма договора
710
Definitions and terminologyОпределения и терминология
810
Usual contract contentОбычное содержание договора
810
B.B.
Identification of contracting partiesУказание договаривающихся сторон
810
C.B.
Defining the scope and the object of the contractОпределение сферы действия и предмета договора
811
Service level agreementСоглашение об уровне обслуживания
811
Performance measurementОценка производительности
912
Acceptable use policyПолитика приемлемого использования
912
Security policyПолитика по обеспечению безопасности
1013
Data integrityЦелостность данных
1013
Confidentiality clauseПоложение о конфиденциальности
1114
Data protection/privacy policy or data processing agreementПолитика в области защиты/обеспечения неприкосновенности данных или соглашение об обработке данных
1114
Obligations arising from data breaches and other security incidentsОбязательства, возникающие в результате нарушения защиты данных и других инцидентов, связанных с нарушением безопасности
1215
Data localization requirementsТребования в отношении локализации данных
1216
D.C.
Rights to customer data and other contentПрава на данные клиента и другой контент
1317
Provider rights to customer data for the provision of servicesПрава поставщика на данные клиента для предоставления услуг
1317
Provider use of customer data for other purposesИспользование поставщиком данных клиента для других целей
1317
Provider use of customer name, logo and trademarkИспользование поставщиком названия, логотипа и торговой марки клиента
1418
Provider actions as regards customer data upon State orders or for regulatory complianceДействия поставщика в отношении данных клиента по распоряжению официальных властей или в порядке соблюдения нормативных требований
1418
Rights to cloud service-derived dataПрава на производные данные услуг облачных вычислений
1418
IP rights protection clauseПоложение о защите прав ИС
1418
Interoperability and portabilityФункциональная совместимость и возможность переноса данных
1419
Data retrieval for legal purposesИзвлечение данных в юридических целях
1519
Data deletionУдаление данных
1519
E.D.
Audits and monitoringПроверка и контроль
1520
Monitoring activitiesДеятельность по контролю
1520
Audit and security testsПроверка и тесты на безопасность
1620
F.E.
Payment termsУсловия платежа
1621
Pay-as-you-goОплата по мере оказания услуг
1621
Licensing feesЛицензионные сборы
1621
Additional costsДополнительные расходы
1721
Other payment termsПрочие условия платежа
1722
G.F.
Changes in servicesИзменения в услугах
1722
Changes in priceИзменения цен
1722
UpgradesОбновления
1723
Degradation or discontinuation of servicesУхудшение или прекращение обслуживания
1823
Notification of changesУведомление об изменениях
1823
H.G.
Suspension of servicesПриостановление обслуживания
1824
I.H.
Subcontractors, sub-providers and outsourcingСубподрядчики, субпоставщики и внешний подряд
1924
Identification of the subcontracting chainИдентификация субподрядной цепочки
1924
Changes in the subcontracting chainИзменения в субподрядной цепочке
1925
Alignment of contract terms with linked contractsСогласование условий договора со смежными договорами
1925
Liability of subcontractors, sub-providers and other third partiesОтветственность субподрядчиков, субпоставщиков и других третьих сторон
1925
J.I.
LiabilityОтветственность
2026
Statutory limitations to contractual freedomУстановленные законом ограничения на свободу договора
2026
Other considerations for drafting liability clausesДругие соображения, касающиеся разработки положений об ответственности
2027
Providers’ standard termsСтандартные условия поставщика
2127
Possible variations of standard termsВозможные варианты стандартных условий
2128
Liability insuranceСтрахование ответственности
2128
K.J.
Remedies for breach of the contractСредства правовой защиты в случае нарушения договора
2228
Types of remediesВиды средств правовой защиты
2228
Suspension or termination of servicesПриостановление или прекращение обслуживания
2228
Service creditsЛьготное обслуживание
2228
Formalities to be followed in case of the breach of the contractФормальные требования, подлежащие выполнению в случае нарушения договора
2229
L.K.
Term and termination of the contractСрок действия и прекращение договора
2329
Effective start date of the contractДата вступления договора в силу
2329
Duration of the contractСрок действия договора
2329
Earlier terminationДосрочное прекращение
2330
Termination for convenienceПрекращение по практическим соображениям
2330
Termination for breachПрекращение в результате нарушения обязательств
2330
Termination due to unacceptable modifications of the contractПрекращение вследствие неприемлемых изменений договора
2431
Termination in case of insolvencyПрекращение в случае несостоятельности
2431
Termination in case of change of controlПрекращение в случае смены контроля
2431
Inactive account clauseПоложение об отсутствии активности пользователя
2432
M.L.
End-of-service commitmentsОбязательства в связи с окончанием обслуживания
2532
Time frame for exportСроки для экспорта данных
2532
Customer access to the content subject to exportДоступ клиента к контенту, предназначаемому для экспорта
2532
Export assistance by the providerПомощь поставщика в экспорте данных
2533
Data deletionУдаление данных
2533
Post-contract retention of dataСохранение данных по окончании действия договора
2633
Post-contract confidentiality clauseПоложение о сохранении конфиденциальности после окончания действия договора
2633
Post-contract auditsПроверки после окончания действия договора
2634
Leftover account balanceОстаток средств на счете
2634
N.M.
Dispute resolutionУрегулирование споров
2634
Methods of dispute settlementМетоды урегулирования споров
2634
Arbitral proceedingsАрбитражное разбирательство
2634
Online dispute resolutionУрегулирование споров в режиме онлайн
2734
Judicial proceedingsСудебное разбирательство
2735
Retention of dataСохранение данных
2735
Limitation period for complaintsСрок исковой давности
2735
O.N.
Choice of law and choice of forum clausesПоложения о выборе права и выборе суда
2735
Considerations involved in choosing the applicable law and forumСоображения, связанные с выбором применимого права и суда
2735
Mandatory law and forumИмперативный характер норм права и суда
2836
Provider or customer home law and forumВнутригосударственное право и суд поставщика или клиента
2836
Multiple optionsРазличные варианты
2836
No choice of law or forumОтсутствие выбора права или суда
2837
P.O.
NotificationsУведомления
2937
Q.P.
Miscellaneous clausesРазличные другие положения
2937
R.Q.
Amendment of the contractИзменение договора
2937
GlossaryГлоссарий
3039
IntroductionВведение
1.1.
The present Notes address the main issues of cloud computing contracts between business entities where one party (the provider) provides to the other party (the customer) one or more cloud computing services for end use.В настоящих Комментариях рассматриваются основные вопросы, связанные с договорами об облачных вычислениях между коммерческими предприятиями, в рамках которых одна из сторон (поставщик) предоставляет другой стороне (клиенту) одну или несколько услуг облачных вычислений для конечного использования.
Contracts for resale or other forms of further distribution of cloud computing services are excluded from the scope of the Notes.Договоры о перепродаже или дальнейшем распространении услуг облачных вычислений исключены из сферы охвата Комментариев.
Also excluded from the scope of the Notes are contracts with cloud computing service partners and other third parties that may be involved in the provision of cloud computing services to the customer (e.g., contracts with subcontractors and Internet service providers).В них также не включены договоры с партнерами по предоставлению услуг облачных вычислений и с другими третьими сторонами, которые могут участвовать в предоставлении клиенту таких услуг (например, договоры с субподрядчиками и поставщиками услуг Интернета).
2.2.
Cloud computing contracts may be qualified under the applicable law as a service, rental, outsourcing, licensing, mixed or other type of contract.В соответствии с применимым законодательством договоры об облачных вычислениях могут относиться к категории договоров об услугах, аренде, подряде и лицензировании, а также смешанных и других видов договоров.
Statutory requirements as regards its form and content may vary accordingly.Нормативные требования в отношении их формы и содержания могут соответственно различаться.
In some jurisdictions, parties themselves may qualify their contract as a contract of a particular type if legislation is silent or vague on that issue;В некоторых юрисдикционных системах сами стороны могут определять, к какой конкретной категории относится их договор, если законодательство не содержит достаточно конкретных или вообще каких-либо положений по этому вопросу;
the court would take such qualification into account in interpreting the terms of the contract unless this would contradict the law, court practice, the actual intention of the parties, the factual situation or business customs or practices.такое определение будет учитываться судом при толковании условий договора, если это не будет противоречить законодательству, судебной практике, фактическим намерениям сторон, реальной ситуации или же коммерческим обычаям или практике.
3.3.
These Notes address issues that may arise from cloud computing contracts regardless of the type of cloud computing services (e.g., infrastructure as a service (IaaS), platform as a service (PaaS) or software as a service (SaaS)), their deployment model (e.g., public, community, private or hybrid) and payment terms (with or without remuneration).В настоящих Комментариях рассматриваются вопросы, которые могут возникать в связи с договорами об облачных вычислениях независимо от вида услуг облачных вычислений (например, инфраструктура как услуга (ИкУ), платформа как услуга (ПкУ) или программное обеспечение как услуга (ОкУ)), их модели развертывания (например, публичные, коллективные, частные или гибридные) и условий оплаты (за вознаграждение или безвозмездно).
The primary focus of the Notes is on contracts for the provision of public SaaS-type cloud computing services for remuneration.Основное внимание в Комментариях уделяется договорам об оказании услуг облачных вычислений по типу публичной модели ОкУ за вознаграждение.
4.4.
The ability to negotiate cloud computing contract clauses would depend on many factors, in particular on whether the contract involves standardized commoditized multi-subscriber cloud solutions or an individual tailor-made solution, whether a choice of competing offers exists, and on the bargaining positions of the potential parties.Способность согласовывать положения договора в процессе переговоров об облачных вычислениях будет зависеть от многих факторов, в частности от того, предусматривает ли договор использование стандартных коммерческих облачных решений для групп абонентов или индивидуального решения, разработанного с учетом пожеланий клиента, существует ли возможность выбора предложений конкурентов, а также от позиций потенциальных сторон на переговорах.
The ability to negotiate the terms of a contract, in particular clauses on unilateral suspension, termination or modification of the contract by the provider, as well as liability clauses, may be an important factor in choosing the provider where the choice exists.Способность обсуждать условия договора, в частности положения об одностороннем приостановлении его действия, прекращении или изменении договора поставщиком, а также положения об ответственности, может стать важным фактором при выборе поставщика в тех случаях, когда такой выбор возможен.
Although prepared primarily for parties negotiating a cloud computing contract, the Notes may also be useful for customers reviewing standard terms offered by providers to determine whether those terms sufficiently address the customer’s needs.Хотя комментарии подготовлены в основном для сторон, проводящих переговоры по договорам об облачных вычислениях, они тем не менее могут оказаться полезными и для клиентов, рассматривающих стандартные условия, предлагаемые поставщиками, с тем чтобы определить, в достаточной ли мере эти условия отражают их потребности.
5.5.
The Notes should not be regarded as an exhaustive source of information on drafting cloud computing contracts or as a substitute for obtaining any legal and technical advice and services of professional advisers.Комментарии не следует рассматривать в качестве исчерпывающего источника информации для разработки договоров об облачных вычислениях или в качестве средства, позволяющего обойтись без юридических и технических рекомендаций и услуг компетентных профессиональных консультантов.
The Notes suggest issues for consideration by potential parties before and during contract drafting, including shared responsibility for security measures, without intending to convey that all of those issues must always be considered.В Комментариях определяются вопросы, которые потенциальные стороны могут рассмотреть до и в ходе разработки договора, включая солидарную ответственность за меры безопасности, что отнюдь не указывает на необходимость рассмотрения всех этих вопросов во всех без исключения случаях.
The various solutions discussed in the Notes will not govern the relationship between the parties unless they expressly agree upon such solutions, or unless the solutions result from provisions of the applicable law.Различные решения, обсуждаемые в Комментариях, не будут определять взаимоотношения сторон, если стороны прямо не договорятся о таких решениях или если такие решения не будут вытекать из положений применимого законодательства.
Headings and subheadings used in the Notes and their sequence are not to be regarded as mandatory or as suggesting any preferred structure or style for a cloud computing contract.Используемые в комментариях заголовки и подзаголовки, а также их последовательность не следует толковать как обязательные или предполагающие какую-либо предпочтительную структуру или стиль изложения договора об облачных вычислениях.
The form, content, style and structure of cloud computing contracts may vary significantly, reflecting various legal traditions, drafting styles, legal requirements and parties’ needs and preferences.Форма, содержание, стиль изложения и структура договоров об облачных вычислениях могут существенно различаться в зависимости от разных правовых традиций, редакционного стиля, требований законодательства, а также потребностей и предпочтений сторон.
6.6.
Lastly, the Notes are not intended to express the position of the United Nations Commission on International Trade Law (UNCITRAL) or its secretariat on the desirability of concluding cloud computing contracts.Наконец, Комментарии не преследуют цель отразить позицию Комиссии Организации Объединенных Наций по праву международной торговли (ЮНСИТРАЛ) или ее Секретариата в отношении целесообразности заключения договоров об облачных вычислениях.
7.7.
The Notes consist of two parts and a glossary: part one addresses the main pre-contractual aspects that potential parties may wish to consider before entering into a cloud computing contract;Комментарии состоят из двух частей и глоссария: часть первая посвящена рассмотрению основных аспектов до заключения договора, которые потенциальные стороны, возможно, пожелают изучить до заключения договора об облачных вычислениях;
part two addresses the main contractual issues that negotiating parties may face while drafting a cloud computing contract;часть вторая посвящена рассмотрению основных договорных вопросов, с которыми могут столкнуться договаривающиеся стороны при разработке договора об облачных вычислениях;
and the glossary describes some technical terms used in the checklist, to facilitate understanding.а в глоссарии даются определения ряда технических терминов, используемых в контрольном перечне, для облегчения понимания.
Part One.Часть первая.
Main pre-contractual aspectsОсновные аспекты до заключения договора
A.A.
Verification of mandatory law and other requirementsОпределение применимого законодательства и других требований
8.8.
The legal framework applicable to the customer, the provider or both may impose conditions for entering into a cloud computing contract.Нормативно-правовая база, применимая к клиенту, поставщику или к обоим, может определять условия заключения договора об облачных вычислениях.
Such conditions may also stem from contractual commitments, including intellectual property (IP) licences.Такие условия могут также вытекать из договорных обязательств, включая лицензии на использование прав интеллектуальной собственности (ИС).
The parties should in particular be aware of laws and regulations related to personal data, consumer protection, cybersecurity, export control, customs, tax, trade secrets, IP-specific and sector-specific regulation that may be applicable to them and their future contract.Стороны должны быть, в частности, осведомлены о законодательстве и нормативных актах по таким вопросам, как персональные данные, защита потребителей, кибербезопасность, экспортный контроль, таможенные процедуры, налоги, коммерческая тайна, нормативные акты по вопросам ИС и отраслевые нормы, которые могут быть применимы по отношению к ним и их будущему договору.
Non-compliance with mandatory requirements may have significant negative consequences, including invalidity or unenforceability of a contract or part thereof, administrative fines and criminal liability.Несоблюдение обязательных требований может иметь серьезные негативные последствия, включая недействительность или неисполнимость договора или его части, административные штрафы и уголовную ответственность.
9.9.
Conditions for entering into a cloud computing contract may vary by sector and jurisdiction.Условия заключения договора об облачных вычислениях могут различаться в зависимости от сектора и юрисдикционной системы.
They may include requirements to take special measures for the protection of data subjects’ rights, to deploy a particular model (e.g., private cloud as opposed to public cloud), to encrypt data placed in the cloud and to register with State authorities a transaction or a software used in the processing of personal data.Они могут включать требования в отношении принятия специальных мер для защиты прав субъектов данных, развертывания конкретной модели (например, частного, а не публичного облака), шифрования данных, размещаемых в облаке, и регистрации сделки или программного обеспечения, используемого при обработке персональных данных, в государственных органах.
They may also include data localization requirements, as well as requirements regarding the provider.Они могут включать также требования в отношении локализации данных, а также требования, касающиеся поставщика.
Data localizationЛокализация данных
10.10.
Data localization requirements may arise in particular from the law applicable to personal data, accounting data, as well as public sector data and export control laws and regulations that may restrict the transfer of certain information or software to or from particular countries or a region.Требования в отношении локализации данных могут вытекать, в частности, из законодательства, применимого к персональным данным, данным бухгалтерского учета, а также данным публичного сектора, и из законодательства и нормативно-правовых актов об экспортном контроле, которые могут ограничивать передачу тех или иных видов информации или программного обеспечения в определенные страны или регион или же из таких стран или региона.
Compliance with data localization requirements set forth in the applicable law would be of paramount importance for the parties.Соблюдение требований в отношении локализации данных, установленных в применимом законодательстве, будет иметь первостепенное значение для сторон.
The contract would not be able to override those requirements.Положения договора не могут отменять такие требования.
11.11.
Data localization requirements may also arise from contractual commitments (e.g., IP licences that require the licensed content to be stored on the user’s own secured servers).Требования в отношении локализации данных могут быть также обусловлены договорными обязательствами (например, лицензиями на использование ИС, которые требуют хранения лицензированного контента на собственных защищенных серверах пользователя).
Data localization may be preferred for purely practical reasons, for example to reduce latency, which may be especially important for real-time operations, such as stock exchange trading.Локализация данных может быть предпочтительным вариантом по чисто практическим соображениям, например, в целях сокращения времени ожидания, что может иметь особое значение для операций в режиме реального времени, например для биржевых операций.
(On contractual data localization safeguards, see part two, paras. 74–75 and 78.)(О договорных гарантиях в отношении локализации данных, см. часть вторую, пункты 74–75 и 78.)
Choice of a contracting partyВыбор партнера по договору
12.12.
The choice of a contracting party may be restricted, in addition to market conditions, by statutory requirements.Выбор партнера по договору может быть ограничен не только вследствие рыночных факторов, но также в силу требований действующего законодательства.
There may be a statutory prohibition on entering into a cloud computing contract with foreign persons, persons from certain jurisdictions or persons not accredited/certified with competent State authorities.Закон может запрещать заключение договора об облачных вычислениях с иностранными лицами, лицами из определенных юрисдикционных систем или лицами, которые не прошли аккредитацию/сертификацию в соответствующих государственных органах.
There may be a requirement for a foreign person to form a joint venture with a national entity or to acquire local licenses and permissions, including export control permissions, for the provision of cloud computing services in a particular jurisdiction.Могут существовать требования в отношении создания иностранным лицом совместного предприятия с национальным субъектом или получения местных лицензий или разрешений, включая разрешения, обусловленные экспортным контролем, для предоставления услуг облачных вычислений в рамках конкретной юрисдикционной системы.
Data localization requirements (see paras. 10–11 above) as well as statutory obligations on either party to disclose or provide access to the data and other content to foreign State authorities may also influence the choice of a contracting party.Выбор партнера по договору может также зависеть от требований в отношении локализации данных (см. пункты 10–11 выше), а также предусмотренных законом обязательств любой из сторон, касающихся раскрытия данных и другого контента и предоставления к ним доступа официальным властям иностранного государства.
B.B.
Pre-contractual risk assessmentОценка рисков до заключения договора
13.13.
The applicable mandatory law may require a risk assessment as a precondition to entering into a cloud computing contract.Императивные нормы применимого законодательства могут предусматривать проведение оценки рисков в качестве предварительного условия заключения договора об облачных вычислениях.
Even in the absence of statutory requirements, the parties may decide to undertake a risk assessment that might help them to identify risk mitigation strategies, including the negotiation of appropriate contractual clauses.Даже в отсутствие установленных законом требований стороны могут принять решение о проведении оценки рисков, которая может помочь им определить стратегии снижения рисков, включая согласование соответствующих договорных положений.
14.14.
Not all risks arising from cloud computing contracts would be cloud-specific.Не все риски, вытекающие из договоров об облачных вычислениях, характерны исключительно для облачных технологий.
Some risks would be handled outside a cloud computing contract (e.g., risks arising from online connectivity interruptions) and not all risks could be mitigated at an acceptable cost (e.g., reputational damage).Некоторые из них могут возникать вне сферы действия договора об облачных вычислениях (например, риски, связанные с нарушением онлайновой связи), и не все риски можно преодолеть с приемлемыми издержками (например, ущерб репутации).
In addition, risk assessment would not be a one-off event before concluding a contract.Кроме того, оценка рисков не является разовым мероприятием, предшествующим заключению договора.
Risk assessment could be ongoing throughout the duration of the contract, and risk assessment outcomes may necessitate amendment or termination of the contract.Оценка рисков должна быть процессом, который будет происходить постоянно на протяжении всего срока действия договора и результаты которого могут потребовать внесения в договор поправок или его прекращения.
Verification of information about a specific cloud computing service and a selected contracting partyПроверка информации о конкретной услуге облачных вычислений и о выбранном партнере по договору
15.15.
The following information may be relevant to the parties when they consider employing a specific cloud computing service and selecting a contracting party:При рассмотрении сторонами вопроса об использовании конкретной услуги облачных вычислений и выборе партнера по договору важной для них может быть следующая информация:
(a)a)
IP licenses required for using a specific cloud computing service;лицензии на использование прав ИС, необходимые для использования конкретной услуги облачных вычислений;
(b)b)
The privacy, confidentiality and security policies in place, in particular as regards prevention of unauthorized access, use, alteration or destruction of the data during processing, transit or transfer using the cloud computing infrastructure;действующая политика в области обеспечения неприкосновенности, конфиденциальности и защиты данных, в частности в отношении предупреждения несанкционированного доступа, использования, изменения или уничтожения данных при их обработке, транзите или передаче с использованием инфраструктуры облачных вычислений;
(c)c)
Measures in place to ensure the ongoing access to metadata, audit trails and other logs demonstrating security measures;действующие меры по обеспечению постоянного доступа к метаданным, контрольным записям и другим журналам, свидетельствующим о принятии мер по обеспечению безопасности;
(d)d)
The existing disaster recovery plan and notification obligations in the case of a security breach or system malfunction;наличие плана восстановления в случае аварий и обязательств по уведомлению в случае нарушения безопасности или сбоя в работе системы;
(e)e)
Policies in place as regards migration-to-the-cloud and end-of-service assistance as well as interoperability and portability;действующая политика в отношении оказания помощи при миграции в облако и окончании обслуживания, а также функциональной совместимости и возможности переноса данных;
(f)f)
The existing measures for vetting and training of employees, subcontractors and other third parties involved in the provision of the cloud computing services;принимаемые меры для проверки и обучения работников, субподрядчиков и других третьих сторон, участвующих в предоставлении услуг облачных вычислений;
(g)g)
Statistics on security incidents and information about past performance with disaster recovery procedures;статистические данные по инцидентам, связанным с нарушением безопасности, и информация о реализованных в прошлом процедурах восстановления в случае аварий;
(h)h)
Certification by an independent third party on compliance with technical standards;сертификация независимой третьей стороной на предмет соблюдения технических стандартов;
(i)i)
Information indicating regularity and extent of audit by an independent body;информация о регулярности и масштабах проверок, проводимых независимым органом;
(j)j)
Financial viability;финансовая жизнеспособность;
(k)k)
Insurance policies;политика в области страхования;
(l)l)
Possible conflicts of interest;возможная коллизия интересов;
(m)m)
Extent of subcontracting and layered cloud computing services;степень использования субподряда и многоуровневых услуг облачных вычислений;
(n)и n)
Extent of isolation of data and other content in the cloud computing infrastructure;степень изоляции данных и другого контента в инфраструктуре облачных вычислений;
andи
(o)o)
Expected reciprocal roles and shared responsibilities of the parties for security measures.ожидаемые взаимные функции и солидарная ответственность сторон за меры безопасности.
IP infringement risksРиски нарушения прав ИС
16.16.
IP infringement risks may arise if, for example, the provider is not the owner or developer of the resources that it provides to its customers, but rather uses them under an IP licence arrangement with a third party.Риски нарушения прав ИС могут возникать, например, в тех случаях, когда поставщик не является владельцем или разработчиком ресурса, который он предоставляет своим клиентам, а выступает в качестве его пользователя по соглашению о лицензии на использование ИС с третьей стороной.
IP infringement risks may also arise if the customer is required, for the implementation of the contract, to grant to the provider a licence to use the content that the customer intends to place in the cloud.Риски нарушения прав ИС могут также возникать, если для осуществления договора клиент обязан предоставить поставщику лицензию на использование контента, который этот клиент намерен разместить в облаке.
In some jurisdictions, storage of the content on the cloud even for backup purposes may be qualified as a reproduction and require prior authorization from the IP rights owner.В некоторых юрисдикционных системах хранение контента в облаке — даже в целях создания резервной копии — может квалифицироваться как воспроизведение и потребовать предварительного разрешения на это со стороны обладателя прав ИС.
17.17.
It is in the interests of both parties to ensure before the conclusion of the contract that the use of the cloud computing services would not constitute an infringement of IP rights and a cause for the revocation of the IP licences granted to either of them.Обе стороны заинтересованы в том, чтобы удостовериться до заключения договора, что использование услуг облачных вычислений не будет являться нарушением прав ИС и основанием для отзыва лицензий на использование ИС, выданных той или иной стороне.
Costs of IP infringement may be very high.Издержки, связанные с нарушением прав ИС, могут оказаться весьма высокими.
The right to sublicense may need to be arranged, or a direct licence arrangement may need to be concluded with the relevant third-party licensor under which the right to manage the licences will be granted.Возможно потребуется получить право на сублицензию или же заключить прямое соглашение о лицензировании с соответствующей третьей стороной-лицензиаром, в соответствии с которым будет предоставлено право на использование лицензий третьих сторон.
The use of open source software or other content may necessitate obtaining an advance consent from third parties and disclosing the source code with any modifications made to open source software or other content.Использование программного обеспечения или другого контента с открытыми исходными кодами может потребовать получения предварительного согласия от третьих сторон, а также раскрытия исходного кода с любыми изменениями, внесенными в программное обеспечение или другой контент с открытыми исходными кодами.
Risks to data security, integrity, confidentiality and privacyРиски в плане безопасности, целостности, конфиденциальности и неприкосновенности данных
18.18.
Migration of all or part of data to the cloud leads to the customer’s loss of exclusive control over that data and of the ability to deploy the necessary measures to guarantee data integrity and confidentiality or to verify whether data processing and retention are being handled adequately.Миграция всех или части данных в облако приводит к утрате клиентом исключительного контроля над этими данными и возможности принимать необходимые меры для гарантирования целостности и конфиденциальности данных или проверки того, осуществляется ли обработка и хранение данных надлежащим образом.
The extent of the loss of control will depend on the type of cloud computing service.Степень утраты контроля будет зависеть от вида услуг облачных вычислений.
19.19.
Inherent features of cloud computing services such as broad network access, multi-tenancy and resource pooling may require from the parties more precautions to prevent interception of communications and other cyberattacks that may lead to the loss or compromise of credentials for access to cloud computing services, data loss and other security breaches.Такие особенности услуг облачных вычислений, как широкий сетевой доступ, коллективная аренда и объединение ресурсов, могут потребовать от сторон принятия дополнительных мер предосторожности для предотвращения перехвата сообщений и других кибератак, которые могут привести к утрате или повреждению регистрационных данных для доступа к услугам облачных вычислений, потере данных и другим нарушениям безопасности.
Adequate isolation of resources and data segregation and robust security procedures are especially important in a shared environment such as cloud computing.Надлежащая изоляция ресурсов и разделение данных, а также надежные процедуры обеспечения безопасности имеют особенно важное значение в такой общей среде, как облачные вычисления.
20.20.
Security measures will be the shared responsibility of the parties in the cloud computing environment regardless of the type of cloud computing services employed.В условиях облачных вычислений стороны будут нести солидарную ответственность за принятие мер безопасности независимо от вида используемых услуг.
Pre-contractual risk assessment provides a good opportunity for the parties to eliminate any ambiguity in defining their roles and responsibilities related to data security, integrity, confidentiality and privacy.Оценка рисков до заключения договора дает сторонам возможность устранить любую неясность в определении их функций и обязанностей, связанных с обеспечением безопасности, целостности, конфиденциальности и неприкосновенности данных.
Contractual clauses will play an important role in reflecting the agreement of the parties on the mutual allocation of risks and liabilities related to those and other aspects of the provision of cloud computing services (see part two, paras. 125–137).Договорные положения будут играть важную роль в отражении договоренности сторон относительно распределения между ними рисков и ответственности в связи с этими и другими аспектами предоставления услуг облачных вычислений (см. часть вторую, пункты 125–137).
Those clauses will not be able to override mandatory provisions of law.Эти положения не могут иметь преимущественную силу по сравнению с императивными положениями законодательства.
Penetration tests, audits and site visitsТесты на проникновение, проверки и посещение объектов
21.21.
Steps may be taken at the pre-contractual stage to verify the adequacy of isolation of resources, data segregation, identification procedures and other security measures.На этапе, предшествующем заключению договора, можно предпринять шаги для проверки адекватности изоляции ресурсов, разделения данных, процедур идентификации и других мер безопасности.
They should aim at identifying possible additional precautions that may need to be taken by the parties to prevent data security breaches and other malfunctions in the provision of the cloud computing services to the customer.Они должны быть направлены на определение возможных дополнительных мер предосторожности, которые могут потребоваться сторонам для предотвращения нарушений безопасности данных и других сбоев при предоставлении клиенту услуг облачных вычислений.
22.22.
Laws and regulations may require audits, penetration tests and physical inspection of data centres involved in the provision of the cloud computing services, in particular to ascertain that their location complies with statutory data localization requirements (see paras. 10–11 above).Законодательство и нормативные акты могут предусматривать проведение проверок, тестов на проникновение и физических инспекций центров данных, участвующих в предоставлении услуг облачных вычислений, в частности для установления того, отвечает ли их местонахождение предусмотренным законом требованиям в отношении локализации данных (см. пункты 10–11 выше).
The parties would need to agree on conditions for undertaking those activities, including their timing, allocation of costs and indemnification for any possible damage caused by those activities.Сторонам необходимо будет договориться об условиях проведения таких мероприятий, включая время их проведения, распределение расходов и предоставление возмещения за любой возможный ущерб, причиненный в результате этих мероприятий.
Lock-in risksРиски обособленности
23.23.
Avoiding or reducing lock-in risks, often arising from the lack of interoperability and portability, may be one of the most important considerations for the parties.Одним из наиболее важных соображений для сторон может быть избежание или снижение рисков обособленности, часто возникающих из-за отсутствия функциональной совместимости и возможности переноса данных.
Higher lock-in risks may arise from long-term contracts and from automatically renewable short- and medium-term contracts.Более высокие риски обособленности могут возникать в случае долгосрочных договоров и автоматически возобновляемых краткосрочных и среднесрочных договоров.
24.24.
Risks of application and data lock-ins are especially high in SaaS and PaaS.Риски обособленности прикладных программ и данных особенно высоки в случае ОкУ и ПкУ.
Data may exist in formats specific to one cloud system that will not be usable in other systems.Данные могут существовать в форматах, которые используются только в одной облачной системе и не могут использоваться в других системах.
In addition, a proprietary application or system used to organize data may require adjustment of licensing terms to allow operation in a different network.Кроме того, использование патентованной прикладной программы или системы для организации данных может потребовать корректировки условий лицензирования для обеспечения возможности работать в другой сети.
Programs to interact with the application programming interfaces (API) may need to be rewritten to take into account the new system’s API.Возможно, потребуется переписать программы для взаимодействия с интерфейсами прикладных программ (ППИ), с тем чтобы учесть ППИ новой системы.
High switching costs may also arise from the need to retrain end users.Высокие затраты при переходе на другую систему могут быть также обусловлены необходимостью переподготовки конечных пользователей.
25.25.
In PaaS, there could also be runtime lock-in since runtimes (i.e., software designed to support the execution of computer programs written in a specific programming language) are often heavily customized (e.g., aspects such as allocating or freeing memory, debugging, etc.).В случае ПкУ также может существовать потребность в синхронизации среды исполнения, поскольку рабочие программы (т.е. программное обеспечение, предназначенное для поддержки работы компьютерных программ, написанных на определенном языке программирования) часто носят сугубо индивидуальный характер (например, в таких аспектах, как выделение или освобождение памяти, отладка программ и т.д.).
In IaaS, lock-in varies depending on the specific infrastructure services consumed.В случае ИкУ обособленность зависит от конкретных потребляемых инфраструктурных услуг.
Like in PaaS, some infrastructure services may lead to application lock-in if the service depends on specific policy features (e.g., access controls).Как и в случае ПкУ, некоторые инфраструктурные услуги также могут привести к обособленности прикладных программ, если конкретная услуга зависит от специфических основных функций (например, контроль доступа).
Some infrastructure services may also lead to data lock-in if more data are moved to the cloud for storage.Некоторые инфраструктурные услуги могут также привести к обособленности данных, если для хранения в облако переносится все больше данных.
26.26.
At the pre-contractual stage, tests could be run to verify whether data and other content can be exported to another system and made usable there.На этапе, предшествующем заключению договора, могут быть проведены тесты для проверки возможности экспортировать в другую систему и использовать там данные и другой контент.
Synchronization between cloud and in-house platforms and replication of data elsewhere may be needed.Может потребоваться синхронизация облачной платформы с платформой собственной системы и создание копии данных в другом месте.
Transacting with more than one party and opting for a combination of various types of cloud computing services and their deployment models (i.e., multi-sourcing), although possibly with cost and other implications, may be an important part of the mitigating strategy against lock-in risks.Заключение сделок с несколькими сторонами и сочетание различных видов услуг облачных вычислений и их моделей развертывания (т.е. диверсификация поставщиков) хотя и могут быть сопряжены с дополнительными расходами и другими последствиями, но могут стать важными элементами стратегии, направленной на смягчение рисков обособленности.
Contractual clauses may also assist with mitigating lock-in risks (see part two, in particular, paras. 84–86 and 144).Смягчению таких рисков могут также способствовать положения договора (см. часть вторую, в частности, пункты 84–86 и 144).
Business continuity risksРиски прерывания деятельности
27.27.
The parties may be concerned about business continuity risks not only in anticipation of the scheduled termination of the contract, but also of its possible unilateral suspension or earlier termination, including when either party may no longer be in business.У сторон могут вызывать озабоченность риски прерывания деятельности не только в преддверии запланированного окончания действия договора, но и в связи с его возможным односторонним приостановлением или досрочным прекращением, включая случаи, когда одна из сторон может прекратить коммерческую деятельность.
The law may require putting in place in advance an appropriate strategy to ensure business continuity, in particular in order to avoid the negative impact of termination or suspension of the cloud computing services on end users.Законодательство может содержать требование о заблаговременной разработке соответствующей стратегии для обеспечения непрерывности деятельности, в частности в целях недопущения негативных последствий прекращения или приостановления предоставления услуг облачных вычислений для конечных пользователей.
Contractual clauses may also assist with mitigating business continuity risks (see part two, paras. 109-111, 114–115, 153, 173 and 182).Смягчению рисков прерывания деятельности также могут способствовать договорные положения (см. часть вторую, пункты 109–111, 114–115, 153, 173 и 182).
Exit strategiesСтратегии выхода
28.28.
For successful exit strategies, parties may need to clarify from the outset: (a) the content that will be subject to exit (e.g., only the data that the customer entered in the cloud or also cloud service-derived data);Для успешного осуществления стратегий выхода сторонам, возможно, необходимо будет с самого начала уточнить: a) какой контент будет подлежать выводу (например, только данные, размещенные клиентом в облаке, или также производные данные услуг облачных вычислений);
(b) any amendments that would be required to IP licenses to enable the use of that content in another system;b) какие поправки потребуется внести в лицензии на использование ИС, с тем чтобы этот контент можно было использовать в другой системе;
(c) control of decryption keys and access to them;c) порядок осуществления контроля за ключами шифрования и предоставления доступа к ним;
and (d) the time period required to complete the exit.и d) срок, необходимый для завершения выхода.
End-of-service contractual clauses usually reflect the agreement of the parties on those issues (see part two, paras. 157–167).Договоренность сторон по этим вопросам обычно находит отражение в положениях договора, касающихся окончания обслуживания (см. часть вторую, пункты 157–167).
C.C.
Other pre-contractual issuesДругие вопросы, возникающие до заключения договора
Disclosure of informationРаскрытие информации
29.29.
The applicable law may require the parties to a contract to provide to each other information that would allow them to make an informed choice about the conclusion of the contract.Применимое законодательство может обязывать стороны договора предоставить друг другу информацию, которая позволит им принять продуманное решение в отношении заключения договора.
The absence, or the lack of clear communication to the other party, of information necessary to make the object of the obligation determined or determinable prior to contract conclusion may make a contract or part thereof null and void or entitle the aggrieved party to claim damages.Непредоставление информации или предоставление другой стороне недостаточно четкой информации, которая необходима для того, чтобы определить или позволить определить объект обязательства до заключения договора, может лишить договор или его часть юридической силы или же дать потерпевшей стороне право требовать возмещения ущерба.
30.30.
In some jurisdictions, pre-contractual information may be considered an integral part of the contract.В некоторых юрисдикционных системах информация, предоставляемая до заключения договора, может рассматриваться в качестве неотъемлемой части договора.
In such cases, the parties would need to ensure that such information is appropriately recorded and that any mismatch between that information and the contract itself is avoided.В таких случаях сторонам необходимо обеспечить, чтобы эта информация была надлежащим образом зафиксирована и чтобы не возникало несоответствия между такой информацией и самим договором.
The parties would also need to deal with concerns over the impact of pre-contractually disclosed information on flexibility and innovation at the contract implementation stage.Сторонам необходимо также решить проблемы, связанные с последствиями раскрытия информации до заключения договора для применения гибкого и инновационного подхода на этапе его исполнения.
ConfidentialityКонфиденциальность
31.31.
Some information disclosed at the pre-contractual stage may be considered confidential, in particular as regards security, identification and authentication measures, subcontractors and the location and type of data centres (which in turn may identify the type of data stored there and access thereto by local or foreign State authorities).Часть информации, раскрываемой до заключения договора, можно считать конфиденциальной, в частности в том, что касается мер безопасности, идентификации и аутентификации, субподрядчиков и местонахождения и типа центров данных (которая в свою очередь позволяет определить тип хранимых в них данных и доступ к ним местных или иностранных государственных органов).
The parties may agree that certain information disclosed at the pre-contractual stage should be treated as confidential.Сторонам, возможно, необходимо будет договориться о том, что определенная информация, раскрываемая до заключения договора, будет считаться конфиденциальной.
Written confidentiality undertakings or non-disclosure agreements may be required also from third parties involved in pre-contractual due diligence (e.g., auditors).Третьим сторонам, участвующим в обеспечении надлежащей осмотрительности на этапе до заключения договора (например, аудиторам), возможно, также необходимо будет подписать обязательства о соблюдении конфиденциальности или соглашения о неразглашении информации.
Migration to the cloudМиграция в облако
32.32.
Before migration to the cloud, the customer would usually be expected to classify data to be migrated to the cloud and secure it according to its level of sensitivity and criticality and inform the provider about the level of protection required for each type of data.Перед миграцией в облако клиенту обычно необходимо определить степень конфиденциальности данных, подготовленных к миграции в облако, и обеспечить их защиту с учетом степени их чувствительности и важности, а также сообщить поставщику об уровне защиты, необходимой для каждого вида данных.
The customer may also be expected to supply to the provider other information necessary for the provision of the services (e.g., the customer’s data retention and disposition schedule, user identity and access management mechanisms and procedures for access to the encryption keys if necessary).Клиенту, возможно, потребуется также направить поставщику другую информацию, необходимую для предоставления услуг (например, графики хранения и утилизации данных клиента, механизмы идентификации пользователей и управления доступом и, при необходимости, процедуры доступа к ключам шифрования).
33.33.
In addition to the transfer of data and other content to the provider’s cloud, migration to the cloud may involve installation, configuration, encryption, tests and training of the customer’s staff and other end users.Помимо переноса данных и другого контента в облако поставщика миграция в облако может быть связана с установкой, конфигурацией, шифрованием, тестированием, а также подготовкой персонала клиента и других конечных пользователей.
Those aspects may be part of the customer contract with the provider or be the subject of a separate agreement of the customer with the provider or third parties, such as cloud computing service partners.Эти аспекты могут быть частью договора клиента с поставщиком или стать предметом отдельного соглашения клиента с поставщиком или третьими лицами, такими как партнеры по предоставлению услуг облачных вычислений.
Extra costs may arise.Это может быть сопряжено с дополнительными затратами.
Parties involved in the migration would normally agree on their roles and responsibilities during migration, terms of their engagement, the format in which the data or other content is to be migrated to the cloud, timing of migration, an acceptance procedure to ascertain that the migration was performed as agreed and other details of the migration plan.Сторонам, участвующим в процессе миграции, обычно необходимо согласовать распределение функций и обязанностей в ходе этого процесса, условия своего участия, формат, в котором данные или другой контент будут переноситься в облако, время проведения миграции, процедуры акцептирования для подтверждения выполнения миграции в согласованном порядке и другие элементы плана миграции.
Part two.Часть вторая.
Drafting a contractРазработка договора
A.A.
General considerationsОбщие соображения
Freedom of contractСвобода договора
34.34.
The widely recognized principle of freedom of contract in business transactions allows parties to enter into a contract and to determine its content.Широко признанный принцип свободы договора в коммерческих сделках позволяет сторонам заключать договоры и определять их содержание.
Restrictions on freedom of contracts may stem from legislation on non-negotiable terms applicable to particular types of contract or rules that sanction abuse of rights and harm to public order, morality and so forth. The consequences of non-compliance with those restrictions may range from unenforceability of a contract or part thereof to civil, administrative or criminal liability.Ограничения свободы договора могут вытекать из законодательства о не подлежащих пересмотру условиях, применимого к определенным видам договоров, или же из норм, предусматривающих наказание за злоупотребление правами и нанесение ущерба общественному порядку, морали и т.п. Последствия несоблюдения этих ограничений могут быть самыми различными, начиная с неисполнимости договора или его части и кончая гражданской, административной или уголовной ответственностью.
Contract formationСоставление договора
35.35.
The concepts of offer and acceptance have traditionally been used to determine whether and when the parties have reached an agreement as regards their respective legal rights and obligations that will bind them over the duration of the contract.Для определения того, достигли ли стороны — а если достигли, то когда — согласия в отношении соответствующих юридических прав и обязанностей, которые будут иметь для них обязательную силу в течение срока действия договора, традиционно используются концепции оферты и акцепта.
The applicable law may require certain conditions to be fulfilled for a proposal to conclude a contract to constitute a final binding offer (e.g., the proposal is to be sufficiently definite as regards the covered cloud computing services and payment terms).Для того, чтобы предложение заключить договор представляло собой имеющую обязательную силу окончательную оферту, применимое право может требовать соблюдения определенных условий (например, такое предложение должно быть достаточно определенным в том, что касается предусматриваемых услуг облачных вычислений и условий платежа).
36.36.
The contract is concluded when the acceptance of the offer becomes effective.Договор считается заключенным, когда акцепт оферты вступает в силу.
There could be different acceptance mechanisms (e.g., for the customer clicking a check box on a web page, registering online for a cloud computing service, starting to use cloud computing services or paying a service fee;Могут применяться различные механизмы акцепта (например, для клиента это отметка в контрольном окошке на веб-странице, регистрация в онлайновом режиме в качестве пользователя услуг облачных вычислений, начало использования услуг облачных вычислений или внесение платы за эти услуги;
for the provider starting or continuing to provide services;для поставщика это начало или продолжение предоставления услуг;
and for both parties signing a contract online or on paper).и для обеих сторон это подписание договора в режиме онлайн или в бумажной форме).
Material changes to the offer (e.g., as regards liability, quality and quantity of the cloud computing services to be delivered or payment terms) may constitute a counteroffer that requires acceptance by the other party for a contract to be concluded.Существенные изменения оферты (например, в том, что касается ответственности, качества и количества предоставляемых услуг облачных вычислений или условий платежа) могут представлять собой встречную оферту, которую необходимо будет акцептовать другой стороне для того, чтобы договор был заключен.
37.37.
Standardized commoditized multi-subscriber cloud solutions are as a rule offered through interactive applications (e.g., “click-wrap” agreements).Стандартные коммерческие облачные решения для групп абонентов, как правило, предлагаются через интерактивные приложения (например, соглашения по «нажатию кнопки»).
There may be no or very little room for negotiating and adjusting the standard offer.Стандартная оферта либо вообще не предусматривает, либо предусматривает лишь ограниченные возможности для переговоров и корректировки.
Clicking “I accept”, “OK” or “I agree” is the only step expected to be taken to conclude the contract.Нажатие на экране кнопки «Я принимаю условия», «Да» или «Я согласен» является единственным ожидаемым действием для заключения договора.
Where negotiation of a contract is involved, contract formation may consist of a series of steps, including preliminary exchange of information, negotiations, delivery and acceptance of an offer and the contract’s preparation.Если речь идет о согласовании договора в процессе переговоров, то его составление может включать целый ряд шагов, включая предварительный обмен информацией, проведение переговоров, направление и акцепт оферты и подготовку самого договора.
Contract formФорма договора
38.38.
Cloud computing contracts are typically concluded online.Договоры об облачных вычислениях, как правило, заключаются в режиме онлайн.
They may be called differently (a cloud computing service agreement, a master service agreement or terms of service (TOS)) and may comprise one or more documents such as an acceptable use policy (AUP), a service level agreement (SLA), a data processing agreement or data protection policy, security policy and license agreement.Они могут называться по-разному (соглашение о предоставлении услуг облачных вычислений, генеральное соглашение об обслуживании или условия предоставления услуг (УПУ)) и могут состоять из одного или нескольких документов, таких как политика приемлемого использования (ППИ), соглашение об уровне обслуживания (СУО), соглашение об обработке данных или политика по защите данных, политика по обеспечению безопасности и лицензионное соглашение.
39.39.
The legal rules applicable to cloud computing contracts may require that the contract be in writing, especially where personal data processing is involved, and that all documents incorporated by reference be attached to the master contract.Нормы законодательства, применимые к договорам об облачных вычислениях, могут требовать заключения договора в письменной форме, особенно если речь идет об обработке персональных данных, и включения в приложение к основному договору всех документов, на которые в договоре делается ссылка.
Even when written form is not required, for ease of reference, clarity, completeness, enforceability and effectiveness of the contract, the parties may decide to conclude a contract in writing with all ancillary agreements incorporated thereto.Даже если письменная форма не требуется, для удобства пользования и ясности, а также для обеспечения полноты, исполнимости и действительности договора стороны могут договориться о его заключении в письменной форме с включением в него всех вспомогательных соглашений.
40.40.
The signing of a contract on paper may be required under the applicable law for specific purposes such as tax purposes, although that type of requirement is becoming rare in an increasingly paperless environment.Применимое законодательство может предусматривать подписание в конкретных случаях, например для целей налогообложения, договора на бумаге, хотя такие требования предъявляются все реже ввиду расширения использования небумажных носителей.
Definitions and terminologyОпределения и терминология
41.41.
Due to the nature of cloud computing services, cloud computing contracts contain by necessity many technical terms.В силу самого характера услуг облачных вычислений договоры об облачных вычислениях неизбежно будут содержать большое количество технических терминов.
The glossary of terms may be included in the contract, as may definitions of main terms used throughout the contract, to avoid ambiguities in their interpretation.В договоры можно включать глоссарий терминов, а также определения основных терминов, используемых в тексте договора, с тем чтобы избежать двусмысленности при их толковании.
The parties may wish to consider using internationally established terminology for the purpose of ensuring consistency and legal clarity.Для обеспечения согласованности и юридической ясности стороны, возможно, пожелают рассмотреть вопрос об использовании терминологии, принятой в международной практике.
Usual contract contentОбычное содержание договора
42.42.
A contract normally: (a) identifies the contracting parties;В договоре обычно: a) указываются договаривающиеся стороны;
(b) defines the scope and object of the contract;b) определяется сфера действия и предмет договора;
(c) specifies rights and obligations of the parties, including payment terms;c) определяются права и обязательства сторон, включая условия платежа;
(d) establishes the duration of the contract and conditions for its termination and renewal;d) устанавливается срок действия договора и условия его прекращения и возобновления;
(e) identifies remedies for breach and exemptions from liability;e) указываются средства правовой защиты в случае нарушения договора и условия освобождения от ответственности;
and (f) specifies the effects of termination of the contract.и f) указываются последствия прекращения действия договора.
It also usually contains clauses on dispute resolution and choice of law and choice of forum.Договор обычно содержит также положения об урегулировании споров, выборе права и выборе суда.
The content, style and structure of contracts may vary significantly, reflecting various legal traditions, drafting styles, legal requirements and parties’ needs and preferences.Содержание, стиль изложения и структура договоров могут существенно различаться в зависимости от разных правовых традиций, редакционного стиля, требований законодательства, а также потребностей и предпочтений сторон.
B.B.
Identification of contracting partiesУказание договаривающихся сторон
43.43.
The correct identification of contracting parties may have a direct impact on the formation and enforceability of the contract.Правильное указание договаривающихся сторон может непосредственно повлиять на процесс составления и исполнимость договора.
The applicable law would specify the information needed to ascertain the legal personality of a business entity and its capacity to enter into a contract.В применимом законодательстве конкретно указывается информация, необходимая для подтверждения правосубъектности коммерческого предприятия и его способности заключать договор.
The law may require additional information for specific purposes, for example, an identification number for tax purposes or power of attorney to ascertain the power of a natural person to sign and commit on behalf of a legal entity.Законодательство может предусматривать необходимость предоставления дополнительной информации для конкретных целей, например, идентификационного номера для целей налогообложения или доверенности для подтверждения полномочий физического лица подписывать документы и принимать обязательства от имени юридического лица.
C.C.
Defining the scope and the object of the contractОпределение сферы действия и предмета договора
44.44.
Objects of cloud computing contracts vary substantially in their type and complexity given the range of cloud computing services.Предметы договоров об облачных вычислениях существенно различаются по типу и сложности в зависимости от характера услуг облачных вычислений.
Within the duration of a single contract, the object may change: some cloud computing services may be cancelled and other services may be added.В течение срока действия отдельного договора его предмет может меняться: одни услуги облачных вычислений могут быть отменены, а другие услуги добавлены.
The object of the contract may comprise the provision of core, ancillary and optional services.Предметом договора может быть предоставление базовых, вспомогательных и факультативных услуг.
45.45.
The description of the object of the contract usually includes a description of a type of cloud computing services (SaaS, PaaS, IaaS or a combination thereof), their deployment model (public, community, private or hybrid), their technical, quality and performance characteristics and any applicable technical standards.Описание предмета договора обычно включает описание определенной категории услуг облачных вычислений (ОкУ, ПкУ, ИкУ или их сочетание), их модели развертывания (публичная, коллективная, частная или гибридная) и их технических, качественных и эксплуатационных характеристик, а также любых применимых технических стандартов.
Several documents comprising the contract may be relevant for determining the object of the contract (see para. 38 above).Для определения предмета договора может потребоваться несколько документов, образующих договор (см. пункт 38 выше).
Service level agreementСоглашение об уровне обслуживания
46.46.
The service level agreement (SLA) contains performance parameters against which the delivery of the cloud computing services, the extent of the contractual obligations and possible contractual breaches of the provider will be measured.В соглашении об уровне обслуживания (СУО) указываются параметры производительности, исходя из которых оценивается предоставление услуг облачных вычислений, степень выполнения договорных обязательств и возможные нарушения договора поставщиком.
Information technology specialists are normally involved in the formulation of the performance parameters.В разработке параметров производительности обычно участвуют специалисты по информационным технологиям.
47.47.
Quantitative performance parameters usually relate to capacity (a specified capacity of data storage or specified amount of memory available to the running program), downtime or outages, latency, persistency of data storage, uptime, support services (e.g., during the customer’s operating hours or 24/7), and incident and disaster management and recovery plans.Количественные параметры производительности обычно касаются емкости (оговоренная емкость хранилища данных или оговоренный объем памяти, выделяемый для задействованной программы), времени простоя или отключения, времени ожидания, надежности хранения данных, времени работоспособности, вспомогательных услуг (например, в обычные часы работы клиента или круглосуточно семь дней в неделю) и планов управления и восстановления в случае инцидентов и аварий.
The latter may include the maximum incident resolution time, the maximum first response time, recovery point objectives and recovery time objectives.Последние могут включать максимальное время устранения инцидента, максимальное время первой реакции, целевые точки восстановления и целевое время восстановления.
48.48.
Qualitative performance parameters may relate to data deletion, data localization requirements, portability, security and data protection/privacy.Качественные параметры производительности могут относиться к удалению данных, требованиям в отношении локализации данных, возможности переноса данных, безопасности и защите/неприкосновенности данных.
Some aspects of service may be measured against both qualitative and quantitative performance parameters.Некоторые аспекты обслуживания могут оцениваться как по качественным, так и по количественным параметрам.
For example, elasticity and scalability may be defined with reference to both the maximum available resources within a specified minimum period and the quality and security of the measures that may need to be adapted to the varying degrees of sensitivity of the stored customer data.Например, эластичность и масштабируемость могут определяться с учетом как максимального объема имеющихся ресурсов в течение оговоренного минимального срока, так и качества и безопасности мер, которые, возможно, потребуется адаптировать к различной степени чувствительности хранящихся данных клиента.
Encryption may be expressed as a defined bit value at rest, in transit and in use.Шифрование может быть выражено как определенные значения битов в состоянии покоя, при транзите и при использовании.
In addition to or instead of such a quantitative parameter, encryption may be measured against a qualitative parameter (e.g., the provider is to ensure that customer data are encrypted whenever they are transported over a public communication network and whenever they are at rest in data centres used by the provider).В дополнение к такому количественному параметру или вместо него шифрование может быть определено с помощью качественного параметра (например, поставщик должен обеспечить шифрование данных клиента при их передаче по общедоступной сети и всякий раз, когда они находятся в состоянии покоя в используемых поставщиком центрах обработки данных).
49.49.
Different commitments (i.e., obligations of result or of best efforts) could be agreed upon depending in particular on the terms of payment and whether standardized commoditized multi-subscriber solutions are provided.Могут быть согласованы различные обязательства (т.е. обязательства, связанные с результатом или использованием всех имеющихся средств) с учетом, в частности, условий оплаты и возможного предоставления стандартных коммерческих решений для групп абонентов.
The type of commitment would have implications, including for the burden of proof in case of dispute.Каждый вид обязательств будет иметь свои последствия, в том числе в плане бремени доказывания в случае возникновения спора.
Performance measurementОценка производительности
50.50.
The parties may include in the contract a measurement methodology and procedures, specifying in particular a reference period for the measurement of services (daily, weekly, monthly, etc.), service delivery reporting mechanisms (i.e., the frequency and form of such reporting), the role and responsibilities of the parties and metrics to be used (e.g., metrics at the point of provision or at the point of consumption of services).Стороны могут включить в договор методологию и процедуры оценки с указанием, в частности, базового периода для оценки услуг (ежедневно, еженедельно, ежемесячно), механизмов отчетности о предоставлении услуг (периодичность и форма таких отчетов), функций и обязанностей сторон и используемых оценочных показателей (например, оценочных показателей в точке предоставления или в точке потребления услуг).
The parties may agree on an independent measurement of performance and how the related costs are to be allocated.Стороны могут договориться о проведении независимой оценки производительности и порядке распределения связанных с этим расходов.
51.51.
The customer is normally interested in measuring services during peak hours, i.e., when they are most needed.Клиент, как правило, заинтересован в оценке услуг в период пиковой нагрузки, т.е. когда спрос на услуги является наибольшим.
The customer is usually able to measure (or verify the measurements provided by the provider or third parties) only those metrics that are based on performance at the point of consumption, but not those based on system performance at the point of provision of services.Клиент обычно может провести оценку или проверить результаты оценки, проведенной поставщиком или третьими сторонами, только по тем показателям, которые касаются производительности в точке потребления, а не по тем, которые характеризуют производительность системы в точке предоставления услуг.
The customer may be able to evaluate the performance at the point of provision of services based on reports provided by the provider or third parties.Клиент может оценить производительность системы в точке предоставления услуг на основе отчетов, предоставляемых поставщиком или третьими сторонами.
The provider may agree to provide the customer with performance reports on demand, either periodically (daily, weekly, monthly, etc.) or following a particular incident.Поставщик может согласиться предоставлять клиенту отчет о производительности по требованию, либо периодически (ежедневно, еженедельно, ежемесячно и т.д.), либо после конкретного инцидента.
Alternatively, the provider may agree to grant the customer the right to review the provider’s records related to the service-level measurements.В качестве альтернативы он может согласиться предоставить клиенту право знакомиться с отчетами поставщика, касающимися оценки уровня обслуживания.
Some providers enable customers to monitor data on service performance in real time.Некоторые поставщики предоставляют клиенту возможность отслеживать данные о производительности в режиме реального времени.
52.52.
The contract may oblige either or both parties to maintain records about the provision and consumption of services for a certain time.Договор может обязывать каждую из сторон или обе стороны вести учет предоставления и потребления услуг в течение определенного времени.
Such information may be useful in negotiating any amendments to the contract and in case of disputes.Такая информация может оказаться полезной при согласовании любых поправок к договору или в случае возникновения спора.
Acceptable use policyПолитика приемлемого использования
53.53.
An acceptable use policy (AUP) sets out conditions for use by the customer and its end users of the cloud computing services covered by the contract.Политика приемлемого использования (ППИ) определяет условия использования клиентом и его конечными пользователями услуг облачных вычислений, охватываемых договором.
It aims at protecting the provider from liability arising out of the conduct of their customers and customers’ end users.Она призвана обеспечить защиту поставщика от ответственности, вытекающей из действий его клиентов или конечных пользователей клиентов.
Any potential customer is expected to accept such a policy, which will form part of the contract with the provider.Ожидается, что любой потенциальный клиент согласится с такой политикой и что она станет частью договора с поставщиком.
The vast majority of standard AUPs prohibit a consistent set of activities that providers consider to be improper or illegal uses of cloud computing services.В подавляющем большинстве случаев стандартная ППИ запрещает определенный набор видов деятельности, которые рассматриваются поставщиком как ненадлежащее или незаконное использование услуг облачных вычислений.
AUP may restrict not only the type of content that may be placed on the cloud but also the customer’s right to give access to data and other content placed on the cloud to third parties (e.g., nationals of certain countries or persons included in sanctions lists).ППИ может ограничивать не только виды контента, которые могут быть размещены в облаке, но также и право клиента предоставлять третьим сторонам доступ к данным и другому контенту, размещенному в облаке (например, гражданам определенных стран или лицам, включенным в санкционные списки).
The parties may agree to remove some prohibitions to accommodate specific business needs of the customer to the extent that such removal would be permissible under law.Стороны могут договориться отменить некоторые запреты в целях удовлетворения конкретных коммерческих потребностей клиента в той мере, в какой такая отмена будет допускаться законом.
54.54.
It is usual for provider’s standards terms to require that customer’s end users also comply with AUP and to oblige the customer to use its best efforts or commercially reasonable efforts to ensure such compliance.Стандартные условия поставщика обычно содержат требование о том, чтобы конечные пользователи клиента также выполняли условия ППИ, и обязывают клиента прилагать все усилия или коммерчески разумные усилия для обеспечения выполнения этих условий.
Some providers may require customers to affirmatively prevent any unauthorized or inappropriate use by third parties of the cloud computing services offered under the contract.Некоторые поставщики могут потребовать от клиентов принятия решительных мер по предупреждению любого несанкционированного или ненадлежащего использования третьими сторонами услуг облачных вычислений, предоставляемых в соответствии с договором.
The parties may agree on limited obligations, for example, that the customer will communicate AUP to known end users, not authorize or knowingly allow such uses, and notify the provider of all unauthorized or inappropriate uses of which it becomes aware.Стороны могут достичь договоренности относительно ограниченных обязательств, например о том, что клиент будет сообщать условия ППИ известным конечным пользователям, не будет разрешать или сознательно допускать несанкционированное или ненадлежащее использование услуг, а также будет уведомлять поставщика о всех случаях такого использования, о которых ему станет известно.
55.55.
In a few jurisdictions, the law could impose duties on the provider as regards the content hosted on its cloud computing infrastructure, e.g., the duty to report illegal material to public authorities.В некоторых юрисдикционных системах закон может налагать на поставщика обязанности в отношении контента, размещенного в его инфраструктуре облачных вычислений, например обязанность сообщать официальным органам о незаконных материалах.
Those duties may be non-transferrable to the customer or to end users by AUP or otherwise.Эти обязанности не могут быть переданы клиенту или конечным пользователям ППИ или каким-либо иным образом.
They might have privacy and other ramifications and would be among factors considered in choosing a suitable provider (see part one, para. 12).Они могут влиять на конфиденциальность и иметь другие последствия и наряду с другими показателями будут учитываться при выборе подходящего поставщика (см. часть первую, пункт 12).
Security policyПолитика по обеспечению безопасности
56.56.
Security of the system, including customer data security, involves shared responsibilities of the parties.Безопасность системы, включая безопасность данных клиента, предполагает солидарную ответственность сторон.
The contract would need to specify reciprocal roles and responsibilities of the parties as regards security measures, reflecting obligations that may be imposed by mandatory law on either or both parties.В договоре необходимо будет указать взаимные функции и обязанности сторон в отношении мер безопасности, отражающие обязательства, которые могут быть предусмотрены императивными нормами для каждой стороны или для обеих сторон.
57.57.
Usually, the provider will follow its security policies.Обычно поставщики применяют собственные правила обеспечения безопасности.
In some cases, although not in standardized commoditized multi-subscriber solutions, it might be possible to reach an agreement that the provider will follow the customer’s security policies.В некоторых случаях, за исключением стандартных коммерческих решений для групп абонентов, можно договориться, что поставщик будет применять правила обеспечения безопасности, принятые клиентом.
The contract may specify security measures (e.g., requirements for sanitization or deletion of data in the damaged media, the storage of separate packages of data in different locations, the storage of the customer’s data on specified hardware that is unique to the customer).В договоре могут быть предусмотрены конкретные меры безопасности (например, требования в отношении санации или удаления данных с поврежденных носителей, хранение отдельных пакетов данных в различных местах, хранение данных клиента на определенных серверах, выделенных исключительно данному клиенту).
Excessive disclosure of security information in the contract may, however, be risky.Тем не менее чрезмерное раскрытие в договоре информации, касающейся безопасности, может быть сопряжено с определенными рисками.
58.58.
Some security measures do not presuppose the other party’s input but rely exclusively on the relevant party’s routine activities, such as inspections by the provider of the hardware on which the data is stored and on which the services run, and effective measures to ensure controlled access thereto.Некоторые меры безопасности не предполагают участия другой стороны, а обеспечиваются исключительно в рамках повседневной деятельности соответствующей стороны, например в ходе проводимых поставщиком инспекций аппаратных средств, на которых хранятся данные и с помощью которых предоставляются услуги, а также за счет эффективных мер по обеспечению контролируемого доступа к такому оборудованию.
In other cases, allowing the party to perform its duties or evaluate and monitor the quality of security measures delivered may presuppose the input of the other party.В других случаях предоставление одной стороне возможности выполнять свои соответствующие обязанности или оценивать и контролировать качество принимаемых мер безопасности может предполагать участие другой стороны.
The customer, for example, would be expected to update lists of users’ credentials and their access rights and inform the provider of changes in time to ensure the proper identity and access management mechanisms.Клиент, например, будет обязан обновлять перечни реквизитов пользователей и их права доступа и своевременно информировать поставщика об изменениях для обеспечения надлежащих механизмов идентификации и управления доступом.
The customer would also be expected to inform the provider about the level of security to be allocated to each category of data.Клиент будет также обязан сообщить поставщику, какой уровень безопасности следует обеспечить в отношении каждой категорий данных.
59.59.
Some threats to security may be outside the contractual framework between the customer and the provider and may require the terms of the cloud computing contract to be aligned with other contracts of the provider and the customer (e.g., with Internet service providers).Некоторые угрозы для безопасности могут находиться вне сферы действия договора между клиентом и поставщиком и, возможно, потребуют согласования условий договора об облачных вычислениях с условиями других договоров поставщика и клиента (например, договоров с поставщиками услуг Интернета).
Data integrityЦелостность данных
60.60.
Providers’ standard contracts may contain a general disclaimer that the ultimate responsibility for preserving the integrity of the customer’s data lies with the customer.В стандартных договорах поставщиков может содержаться общая оговорка о том, что ответственность за сохранение целостности данных клиента в конечном счете несет сам клиент.
61.61.
Some providers may be willing to undertake data integrity commitments (for example, regular backups), possibly for an additional payment.Некоторые поставщики могут выразить готовность принять на себя обязательства по обеспечению целостности данных (например, путем регулярного создания резервных копий), возможно, за дополнительную плату.
Regardless of the contractual arrangements with the provider, the customer may wish to consider whether it is necessary to secure access to at least one usable copy of its data outside the provider’s and its subcontractors’ control, reach or influence and independently of their participation.Независимо от условий договора с поставщиком клиент, возможно, пожелает рассмотреть вопрос о необходимости обеспечения доступа по крайней мере к одной пригодной для использования копии своих данных вне сферы контроля, доступа или влияния поставщика и его субподрядчиков и без их участия.
Confidentiality clauseПоложение о конфиденциальности
62.62.
The provider’s willingness to commit to ensuring the confidentiality of customer data depends on the nature of services provided to the customer under the contract, in particular whether the provider will be required to have unencrypted access to data for the provision of those services.Готовность поставщика принять обязательства по обеспечению конфиденциальности данных клиента зависит от характера услуг, предоставляемых клиенту в соответствии с договором, в частности от того, будет ли поставщику необходимо иметь некодированный доступ к данным для предоставления таких услуг.
Some providers may not be in a position to offer a confidentiality or non-disclosure clause and may expressly waive any duty of confidentiality regarding customer data.Одни поставщики могут быть не в состоянии предложить какое-то положение о конфиденциальности и нераскрытии данных и могут прямо отказаться от какой-либо ответственности за обеспечение конфиденциальности данных клиента.
Other providers may be willing to assume liability for confidentiality of data disclosed by the customer during contract negotiations, but not for data processed during service provision.Другие поставщики могут согласиться взять на себя ответственность за обеспечение конфиденциальности только тех данных, которые были раскрыты клиентом в ходе переговоров по договору, но не данных, обрабатываемых в процессе предоставления услуг.
Some standard confidentiality clauses offered by providers may not be sufficient to ensure compliance with applicable law.Некоторых предлагаемых поставщиками стандартных положений о конфиденциальности может оказаться недостаточно для обеспечения соблюдения применимого законодательства.
63.63.
In the absence of contractual commitments and statutory obligations on the provider to maintain confidentiality, the customer may have full responsibility for keeping data confidential (e.g., through encryption).В отсутствие договорных обязательств и предусмотренных законом обязательств поставщика обеспечивать конфиденциальность клиент может нести полную ответственность за сохранение конфиденциальности данных (например, посредством шифрования).
Where it is not possible to negotiate a general confidentiality clause applicable to all customer data placed in the cloud, the parties may agree on confidentiality commitments as regards some sensitive data (with a separate liability regime for breach of confidentiality of such data).Если невозможно согласовать общее положение о конфиденциальности, применимое ко всем данным клиента, размещенным в облаке, стороны могут договориться относительно обязательств по обеспечению конфиденциальности некоторых категорий чувствительных данных (с отдельным режимом ответственности за нарушение конфиденциальности таких данных).
The customer may in particular be concerned about its trade secrets, know-how and information that it is required to keep confidential under law or commitments to third parties.Особую обеспокоенность клиент может испытывать в отношении коммерческой тайны, производственных секретов и информации, конфиденциальность которой необходимо обеспечивать в соответствии с законодательством или обязательствами перед третьими сторонами.
The parties may agree to restrict access to such data to a limited set of personnel and to require individual confidentiality commitments from them, in particular from those with high-risk roles (e.g., system administrators, auditors and persons dealing with intrusion detection reports and incident response).Стороны могут договориться о предоставлении доступа к таким данным ограниченному числу сотрудников и потребовать от каждого из них принятия индивидуальных обязательств по обеспечению конфиденциальности данных, особенно от тех сотрудников, функции которых сопряжены с повышенными рисками (например, системных администраторов, инспекторов и лиц, отвечающих за выявление вторжений в систему и принятие мер реагирования на инциденты).
In those cases, the customer would normally specify to the provider such information, the required level of protection, any applicable law or contractual requirements and any changes affecting such information, including any changes in the applicable law.В таких случаях клиент обычно сообщает поставщику, какая информация является конфиденциальной, какой уровень защиты необходим, какое законодательство или договорные требования являются применимыми и какие изменения вносятся в такую информацию, включая любые изменения в применимом законодательстве.
64.64.
In some cases, the disclosure of customer data may be necessary for the fulfilment of the contract.В одних случаях для исполнения договора может потребоваться раскрытие данных клиента.
In other cases, the disclosure may be mandated by law, for example, under the duty to provide information to competent State authorities (see para. 82 below).В других случаях раскрытие информации может предусматриваться законом, например в рамках обязательства предоставлять информацию компетентным государственным органам (см. пункт 82 ниже).
Appropriate exceptions to confidentiality clauses would thus be warranted.Поэтому необходимо будет предусмотреть соответствующие исключения из положений о конфиденциальности.
65.65.
The provider may in turn impose on the customer the obligation not to disclose information about the provider’s security arrangements and other details of services provided to the customer under the contract or law.В свою очередь поставщик, возможно, пожелает обязать клиента не раскрывать информацию в отношении мер безопасности поставщика и другие данные, касающиеся услуг, предоставляемых клиенту в соответствии с договором или законодательством.
Data protection/privacy policy or data processing agreementПолитика в области защиты/обеспечения неприкосновенности данных или соглашение об обработке данных
66.66.
Personal data are subject to special protection by law in many jurisdictions.Персональные данные пользуются особой защитой в соответствии с законодательством многих юрисдикционных систем.
Law applicable to personal data processing may be different from the law applicable to the contract.Применимое к обработке персональных данных законодательство может отличаться от законов, применимых к договорам.
It will override any non-compliant contractual clauses.Оно будет иметь преимущественную силу по отношению к любым договорным положениям, не соответствующим такому законодательству.
67.67.
The contract may include a data protection or privacy clause, data processing agreement or similar type of agreement, although some providers may agree only to the general obligation to comply with applicable data protection laws.Договор может содержать положение о защите или обеспечении неприкосновенности данных, соглашение об обработке данных или аналогичное соглашение, хотя отдельные поставщики могут согласиться только выполнять общее обязательство соблюдать применимое законодательство о защите данных.
In some jurisdictions, such general commitment may be insufficient: the contract would need to stipulate at a minimum the subject matter and the duration, nature and purpose of the personal data processing, the type of personal data and categories of data subjects and the obligations and rights of the data controller and the data processor.В некоторых юрисдикционных системах выполнения такого общего обязательства может оказаться недостаточно: в договоре необходимо будет указать, как минимум, предмет, продолжительность, характер и цель обработки персональных данных, тип персональных данных и категории субъектов данных, а также обязательства и права контролера данных и обработчика данных.
Where it is not possible to negotiate a data protection clause in the contract, the customer may wish to review standard terms to determine whether the provisions give the customer sufficient guarantees of lawful personal data processing and adequate remedies for damages.Если согласовать положение о защите данных в договоре невозможно, клиент, возможно, пожелает по меньшей мере ознакомиться со стандартными условиями, с тем чтобы определить, обеспечивают ли эти положения клиенту достаточные гарантии правомерной обработки персональных данных, а также надлежащие средства правовой защиты для возмещения ущерба.
68.68.
The customer will likely be the data controller and will assume responsibility for compliance with the data protection law in respect of personal data collected and processed in the cloud.Клиент, вероятно, будет выступать в роли контролера данных и возьмет на себя ответственность за соблюдение законодательства о защите данных в отношении персональных данных, собранных и обрабатываемых в облаке.
The parties may agree on contractual clauses aimed at ensuring compliance with the applicable data protection regulations, including requests related to the data subjects’ rights.Стороны могут согласовать договорные положения, направленные на обеспечение соблюдения применимых положений о защите данных, включая выполнение просьб, касающихся прав субъектов данных.
The parties may also agree on separate remedies should those clauses be breached, including unilateral termination of the contract and compensation for damages.На случай невыполнения этих положений стороны могли бы также согласовать отдельные средства правовой защиты, включая возможность одностороннего прекращения действия договора и возмещение нанесенного ущерба.
69.69.
Providers’ standard contracts usually stipulate that the provider does not assume any data controller role.Стандартные договоры поставщиков обычно предусматривают, что поставщик не берет на себя никаких функций контролера данных.
The provider will likely act as the data processor only when it processes the customer’s data according to instructions of the customer for the sole purpose of providing the cloud computing services.Поставщик скорее будет выступать только в качестве обработчика данных в процессе обработки данных клиента согласно инструкциям клиента исключительно с целью предоставления услуг облачных вычислений.
In some jurisdictions, the provider may, however, be regarded as the data controller, regardless of contractual clauses, when it further processes data for its own purposes or upon instructions of State authorities and could thus assume full responsibility for personal data protection in respect of that further personal data processing (see para. 125 below).Тем не менее в некоторых юрисдикционных системах поставщика можно рассматривать в качестве контролера данных, независимо от договорных положений, в тех случаях, когда он продолжает обработку данных в собственных целях или по указанию официальных органов, и в связи с такой дальнейшей обработкой персональных данных поставщик может нести полную ответственность за обеспечение защиты персональных данных (см. пункт 125 ниже).
Obligations arising from data breaches and other security incidentsОбязательства, возникающие в результате нарушения защиты данных и других инцидентов, связанных с нарушением безопасности
70.70.
The parties may be required under law or contract (or both) to notify each other immediately of a security incident of relevance to the contract or any suspicion thereof that becomes known to them.В соответствии с законодательством или договором или в силу того и другого стороны могут быть обязаны незамедлительно направлять друг другу уведомления об инцидентах, связанных с нарушением безопасности, имеющих отношение к договору, или о любых подозрениях на этот счет, о которых им становится известно.
That obligation may be in addition to general notification of a security incident that may be required under law to inform all relevant stakeholders (including data subjects, insurers and State authorities, or the public at large) in order to prevent or minimize the impact of security incidents.Такое обязательство может дополнять требование направлять общее уведомление об инцидентах, связанных с нарушением безопасности, которое может быть предусмотрено законодательством в целях информирования всех заинтересованных сторон, включая субъектов данных, страховщиков и официальные органы, для предупреждения или минимизации последствий инцидентов, связанных с нарушением безопасности.
71.71.
The law may contain specific security incident notification requirements, including the timing of notification, and identify the persons responsible for complying with them.Законодательство может содержать конкретные требования в отношении уведомления об инциденте, связанном с нарушением безопасности, включая сроки направления уведомления, и определять лиц, отвечающих за их соблюдение.
Subject to those mandatory provisions, the parties may specify in the contract the notification period (e.g., one day after the party becomes aware of the incident or threat), the form and content of the security incident notification.С учетом таких императивных положений стороны могут указать в договоре сроки направления уведомления (например, через день после того, как сторона узнает об инциденте или угрозе), форму и содержание уведомления об инциденте, связанном с нарушением безопасности.
The latter usually includes circumstances and the cause of the incident, type of affected data, the steps to be taken to resolve the incident, the time at which the incident is expected to be resolved and any contingency plan to employ while the incident is being resolved.Последнее обычно включает обстоятельства и причину инцидента, тип затронутых данных, шаги, которые необходимо предпринять для урегулирования инцидента, время, когда планируется урегулировать инцидент, и любой план действий в чрезвычайных обстоятельствах, который будет использоваться во время урегулирования инцидента.
It may also include information on failed breaches, attacks against specific targets (per customer user, per specific application, per specific physical machine), trends and statistics.Может быть также включена информация о предотвращенных нарушениях, атаках на конкретные цели (в расчете на одного клиента-пользователя, конкретную прикладную программу, конкретную физическую машину), тенденциях и статистики.
Any notification requirements normally take into account the need not to disclose any sensitive information that could lead to the compromise of the affected party’s system, operations or network.Любые требования в отношении уведомлений должны, как правило, учитывать недопустимость раскрытия любой чувствительной информации, которое может нанести ущерб системам, операциям или сети затронутой стороны.
72.72.
The provider, the customer, or both, including by involving a third party, may be required by law or contract to take measures after a security incident (so-called “post-incident steps”), including the isolation or quarantine of affected areas, the performance of root cause analysis and the production of an incident analysis report.Законодательство или договор могут обязывать поставщика, клиента или обе стороны, в том числе с привлечением третьей стороны, принимать после инцидента, связанного с нарушением безопасности, меры (так называемые «меры, принимаемые после инцидента»), включая изоляцию или карантин затронутых зон, проведение анализа коренных причин и подготовку отчета по результатам анализа инцидента.
The incident analysis report may be produced by the affected party or by the affected party jointly with the other party or by an independent third party.Такой отчет может быть подготовлен затронутой стороной или затронутой стороной совместно с другой стороной или независимой третьей стороной.
Post-incident steps may vary depending on the categories of data stored in the cloud and other factors.Меры, принимаемые после инцидента, могут варьироваться в зависимости от категорий данных, хранящихся в облаке, и других факторов.
73.73.
A serious security incident resulting in, for example, a loss of data may lead to the termination of the contract.В случае серьезного инцидента, связанного с нарушением безопасности, повлекшего, например, утрату данных, действие договора может быть прекращено.
Data localization requirementsТребования в отношении локализации данных
74.74.
Providers’ standard terms may expressly reserve the right of the provider to store customer data in any country in which the provider or its subcontractors operate.Стандартные условия поставщика могут прямо предусматривать резервирование за поставщиком права хранить данные клиента в любой стране, в которой поставщик или его субподрядчики осуществляют свою деятельность.
Such a practice will most likely be followed even in the absence of an explicit contractual right, since it is implicit in the provision of cloud computing services that they are provided, as a general rule, from more than one location (e.g., backup and antivirus protection may be remote, and support may be provided in a global “follow-the-sun” model).Такая практика скорее всего будет применяться даже в отсутствие прямо закрепленного в договоре права, поскольку предоставление услуг облачных вычислений подразумевает, что, как правило, они будут предоставляться более чем из одной точки (например, создание резервных копий данных и защита от вирусов могут осуществляться дистанционно, а поддержка может предоставляться по глобальной схеме «следуй за солнцем»).
That practice may not comply with data localization requirements applicable to either or both parties (see part one, paras. 10–11).Такая практика может не отвечать требованиям в отношении локализации данных, применимым к одной или обеим сторонам (см. часть первую, пункты 10–11).
75.75.
Safeguards ensuring compliance with data localization requirements may be included in the contract, such as a prohibition on moving data and other content outside the specified location or a requirement of prior approval of such moves by the other party.В договор могут быть включены гарантии, обеспечивающие соблюдение требований в отношении локализации данных, например запрещение перемещать данные и другой контент за пределы определенного места или требование о получении предварительного согласия другой стороны на такое перемещение.
For example, an SLA qualitative performance parameter may be included to ensure that the customer data (including any copy, metadata and backup thereof) would be stored exclusively in data centres physically located in the jurisdictions indicated in the contract and owned and operated by entities established in those jurisdictions.Например, для обеспечения хранения данных клиента (включая любые копии, метаданные и их резервные копии) исключительно в центрах данных, которые физически находятся в пределах юрисдикционных систем, указанных в договоре, и принадлежат предприятиям, учрежденным в этих юрисдикционных системах, и управляются ими, в СУО можно включить специальный качественный параметр производительности.
Alternatively, the parameter may specify, for example, that data should never be moved outside a specific country or region but may be duplicated in a particular third country or elsewhere, but never in a specific country.В качестве альтернативы в таком параметре можно, например, указать, что данные никогда не должны перемещаться за пределы конкретной страны или региона, но могут дублироваться в определенной третьей стране или где-либо еще, но никогда в какой-то конкретной стране.
D.D.
Rights to customer data and other contentПрава на данные клиента и другой контент
Provider rights to customer data for the provision of servicesПрава поставщика на данные клиента для предоставления услуг
76.76.
Providers usually reserve the right to access customer data on a “need-to-know” basis.Поставщики обычно резервируют право доступа к данным клиента на основе принципа «необходимо знать».
That arrangement would allow access to customer data by the provider’s employees, subcontractors and other third parties (e.g., auditors) where necessary for the provision of the cloud computing services (including maintenance, support and security purposes) and for monitoring compliance with applicable AUP, IP licences, SLA and other contractual documents.Такая договоренность позволяет предоставить сотрудникам поставщика, субподрядчикам и другим третьим сторонам (например, аудиторам) доступ к данным клиента в тех случаях, когда это необходимо для предоставления услуг облачных вычислений (включая эксплуатационное обслуживание, техническую поддержку и обеспечение безопасности), а также для контроля за соблюдением используемых ППИ, лицензий на использование прав ИС, СУО и других договорных документов.
The parties may agree on circumstances when the provider’s access to customer data would be allowed and measures that would ensure confidentiality and integrity of customer data.Стороны могут согласовать ситуации, в которых поставщику будет разрешен доступ к данным клиента, и меры, которые обеспечат конфиденциальность и целостность данных клиента.
77.77.
Certain rights to access customer data can be considered to be implicitly granted by the customer to the provider by requiring a certain service or feature: without those rights, the provider would not be able to perform the services.Отдельные права на доступ к данным клиента можно рассматривать как косвенно предоставленные поставщику клиентом, который нуждается в той или иной услуге или функции: без этих прав поставщик не сможет предоставить услуги.
For example, if the provider is required to regularly back up customer data, the fulfilment of that task necessitates the right to copy the data.Так, например, если поставщик обязан регулярно делать резервные копии данных клиента, то выполнение этой задачи неизбежно предусматривает предоставление права копировать данные.
Likewise, if subcontractors are to handle customer data, the provider must be able to transfer the data to them.Точно так же в случаях, когда с данными клиента должны работать субподрядчики, поставщик должен иметь возможность передать им эти данные.
78.78.
The contract may explicitly indicate which are the rights concerning data required for the performance of the contract that the customer grants to the provider, whether and to what extent the provider is entitled to transfer those rights to third parties (e.g., its subcontractors) and the geographical and temporal extent of the granted or implied rights.В договоре может быть прямо указано, какие права в отношении данных, необходимые для выполнения договора, клиент предоставляет поставщику, имеет ли поставщик право — и в какой степени — передавать эти права третьим сторонам (например, своим субподрядчикам) и каковы географические и временные рамки предоставленных или подразумеваемых прав.
The geographical limitations could be particularly important when data cannot leave a certain country or region under law (see part one, paras. 10–11).Географические ограничения могут иметь особо важное значение, когда в соответствии с законодательством данные не могут покидать определенную страну или регион (см. часть первую, пункты 10–11).
Contracts typically state whether the customer is able to revoke granted or implied rights and if so, under what conditions.В договоре, как правило, будет также устанавливаться, может ли клиент — и при каких условиях — отозвать предоставленные или подразумеваемые права.
Since the ability to provide the services at the required level of quality may depend on the rights granted by the customer, the direct impact of revocation of certain rights could be the amendment or termination of the contract.Поскольку способность предоставлять услуги на необходимом уровне качества может зависеть от прав, предоставленных клиентом, прямым следствием отзыва тех или иных прав может стать изменение или прекращение договора.
Provider use of customer data for other purposesИспользование поставщиком данных клиента для других целей
79.79.
Most jurisdictions do not grant the provider automatic rights to use the customer data for the provider’s own purposes.В большинстве юрисдикционных систем поставщику не предоставляется автоматически право использовать данные клиента для своих собственных целей.
The provider may request use of customer data for purposes other than those linked to the provision of the cloud computing services under the contract (e.g., for advertising, generating statistics, analytical or predictions reports, engaging in other data mining practice).Поставщик может обратиться с просьбой об использовании данных клиента для других целей помимо тех, которые связаны с предоставлением услуг облачных вычислений в соответствии с договором (например, для целей рекламы, сбора статистических данных, подготовки аналитических отчетов или прогнозов, участия в других видах извлечения данных).
The questions to consider in that context may include: (a) which information about the customer and its end users will be collected and the reasons for and purposes of its collection and use by the provider;В этой связи необходимо рассмотреть следующие вопросы: a) какая информация о клиенте и его конечных пользователях будет собираться и каковы причины и цели сбора и использования этой информации поставщиком;
(b) whether that information will be shared with other organizations, companies or individuals and if so, the reasons for doing so and whether this will be done with or without the customer’s consent;b) будет ли эта информация передаваться другим организациям, компаниям или отдельным лицам, и если да, то по каким причинам, и будет ли это делаться с согласия клиента или без такого согласия;
and (c) how compliance with confidentiality and security policies will be ensured if the provider shares that information with third parties.и c) каким образом будет обеспечиваться выполнение требований в отношении конфиденциальности и безопасности, если поставщик будет делиться этой информацией с третьими сторонами.
Where the provider’s use of customer data will affect personal data, the parties would normally be expected to carefully assess their regulatory compliance obligations under applicable data protection laws.В тех случаях, когда использование поставщиком данных клиента будет затрагивать персональные данные, сторонам, как правило, потребуется дополнительно тщательно оценить свои обязательства по выполнению нормативных требований в соответствии с применимым законодательством о защите данных.
80.80.
Where the contract gives the provider rights to use the customer data for the provider’s own purposes, the contract may also list permissible grounds for such use, include obligations regarding de-identification and anonymization of customer data to ensure compliance with any applicable data protection and other regulations and impose limits on reproduction of content and communication to public.В тех случаях, когда договор дает поставщику право использовать данные клиента для своих собственных целей, в договоре также могут быть приведены допустимые основания для такого использования, предусмотрены обязательства в отношении обезличивания данных клиента и придания им анонимности для обеспечения соблюдения положений о защите данных и других применимых норм и установлены ограничения на воспроизведение контента и придание его гласности.
It is common to permit the provider to use customer data for its own purposes only as anonymized open data or in aggregated and de-identified form during the term of the contract or beyond.Как правило, поставщик может использовать данные клиента для своих собственных целей только как анонимные открытые данные или в агрегированной и обезличенной форме в течение срока действия договора или после этого.
Provider use of customer name, logo and trademarkИспользование поставщиком названия, логотипа и торговой марки клиента
81.81.
The providers’ standard terms may grant the provider the right to use customer names, logos and trademarks for the purposes of the provider’s publicity.Стандартными условиями поставщиков может предусматриваться право поставщика использовать название, логотипы и торговые марки клиента для создания себе рекламы.
The parties may agree on the deletion or modification of such provisions, including limiting the permissible use to the customer’s name and requiring prior approval of the customer for the use of its name, logo and trademark.Стороны могут договориться об удалении или изменении этих положений, включая ограничения на допустимое использование названия клиента и требование о получении от клиента заблаговременного разрешения на использование его названия, логотипа и торговой марки.
Provider actions as regards customer data upon State orders or for regulatory complianceДействия поставщика в отношении данных клиента по распоряжению официальных властей или в порядке соблюдения нормативных требований
82.82.
The providers’ standard terms may reserve the right for the provider, at its discretion, to disclose, or provide access to, customer data to State authorities (e.g., by including such wording as “when doing so will be in the best interests of the provider”).Стандартные условия поставщика могут предусматривать право поставщика по своему усмотрению раскрывать данные клиента официальным органам или предоставлять им доступ к этим данным (например, в результате включения такой формулировки, как «если такие действия отвечают наилучшим интересам поставщика»).
They also usually provide for the right of the provider to remove or block customer data immediately after the provider gains knowledge or becomes aware of illegal content or when it has to enforce the right of data subjects to be forgotten, in order to avoid liability under law (the “notice and take down” procedure (see para. 128 below)).Они также обычно предусматривают право поставщика незамедлительно удалить или блокировать данные клиента, как только поставщик узнает о незаконности контента или удостоверяется в этом или же если он должен реализовать право субъектов данных на полное удаление информации о них, с тем чтобы избежать ответственности в соответствии с законодательством (процедура «обнаружение и освобождение» (см. пункт 128 ниже)).
The parties may agree to narrow down the circumstances in which the provider can perform those actions, for example when the provider faces an order from a court or other State authority to provide access to, or to delete or change, data.Стороны могут договориться о том, чтобы ограничить обстоятельства, в которых поставщик может совершать такие действия, например, ситуациями, когда поставщик получает постановление суда или другого государственного органа предоставить доступ к данным или удалить или изменить их.
83.83.
The parties may agree, at a minimum, that the customer will be notified without delay of State orders or the provider’s own decisions as regards customer data with a description of the data concerned, unless such notification would violate law.Стороны могут как минимум договориться о том, что клиента будут незамедлительно уведомлять о постановлениях государственных органов или о собственных решениях поставщика в отношении данных клиента, с предоставлением описания соответствующих данных, если такое уведомление не будет противоречить законодательству.
Where the advance notification and involvement of the customer is not possible, the contract may require the provider to serve an immediate ex-post notification to the customer of the same information.Когда заблаговременное уведомление и привлечение клиента невозможно, договор может предусматривать обязательство поставщика незамедлительно направлять клиенту уведомление постфактум с той же самой информацией.
The parties may also agree on provisions as regards keeping and providing customer access to and logs of all orders, requests and other activities as regards customer data.Стороны также могут согласовать положения относительно ведения журнала регистрации всех постановлений, просьб и других действий, касающихся данных клиента, и предоставления клиенту доступа к такому журналу.
Rights to cloud service-derived dataПрава на производные данные услуг облачных вычислений
84.84.
The parties may agree on customer rights to cloud service-derived data and how such rights can be exercised during the contractual relationship and upon termination of the contract.Стороны могут договориться о правах клиента на производные данные услуг облачных вычислений и порядке осуществления таких прав в период действия договора и после его прекращения.
IP rights protection clauseПоложение о защите прав ИС
85.85.
Some types of cloud computing contracts may result in the creation of objects of IP rights, either jointly by the provider and the customer (e.g., service improvements arising from the customer’s suggestions) or by the customer alone (new applications, software and other original work).Некоторые виды договоров об облачных вычислениях могут иметь своим результатом создание объектов прав ИС либо совместно поставщиком и клиентом (например, совершенствование услуг благодаря предложениям клиента), либо только клиентом (новые прикладные программы, программное обеспечение и другие нововведения).
The contract may contain an express IP clause that will determine which party to the contract owns IP rights to various objects deployed or developed in the cloud and the use that the parties can make of such rights.В договоре может содержаться специальное положение об ИС, определяющее, какая из сторон договора обладает правами ИС на различные объекты, развернутые или разработанные в облачной среде, и каким образом стороны могут использовать эти права.
Where no option to negotiate exists, the customer may wish to review any IP clauses to determine whether the provider offers sufficient guarantees and allows the customer appropriate tools to protect and enjoy its IP rights and avoid lock-in risks (see part one, paras. 23–26).Если положения договора не подлежат согласованию, клиенту, возможно, потребуется ознакомиться с любыми положениями об ИС, чтобы установить, предоставляет ли поставщик достаточные гарантии и обеспечивает ли он клиенту необходимые средства для защиты и использования его прав ИС и избежания рисков обособленности (см. часть первую, пункты 23–26).
Interoperability and portabilityФункциональная совместимость и возможность переноса данных
86.86.
There may be no statutory requirements to ensure interoperability and portability.Законодательство может не содержать требований обеспечивать функциональную совместимость и возможность переноса данных.
The onus might be completely on the customer to create compatible export routines, unless the contract provides otherwise, for example, by including contractual commitments as regards interoperability and portability and assistance with the export of data upon termination of the contract (see para. 161 below).Ответственность за это может нести исключительно сам клиент, который будет обязан разработать совместимые стандартные программы для экспорта данных, если в договоре не предусмотрено иное, например, путем включения договорных обязательств в отношении функциональной совместимости и возможности переноса данных и оказания помощи в экспорте данных после прекращения действия договора (см. пункт 161 ниже).
The contract may require the use of common, widely used standardized or interoperable export formats for data and other content or provide choice among available formats.Договор может предусматривать использование любого общепринятого, широко распространенного стандартного или совместимого формата для экспорта данных и другого контента либо предоставлять право выбора между имеющимися форматами.
Contractual clauses may also be included to address rights to joint products and applications or software, without which the use of the data and other content in another system may be impossible (see para. 85 above).В договор также могут быть включены положения, затрагивающие права клиента на совместные продукты и прикладные программы или программное обеспечение, без которых использование данных и другого контента в другой системе может оказаться невозможным (см. пункт 85 выше).
Data retrieval for legal purposesИзвлечение данных в юридических целях
87.87.
Customers may need to be able to search and find data placed in the cloud in its original form in order to meet legal requirements (for example, in investigations).Клиентам, возможно, потребуется получить возможность производить поиск и находить размещенные в облаке данные в их изначальном виде для соблюдения юридических требований (например, в ходе расследований).
The electronic records may need to meet auditing and evidentiary standards.Электронные записи, возможно, должны будут отвечать стандартам ревизии и доказывания.
Some providers may be in a position to offer customers assistance with the retrieval of data in the format required by law.Некоторые поставщики, вероятно, смогут оказать клиентам помощь в извлечении данных в формате, предусмотренном законом.
The contract may define the form and terms of such assistance.Форма и условия такой помощи могут быть определены в договоре.
Data deletionУдаление данных
88.88.
Data deletion considerations may be applicable during the term of the contract, but particularly upon its termination (see para. 162 below).Вопросы удаления данных будут актуальны в течение всего срока действия договора, но особенно после его прекращения (см. пункт 162 ниже).
For example, certain data may need to be deleted according to the customer’s retention plan.Например, определенные данные, возможно, потребуется удалить в соответствии с планом клиента по хранению данных.
Sensitive data may need to be destroyed at a specified time in its lifecycle (e.g., the destruction of hard disks at the end of the life of equipment on which such data was stored).На определенном этапе существования чувствительных данных их, возможно, потребуется ликвидировать (например, путем уничтожения жестких дисков по окончании срока эксплуатации оборудования для хранения этих данных).
Data may also need to be deleted in order to comply with law enforcement deletion requests or after confirmed IP infringement cases (see para. 82 above).Также удаление данных может потребоваться по запросу правоохранительных органов об их удалении или после подтверждения нарушения прав ИС (см. пункт 82 выше).
89.89.
The providers’ standard terms may contain only statements to delete customer data from time to time.Стандартные условия поставщика могут содержать лишь положения о том, что данные клиента будут периодически удаляться.
The parties may agree on the deletion of data, its backups and metadata immediately, effectively, irrevocably and permanently, in compliance with the data retention and disposition schedules or other form of authorization or request communicated by the customer to the provider.Стороны могут договориться об удалении данных, их резервных копий и метаданных незамедлительно, эффективно, необратимо и окончательно в соответствии с инструкциями по хранению и использованию данных или же указаниями или распоряжениями в иной форме, переданными клиентом поставщику.
The contract may address the time period and other conditions for data deletion, including obligations as regards a confirmation of the data deletion upon its completion and access to audit trails of the deletion activities.В договоре могут предусматриваться сроки и другие условия удаления данных, включая обязанность направить подтверждение удаления данных после завершения этого процесса и предоставить доступ к контрольным записям, подтверждающим факт удаления.
90.90.
Particular standards or techniques for deletion may be specified, depending on the nature and sensitivity of the data.В зависимости от характера и чувствительности данных могут быть оговорены особые стандарты или процедуры удаления.
The provider may be required to delete data from different locations and media, including from subcontractors’ and other third-parties’ systems, with different levels of deletion, such as data sanitization ensuring confidentiality of the data until their complete deletion or hardware destruction.Может быть предусмотрено требование о том, что поставщик обязан удалить данные в других местах и с других носителей, включая системы субподрядчиков и других третьих сторон, с различными уровнями удаления, например, с очисткой данных, обеспечивающей конфиденциальность данных до их полного удаления или уничтожения аппаратных средств.
More secure deletion involving destruction rather than redeployment of equipment may be more expensive and may not always be possible (if, for example, data of other persons is stored on the same hardware).Более надежное удаление, предполагающее физическое уничтожение, а не реконфигурацию аппаратуры, может потребовать больших расходов и не всегда является возможным (например, в случае хранения на тех же носителях данных других лиц).
Those aspects may trigger the inclusion of contractual requirements to use an isolated infrastructure for storing the customer’s particularly sensitive data.Эти аспекты могут потребовать включения в договор требований использовать отдельную инфраструктуру для хранения наиболее чувствительных данных клиента.
E.E.
Audits and monitoringПроверка и контроль
Monitoring activitiesДеятельность по контролю
91.91.
The parties may need to monitor activities of each other to ensure regulatory and contractual compliance (e.g., compliance of the customer and its end users with AUP and IP licenses and compliance of the provider with SLA and data protection policy).Сторонам, возможно, потребуется контролировать деятельность друг друга для обеспечения выполнения норм законодательства и положений договора (например, соблюдение клиентом и его конечными пользователями требований ППИ и лицензий на использование прав ИС и соблюдение поставщиком СУО и требований о защите данных).
Some monitoring activities, such as those related to personal data processing, may be mandated by law.Некоторые виды контроля, связанные, например, с обработкой персональных данных, могут быть предусмотрены законодательством.
92.92.
The contract may identify periodic or recurrent monitoring activities, together with the party responsible for their performance and the obligations of the other party to facilitate monitoring.В договоре может быть предусмотрено проведение периодических или регулярных мероприятий по контролю, совместно с той стороной, которая несет за это ответственность, и могут быть определены обязательства другой стороны по оказанию содействия в осуществлении такого контроля.
The contract may also anticipate any exceptional monitoring activities and provide options for handling them.В договоре можно также предусмотреть любые особые мероприятия по контролю и варианты их проведения.
The contract may also provide for reporting requirements to the other party as well as any confidential undertakings in conjunction with such monitoring activities.В договоре могут быть также установлены требования в отношении отчетности перед другой стороной и обязательства по обеспечению конфиденциальности в рамках такой контрольной деятельности.
93.93.
Excessive monitoring may affect performance and increase costs of services.Чрезмерный контроль может отразиться на производительности и повысить стоимость услуг.
The contract may provide for the requirement to suspend monitoring in certain circumstances, e.g., where monitoring is materially detrimental to the service performance.В договоре может быть предусмотрено требование приостановить контроль в определенных обстоятельствах, например, если такой контроль создает существенные препятствия для предоставления услуг.
That concern may be present particularly in case of services requiring near real-time performance.Эта проблема может возникать, в частности, в случае услуг, требующих поддержки практически в режиме реального времени.
Audit and security testsПроверка и тесты на безопасность
94.94.
Audit and security tests, in particular to check the effectiveness of security measures, are common.Проверка и тесты на безопасность, в частности проверка эффективности мер безопасности, являются обычной практикой.
Some audits and security tests may be mandated by law.Некоторые проверки и тесты на безопасность могут предусматриваться законом.
The contract may include clauses that address the audit rights of both parties, the scope of audits, recurrence, formalities and costs.Договор может содержать положения, определяющие права обеих сторон на проверку, объем проверок, их периодичность, процедуры и стоимость.
It may also oblige the parties to share with each other the results of the audits or security tests that they commission.Договор может также обязывать стороны делиться друг с другом результатами проверок и тестов на безопасность, которые они проводят.
The contractual rights or statutory obligations for audit and security tests may be complemented in the contract with corresponding obligations of the other party to facilitate the exercise of such rights or fulfilment of those obligations (e.g., to grant access to the relevant data centres).Договорные права или предусмотренные законом обязательства в отношении проверок и тестов на безопасность, могут быть дополнены в договоре соответствующими обязательствами другой стороны содействовать осуществлению таких прав или выполнению таких обязательств (например, предоставлять доступ к соответствующим центрам данных).
95.95.
Parties may agree that audits or security tests may be performed only by professional organizations or that the provider or the customer may choose to have the audit or security test performed by a professional organization.Стороны могут договориться о том, что проверки и тесты на безопасность могут проводить только профессиональные организации или же что поставщик или клиент могут принять решение о проведении проверки или теста на безопасность профессиональной организацией.
The contract may specify qualifications to be met by the third party and conditions for their engagement, including allocation of costs.В договоре можно оговорить квалификационные требования к третьим сторонам, а также условия их привлечения, включая распределение расходов.
Special arrangements may be agreed upon by the parties for audits or security tests subsequent to an incident and depending on the severity and type of the incident (for example, the party responsible for the incident may be obliged to partially or fully reimburse costs).Стороны могут согласовать специальные правила в отношении проверок или тестов на безопасность после инцидента с учетом степени серьезности и характера инцидента (например, сторона, которая несет ответственность за инцидент, может быть обязана частично или полностью возместить расходы).
F.F.
Payment termsУсловия платежа
Pay-as-you-goОплата по мере оказания услуг
96.96.
Price is an essential contractual term, and failure to include the price or a mechanism for determining the price in the contract may render the contract unenforceable.Цена является важным договорным условием, и отсутствие указания цены или механизма ее определения в договоре может сделать договор неисполнимым.
97.97.
The on-demand self-service characteristic of cloud computing services is usually reflected in the pay-as-you-go billing system.Особенность услуг облачных вычислений, связанная с самообслуживанием по требованию, обычно находит свое отражение в системе оплаты по мере оказания услуг.
It is common for the contract to specify the price per unit for the agreed volume of supply of the cloud computing services (e.g., for a specified number of users, number of uses or time used).Обычной практикой является указание в договоре цены за единицу согласованного объема предоставленных услуг облачных вычислений (например, для указанного числа пользователей, количества сеансов или использованного времени).
Price scales or other price adjustments, including volume discounts, may be designed as incentives or penalties for either of the parties.В качестве стимулов или штрафов для каждой из сторон может быть установлена ценовая шкала или другая схема корректировки цен, включая скидки с учетом объема.
Free trials are common.Обычной практикой является предоставление на начальном этапе права бесплатного пользования для опробования услуг.
It is also common not to charge for some services.Часто за некоторые виды услуг счет также не выставляется.
Although there could be many variations for price calculation, a clear and transparent price clause, understood by both parties, may avoid conflict and litigation.Расчет цен может производиться по-разному, однако наличие в договоре четкого и прозрачного положения о цене, понятного обеим сторонам, возможно, позволит избежать в будущем коллизий и судебного разбирательства.
Licensing feesЛицензионные сборы
98.98.
The parties may wish to clarify in the contract whether the payment for the cloud computing services encompasses licensing fees for any licences the provider may grant to the customer as part of the services.Стороны, возможно, пожелают четко сформулировать в договоре положение о том, включает ли платеж за услуги облачных вычислений лицензионные сборы за любые лицензии, которые поставщик может передать клиенту в рамках предоставления своих услуг.
SaaS, in particular, often involves the use by the customer of software licensed by the provider.Услуги ОкУ, в частности, нередко связаны с использованием клиентом программного обеспечения по лицензии поставщика.
99.99.
The licensing fees may be calculated on a per-seat or per instance basis and fees may vary depending on the category of users (e.g., professional users, as opposed to non-professional users, may fall in one of the most expensive categories).Лицензионные сборы могут рассчитываться исходя из количества рабочих мест или количества сеансов и будут зависеть от категории пользователей (например, профессиональные пользователи, в отличие от непрофессиональных пользователей, могут оказаться одной из наиболее дорогих категорий).
Different payment structures may have different implications.Использование различных платежных схем может иметь различные последствия.
For example, a customer’s licence costs may increase exponentially if software is charged on a per instance basis each time a new machine is connected, even though the customer is using the same number of machine instances for the same duration.Например, расходы клиента на оплату лицензий могут расти экспоненциально, если оплата за программное обеспечение будет взиматься по количеству сеансов с каждым подключением нового компьютера, даже если в один и тот же период времени клиент будет использовать одинаковое количество подключений аппаратуры.
100.100.
The contract may identify the total number of potential users of software covered by the licence arrangement, the number of users in each category (e.g., employees, independent contractors and suppliers) and the rights to be granted to each category of users.В договоре можно определить общее число потенциальных пользователей программного обеспечения, подпадающего под лицензионное соглашение, число пользователей в каждой категории (например, сотрудники, независимые подрядчики и поставщики) и права, которые будут предоставлены каждой из категорий пользователей.
The contract may also identify access and use rights that will be included in the scope of the licence and cases of access and use by the customer and its end users that may lead to an expanded scope of the license and consequently to increased licensing fees.Кроме того, в договоре можно определить права на доступ и использование, которые будут включены в сферу действия лицензии, а также те случаи доступа и использования клиентом и его конечными пользователями, когда может произойти расширение масштабов применения лицензии и, соответственно, увеличение лицензионного сбора.
Additional costsДополнительные расходы
101.101.
The price may cover also one-off costs (e.g., configuration and migration to the cloud (see part one, paras. 32–33)).В цену могут быть также включены единовременные расходы (например, на конфигурацию и миграцию в облако) (см. часть первую, пункты 32–33).
There could also be additional services offered by the provider against separate payment (e.g., support after business hours charged per time or provided for a fixed price).Поставщик может также предоставлять за отдельную плату дополнительные услуги (например, поддержка во внерабочее время с повременной оплатой или за фиксированную цену).
102.102.
Cloud computing services may fall within the category of taxable services or goods in some jurisdictions.В некоторых юрисдикционных системах услуги облачных вычислений относятся к категории услуг или товаров, облагаемых налогом.
The parties may wish to address in the contract the impact of taxes on payment terms.Стороны, возможно, пожелают рассмотреть в договоре вопрос о влиянии налогов на условия платежа.
Other payment termsПрочие условия платежа
103.103.
Payment terms may cover invoicing modalities (e.g., e-invoicing) and the form and content of the invoice, which may be important for tax compliance.В условиях платежа можно определить методы выставления счета-фактуры (например, электронный счет), а также его форму и содержание, что может иметь важное значение для выполнения требований налогового законодательства.
Tax authorities of some jurisdictions may not accept electronic invoices (although this is becoming rare in an increasingly paperless environment) or may require a special format, including that any tax applicable to the cloud computing services may need to be stated separately.В некоторых юрисдикционных системах налоговые органы могут не принимать электронные счета-фактуры (хотя это происходит все реже ввиду расширения использования небумажных носителей) или же могут требовать использования специального формата, включая возможное требование отдельно указывать любые налоги, связанные с услугами облачных вычислений.
104.104.
The parties may wish to include, among other payment terms, payment due date, currency, the applicable exchange rate, manner of payment, sanctions in case of late payment and procedures for resolving disputes over payment claims.Стороны, возможно, пожелают также включить, наряду с другими условиями платежа, дату платежа, валюту, применимый обменный курс, метод платежа, санкции в случае задержки платежа и процедуры урегулирования споров по платежным требованиям.
G.G.
Changes in servicesИзменения в услугах
105.105.
Cloud computing services are by nature flexible and fluctuating.Услуги облачных вычислений по своему характеру являются гибкими и изменчивыми.
The elasticity, scalability and on-demand self-service characteristics of cloud computing services are usually enabled through many contractual options that the customer may use to adjust the consumption of services according to its needs.Такие особенности услуг облачных вычислений, как эластичность, масштабируемость и самообслуживание по требованию, как правило, реализуются благодаря большому количеству вариантов договоров, которые клиент может использовать для увязывания потребления услуг со своими нуждами.
This prevents the need for renegotiation of the contract each time the customer requires a change in the consumption of services.Это позволяет избегать необходимости пересматривать договор каждый раз, когда клиенту нужно внести изменения в потребление услуг.
106.106.
The provider in turn may reserve the right to adjust its service portfolio at its discretion.Поставщик в свою очередь может зарезервировать право корректировать свой портфель услуг по собственному усмотрению.
Different contractual treatment may be appropriate depending on whether changes concern the core services or ancillary services and support aspects.В зависимости от того, затрагивают ли изменения основное обслуживание или второстепенные услуги и вспомогательные аспекты, могут быть уместны различные договорные режимы.
Different contractual treatment may also apply to changes that might negatively affect services as opposed to changes that lead to service improvements (e.g., a switch from a standard offering to an enhanced cloud computing offering with higher security levels or shorter response times).Различные договорные режимы представляются оправданными также и в случае изменений, которые могут негативно сказаться на услугах, в отличие от случаев совершенствования услуг (например, переход от стандартного набора услуг к расширенному пакету услуг облачных вычислений с более высоким уровнем безопасности и меньшим временем реагирования).
The consequences of some unilateral changes of the terms and conditions of the contract by the provider may be severe for the customer, in particular translating into high costs of migration to another system.Последствия некоторых односторонних изменений условий договора поставщиком могут быть достаточно серьезными для клиента, в частности в плане роста расходов в связи с миграцией в другую систему.
Changes in priceИзменения цен
107.107.
The provider may reserve the right to unilaterally modify the price or price scales.Поставщик может оставлять за собой право в одностороннем порядке менять цену или шкалу цен.
The parties may agree to specify in the contract the pricing methodology (e.g., how frequently the provider can increase prices and by how much).Стороны могут договориться закрепить в договоре методологию установления цены (например, как часто и в каких пределах поставщик может увеличивать цену).
The prices may be capped to a specific consumer price index, to a set percentage or to the provider’s price list at a given moment.Предельная цена может быть привязана к конкретному индексу потребительских цен, определенной процентной доле или прейскуранту поставщика в данный момент.
The contract may provide for advance notice of a price increase and the consequences of non-acceptance of the price increase by the customer.Договор может предусматривать заблаговременное уведомление о повышении цены, а также последствия несогласия клиента с повышением цен.
UpgradesОбновления
108.108.
Although upgrades may be in the customer’s interests, they may also cause disruptions in the availability of cloud computing services since they could translate into relatively high downtime during normal working hours even if the service is to be provided on a 24/7 basis.Хотя обновления могут отвечать интересам клиента, часто это может привести к сбоям в предоставлении услуг облачных вычислений, поскольку обновление может вызвать достаточно продолжительные простои в рабочее время даже в тех случаях, когда предусмотрено, что обслуживание должно предоставляться круглосуточно семь дней в неделю.
The parties may agree on advance notification to the customer of pending upgrades and the implications thereof and that upgrades, as a rule, will take place during periods of little or no demand for the customer.Стороны могут договориться о заблаговременном уведомлении клиента о запланированном обновлении и связанных с ним последствиях, а также о том, что обновление будет проводиться в периоды низкого спроса или отсутствия спроса на предоставляемые клиенту услуги.
The contract may also provide for procedures for reporting and solving possible problems.В договоре могут быть также предусмотрены процедуры оповещения о возможных проблемах и процедуры их решения.
109.109.
Upgrades may have other negative impacts, for example, requiring changes to customer applications or information technology systems or the retraining of customer users.Обновления могут иметь и другие отрицательные последствия, например, необходимость изменения прикладных программ клиента или систем информационных технологий или же проведения переподготовки пользователей клиента.
The contract may provide for the allocation of the costs arising from upgrades.Договор может предусматривать распределение связанных с обновлением расходов.
The parties may also agree that the older version of the provided service should be retained in parallel with the new version for an agreed period of time in cases where significant changes are to be made to the previous version, in order to ensure the customer’s business continuity.Стороны могут также договориться о том, чтобы на определенное время параллельно с новой сохранить старую версию предоставляемых услуг, пока в нее вносятся серьезные изменения, с тем чтобы гарантировать клиенту бесперебойность работы.
The contract may also address assistance that may be offered by the provider with changes to customer applications or information technology systems and with retraining of the customer’s end users, when required.В договоре, возможно, потребуется рассмотреть вопрос о поддержке со стороны поставщика в связи с внесением изменений в прикладные программы клиента или его системы информационных технологий, включая, при необходимости, переподготовку конечных пользователей клиента.
Degradation or discontinuation of servicesУхудшение или прекращение обслуживания
110.110.
Technological developments, competitive pressure or other causes may lead to the degradation of some cloud computing services or their discontinuation with or without their replacement by other services.Технический прогресс, давление конкурентов или другие причины могут привести к ухудшению качества некоторых услуг облачных вычислений или их прекращению с заменой на другие услуги или без такой замены.
The provider may reserve in the contract the right to adjust the service portfolio offering (e.g., by terminating a portion of the services).Поставщик может зарезервировать в договоре право корректировать портфель предлагаемых услуг (например, в результате прекращения предоставления части услуг).
Discontinuation of even some cloud computing services by the provider may, however, expose the customer to liability to its end users.Однако прекращение предоставления поставщиком даже части услуг облачных вычислений может поставить клиента в положение, когда ему придется нести ответственность перед своими конечными пользователями.
111.111.
The contract may provide for an advance notification of those changes to the customer, the customer’s right to terminate the contract in the case of unacceptable changes and an adequate retention period to ensure the timely reversibility of any affected customer data or other content.В договоре может быть предусмотрено предварительное уведомление клиента о таких изменениях, право клиента прекратить действие договора в случае неприемлемых изменений, а также предоставление достаточного периода времени для сохранения данных с целью обеспечения своевременной обратимости любых затронутых данных или иного контента клиента.
Some contracts prohibit modifications that could negatively affect the nature, scope or quality of provided services, or limit permissible changes to “commercially reasonable modifications”.Некоторые договоры полностью запрещают внесение изменений, которые могут негативно сказаться на характере, объеме или качестве предоставляемых услуг, или же ограничивают допустимые изменения только «коммерчески обоснованными изменениями».
Notification of changesУведомление об изменениях
112.112.
The providers’ standard terms may contain an obligation on the provider to notify the customer about changes in the terms of services.Стандартные условия поставщика могут предусматривать обязательство поставщика уведомлять клиента об изменениях в условиях предоставления услуг.
If not, customers may be required to check regularly whether there have been any changes in the contract.В противном случае клиентам, возможно, потребуется регулярно проверять, вносились ли какие-либо изменения в договор.
Documents forming the contract may be numerous (see para. 38 above).Договор может состоять из большого количества различных документов (см. пункт 38 выше).
Some may incorporate by reference terms and policies contained in other documents, which may in turn incorporate by reference additional terms and policies, all of which may be subject to unilateral modification by the provider.Некоторых из них могут включать путем ссылки условия и принципы, изложенные в других документах, которые в свою очередь могут содержать ссылки на дополнительные условия и принципы, и все они могут быть подвергнуты изменению поставщиком в одностороннем порядке.
Those different documents may not necessarily be hosted in one place on the provider’s website.Такие различные документы не всегда могут быть размещены в одном месте на веб-сайте поставщика.
Changes introduced by the provider to the contract may therefore not be easy to notice.Поэтому, возможно, изменения, внесенные поставщиком в договор, заметить будет непросто.
113.113.
Since the continued use of services by the customer is deemed to be acceptance of the modified terms, the parties may agree that the customer will be notified of changes in the terms of services sufficiently in advance of their effective date.Поскольку продолжение использования услуг клиентом будет означать согласие с измененными условиями, стороны могут договориться о том, что клиента будут уведомлять об изменениях в условиях предоставления услуг достаточно заблаговременно до вступления этих изменений в силу.
The parties may also agree that the customer will have access to audit trails concerning the evolution of services and that all agreed terms and the definition of the services by reference to a particular version or release will be preserved.Стороны также могут договориться о том, что клиенту будет предоставляться доступ к контрольным записям, отражающим эволюцию услуг, и что все согласованные условия и определения услуг путем ссылки на конкретную версию или выпуск будут сохранены.
H.H.
Suspension of servicesПриостановление обслуживания
114.114.
The providers’ standard terms may contain the right of the provider to suspend services, at its discretion, at any time.В стандартных условиях поставщика может предусматриваться право поставщика приостановить обслуживание по своему усмотрению в любой момент времени.
“Unforeseeable events” is a common justification for unilateral suspension of services by the provider.Обычным оправданием для одностороннего приостановления предоставления услуг поставщиком являются «непредвиденные обстоятельства».
Such events are usually defined as broadly encompassing any impediments beyond the provider’s control, including failures of subcontractors, sub-providers and other third parties involved in the provision of the cloud computing services to the customer, such as Internet network providers.Такие обстоятельства, как правило, определяются широко и охватывают любые препятствия, не зависящие от поставщика, включая неисполнение обязательств субподрядчиками, субпоставщиками и другими третьими сторонами, участвующими в предоставлении клиенту услуг облачных вычислений, например, поставщиками услуг сети Интернет.
115.115.
The parties may agree that suspension of services may occur only in limited cases identified in the contract (e.g., in case of fundamental breach of the contract by the customer, for example, non-payment).Стороны могут договориться о том, что приостановление предоставления услуг может происходить лишь в ограниченных случаях, которые указаны в договоре (например, в случае грубого нарушения клиентом условий договора, такого как неуплата).
The right of suspension due to unforeseeable events may be conditioned on properly implementing a business continuity and disaster recovery plan.Право на приостановление обслуживания в связи с непредвиденными обстоятельствами может быть обусловлено надлежащим выполнением плана по обеспечению непрерывности деятельности и восстановлению в случае аварий.
The contract may require that such a plan contains protections against common threats to the provision of the cloud computing services and be submitted for comment and approval by the other party.Договор может устанавливать требование о том, чтобы в этом плане предусматривались меры по защите от обычных угроз для услуг облачных вычислений и чтобы план представлялся другой стороне для замечаний и утверждения.
Those protections may include a geographically separate disaster recovery site with seamless transition and the use of an uninterruptible power supply and backup generators.Такие меры защиты могут предусматривать использование отдельно расположенного объекта для восстановления работы в случае аварий, что обеспечит плавный переход и позволит задействовать источники бесперебойной подачи электроэнергии и резервные генераторы.
I.I.
Subcontractors, sub-providers and outsourcingСубподрядчики, субпоставщики и внешний подряд
Identification of the subcontracting chainИдентификация субподрядной цепочки
116.116.
Subcontracting, layered cloud computing services and outsourcing are common in cloud computing environment.Субподряд, многоуровневые услуги облачных вычислений и внешний подряд являются обычной практикой в сфере облачных вычислений.
The providers’ standard terms may explicitly reserve the provider’s right to use third parties for the provision of the cloud computing services to the customer, or that right may be implicit because of the nature of services to be provided.В стандартных условиях поставщика может быть прямо зарезервировано право поставщика привлекать третьи стороны для предоставления клиенту услуг облачных вычислений или же подразумеваться, что такое право существует уже в силу самого характера предоставляемых услуг.
The provider may be interested in retaining as much flexibility as possible in that respect.Поставщик может быть заинтересован в том, чтобы сохранить максимально возможную свободу действий в этом отношении.
117.117.
The law may require the parties to identify in the contract any third parties involved in the provision of the cloud computing services.Законодательство может требовать, чтобы стороны указывали в договоре любые третьи стороны, участвующие в предоставлении услуг облачных вычислений.
Such identification may also be beneficial to the customer for verification purposes, in particular of compliance of third parties with security, confidentiality, data protection and other requirements arising from the contract or law and of the absence of conflicts of interest on the part of third parties.Такая идентификация может отвечать и интересам клиента для целей проверки, в частности соблюдения третьими сторонами требований безопасности, конфиденциальности и защиты данных и других требований, предусматриваемых договором или законодательством, а также отсутствия коллизии интересов у третьих сторон.
118.118.
That information may also be used for mitigation of risks of non-performance of the contract by the provider due to failures of third parties.Эта информация может также использоваться для уменьшения рисков неисполнения договора поставщиком по вине третьих сторон.
For example, the customer may opt to contract directly with third parties instrumental to the performance of the cloud computing contract, in particular on such sensitive issues as confidentiality and personal data processing.Например, клиент может принять решение напрямую заключить договор с третьими сторонами, участие которых необходимо для исполнения договора об услугах облачных вычислений, в частности по таким чувствительным вопросам, как конфиденциальность и обработка персональных данных.
The customer may also try to negotiate with key third parties obligations to step in if the provider fails to perform under the contract, including in case of the provider’s insolvency.Возможно, он пожелает также согласовать с ключевыми третьими сторонами обязательство заменить поставщика, если поставщик будет не в состоянии исполнять свои обязательства по договору, в том числе в случае несостоятельности поставщика.
119.119.
The provider may be in a position to identify those third parties playing key roles but not all third parties.Поставщик может быть в состоянии указать те третьи стороны, которые играют наиболее важную роль, но не все третьи стороны.
The pool of third parties involved in the provision of cloud computing services may change during the contract (see paras. 120–121 below).В процессе осуществления договора сводный перечень третьих сторон, участвующих в предоставлении клиенту услуг облачных вычислений, может меняться (см. пункты 120–121 ниже).
Changes in the subcontracting chainИзменения в субподрядной цепочке
120.120.
Unilateral changes in the subcontracting chain are common.Односторонние изменения в субподрядной цепочке — это обычное явление.
The contract may specify whether changes in the subcontracting chain are permitted and if so, under which conditions (e.g., the customer may reserve the right to vet and veto any new third party involved in the provision of the cloud computing services to the customer before the change is implemented).В договоре может быть указано, разрешены ли изменения в субподрядной цепочке, и если да, то при каких условиях (например, клиент может зарезервировать право проверить и отвергнуть любую новую третью сторону, участвующую в предоставлении клиенту услуг облачных вычислений, до осуществления изменений).
Alternatively, the contract may include the list of third parties pre-approved by the customer, from which the provider can choose when the need arises.В противном случае в договор можно включить перечень третьих сторон, которые были предварительно одобрены клиентом и из которых поставщик сможет произвести выбор, если в этом возникнет необходимость.
Another option is to subject the change to subsequent approval by the customer, in the absence of which services would need to continue with the previous or other pre-approved third party or with another third party to be agreed by the parties.Еще один вариант заключается в том, чтобы обусловить такое изменение его последующим одобрением клиентом, без которого предоставление услуг будет продолжено с участием уже задействованной или другой ранее одобренной третьей стороны или же другой третьей стороны, которая будет согласована сторонами.
Otherwise, the contract may be terminated.В противном случае договор может быть прекращен.
121.121.
Mandatory applicable law may stipulate circumstances in which changes in a provider’s subcontracting chain may require termination of the contract.Обстоятельства, при которых изменения в субподрядной цепочке поставщика могут потребовать прекращения действия договора, могут быть предусмотрены в императивных нормах применимого законодательства.
Alignment of contract terms with linked contractsСогласование условий договора со смежными договорами
122.122.
The law or the contract may require the parties to align the terms of the contract with existing or future linked contracts to ensure confidentiality and compliance with data localization and data protection requirements.В законодательстве или договоре может быть предусмотрено требование о том, чтобы стороны согласовали условия этого договора с уже действующими или будущими смежными договорами в целях обеспечения конфиденциальности и соблюдения требований, касающихся локализации данных и их защиты.
The contract may oblige parties to supply each other with copies of linked contracts for verification purposes.Договор может обязывать стороны предоставлять друг другу копии смежных договоров для целей проверки.
Liability of subcontractors, sub-providers and other third partiesОтветственность субподрядчиков, субпоставщиков и других третьих сторон
123.123.
Although third parties instrumental to the performance of the cloud computing contract may be listed in the contract, they would not be parties to the contract between the provider and the customer.Хотя в договоре могут быть перечислены третьи стороны, участие которых необходимо для выполнения договора об услугах облачных вычислений, эти стороны не будут сторонами договора между поставщиком и клиентом.
They would be liable for obligations under their contracts with the provider.Они будут нести ответственность по обязательствам в рамках своих договоров с поставщиком.
The creation of third-party beneficiary rights for the benefit of the customer in linked contracts, or making the customer a party to linked contracts, would allow the customer’s direct recourse against the third party in case of that third party’s non-performance under a linked contract.Если в смежных договорах будут установлены права третьих сторон-бенефициаров в интересах клиента или если клиент станет стороной смежных договоров, то это позволит клиенту прямо предъявлять требования третьим сторонам в случае неисполнения ими обязательств по смежному договору.
124.124.
Under applicable law or contract, the provider may be held liable to the customer for any issue within the responsibility of any third party whom the provider involved in the performance of the contract.В соответствии с применимым законодательством или договором поставщик может нести перед клиентом ответственность по любому вопросу, относящемуся к сфере ответственности любой третьей стороны, которую поставщик привлекает для исполнения договора.
In particular, the joint liability of the provider and its subcontractors may be established by law for any issues arising from personal data processing, depending on the extent of subcontractors’ involvement in processing.Солидарная ответственность поставщика и его субподрядчиков может предусматриваться, в частности, законодательством в отношении любых вопросов, связанных с обработкой персональных данных, с учетом степени участия субподрядчиков в этой обработке.
J.J.
LiabilityОтветственность
Statutory limitations to contractual freedomУстановленные законом ограничения на свободу договора
125.125.
While most legal systems generally recognize the right of contracting parties to allocate risks and liabilities and to limit or exclude liability through contractual provisions, this right is usually subject to various limitations and conditions.Хотя в большинстве правовых систем, как правило, признается право договаривающихся сторон распределять риски и ответственность и ограничивать или исключать ответственность на основании договорных положений, в отношении этого права обычно действуют различные ограничения и условия.
For example, an important factor in risk and liability allocation in personal data processing is the role that each party assumes as regards personal data placed in the cloud.Так, например, важным фактором при распределении рисков и ответственности в связи с обработкой персональных данных является та роль, которую каждая из сторон берет на себя в отношении персональных данных, размещенных в облаке.
The data protection law of certain jurisdictions imposes more liability on the data controller than on data processors of personal data.Во многих юрисдикционных системах законодательство о защите данных возлагает больше ответственности на контролера данных, чем на обработчиков персональных данных.
Notwithstanding contractual provisions, the factual handling of such data will generally determine the legal regime to which the party would be subject under applicable law.Несмотря на договорные положения, правовой режим, распространяющийся на данную сторону в соответствии с применимым законодательством, как правило, определяется исходя из фактического обращения с такими данными.
Data subjects who have suffered loss resulting from unlawful processing of personal data or any act incompatible with domestic data protection regulations may be entitled to compensation directly from the data controller.Субъекты данных, понесшие потери в результате незаконной обработки персональных данных или иных действий, не совместимых с внутренними нормативными актами о защите данных, могут иметь право требовать возмещение непосредственно от контролера данных.
126.126.
In addition, in many jurisdictions a total exclusion of liability for a person’s own fault is not admissible or is subject to limitations.Кроме того, во многих юрисдикционных системах полное освобождение от ответственности за собственный проступок либо является недопустимым, либо регламентируется.
It might not be possible to exclude altogether liability related to personal injury (including sickness and death) and for gross negligence, intentional harm, defects, breach of core obligations essential for the contract or non-compliance with applicable regulatory requirements.Вряд ли можно полностью исключить ответственность в случае причинения личного вреда (включая болезнь и смерть) и за грубую небрежность, умышленное причинение вреда, дефекты, нарушение основных обязательств, имеющих принципиальное значение для договора, или за неисполнение применимых нормативных требований.
Some types of limitation clauses, such as waiver of liability by the provider for security incidents in cases where the customer has no control or ability to effect security, may be found to be “abusive” and therefore invalid.Некоторые виды ограничительных оговорок, такие как отказ поставщика от требований об ответственности за инциденты, связанные с нарушением безопасности, в тех случаях, когда обеспечение безопасности выходило за рамки контроля или возможностей клиента, могут быть сочтены «неправомерными» и, соответственно, недействительными.
The terms of contracts of adhesion, which are typically not negotiated but pre-established by one of the parties, may be subject to particular scrutiny.Условия договоров присоединения, которые обычно не являются предметом переговоров, а заранее устанавливаются одной из сторон, могут стать объектом особенно пристального внимания.
In addition, unlimited liability may flow from certain types of defects under law (e.g., defective hardware or software).Кроме того, в соответствии с законодательством неограниченная ответственность может также возникать в случае определенных видов дефектов (например, неисправности аппаратных средств или дефекты в программном обеспечении).
127.127.
The ability of public institutions to assume certain liabilities may be restricted by law, or public institutions would need to seek prior approval of a competent State body for doing so.Способность публичных учреждений брать на себя определенные обязательства может быть ограничена законодательством, или же публичным учреждениям необходимо получить на это предварительное разрешение компетентного государственного органа.
They may also be prohibited from accepting exclusion or limitation of a provider’s liability altogether or for acts or omissions defined in law.Им также может быть запрещено соглашаться на исключение или ограничение ответственности поставщика в целом или за действия или бездействие, предусмотренные законом.
128.128.
The applicable law may, on the other hand, provide for exemption from liability if certain criteria are fulfilled by a party that would otherwise face a risk of liability.С другой стороны, применимое законодательство может предусматривать освобождение от ответственности, если определенные критерии соблюдаются стороной, которая в противном случае сталкивалась бы с риском возникновения ответственности.
For example, under the “notice and take down” procedure (see para. 82 above) in some jurisdictions, the provider will be released from liability for hosting the illegal content on its cloud infrastructure if it removed such content once it became aware of it.Например, в соответствии с предусмотренной в некоторых юрисдикционных системах процедурой «увидел и закрыл» (см. пункт 82 выше) поставщик будет освобождаться от ответственности за размещение в своей облачной инфраструктуре противоправного контента, если он сразу же удалил такой контент, как только ему стало об этом известно.
129.129.
In some jurisdictions, to be enforceable, the clauses containing disclaimers and limitations of liability agreed upon by the parties must be included in the contract.В некоторых юрисдикционных системах согласованные сторонами положения об исключении и ограничении ответственности, для того чтобы быть исполнимыми, должны быть включены в текст договора.
The applicable law might impose form or other requirements for the validity and enforceability of those clauses.Применимое законодательство может предусматривать форму или другие требования в отношении действительности и исполнимости таких положений.
Other considerations for drafting liability clausesДругие соображения, касающиеся разработки положений об ответственности
130.130.
The amount, if any, charged for the cloud computing services and the risks involved in the provision of the services would all be considered in negotiating the allocation of risks and liabilities.При согласовании вопросов, касающихся распределения рисков и ответственности, будут учитываться сумма вознаграждения — если таковое взимается — за предоставляемые услуги облачных вычислений и риски, связанные с предоставлением таких услуг.
Although parties generally tend to exclude or limit liability as regards factors that they cannot control or can control only to a limited extent (e.g., behaviour of end users, actions or omissions of subcontractors), the level of control would not always be a decisive consideration.Хотя обычно стороны стремятся исключить или ограничить ответственность в отношении факторов, которые они не могут контролировать или могут контролировать только в ограниченной степени (например, поведение конечных пользователей, действие или бездействие субподрядчиков), степень контроля не всегда является решающим соображением.
A party may be prepared to assume risks and liability for elements that it does not control in order to distinguish itself in the market place.Сторона может быть готова принять на себя риски и ответственность за элементы, которые она не контролирует, с тем чтобы, например, занять особое положение на рынке.
It is nevertheless likely that the party’s risks and liabilities would increase progressively in proportion to the components under its control.При этом, однако, существует вероятность того, что удельный вес рисков и ответственности такой стороны будет постепенно увеличиваться по сравнению с элементами, которые она контролирует.
131.131.
For example, in SaaS involving the use of standard office software, it is likely that the provider would be responsible for virtually all resources provided to the customer, and liability of the provider could arise in each case of non-provision or malfunctioning of those resources.Например, в контексте ОкУ, когда используется стандартное офисное программное обеспечение, поставщик, скорее всего, будет нести ответственность практически за все ресурсы, предоставленные клиенту, и ответственность поставщика будет возникать в каждом случае непредоставления или неудовлетворительного функционирования таких ресурсов.
Nevertheless, even in those cases, the customer could still be responsible for some components of the services, such as encryption or backups of data under its control.Однако даже в этом случае клиент все же будет нести ответственность по отдельным компонентам услуг, например, по шифрованию или созданию резервных копий данных, находящихся под его контролем.
The failure to ensure adequate backups might lead to the loss of the right of recourse against the provider in case of the loss of data.Неспособность обеспечить создание надлежащих резервных копий может привести к потере права предъявлять поставщику какие-то требования в случае утраты данных.
On the other hand, in IaaS and PaaS, the provider could be responsible only for the infrastructure or platforms provided (such as hardware resources, operating system or middleware), while the customer would assume responsibility for all components belonging to it, such as applications run using the provided infrastructure or platforms and data contained therein.С другой стороны, в контексте ИкУ и ПкУ поставщик может нести ответственность только за предоставленную инфраструктуру или платформы (например, ресурсы аппаратных средств, операционную систему или промежуточное ПО), в то время как клиент будет нести ответственность за все принадлежащие ему компоненты, например, за прикладные программы, используемые благодаря предоставленной инфраструктуре или платформам, и находящиеся в них данные.
Providers’ standard termsСтандартные условия поставщика
132.132.
Providers’ standard terms may exclude any liability under the contract and take the position that liability clauses are non-negotiable.Стандартные условия поставщика могут исключать любую ответственность по договору и устанавливать, что положения об ответственности не подлежат обсуждению.
Alternatively, the provider may be willing to accept liability, including unlimited liability, for breaches controllable by the provider (e.g., a breach of IP licenses granted to the provider by the customer) but not for breaches that may occur for reasons beyond the provider’s control (e.g., unforeseeable events or leaks of confidential data).В то же время поставщик может выразить готовность взять на себя ответственность, включая неограниченную ответственность, за нарушения в сфере контроля поставщика (например, нарушения по лицензиям на использование ИС, предоставленным поставщику клиентом), но не за нарушения, которые могут произойти вне сферы контроля поставщика (например, связанные с непредвиденными обстоятельствами или утечкой конфиденциальных данных).
133.133.
Providers’ standard terms generally exclude liability for indirect or consequential loss (e.g., loss of business opportunities following the unavailability of the cloud computing service).В стандартных условиях поставщика обычно исключается ответственность за косвенный ущерб или сопутствующие убытки (например, упущенные коммерческие возможности из-за отсутствия услуг облачных вычислений).
Where liability is accepted generally or for certain specified cases, providers’ standard terms often limit the amount of losses that will be covered (per incident, per series of incidents or per period of time).Когда ответственность принимается в целом либо в отношении конкретных указанных случаев, стандартные условия поставщика часто ограничивают размеры подлежащего возмещению ущерба (по каждому инциденту, серии инцидентов или за определенный период времени).
In addition, providers often fix an overall cap on liability under the contract, which may be linked to the revenue expected to be received under the contract, to the turnover of the provider or insurance coverage.Кроме того, поставщики часто устанавливают общий максимальный предел ответственности по договору, который может зависеть от размера ожидаемых поступлений по данному договору, оборота поставщика или страхового покрытия.
134.134.
Providers’ standard terms usually impose liability on the customer for non-compliance with AUP.В стандартных условиях поставщика ответственность за несоблюдение ППИ обычно возлагается на клиента.
Possible variations of standard termsВозможные варианты стандартных условий
135.135.
Some events (e.g., personal data protection violations and IP rights infringement) could expose either party to the potentially high liability to third parties or give rise to regulatory fines.Некоторые события (например, нарушение защиты персональных данных и нарушение прав ИС) могут либо привести к потенциальному росту ответственности перед третьими сторонами, либо послужить основанием для применения установленных законом штрафных санкций.
It is common to agree on a more stringent liability regime (unlimited liability or higher compensation) when those events occur due to the fault or negligence of the other party.Принято устанавливать по согласованию более жесткий режим ответственности (неограниченная ответственность или более высокая компенсация), если такие нарушения происходят по вине или халатности другой стороны.
136.136.
Liability of the parties for actions of third parties that they cannot control (e.g., of the customer for actions of end users or of the provider for actions of the customer or its end users) may be limited or excluded by contract or law.Договор или законодательство могут ограничивать или исключать ответственность сторон за действия третьих сторон, которые они не могут контролировать (например, ответственность клиента за действия конечных пользователей или ответственность поставщика за действия клиента или его конечных пользователей).
Liability insuranceСтрахование ответственности
137.137.
The contract may contain insurance obligations for both or either party, in particular as regards quality requirements for an insurance company and the minimum amount of insurance coverage sought.В договоре могут предусматриваться обязательства по страхованию как для обеих сторон, так и для каждой стороны, особенно применительно к квалификационным требованиям для страховой компании и минимальным размерам страхового покрытия.
It may also require parties to notify changes to the insurance coverage or provide copies of current insurance policies to each other.Договор может также обязывать стороны направлять уведомления об изменениях в условиях страхования или предоставлять друг другу копии действующих страховых полисов.
K.K.
Remedies for breach of the contractСредства правовой защиты в случае нарушения договора
Types of remediesВиды средств правовой защиты
138.138.
The parties are free to select remedies within the limits of applicable law.Стороны могут свободно выбирать средства правовой защиты в пределах, установленных применимым законодательством.
Remedies may include in-kind remedies aimed at providing the aggrieved party with the same or equivalent benefit expected from contract performance (e.g., replacement of the defective hardware), monetary remedies (e.g., service credits) and termination of the contract.Такие средства могут включать возмещение в натуральной форме с целью предоставления пострадавшей стороне такой же выгоды или выгоды, эквивалентной той, которую предполагалось получить в результате исполнения договора (например, замена неисправных аппаратных средств), денежное возмещение (например, льготное обслуживание) и прекращение договора.
The contract could differentiate between types of breaches and specify corresponding remedies.В договоре могут быть определены различные виды нарушений и оговорены соответствующие средства правовой защиты.
Suspension or termination of servicesПриостановление или прекращение обслуживания
139.139.
Suspension or termination of the provision of the cloud computing services is a usual remedy of the provider for the customer’s breach of a contract or violation of AUP by the customer’s end users.Обычным средством правовой защиты поставщика в случае нарушения клиентом обязательств по договору или же нарушения положений ППИ конечными пользователями клиента является приостановление или прекращение предоставления клиенту услуг облачных вычислений.
The contract may include safeguards against broad suspension or termination rights.В договор могут быть включены положения, защищающие от применения широких прав на приостановление или прекращение обслуживания.
For example, the right of the provider to suspend or terminate the provision of the cloud computing services to the customer may be limited to cases of fundamental breach of the contract by the customer, significant threats to the security or integrity of the provider’s system and cases stated in the applicable law.Например, право поставщика приостановить или прекратить предоставление клиенту услуг облачных вычислений может быть ограничено теми случаями, когда имеет место грубое нарушение клиентом условий договора и возникают серьезные угрозы безопасности или целостности системы поставщика, а также случаями, оговоренными в действующем законодательстве.
The provider’s right to suspend or terminate may also be restricted only to those services that are affected by the breach, where such a possibility exists.Право поставщика на приостановление или прекращение действия договора может также быть ограничено, если это возможно, только теми услугами, по которым допущено нарушение.
Service creditsЛьготное обслуживание
140.140.
An often-used mechanism to compensate the customer for non-performance by the provider is the system of service credits.Для предоставления клиенту компенсации в случае неисполнения поставщиком своих обязательств часто используется такой механизм, как льготное обслуживание.
Those credits take the form of a reduced fee for the services to be provided under the contract in the following measured period.Такие льготы могут принимать форму сниженного тарифа на услуги, которые будут предоставлены в соответствии с договором в определенный последующий период.
A sliding scale may apply (i.e., a percentage of reduction may depend on the extent to which the provider’s performance under the contract falls short of the performance parameters identified in SLA or other parts of the contract).В этом случае может применяться скользящая шкала (т.е. процентное снижение тарифа может зависеть от того, в какой степени выполнение поставщиком условий договора не соответствует параметрам производительности, определенным в СУО или других разделах договора).
An overall cap for service credits may also apply.Может быть установлен также общий предел льготного обслуживания.
Providers may limit the circumstances in which service credits are given to those, for example, where failures arise from matters under the provider’s control or where credits are claimed within a certain period of time.Поставщики могут ограничить обстоятельства, при которых предоставляется льготное обслуживание, например, теми случаями, когда неисполнение обусловлено факторами, находящимися в сфере контроля поставщика, или случаями, когда льготное обслуживание испрашивается в течение определенного периода времени.
Some providers may also be willing to offer a refund of fees already paid or an enhanced service package in the following measured period (e.g., free information technology consultancy).Некоторые поставщики могут также выразить готовность вернуть уже внесенную оплату или предоставить расширенный пакет услуг в течение определенного последующего периода (например, бесплатное консультирование по вопросам информационных технологий).
If a range of options exists, providers’ standard terms may stipulate that any remedy for provider non-performance will be at the choice of the provider.Если имеется определенный набор вариантов, то в стандартных условиях поставщика может предусматриваться, что выбор любого средства возмещения ущерба в случае неисполнения поставщиком своих обязательств производится поставщиком по собственному усмотрению.
141.141.
Fixing service credits as the sole and exclusive remedy against the provider’s non-performance of its contractual commitments may limit the customer’s rights to other remedies, including suing for damages or terminating the contract.Определение льготного обслуживания в качестве единственного и исключительного средства правовой защиты в случае неисполнения поставщиком своих договорных обязательств может ограничить права клиента на использование других средств правовой защиты, включая предъявление иска с целью возмещения ущерба или прекращение договора.
In addition, service credits in the form of fee reduction or an enhanced service package in the following measured period may be useless if the contract is terminated.Кроме того, льготное обслуживание в форме снижения тарифа или расширения пакета услуг в течение определенного последующего периода времени могут оказаться бесполезными, если действие договора заканчивается.
Excessive service credits may be unenforceable if they have been considered as an unreasonable approximation of harm at the outset of the contract.Возможности дополнительного льготного обслуживания могут оказаться нереализованными, если оно будет сочтено основанным на неоправданной приблизительной оценке ущерба на этапе заключения договора.
Other measures, such as penalties (where admissible) or liquidated damages, may provide more appropriate incentives for ensuring contractual compliance.Для обеспечения соблюдения договора более подходящими стимулами могут стать другие меры, например, штрафы (если это допустимо) или возмещение убытков.
Formalities to be followed in case of the breach of the contractФормальные требования, подлежащие выполнению в случае нарушения договора
142.142.
The contract may set forth procedures to be followed in cases of breach.В договоре могут быть предусмотрены процедуры, подлежащие выполнению в случае нарушения договора.
For example, the contract could require a party to notify the other party when any terms of the contract are deemed to be violated and to provide a chance to remedy such asserted violation.В договоре, например, может быть предусмотрено требование о направлении одной из сторон другой стороне уведомления в случае предполагаемого нарушения каких-либо условий договора и предоставлении возможности устранить последствия такого нарушения в случае его подтверждения.
Time limits for claiming remedies may also be set.Для использования средств правовой защиты могут быть установлены соответствующие предельные сроки.
L.L.
Term and termination of the contractСрок действия и прекращение договора
Effective start date of the contractДата вступления договора в силу
143.143.
The effective start date of the contract may be different from the signature date, the date of acceptance of the offer or the date of acceptance of configuration and other actions required for the customer to migrate to the cloud.Дата вступления договора в силу может не совпадать с датой подписания, датой акцепта оферты или датой принятия конфигурации или другими действиями, необходимыми для того, чтобы клиент мог осуществить миграцию в облако.
The date when the cloud computing services are made available to the customer by the provider, even if they are not actually used by the customer, may be considered the effective start date of the contract.Датой вступления договора в силу может считаться дата, когда поставщик начал предоставлять клиенту услуги облачных вычислений, даже если в этот день клиент фактически не воспользовался такими услугами.
The date of the first payment by the customer for the cloud computing services, even if they are not yet made available to the customer by the provider, may also be considered the effective start date of the contract.Датой вступления договора в силу может считаться также дата, когда клиент произвел первый платеж за услуги облачных вычислений, даже если они еще не были предоставлены клиенту поставщиком.
For those reasons and to avoid uncertainties, the parties may indicate in the contract its effective start date.По этим причинам и во избежание неопределенностей стороны могут указать в договоре дату его вступления в силу.
Duration of the contractСрок действия договора
144.144.
The duration of the contract could be short, medium or long.По своей продолжительности договор может быть краткосрочным, среднесрочным и долгосрочным.
It is common in standardized commoditized multi-subscriber cloud solutions to provide for a fixed initial duration (short or medium), with automatic renewals unless terminated by either party.В стандартных коммерческих облачных решениях для групп абонентов обычно предусматривается фиксированный первоначальный срок действия (краткосрочный или среднесрочный договор) с автоматическим продлением договора, если одна из сторон не примет решения о его прекращении.
The provider may agree to serve the customer an advance notification of the upcoming expiration of the term of the contract.Поставщик может согласиться направить клиенту уведомление о предстоящем истечении срока действия договора.
Various considerations, including risks of being lock-in and missing better deals, may impact a decision on renewal.На решение продлить договор могут повлиять различные соображения, включая повышенные риски обособленности и вероятность того, что будут упущены более выгодные предложения.
Earlier terminationДосрочное прекращение
145.145.
Contracts usually address reasons for termination other than upon expiration of its fixed term, such as for convenience, breach or other reasons.В договоре обычно затрагиваются причины, по которым он может быть прекращен не в силу истечения установленного срока действия, а, например, в тех случаях, когда это обусловлено практическими соображениями, нарушением обязательств или другими причинами.
The contract may provide modalities for earlier termination, including requirements for a sufficiently advance notice, reversibility and other end-of-service commitments (see paras. 157–167 below).В договоре может быть предусмотрен порядок его досрочного прекращения, включая требования о направлении надлежащего заблаговременного уведомления, обеспечении обратимости данных и выполнении других обязательств, связанных с окончанием обслуживания (см. пункты 157–167 ниже).
Termination for convenienceПрекращение по практическим соображениям
146.146.
Providers’ standard terms, especially for provision of standardized commoditized multi-subscriber cloud solutions, usually reserve the right of the provider to terminate the contract at any time without customer default.В стандартных условиях поставщиков, особенно в случае предоставления стандартных коммерческих облачных решений для групп абонентов, обычно предусматривается право поставщика прекращать договор в любое время и без факта неисполнения обязательств клиентом.
The parties may agree to limit the circumstances under which such a right could be exercised and oblige the provider to serve the customer with sufficiently advance notice of termination.Стороны могут договориться ограничить обстоятельства, при которых такое право может осуществляться, и обязать поставщика достаточно заблаговременно направлять клиенту уведомление о прекращении договора.
147.147.
The customer’s right to terminate the contract for convenience (i.e., without the default of the provider) is especially common in public contracts.Право клиента прекращать договор по практическим соображениям (т.е. без факта неисполнения обязательств поставщиком) особенно характерно для публичных договоров.
The provider may demand payment of early termination fees in such cases.В таких случаях поставщик может выставлять отдельный счет за досрочное прекращение.
Payment of early termination fees by public entities may however be restricted by law.Однако оплата публичными органами сборов за досрочное прекращение договора может быть ограничена законодательством.
In contracts of indefinite duration, providers may be more inclined to accept termination by the customer for mere convenience without compensation, but that might also lead to a higher contract price.Поставщики, возможно, будут в большей степени готовы согласиться с прекращением договора клиентом по чисто практическим соображениям без компенсации в случае бессрочных договоров, однако это может быть также сопряжено с более высокой договорной ценой.
Termination for breachПрекращение в результате нарушения обязательств
148.148.
Fundamental breach usually justifies termination of the contract.Основанием для прекращения договора обычно является серьезное нарушение обязательств.
To avoid ambiguities, the parties may define in the contract the events that constitute a fundamental breach of the contract.Для того чтобы избежать неопределенности, стороны могут определить в договоре, какие события будут представлять собой серьезное нарушение договора.
Fundamental breach of the contract by the provider may include data loss or misuse, personal data protection violations, recurrent security incidents (e.g., more than a certain number of times per any measured period), confidentiality leaks and non-availability of services at certain time points or for a certain period of time.К серьезным нарушениям договора поставщиком могут относиться утрата или неправомерное использование данных, нарушение условий защиты персональных данных, повторяющиеся инциденты, связанные с нарушением безопасности (например, более определенного количества раз за конкретный срок), утечка конфиденциальной информации и недоступность услуг в определенные моменты или периоды времени.
Non-payment by the customer and violation of AUP by the customer or its end users are among the most common reasons for termination of the contract by the provider.Наиболее распространенными причинами прекращения договора поставщиком являются неуплата клиентом и нарушение им или его конечными пользователями ППИ.
The party’s right to terminate the contract may be conditional on serving a prior notice, holding good faith consultations and providing a possibility to remedy the situation.Сторона может воспользоваться правом прекратить договор при условии направления предварительного уведомления, проведения добросовестных консультаций и предоставления возможности исправить ситуацию.
The party may be obliged under the contract to restore contract performance within a certain number of days after remedial action has been taken.По условиям договора сторона может быть обязана возобновить его исполнение в течение определенного количества дней после принятия мер по исправлению ситуации.
149.149.
The contract may address the provider’s end-of-service commitments that would survive the customer’s fundamental breach of the contract, including the reversibility of customer data and other content (see paras. 157–167 below).В договоре могут быть определены обязательства поставщика в связи с окончанием обслуживания, которые останутся в силе после серьезного нарушения клиентом договорных положений, включая обеспечение обратимости данных клиента и другого контента (см. пункты 157–167 ниже).
Termination due to unacceptable modifications of the contractПрекращение вследствие неприемлемых изменений договора
150.150.
Certain modifications to the contract by one party may not be acceptable to the other party and may justify termination of the contract.Некоторые изменения договора одной стороной могут быть неприемлемыми для другой стороны и могут стать основанием для прекращения договора.
Those modifications might include modifications to data localization requirements or subcontracting terms.Такие изменения могут включать изменения требований в отношении локализации данных или изменения условий субподряда.
The contract may provide for the customer’s right to terminate the entire contract if modifications to the contract due to the restructuring of the provider’s service portfolio lead to termination or replacement of some services (see paras. 105–124 above and para. 155 below).В договоре может быть предусмотрено право клиента прекращать действие всего договора, если изменения договора, связанные с реструктуризацией портфеля услуг поставщика, приводят к прекращению предоставления или замене отдельных услуг (см. пункты 105–124 выше и пункт 155 ниже).
Termination in case of insolvencyПрекращение в случае несостоятельности
151.151.
Risks of insolvency may be identified during the risk assessment (see part one, para. 15(j)) and during the contract, for example, if periodic reporting about the financial condition of the parties is required under the contract.Риски несостоятельности могут быть выявлены при проведении оценки рисков (см. часть первую, пункт 15 (j)) и в ходе исполнения договора, например, если в договоре предусмотрено представление периодических отчетов о финансовом состоянии сторон.
Clauses allowing termination of the contract in the event of insolvency of either party are common.Положения, допускающие прекращение действия договора в случае несостоятельности любой из сторон, являются распространенным явлением.
Mandatory provisions of insolvency law may override those clauses.Преимущественную силу по сравнению с этими положениями могут иметь императивные нормы законодательства о несостоятельности.
152.152.
An insolvent customer may need to continue using the cloud computing services while resolving its financial difficulty.Неплатежеспособному клиенту, возможно, необходимо будет продолжать использование услуг облачных вычислений в течение того периода, пока он решает свои финансовые проблемы.
The parties may restrict the right to invoke the insolvency as the sole ground for termination of the contract in the absence of, for example, the customer’s default in payment under the contract.Стороны могут ограничить право ссылаться на несостоятельность как на единственное основание для прекращения договора, если, например, это не сопровождается неисполнением клиентом платежных обязательств по договору.
153.153.
The parties may specify in the contract, or the law may provide for, mechanisms for the retrieval of customer data in case of the provider’s insolvency (e.g., an automatic release of the source code or key escrow allowing access to the customer data and other content).Стороны могут указать в договоре — или в законодательстве могут быть предусмотрены — механизмы извлечения данных клиента в случае несостоятельности поставщика (например, автоматическая передача исходного кода или депонированного ключа, обеспечивающих доступ к данным клиента и другому контенту).
Otherwise, the customer may face difficulties and delays with retrieval of its data and other content from the insolvent provider’s cloud infrastructure.В противном случае клиент может столкнуться с трудностями и задержками при извлечении своих данных и другого контента из облачной инфраструктуры несостоятельного поставщика.
Where a mass exit and withdrawal of content occurs due to a crisis of confidence in the provider’s financial position, the insolvent provider or an insolvency representative may limit the amount of content (data and application code) that can be withdrawn in a given time period or decide that end-of-service commitments should proceed on a “first come, first served” basis.В тех случаях, когда из-за кризиса доверия в отношении финансового положения поставщика происходит массовый уход и вывод контента, несостоятельный поставщик или управляющий в деле о несостоятельности может ограничить объем контента (данных и кодов прикладных программ), который может быть выведен в течение определенного периода времени, или принять решение о том, что обязательства в связи с окончанием обслуживания будут выполняться в порядке очередности обращения.
Termination in case of change of controlПрекращение в случае смены контроля
154.154.
The change of control may, for example, involve a change in the ownership or the capacity to determine, directly or indirectly, the operating and financial policies of the provider, which may lead to changes in the provider’s service portfolio.Смена контроля может быть связана, например, с изменением собственника или способности определять, прямо или косвенно, оперативную и финансовую политику поставщика, что может привести к изменениям в портфеле услуг поставщика.
The change of control may also involve the assignment or novation of the contract, with rights and obligations or only rights under the contract transferred to a third party.Смена контроля также может быть также связана с уступкой или новацией договора, с передачей прав и обязательств или только прав по договору третьей стороне.
As a result, an original party to the contract may change, or certain aspects of the contract, for example payments, may need to be performed to a third party.В результате может произойти смена первоначальной стороны договора или же возникнуть необходимость исполнения отдельных аспектов договора, например платежей, в пользу третьей стороны.
155.155.
The applicable law may require termination of the contract if as a result of the change of control, mandatory requirements of law (e.g., data localization requirements or prohibition to deal with certain entities under international sanctions regime or because of national security concerns) cannot be fulfilled.Применимое законодательство может предусматривать необходимость прекращения договора, если в результате изменения контроля утрачивается возможность выполнения обязательных требований законодательства (например, требований в отношении локализации данных или запрета на ведение дел с отдельными предприятиями в рамках режима международных санкций или по соображениям национальной безопасности).
Public contracts may, in particular, be affected by statutory restrictions on the change of control.Нормативные ограничения в связи со сменой контроля могут особо затрагивать договоры публичных органов.
In addition, the parties may agree about termination of the contract in case of change of control, in particular if, as a result of such change, the provider or the contract is taken over by the customer’s competitor or if the takeover leads to discontinuation of, or significant changes in, the service portfolio.Кроме того, стороны могут договориться о прекращении действия договора в случае смены контроля, если, в частности, в результате такой смены поставщик или сам договор перейдет под контроль конкурента клиента или же если в результате поглощения произойдет аннулирование или серьезное изменение портфеля услуг.
Requiring an advance notice of an upcoming change of control and its expected impact on the contract is common.Требование направлять заблаговременное уведомление о предстоящей смене контроля и ожидаемых последствиях этого для договора является обычной практикой.
Inactive account clauseПоложение об отсутствии активности пользователя
156.156.
Customer inactivity for a certain time period specified in the contract may be a ground for unilateral termination of the contract by the provider.Основанием для одностороннего прекращения договора поставщиком может послужить отсутствие активности со стороны клиента в течение определенного периода времени, указанного в договоре.
The inactive account clause is unusual in business-to-business cloud computing contracts provided for remuneration.Однако положение об отсутствии активности пользователя редко встречается в договорах между коммерческими предприятиями о предоставлении услуг облачных вычислений за вознаграждение.
M.M.
End-of-service commitmentsОбязательства в связи с окончанием обслуживания
157.157.
End-of-service commitments may raise not only contractual but also regulatory issues.Обязательства в связи с окончанием обслуживания могут быть сопряжены не только с договорными вопросами, но и вопросами нормативно-правового порядка.
The parties may be concerned about achieving a balance between the customer’s interest in continuous access to its data and other content, including during the transition period, and the provider’s interest in ending any obligation towards the former customer as soon as possible.Стороны могут стремиться обеспечить баланс между заинтересованностью клиента в том, чтобы сохранять непрерывный доступ к своим данным и другому контенту, в том числе в переходный период, и заинтересованностью поставщика в том, чтобы действие любых его обязательств перед бывшим клиентом закончилось как можно скорее.
158.158.
End-of-service commitments may be the same regardless of the cause of termination of the contract or may be different depending on whether termination is for breach of contract or other reasons.Обязательства в связи с окончанием обслуживания могут быть одинаковыми независимо от причины прекращения договора или различаться в зависимости от того, произошло ли прекращение договора из-за нарушения его положений или же по другим причинам.
The following paragraphs discuss issues that parties may wish to address in the contract.В последующих пунктах обсуждаются вопросы, которые стороны, возможно, пожелают рассмотреть в договоре.
Time frame for exportСроки для экспорта данных
159.159.
The parties may specify in the contract a time frame for export, which may need to be sufficiently long to ensure a smooth export by the customer of its data and other content to another system.Стороны могут указать в договоре временные рамки для экспорта данных, которые могут быть достаточно широкими, для того чтобы обеспечить плавный перевод клиентом своих данных и другого контента в другую систему.
Customer access to the content subject to exportДоступ клиента к контенту, предназначаемому для экспорта
160.160.
The contract would specify data and other content subject to export and ways of gaining customer access thereto, including any decryption keys that may be held by the provider or third parties (see part one, para. 28).В договоре могут быть указаны данные и другой контент, подлежащие экспорту, и пути получения клиентом доступа к ним, включая любые ключи шифрования, которые могут находиться у поставщика или третьих сторон (см. часть первую, пункт 28).
To facilitate the export of the customer’s data with the minimal involvement of the provider, the parties may agree on an escrow arrangement (i.e., involvement of a third party authorized to automatically release to the customer the source code, decryption keys or other elements allowing access to the customer data and other content upon occurrence of certain events, such as termination of the contract (see also para. 153 above)).Для содействия экспорту данных клиента при минимальном участии поставщика стороны могут договориться о механизме депонирования (т.е. участии третьей стороны, уполномоченной автоматически предоставлять клиенту исходный код, ключи шифрования или другие элементы, позволяющие получить доступ к данным клиента и другому контенту при наступлении определенных событий, таких как прекращение действия договора (см. также пункт 153 выше)).
The contract may also specify export options, including their formats and processes, to the extent possible, recognizing that they may change over time.В договоре могут быть также указаны варианты экспорта, включая форматы и процедуры, насколько это возможно, с учетом их вероятного изменения с течением времени.
Export assistance by the providerПомощь поставщика в экспорте данных
161.161.
The provider may not always agree to be actively involved in assisting the customer with exporting its data to another system, but it may be expected under law to ensure that such export is possible and simple.Поставщик не всегда может согласиться активно участвовать в оказании клиенту помощи при экспорте его данных в другую систему, однако можно ожидать, что в соответствии с законодательством удастся обеспечить, чтобы такой экспорт оказалcя возможным и простым.
Where the parties agreed on the provider’s involvement in the export of customer data to another system, the contract may specify details, such as the extent, procedure and time period for export assistance.В тех случаях, когда стороны договорились об участии поставщика в экспорте данных клиента в другую систему, в договоре могут быть указаны соответствующие детали, такие как степень, процедуры и сроки оказания помощи в экспорте данных.
The provider may require separate payment for the provision of export assistance.Поставщик может потребовать отдельной платы за помощь в экспорте данных.
In such case, the parties may fix the amount of the payment in the contract or agree to refer to the provider’s price list at a given time.В этом случае стороны могут указать в договоре сумму платежа или договориться об использовании в тот или иной момент времени прейскуранта поставщика.
Alternatively, the parties may agree that such assistance is included in the contract price or that no extra payment will be charged if the contract termination follows the provider’s breach of contract.В противном случае стороны могут договориться о включении такой помощи в договорную цену или же о том, что никакие дополнительные платежи взиматься не будут, если действие договора прекращается в результате нарушения поставщиком условий этого договора.
Data deletionУдаление данных
162.162.
The contract may need to specify rules for data deletion from the provider’s cloud infrastructure upon export or expiration of the period specified in the contract for export.В договоре, возможно, необходимо будет определить правила удаления данных из облачной инфраструктуры поставщика после их экспорта или истечения предусмотренного в договоре срока для экспорта данных.
The data deletion may be done automatically by the provider, for example, upon occurrence of certain events, expiration of time periods that were agreed upon by the parties or as required by law.Удаление данных может производиться поставщиком автоматически, например, при наступлении определенных событий, истечении сроков, согласованных сторонами, или в соответствии с требованиями законодательства.
Alternatively, data may be deleted only upon a specific customer’s request and instructions.В противном случае данные могут быть удалены только по специальному запросу и в соответствии со специальными инструкциями клиента.
The parties may agree that the customer will be notified about the upcoming data deletion and will be served with an attestation, report or statement of data deletion, including data deletion from third parties’ systems.Стороны могут договориться о том, что клиент будет извещен о предстоящем удалении данных и что он получит официальное подтверждение, отчет или рапорт по факту удаления данных, включая удаление данных из систем третьих сторон.
Post-contract retention of dataСохранение данных по окончании действия договора
163.163.
The provider might be required to retain customer data by law, in particular a data protection law, which may also address a time period during which the data must be retained.Поставщик, возможно, будет обязан сохранять данные клиента в соответствии с законодательством, в частности законодательством о защите данных, которое может также определять сроки, в течение которых данные должны сохраняться.
Specific issues and requirements may arise from the need to retain and store digital signature certificates, especially in the cross-border context.Ввиду необходимости сохранять и хранить сертификаты цифровой подписи, особенно в трансграничном контексте, могут возникать конкретные вопросы и требования.
The parties may agree on the retention of customer data by the provider after the termination of the contract.Стороны могут договориться о сохранении поставщиком данных клиента после прекращения действия договора.
Some providers may offer a post-contract retention period at additional cost.Некоторые поставщики могут предложить за отдельную плату сохранять данные в течение определенного срока после окончания действия договора.
164.164.
The parties may include special requirements as regards data that are not or cannot be returned to the customer and whose deletion would not be possible.В отношении данных, которые не возвращаются или не могут быть возвращены клиенту и удаление которых не представляется возможным, стороны могут предусмотреть особые требования.
For example, the contract may specify that all personal information must be de-identified and that the data are to be retained in an encrypted form or in a usable and interoperable format to allow its retrieval when required.Например, в договоре может быть указано, что вся персональная информация должна быть обезличена и что данные должны быть сохранены в кодированной форме или в формате, приемлемом для использования и совместимости, с тем чтобы при необходимости обеспечить возможность их извлечения.
The parties may also agree on their respective responsibilities for post-contractual retention of the data in the specified format.Стороны могут также договориться о своих соответствующих обязанностях в отношении сохранения данных в указанном формате после окончания действия договора.
Post-contract confidentiality clauseПоложение о сохранении конфиденциальности после окончания действия договора
165.165.
The parties may agree on a post-contract confidentiality clause.Стороны могут согласовать положение о сохранении конфиденциальности после окончания действия договора.
Confidentiality obligations may survive the contract for a specified number of years after the contract is terminated (e.g., five or seven years), or may continue indefinitely, depending on the nature of the customer data and other content that was placed in the provider’s cloud infrastructure.Обязательства обеспечивать конфиденциальность могут оставаться в силе в течение определенного количества лет (например, пяти-семи лет) после окончания действия договора либо продолжать существовать бесконечно в зависимости от характера данных клиента и другого контента, который был размещен в облачной инфраструктуре поставщика.
Post-contract auditsПроверки после окончания действия договора
166.166.
Post-contract audits may be agreed by parties or imposed by law.Проверки в период после окончания действия договора могут быть согласованы сторонами или предусматриваться законодательством.
The parties may agree on terms for carrying out such audits, including the time frame and allocation of costs.Стороны могут достичь договоренности относительно условий проведения таких проверок, включая сроки и распределение расходов.
Leftover account balanceОстаток средств на счете
167.167.
The parties may agree on conditions for the return to the customer of leftover amounts on its account or for the offset of those amounts against any additional payments that the customer would need to make to the provider, including for end-of-service activities or to compensate damage.Стороны могут согласовать условия возврата клиенту остатка средств на его счете или зачисления этих сумм в счет любых дополнительных платежей, которые клиент должен будет произвести поставщику, в том числе за работу в связи с окончанием обслуживания или в качестве компенсации за ущерб.
N.N.
Dispute resolutionУрегулирование споров
Methods of dispute settlementМетоды урегулирования споров
168.168.
The parties may agree on the method to settle their contractual disputes.Стороны могут согласовать методы урегулирования своих споров в рамках договора.
Dispute settlement methods include negotiation, mediation, online dispute resolution (ODR), arbitration and judicial proceedings.К методам урегулирования споров относятся переговоры, медиация, урегулирование споров в режиме онлайн (УСО), арбитраж и судебное разбирательство.
Different types of dispute may justify different dispute resolution procedures.Различные виды споров могут предполагать применение различных процедур их урегулирования.
Disputes over financial and technical issues, for example, may be referred to a binding decision by a third-party expert (individual or body), while some other types of disputes may be more effectively dealt with through direct negotiations between the parties.Споры по финансовым и техническим вопросам, например, могут передаваться третьей стороне-эксперту (отдельному лицу или органу) для вынесения решения, имеющего обязательную силу, в то время как другие споры можно более эффективно урегулировать путем прямых переговоров между сторонами.
In case of smaller claims, ODR-assisted negotiations or mediation may offer fast and cost-effective methods for the parties to reach consensual agreement online.В случае небольших требований оперативные и эффективные с точки зрения затрат методы достижения консенсуса в режиме онлайн могут дать сторонам переговоры или посредничество с использованием УСО.
For higher-level claims, cloud sector-specific ODR may offer a competent specialized forum and be helpful for judicial processes.В случае требований более высокого уровня УСО, адаптированное конкретно к особенностям облачного сектора, может служить подходящим специализированным форумом и оказаться полезным для судебных разбирательств.
The law of some jurisdictions may prescribe certain alternative dispute resolution mechanisms that the parties would need to exhaust before being able to refer a dispute to a court.Законодательство некоторых юрисдикционных систем может предусматривать определенные альтернативные механизмы урегулирования споров, которые стороны должны использовать, прежде чем они передадут спор на рассмотрение суда.
Arbitral proceedingsАрбитражное разбирательство
169.169.
Disputes that are not amicably settled may be referred to arbitral proceedings if the parties opted for it.Споры, которые не удалось урегулировать мирным путем, могут быть переданы в арбитраж, если стороны предпочтут такой вариант.
Not all issues may, however, be referred to arbitration;Однако не все вопросы могут быть переданы в арбитраж;
some may be reserved by law for adjudication by a court.по некоторым, согласно законодательству, решение должно выноситься судом.
The parties may therefore wish to verify the arbitrability of their disputes before opting for arbitration.Поэтому стороны, возможно, пожелают установить, подлежат ли их споры урегулированию в рамках арбитражного разбирательства, прежде чем делать выбор в пользу арбитража.
An arbitration clause in a contract would usually refer to a set of arbitration rules to govern arbitral proceedings.В содержащейся в договоре арбитражной оговорке обычно указывается арбитражный регламент, который будет регулировать арбитражное разбирательство.
A contract can include a standard dispute resolution clause referring to the use of internationally recognized rules for the conduct of dispute resolution proceedings (e.g., the UNCITRAL Arbitration Rules).Договор может включать стандартное положение об урегулировании споров, содержащее ссылку на применение международно признанных норм для осуществления процедур урегулирования споров (например, Арбитражный регламент ЮНСИТРАЛ).
In the absence of such specification, the arbitral proceedings will normally be governed by the procedural law of the State where the proceedings take place or, if an arbitration institution is chosen by the parties, by the rules of that institution.В отсутствие такого указания арбитражное разбирательство, как правило, будет регулироваться процессуальным правом государства, в котором проводится разбирательство, или — в случае выбора сторонами конкретного арбитражного органа — регламентом этого органа.
Online dispute resolutionУрегулирование споров в режиме онлайн
170.170.
The parties may opt for an ODR mechanism for some or all categories of disputes arising from their contract subject to limitations imposed by law.Стороны могут выбрать механизм УСО для некоторых или для всех категорий споров, вытекающих из их договора, с учетом установленных законом ограничений.
The contract may specify the scope of issues subject to ODR and the ODR platform and rules to be used in the proceedings.В договоре может быть указан диапазон вопросов, подлежащих УСО, и платформа УСО, а также правила, которые будут использоваться в ходе разбирательства.
In some cases, ODR could be embedded in the cloud service package offered by the provider with an opt-out possibility.В некоторых случаях УСО уже может быть предусмотрено в пакете облачных услуг, предлагаемых поставщиком, с возможностью отказа от такой процедуры.
171.171.
The ODR process usually consists of: (a) negotiation conducted between the parties via the ODR platform;Процесс УСО обычно включает: a) переговоры, проводимые между сторонами с использованием платформы УСО;
(b) facilitated settlement, where a neutral is appointed and communicates with the parties to try to achieve a settlement;b) содействие урегулированию, в рамках которого назначается нейтральное лицо, вступающее в сношения со сторонами в попытке достичь урегулирования;
and (c) a final stage, in which the ODR administrator or a neutral informs the parties of the nature of the final stage, and of its form.и c) заключительный этап, на котором администратор УСО или нейтральное лицо информирует стороны о характере заключительного этапа и о его форме.
The result of ODR may be non-binding on the parties unless the contract or the applicable law states otherwise.Результат УСО может не иметь обязательной силы для сторон, если в договоре или применимом законодательстве не указано иное.
Judicial proceedingsСудебное разбирательство
172.172.
If judicial proceedings are to take place, due to the nature of cloud computing services, several States might claim jurisdiction.В случае судебного разбирательства, ввиду характера услуг облачных вычислений, юрисдикцию могут оспаривать несколько государств.
Where possible, parties may agree on a jurisdiction clause under which they are obligated to submit disputes to a specific court (see paras. 175–181 below).Если это возможно, стороны могут согласовать положение о юрисдикции, в соответствии с которым они будут обязаны передавать спор на рассмотрение конкретного суда (см. пункты 175–181 ниже).
Retention of dataСохранение данных
173.173.
During the dispute resolution phase, continued access by the customer to its data, including metadata and other cloud service-derived data, may be vital, apart from for business continuity, for the customer’s participation in dispute resolution proceedings (e.g., to substantiate a claim or counterclaim).На этапе урегулирования спора постоянный доступ клиента к его данным, включая метаданные и другие производные данные услуг облачных вычислений, может иметь важное значение не только в плане обеспечения непрерывности коммерческой деятельности клиента, но и в плане его участия в процедурах урегулирования спора (например, для обоснования требования или встречного требования).
The contract may specifically provide that, in case of disputes between the parties, the customer’s data will be retained by the provider and the customer will have access to its data for a reasonable period of time, regardless of the nature of the dispute.В договоре может быть конкретно указано, что в случае возникновения споров между сторонами данные клиента будут сохраняться поставщиком, и клиент будет иметь доступ к своим данным в течение разумного периода времени, независимо от характера спора.
The parties may also agree on an escrow arrangement (see para. 160 above).Стороны могут также договориться об использовании механизма депонирования (см. пункт 160 выше).
Limitation period for complaintsСрок исковой давности
174.174.
The parties may specify in the contract the limitation period within which claims may be brought.Стороны могут указать в договоре срок исковой давности, в течение которого могут предъявляться требования.
Limitation periods stipulated in the law may be applicable and will override non-compliant terms of the contract.Могут применяться сроки исковой давности, предусмотренные законодательством, которые будут иметь преимущественную силу по сравнению к условиям договора, не соответствующим такому законодательству.
O.O.
Choice of law and choice of forum clausesПоложения о выборе права и выборе суда
175.175.
Freedom of contract (see para. 34 above) usually allows parties to choose the law that will be applicable to their contract and the jurisdiction or forum where disputes will be considered.В соответствии с принципом свободы договора (см. пункт 34 выше) сторонам, как правило, разрешается выбирать право, которое будет применимо к их договору, а также юрисдикционную систему или суд, в которых будут рассматриваться их споры.
The mandatory law (e.g., data protection law) may, however, override the choice of law and the choice of forum clauses made by the contracting parties, depending on the subject of the dispute.Тем не менее императивные нормы права (например, закон о защите данных) могут иметь преимущественную силу по сравнению к положениям о выборе права и выборе суда, согласованным договаривающимися сторонами, с учетом предмета спора.
In addition, regardless of the choice of law and choice of forum, more than one mandatory law (e.g., data protection law, insolvency law), including from different jurisdictions, may be applicable to the contract.Кроме того, независимо от выбора права и выбора суда, в отношении договора могут быть применимы императивные нормы нескольких отраслей права (например, закона о защите данных, закона о несостоятельности), в том числе нормы различных юрисдикционных систем.
Considerations involved in choosing the applicable law and forumСоображения, связанные с выбором применимого права и суда
176.176.
The choice of law and choice of forum clauses are interconnected.Положения о выборе права и выборе суда взаимосвязаны.
Whether the selected and agreed-upon law will ultimately apply depends on the forum in which the choice-of-law clause is presented to a court or another adjudicating body, e.g., an arbitral tribunal.Применение в конечном итоге выбранного и согласованного права будет зависеть от форума, в котором положение о выборе права будет представлено на рассмотрение суда или другого судебного органа, например, третейского суда.
It is the law of that forum that will determine whether the clause is valid and whether the forum will respect the choice of applicable law made by the parties.Именно законы этого форума будут определять, имеет ли это положение силу и будет ли форум уважать выбор применимого права, сделанный сторонами.
Because of the importance of the forum law for the fate of the choice of law clause, a contract with such a clause usually also includes a choice of forum clause.Ввиду важности права форума для решения вопроса о выборе права в договор, содержащий такое положение, также включается положение о выборе суда.
177.177.
In choosing the forum, the parties usually consider the impact of the chosen or otherwise applicable law and the extent to which a judicial decision made in that forum would be recognized and enforceable in the countries where enforcement would likely be sought.При выборе суда стороны обычно учитывают последствия выбранного или иного применимого права и то, в какой степени решение, вынесенное в таком суде, будет признано и будет подлежать исполнению в странах, в которых, возможно, будут добиваться его исполнения.
Preserving flexibility in enforcement options may be an important consideration, especially in the cloud computing settings where many factors that parties usually take into account in formulating choice of law and choice of forum clauses may be uncertain, including the location of assets involved in the provision of services and the location of the provider and the customer.Применение гибкого подхода в отношении вариантов приведения решения в исполнение может иметь важное значение, особенно в контексте облачных вычислений, где может отсутствовать определенность в отношении многих факторов, которые стороны, как правило, учитывают при разработке положений о выборе права и выборе суда, включая местонахождение активов, используемых при предоставлении услуг, и местонахождение поставщика и клиента.
Mandatory law and forumИмперативный характер норм права и суда
178.178.
The law and the forum of a particular jurisdiction may be mandatory on various grounds, for example:Императивный характер норм права и суда в рамках конкретной юрисдикционной системы может определяться различными факторами, включая следующее:
(a)a)
The accessibility of the cloud computing services in the territory of a particular State may be sufficient for the application of the data protection law of that State;доступность услуг облачных вычислений на территории конкретного государства может быть достаточным основанием для применения закона этого государства о защите данных;
(b)b)
The nationality or residence of the affected data subject or the contracting parties, in particular the data controller, may trigger the application of the law of that data subject or the party;гражданство или местопребывание пострадавшего субъекта данных или договаривающихся сторон, в частности контролера данных, могут послужить основанием для применения права государства субъекта данных или стороны договора;
andи
(c)c)
The law of the place in which the activity originated (the location of the equipment) or to which the activity is directed for the purpose of extracting benefits may trigger the application of the law of that place.законодательство места происхождения деятельности (местонахождение оборудования) или места, на которое деятельность сориентирована с целью получения выгоды, может послужить основанием для применения законодательства этого места.
The use of a given country top-level domain associated with a particular place, a local language in the website, pricing in local currency and local contact points are among the factors that might be taken into account in making such determination.В число факторов, которые могут быть приняты во внимание при принятии решения по данному вопросу, входят использование домена верхнего уровня данной страны, привязанного к конкретному месту, местный язык, использованный при разработке веб-сайта, установление цен в местной валюте и местные лица для связи.
Provider or customer home law and forumВнутригосударственное право и суд поставщика или клиента
179.179.
Contracts for standardized commoditized multi-subscriber cloud solutions often specify that they are governed by the law of the provider’s principal place of business or place of establishment.В договорах о стандартных коммерческих облачных решениях для групп абонентов часто указывается, что они регулируются законодательством, действующим в месте нахождения основного предприятия или в месте создания компании поставщика облачных услуг.
They typically grant the courts of that country exclusive jurisdiction over any disputes arising out of the contract.Такие договоры, как правило, предусматривают исключительную юрисдикцию судов этой страны в отношении любых споров, связанных с договором.
The customer may prefer the law and jurisdiction of its own country.Клиент может отдавать предпочтение законодательству и юрисдикции его собственной страны.
Public institutions would face significant restrictions on their ability to consent to the law and jurisdiction of foreign countries.Возможности публичных учреждений в плане согласия на применение права и юрисдикции иностранного государства будут в значительной степени ограничены.
Providers that operate in multiple jurisdictions may be flexible as regards accepting the choice of the law and forum of the country where the customer is located.Если поставщик осуществляет свою деятельность в рамках нескольких юрисдикционных систем, то он может проявить гибкость в вопросе выбора права и суда места нахождения клиента.
Multiple optionsРазличные варианты
180.180.
The parties may also specify various choice of law and forum options for different aspects of the contract.Стороны могут также указать различные варианты выбора права и суда в связи с различными аспектами договора.
They may also opt for a defendant’s jurisdiction to eliminate the home forum advantage for a plaintiff and thus encourage informal resolution of disputes.Они могут также выбрать юрисдикционную систему ответчика, чтобы исключить преимущества, обусловленные выбором национального суда, для истца и тем самым способствовать неформальному урегулированию спора.
No choice of law or forumОтсутствие выбора права или суда
181.181.
The parties may prefer no choice of law or forum clause in their contract, leaving the question open for later discussion if and when needed.Стороны, возможно, предпочтут не включать в свой договор никаких положений о выборе права или суда, оставив этот вопрос открытым для обсуждения на более позднем этапе, когда и если это потребуется.
That might be considered the only viable solution in some cases.В некоторых случаях такое решение представляется единственно возможным.
ODR may also be part of the solution for the questions of jurisdiction and applicable law (see paras. 170–171).Частью решения вопросов юрисдикции и применимого права может быть также УСО (см. пункты 170–171).
P.P.
NotificationsУведомления
182.182.
Notification clauses usually address the form, language, recipient and means of notification, as well as when the notification becomes effective (upon delivery, dispatch or acknowledgment of receipt).В положениях об уведомлениях могут рассматриваться вопросы, касающиеся формы, языка, получателя и способов уведомления, а также того момента, когда уведомление приобретает силу (в момент доставки, отправления или подтверждения получения).
In the absence of any mandatory legislative provisions, parties may agree upon formalities for notification, which could be uniform or vary depending on the importance and urgency and other considerations.В отсутствие каких-либо императивных норм законодательства стороны могут согласовать формальные процедуры уведомления, которые могут быть единообразными или различными в зависимости от степени важности, срочности и других факторов.
More stringent requirements may be made applicable, for example, in case of suspension or unilateral termination of the contract, as compared to routine notifications.Более жесткие требования, в отличие от обычных процедур уведомлений, будут, например, оправданными в случае приостановления действия или одностороннего прекращения действия договора.
The parties may agree on the deadlines, keeping in mind reversibility and business continuity needs.Стороны могут согласовать предельные сроки с учетом необходимости обеспечения обратимости данных и продолжения коммерческой деятельности клиента.
The contract may contain references to any notifications and deadlines imposed by law.Договор может содержать ссылки на любые установленные законодательством требования в отношении уведомлений и предельных сроков.
183.183.
The parties may opt for written notification to be served at the physical or electronic address of the contact persons specified in the contract.Стороны могут договориться об использовании письменных уведомлений, направляемых на физический или электронный адрес указанных в договоре контактных лиц.
The contract may specify the legal consequences of a failure to notify and of a failure to respond to a notification that requires such a response.В договоре можно указать юридические последствия, которые наступят, если уведомление не будет направлено или если не будет дан ответ на уведомление, которое требует такого ответа.
Q.Q.
Miscellaneous clausesРазличные другие положения
184.184.
Parties often group under miscellaneous clauses provisions that do not fall under other parts of the contract.Часто стороны включают в группу различных других положений те положения, которые не вошли в остальные разделы договора.
Some of them may contain a standard text appearing in all types of commercial contracts (so called “boilerplate provisions”).Некоторые из них могут содержать стандартный текст, содержащийся во всех видах коммерческих договоров (так называемые «стандартные положения, не являющиеся предметом переговоров»).
Examples include a severability clause allowing the removal of invalid provisions from the contract or a language clause identifying a certain language version of the contract as prevailing in case of conflicts in interpretation of various language versions.В качестве примера можно привести положение о разделимости, разрешающее исключать утратившие силу положения из текста договора, или положение об используемом языке, определяющее, какой из языков договора будет иметь преимущественную силу в случае коллизии при толковании текста договора на различных языках.
Placing contractual clauses among miscellaneous provisions does not diminish their legal significance.Включение договорных положений в разряд различных других положений не снижает их юридического значения.
Some of them may be tailored by the parties to the specifics of cloud computing services.Некоторые из них могут увязываться сторонами со специфическим характером услуг облачных вычислений.
R.R.
Amendment of the contractИзменение договора
185.185.
Amendments to the contract could be triggered by either party.Поправки к договору могут быть инициированы любой из сторон.
The contract would address the procedure for introducing amendments and making them effective.В договоре может быть предусмотрена процедура внесения поправок и придания им силы.
The contract may also need to address the consequences of rejection of amendments by either party.В договоре, возможно, потребуется рассмотреть также последствия отказа любой из сторон от внесения поправок.
186.186.
In the light of the nature of cloud computing services, it might be difficult to differentiate changes that would constitute amendment of the contract from those changes that would not.В силу особенностей услуг облачных вычислений, возможно, будет трудно провести различие между изменениями, которые будут представлять собой поправки к договору, и изменениями, которые будут носить иной характер.
For example, the customer’s use of any options made available from the outset in the contract would not necessarily constitute an amendment of the initial contract, nor would changes in services resulting from routine maintenance and other activities of the provider covered by the contract (see paras. 105–106 above).Например, использование клиентом какой-либо из опций, предусмотренных с самого начала действия договора, не обязательно будет представлять собой поправку к оригинальному договору, равно как и изменения в услугах в результате проведения штатного технического обслуживания и другой деятельности поставщика, предусмотренной договором (см. пункты 105–106 выше).
The addition of features not covered by the originally agreed terms and thus justifying changes in price may, on the other hand, constitute amendment of the contract.С другой стороны, добавление каких-либо элементов, не предусмотренных изначально в согласованных условиях и, соответственно, оправдывающих изменение в цене, можно будет считать поправкой к договору.
Any updates leading to material changes to previously agreed terms and policies may also constitute an amendment of the contract.Любые обновления, сопряженные с существенными изменениями предварительно согласованных условий и принципов, также могут считаться поправкой к договору.
187.187.
The extent of permissible modifications to public contracts may be limited by public procurement rules that usually restrict the freedom of parties to renegotiate terms of a contract that were subject to public tendering proceedings.Допустимые изменения в договорах с публичными органами могут регламентироваться правилами проведения публичных закупок, обычно ограничивающими свободу сторон пересматривать условия договора, которые являлись предметом процедур публичных торгов.
188.188.
In the light of frequent modifications of the originally agreed terms, each party may wish to independently store the complete set of the originally agreed terms and their modifications.Учитывая частые изменения первоначально согласованных условий, каждая из сторон, возможно, пожелает независимо от другой стороны хранить весь пакет изначально согласованных условий и изменений в них.
[1][1]
Official Records of the General Assembly, Sixty-ninth Session, Supplement No. 17 (A/69/17), para. 150;Официальные отчеты Генеральной Ассамблеи, шестьдесят девятая сессия, Дополнение № 17 (A/69/17), пункт 150;
ibid., Seventieth Session, Supplement No. 17 (A/70/17), para. 358;там же, семидесятая сессия, Дополнение № 17 (A/70/17), пункт 358;
and ibid., Seventy-first Session, Supplement No. 17 (A/71/17), para. 229.и там же, семьдесят первая сессия, Дополнение № 17 (A/71/17), пункт 229.
[2][2]
Ibid., Seventy-first Session, Supplement No. 17 (A/71/17), paras. 235 and 353;Там же, семьдесят первая сессия, Дополнение № 17 (A/71/17), пункты 235 и 353;
and ibid., Seventy-second Session, Supplement No. 17 (A/72/17), para. 127.и там же, семьдесят вторая сессия, Дополнение № 17 (A/72/17), пункт 127.
[3][3]
Ibid., Seventy-third Session, Supplement No.17 (A/73/17), para. 150.Там же, семьдесят третья сессия, Дополнение № 17 (A/73/17), пункт 150.
[4][4]
Ibid., Seventy-fourth Session, Supplement No. 17 (A/74/17), para. 151.Там же, семьдесят четвертая сессия, Дополнение № 17 (A/74/17), пункт 151.
11
For UNCITRAL texts addressing electronic signatures, see the United Nations Convention on the Use of Electronic Communications in International Contracts (New York, 2005), the UNCITRAL Model Law on Electronic Commerce (1996) and the UNCITRAL Model Law on Electronic Signatures (2001).Тексты ЮНСИТРАЛ, касающиеся электронных подписей, см. Конвенцию Организации Объединенных Наций об использовании электронных сообщений в международных договорах (Нью-Йорк, 2005 год), Типовой закон ЮНСИТРАЛ об электронной торговле (1996 год) и Типовом законе ЮНСИТРАЛ об электронных подписях (2001 год).
See also an explanatory text prepared by the UNCITRAL secretariat entitled “Promoting confidence in electronic commerce: legal issues on international use of electronic authentication and signature methods (2007)”, available at https://uncitral.un.org/en/texts/ecommerce.См. также пояснительный текст, подготовленный секретариатом ЮНСИТРАЛ, под названием «Содействие укреплению доверия к электронной торговле: правовые вопросы международного использования электронных методов удостоверения подлинности и подписания (2007 год)», размещенный по адресу https://uncitral.un.org/ru/texts/ecommerce.