top of page
Zdjęcie autoraMichał Nosowski

Umowa powierzenia przetwarzania danych z hostingodawcą

Zaktualizowano: 13 wrz


Jesteś przedsiębiorcą świadczącym usługi hostingowe/chmurowe? Prowadzisz działalność gospodarczą polegającą na hostingu poczty elektronicznej dla swoich klientów? Pomagasz im poprzez udostępnienie miejsca na swoich serwerach? Czy Twoi klienci mogą, powołując się na przepisy RODO, żądać od Ciebie zawarcia jakichś dodatkowych umów?

A może jesteś osobą, która chce skorzystać z usług hostingowych jakiejś firmy zewnętrznej? Zastanawiasz się jak zabezpieczyć dane osobowe, które będą przechowywane na serwerze znajdującym się poza Twoją organizacją? Czy RODO stawia jakieś wymogi w tej kwestii?

Odpowiem od razu na to pytanie: tak, stawia. A klienci podmiotu świadczącego usługi hostingowe mogą wymagać podpisania dodatkowej umowy, gwarantującej spełnienie wymogów nałożonych przez RODO.

Przepisy rozporządzenia ogólnego o ochronie danych osobowych (czyli właśnie RODO) uznają, że taka sytuacja, gdy korzystamy z czyichś usług hostingowych, stanowi powierzenie przetwarzania danych osobowych. Skutkuje to koniecznością zawarcia umowy powierzenia przetwarzania danych osobowych. To jakie elementy powinna zawierać umowa powierzenia przetwarzania danych zostało określone w przepisie art. 28 ust. 3 RODO. Z uwagi na to, iż wymogów stawianych przez przepisy w zakresie umów powierzenia jest dość sporo, stwierdziłem że zostawię to sobie na odrębny wpis. Na dzień dzisiejszy ważna jest jedna informacja – taka umowa powinna zostać zawarta pomiędzy podmiotem świadczącym usługi hostingowe a jego klientem.


Jak zawrzeć umowę powierzenia z hostingodawcą?

Umowę można zawrzeć w formie pisemnej lub elektronicznej – np. poprzez akceptację regulaminów na stronie usługodawcy, w momencie zawierania umowy o świadczenie usług drogą elektroniczną.

No dobrze, ale co z sytuacją gdy podmiot świadczący usługi hostingowe twierdzi, że nie on w żaden sposób nie przetwarza tych danych, nie odczytuje ich i z nich nie korzysta. Albo co gdy dane na serwerze są zaszyfrowane. Czy wtedy też wymagana jest umowa powierzenia przetwarzania danych?

Tak – bo przez przetwarzanie danych rozumiemy nie tylko ich odczytywanie lub modyfikowanie ale także samo przechowywanie lub np. tworzenie kopii zapasowych tych danych (innymi słowy, kopiowanie ich). Dlatego, nawet jeśli hostingodawca twierdzi, że on tych danych nie odczytuje a jedynie „trzyma u siebie” to i tak musimy zawrzeć z nim umowę powierzenia.

A co z szyfrowaniem? Jeżeli to my dysponujemy kluczem umożliwiającym ich odszyfrowanie i nie przekazujemy go hostingodawcy to nie ma on dostępu do danych. Z punktu widzenia przepisów RODO nadal jednak je przechowuje – a tym samym również wykonuje czynność przetwarzania danych. Nie ma znaczenia to, że nie może ich odczytać. Umowa powierzenia przetwarzania danych nie zabezpiecza bowiem tylko przed nieuprawnionym dostępem do danych osób z zewnątrz (tzn. spoza organizacji będącej administratorem danych).



wykresy

Umowa powierzenia przetwarzania danych ma również na celu zabezpieczyć interesy podmiotu będącego administratorem (czyli, w naszym przypadku - klienta który korzysta z usług hostingowej) w sytuacji gdy utracony zostanie dostęp do danych – np. w przypadku gdy z uwagi na błąd usługodawcy dane zostaną bezpowrotnie utracone albo stracimy do nich dostęp chociaż na pewien okres czasu – co może być skutkiem jakiejś usterki technicznej.


Pamiętajmy, że niemożność skorzystania z udostępnionego nam serwera może mieć naprawdę poważne skutki dla organizacji, w tym doprowadzić do strat finansowych. Ponadto, utrata dostępu do danych traktowana jest przez RODO jako naruszenie ochrony danych osobowych. I niestety, ale w tym przypadku szyfrowanie nic nie zmienia.

Dlatego podpisywanie umów powierzenia przetwarzania danych przez podmioty, które świadczą usługi hostingowe jest obowiązkiem, który z uwagi na przepisy RODO, musi zostać spełniony. I fakt, że obecnie niektórzy traktują go jako kłopotliwy formalizm nie oznacza, że kiedyś taka umowa, o ile jest odpowiednio napisana, może naprawdę zabezpieczyć nasze interesy.'


Na blogu pojawił się kompletny poradnik dotyczący powierzenia przetwarzania danych wraz ze wzorem umowy powierzenia. Możesz zapoznać się z nimi TUTAJ.
Jeżeli zainteresowała Cię ta tematyka, zachęcam również do przeczytania wpisu o zgodnym z RODO korzystaniu z usług chmurowych.

Gdybyś miał jakieś dodatkowe pytania dotyczące prawnych kwestii korzystania z usług serwerowych albo chmurowych, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.


Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page