O co chodzi z tym RODO ? Kto musi podpisać Umowę powierzenia przetwarzania danych osobowych?

Chyba wszyscy już doskonale widzą, że 25 maja 2018 wchodzi w życie Rozporządzenie Parlamentu Europejskiego o bardzo długiej i skomplikowanej nazwie: „Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).”, czyli RODO.

Ponieważ na temat RODO istnieje dużo materiałów, które są dość skomplikowane i wyjaśniają mnóstwo zawiłości dotyczących przetwarzania danych i wymaganej dokumentacji, postaram się tylko w prostych słowach pokazać, kto jest kim w zakresie przetwarzania danych.

Poniższy artykuł będzie dotyczył z jednej strony firmy hostingowej, a z drugiej strony właściciela np. sklepu internetowego.

W firmie Smarthost.pl mamy dwie kategorie danych osobowych:

  1. dane osobowe, których Smarthost.pl jest Administratorem,
  2. dane osobowe, które Administrator danych (nasz klient np. właściciel sklepu internetowego) powierzy nam do
    przetwarzania w ramach usługi hostingu.

Kto jest kim z punktu widzenia danych osobowych? Kto i w jaki sposób przetwarza dane osobowe?

Dane osobowe od strony firmy hostingowej

Firma hostingowa: Administrator danych

Smarthost.pl jest Administratorem danych swoich klientów: np. klient (osoba fizyczna) rejestruje usługę i podaje nam swoje dane – przetwarzamy je w celu realizacji usługi). Te dane możemy przekazywać za zgodą klienta (odpowiednie checkboxy ze zgodami przy rejestracji usługi, zapis w Regulaminie itd) np. podmiotom wymienionym na liście: https://www.smarthost.pl/rodo-podmioty-wspolpracujace ale tylko w celu niezbędnym do realizacji usług (np. musimy podać dane klienta – osoby fizycznej do rejestratora domen – czasem przez pośredników – bez tego przekazania danych nie da się zarejestrować domeny internetowej).

Firma hostingowa: Podmiot przetwarzający dane powierzone

Smarthost.pl przetwarza też dane, które są mu powierzone przez klientów. Przykładowo: mamy klienta, który ma sklep internetowy na naszym serwerze: Administratorem danych osobowych jest ten klient (bo to jego sklep i jego dane osobowe). Ale on nam powierza ich przetwarzanie, bo:

  • są na naszym serwerze,
  • mamy do nich dostęp,
  • i robimy na nich pewne operacje: np. robimy backupy (co jest właśnie przetwarzaniem danych).

Nieważne, że my z tymi danymi „nic” nie robimy (w sensie ich edycji itp) – w zasadzie nawet do nich nie zaglądamy – ale … mamy dostęp – to się
już kwalifikuje jako przetwarzanie.

Ważna uwaga praktyczna:

Oficjalnie żadna firma hostingowa nie wie, że klient ma na serwerze dane osobowe – dopóki o tym nie poinformuje. Spotkałem się nawet kiedyś z taką interpretacją (ale czy jest to nadinterpretacja, to już oceńcie sami). Klient ma dane osobowe w firmie hostingowej ale nie ma z firmą hostingową żadnej umowy, to można to pewnie interpretować nawet jako „wyciek danych”. Przecież klient nielegalnie dał do nich dostęp firmie hostingowej (bez wiedzy właścicieli tych danych).

Dlatego gdy ktoś przetrzymuje dane osobowe na hostingu, powinien w myśl RODO (choć również wcześniej też w myśl przepisów GIODO) podpisać z firmą hostingową Umowę powierzenia przetwarzania danych osobowych.

Taką umowę w Smarthost.pl mamy, jest ona bezpłatna. Klient w tej umowie podaje nam jakie dane osobowe przekazuje nam do przetwarzania. Wtedy my już oficjalnie wiemy, że
na koncie klienta znajdują się dane osobowe. Dzięki temu klient jest chroniony, bo powierza nam dane osobowe swoich klientów legalnie.

Dane osobowe od strony sklepu internetowego

Sklep internetowy: Administrator danych

Sklep internetowy jest Administratorem danych swoich klientów: np. klient (osoba fizyczna) rejestruje usługę i podaje sklepowi swoje dane – sklep przetwarza je w celu realizacji zamówienia. Te dane sklep internetowy przekazuje za zgodą klienta (odpowiednie checkboxy ze zgodami przy rejestracji usługi, zapis w Regulaminie itd) np. podmiotom wymaganym do realizacji zamówień, w tym firmie hostingowej, na której serwerze znajduje się sklep internetowy. Oprócz firmy hostingowej często dane są przekazywane na przykład do firmy spedycyjnej, która dostarcza paczkę lub do firmy pośredniczącej w płatnościach on-line itp. Wdrażając wytyczne RODO warto przemyśleć i wpisać, komu jeszcze przekazujemy dane osobowe klientów sklepu, żeby móc ich o tym poinformować. Ze perspektywy klienta sklepu tego typu zgody na przekazanie danych dalej (ale tylko w celu realizacji zamówienia) są nieobowiązkowe, ale wymagane do realizacji zamówienia. Czyli klient nie musi się na nie zgadzać, ale wtedy nie może w praktyce skorzystać w usług sklepu (bo trudno nie podawać danych do wysyłki kurierowi, który ma dostarczyć paczkę, lub nie przekazywać danych firmie hostingowej, skoro dane zapiszą się w bazie danych na serwerze tej firmy hostingowej).

Sklep internetowy: Podmiot przekazujący dane osobowe do przetwarzania

Sprawa z przekazaniem danych osobowych do przetwarzania jest stosunkowo prosta. Gdy sklep internetowy spisał już wszystkie podmioty, które muszą dla celów realizacji zamówienia dostać dane osobowe klienta – wystarczy podpisać z każdym z tych podmiotów „Umowę powierzenia przetwarzania danych osobowych” – mówi o tym wprost artykuł 28 RODO.

Większość podmiotów świadczących usługi (jak np. hosting) taką umowę ma gotową – wystarczy tylko poprosić o jej przesłanie i podpisanie. W wielu przypadkach będzie ona bezpłatna (jak u nas w Smarthost.pl), ale czasem będzie ona płatna (jak pokazuje przypadek jednej w największych firm hostingowych w Polsce – czasem ta umowa będzie nawet kilkakrotnie droższa niż abonament za konto hostingowe). Warto zatem sprawdzić to w swojej firmie hostingowej. Tak więc pamiętaj żeby podpisać umowę powierzenia przetwarzania danych osobowych.

Dane osobowe przesyłane w mailach

W przypadku sklepu internetowego sprawa jest jasna – sklep ma dane osobowe i je przetwarza. Zatem umowa powierzenia przetwarzania danych osobowych jest konieczna. A jak ktoś nie ma sklepu? Jak ktoś ma tylko małą stronę, wizytówkę czy również powinien powierzać przetwarzanie danych osobowych? Tutaj nie ma jednoznacznej odpowiedzi. Bo przecież czasem w poczcie e-mail są wysyłane np. umowy z klientami. Mogą one zawierać dane osobowe! Zatem w bardzo wielu przypadkach również będzie konieczne podpisanie umowy powierzenia przetwarzania danych osobowych, bo maile… też są na serwerze hostingowym. Firma hostingowa też robi backupy tych maili (czyli je przetwarza). Oczywiście, ktoś może stwierdzić, że współpracuje tylko z firmami i u niego na pewno w mailu nie pojawią się dane osobowe. Niemniej zawartość maili – też warto rozważyć.

Jeśli chcesz być zgodny z RODO i podpisać z nami umowę powierzenia danych osobowych skorzystaj z formularza poniżej.

https://www.smarthost.pl/panel/rodo

Wojciech Babicz