Kiedy należy podpisać umowę powierzenia przetwarzania danych osobowych z hostingodawcą?

Bardzo często w naszej działalności gospodarczej przetwarzamy dane osobowe – mamy bazę danych klientów, bazę danych kontrahentów czy listę osób zapisanych do newslettera. Bardzo często, przynajmniej część tych danych, przechowujemy na serwerach stanowiących własność zewnętrznych przedsiębiorstw hostingowych i przez nich jest administrowana. Na ogół usługi przez nich świadczone zakładają wyłącznie przechowywanie naszych danych oraz ewentualnie wykonywanie ich kopii zapasowych. Jeżeli więc hostingodawca nie ma wglądu do danych osobowych przez nas gromadzonych – czy przetwarza te dane? Czy powinniśmy zawrzeć z nim umowę powierzenia przetwarzania danych?

Zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych „rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”. Tak więc, zgodnie z ustawą same już przechowywanie danych osobowych stanowi ich przetwarzanie, a więc stosuje się do niego wszystkie przepisy ustawy.

W związku z tym, że hostingodawca zajmuje się tylko pewnym małym wyimkiem przetwarzania danych, czyli w naszym imieniu częściowo tylko te dane przetwarza, powinniśmy podpisać z nim umowę powierzenia przetwarzania danych osobowych. Dzięki takiej umowie chronimy interesy obu stron – nasze: ponieważ jeżeli cokolwiek stanie się z danymi z winy hostingodawcy, będziemy mogli przenieść na niego odpowiedzialność – oraz hostingodawcy: ponieważ od momentu podpisania umowy będzie przetwarzał legalnie dane naszych klientów. Wcześniej, zanim poinformujemy hostingodawcę o tym, że przetwarzamy na jego serwerach dane osobowe, nie narusza on przepisów ustawy o ochronie danych osobowych. Jeżeli podmiot udostępniający serwer nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych osobowych do przetwarzania, to podlega on wyłącznie postanowieniom i obowiązkom określonym w ustawie o świadczeniu usług drogą elektroniczną. „Wiedza o rodzaju danych przetwarzanych” nie oznacza, że hostingodawca ma dostęp do danych, a mówi wyłącznie o fakcie, że wie o tym, że te dane tam się znajdują.

Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy, która określi m.in. jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Większość podstawowych umów hostingowych nie zawiera tego rodzaju postanowień, tak więc zawsze w takim przypadku zachodzi konieczność podpisania dodatkowej umowy. Co więcej, należy pamiętać, żeby umowa ta była sporządzona na piśmie, ponieważ właśnie takiej formy wymaga od nas ustawa (absolutnie nie może być to umowa klikana).

Ponadto, zgodnie z oficjalnymi zaleceniami GIODO: „Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie.”

W wielu bardziej skomplikowanych przypadkach związanych z powierzeniem przetwarzania danych osobowych hostingodawcy, warto zasięgnąć opinii specjalisty. Bardzo często jednak same firmy hostingowe mają swoje projekty umów powierzenia przetwarzania danych osobowych, które zwyczajowo i bez problemu podpisują ze swoimi klientami. W takim wypadku wystarczy na ogół napisać wiadomość e-mail do swojego opiekuna klienta ze wskazaniem na konieczność zawarcia tego rodzaju umowy.

Zobacz naszą pełną ofertę: ochrona danych osobowych

Studentka studiów doktoranckich na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego. Specjalizuje się w prawie cywilnym, autorskim i prawie ochrony danych osobowych. Dzięki biegłej znajomości języka hiszpańskiego, zajmuje się obsługą podmiotów z krajów hiszpańskojęzycznych.

telefon: +48 530 188 540
e-mail: w.bednarska@pirozek.pl

Więcej artykułów