• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2020 Michał Nosowski, Toruń. 

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Umowa powierzenia przetwarzania danych z hostingodawcą


Jesteś przedsiębiorcą świadczącym usługi hostingowe/chmurowe? Prowadzisz działalność gospodarczą polegającą na hostingu poczty elektronicznej dla swoich klientów? Pomagasz im poprzez udostępnienie miejsca na swoich serwerach? Czy Twoi klienci mogą, powołując się na przepisy RODO, żądać od Ciebie zawarcia jakichś dodatkowych umów?

A może jesteś osobą, która chce skorzystać z usług hostingowych jakiejś firmy zewnętrznej? Zastanawiasz się jak zabezpieczyć dane osobowe, które będą przechowywane na serwerze znajdującym się poza Twoją organizacją? Czy RODO stawia jakieś wymogi w tej kwestii?

Odpowiem od razu na to pytanie: tak, stawia. A klienci podmiotu świadczącego usługi hostingowe mogą wymagać podpisania dodatkowej umowy, gwarantującej spełnienie wymogów nałożonych przez RODO.

Przepisy rozporządzenia ogólnego o ochronie danych osobowych (czyli właśnie RODO) uznają, że taka sytuacja, gdy korzystamy z czyichś usług hostingowych, stanowi powierzenie przetwarzania danych osobowych. Skutkuje to koniecznością zawarcia umowy powierzenia przetwarzania danych osobowych. To jakie elementy powinna zawierać umowa powierzenia przetwarzania danych zostało określone w przepisie art. 28 ust. 3 RODO. Z uwagi na to, iż wymogów stawianych przez przepisy w zakresie umów powierzenia jest dość sporo, stwierdziłem że zostawię to sobie na odrębny wpis. Na dzień dzisiejszy ważna jest jedna informacja – taka umowa powinna zostać zawarta pomiędzy podmiotem świadczącym usługi hostingowe a jego klientem.

Umowę można zawrzeć w formie pisemnej lub elektronicznej – np. poprzez akceptację regulaminów na stronie usługodawcy, w momencie zawierania umowy o świadczenie usług drogą elektroniczną.

No dobrze, ale co z sytuacją gdy podmiot świadczący usługi hostingowe twierdzi, że nie on w żaden sposób nie przetwarza tych danych, nie odczytuje ich i z nich nie korzysta. Albo co gdy dane na serwerze są zaszyfrowane. Czy wtedy też wymagana jest umowa powierzenia przetwarzania danych?

Tak – bo przez przetwarzanie danych rozumiemy nie tylko ich odczytywanie lub modyfikowanie ale także samo przechowywanie lub np. tworzenie kopii zapasowych tych danych (innymi słowy, kopiowanie ich). Dlatego, nawet jeśli hostingodawca twierdzi, że on tych danych nie odczytuje a jedynie „trzyma u siebie” to i tak musimy zawrzeć z nim umowę powierzenia.

A co z szyfrowaniem? Jeżeli to my dysponujemy kluczem umożliwiającym ich odszyfrowanie i nie przekazujemy go hostingodawcy to nie ma on dostępu do danych. Z punktu widzenia przepisów RODO nadal jednak je przechowuje – a tym samym również wykonuje czynność przetwarzania danych. Nie ma znaczenia to, że nie może ich odczytać. Umowa powierzenia przetwarzania danych nie zabezpiecza bowiem tylko przed nieuprawnionym dostępem do danych osób z zewnątrz (tzn. spoza organizacji będącej administratorem danych).

Umowa powierzenia przetwarzania danych ma również na celu zabezpieczyć interesy podmiotu będącego administratorem (czyli, w naszym przypadku - klienta który korzysta z usług hostingowej) w sytuacji gdy utracony zostanie dostęp do danych – np. w przypadku gdy z uwagi na błąd usługodawcy dane zostaną bezpowrotnie utracone albo stracimy do nich dostęp chociaż na pewien okres czasu – co może być skutkiem jakiejś usterki technicznej. Pamiętajmy, że niemożność skorzystania z naszego serwera może mieć naprawdę poważne skutki dla organizacji, w tym doprowadzić do strat finansowych. Ponadto, utrata dostępu do danych traktowana jest przez RODO jako naruszenie ochrony danych osobowych. I niestety, ale w tym przypadku szyfrowanie nic nie zmienia.

Dlatego podpisywanie umów powierzenia przetwarzania danych przez podmioty, które świadczą usługi hostingowe jest obowiązkiem, który z uwagi na przepisy RODO, musi zostać spełniony. I fakt, że obecnie niektórzy traktują go jako kłopotliwy formalizm nie oznacza, że kiedyś taka umowa, o ile jest odpowiednio napisana, może naprawdę zabezpieczyć nasze interesy.'

Edit 8 stycznia 2019: Na blogu pojawił się kompletny poradnik dotyczący powierzenia przetwarzania danych wraz ze wzorem umowy powierzenia. Możesz zapoznać się z nimi TUTAJ.

#umowa #powierzenieprzetwarzaniadanych #umowapowierzenia #hosting #administrator #usługiserwerowe