Dość często przedsiębiorcy prowadzący serwisy internetowe korzystają z tzw. zewnętrznego hostingu, czyli z usług firm prowadzących serwery hostingowe, których siedziby mieszczą się w państwach nienależących do Europejskiego Obszaru Gospodarczego. Należy zdawać sobie sprawę, że korzystanie z zewnętrznego hostingu wiąże się z koniecznością spełnienia dodatkowych wymogów dotyczących przekazywania danych osobowych poza obszar EOG. Sprawdź, jakich.
W artykule znajdziesz odpowiedzi m.in. na poniższe pytania.
Jeżeli przedsiębiorca prowadzi serwis internetowy, za pośrednictwem którego dochodzi do przetwarzania danych osobowych osób fizycznych zamieszkujących na terenie Europejskiego Obszaru Gospodarczego (EOG), wówczas bez wątpienia dane te powinny być przetwarzane zgodnie z RODO. To jednak nie wszystko. Obowiązek stosowania RODO mają nie tylko przedsiębiorcy z krajów EOG, ale także tacy, którzy wprawdzie posiadają swoje siedziby w państwach trzecich (spoza EOG), niemniej jednak oferują towary lub usługi osobom fizycznym na terytorium EOG – niezależnie od tego, czy wymagają od tych osób zapłaty. Nie ma zatem podstaw do różnicowania danych osobowych pozyskiwanych z obszaru EOG.
Nawet jeżeli przedsiębiorca prowadzący sklep internetowy ma siedzibę w państwie nienależącym do EOG, to i tak musi on przestrzegać RODO w takim zakresie, w jakim przetwarza dane osobowe osób fizycznych (np. klientów) z terenu EOG. Dotyczy to każdego przypadku przetwarzania danych osób zamieszkujących jedno z państw EOG. Obywatelstwo nie ma tu znaczenia.
Wskazana regulacja ma bardzo duże znaczenie także dla przedsiębiorców prowadzących działalność na terenie EOG i prowadzących strony internetowe. Co oczywiste prowadzenie tej strony wiąże się z koniecznością zapisania jej na serwerze hostingowym. Niejednokrotnie przedsiębiorcy korzystają z tzw. zewnętrznego hostingu, czyli hostingu oferowanego przez firmy mające swoją siedzibę poza EOG – tego typu usługi są dość popularne.
Niestety upowszechnił się pogląd, jakoby korzystanie z takich usług stanowiło naruszenie RODO. Nic bardziej mylnego. Korzystanie z zewnętrznego hostingu jest samo w sobie legalne. Istotne jest natomiast prawidłowe ułożenie relacji pomiędzy przedsiębiorcą prowadzącym dany serwis internetowy, a przedsiębiorcą spoza EOG świadczącym usługi hostingowe. Skoro RODO obejmuje swoich zakresem obydwu przedsiębiorców, to należy przyjąć, że w takim układzie:
Firma hostingowa w zakresie danych osobowych przekazywanych przez przedsiębiorcę korzystającego z hostingu nie jest administratorem tych danych. Nie dochodzi więc do udostępniania tych danych.
Powyższe oznacza, że konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy właścicielem serwisu a firmą hostingową.
Jakie zapisy powinny znaleźć się w umowie powierzenia? Tak jak w każdym innym przypadku w umowie tej należy uregulować w szczególności:
W aspekcie umów zawieranych z firmami hostingowymi warto zwrócić szczególną uwagę na ostatnią kategorię. Administrator powinien bowiem zadbać o to, by w umowie zostały uregulowane następujące obowiązki podmiotu przetwarzającego:
W typowym przypadku do zawarcia umowy powierzenia przetwarzania danych osobowych nie jest potrzebna zgoda osób, których te dane dotyczą. Nie ma nawet konieczności informowania tych osób o tym, kto pełni rolę procesora w przetwarzaniu ich danych. Od tej reguły istnieje jednak dość istotny wyjątek. Jeżeli bowiem dane osobowe mają być przekazane poza obszar EOG, wówczas konieczne jest spełnienie jednego z dodatkowych warunków.
|
L.p. |
Warunki powierzenia przetwarzania danych poza EOG |
Objaśnienie |
|
1. |
wydanie decyzji przez Komisję Europejską stwierdzającej, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony |
Administrator, który chce skorzystać z zewnętrznego hostingu, powinien więc ustalić, czy państwo, do którego dane osobowe są przekazywane, bądź sektor przemysłu w tymże państwie, objęte zostały decyzją Komisji Europejskiej. Jeżeli stosowna decyzja została wydana, to przekazanie danych nie wymaga spełnienia żadnych dodatkowych warunków. |
|
2. |
zapewnienie odpowiednich zabezpieczeń stosowanych przez przedsiębiorcę hostingowego |
Na czym polegają zabezpieczenia? Na:
Uwaga! Wskazane klauzule umowne są udostępnione nieodpłatnie na stronach internetowych Komisji Europejskiej. Jeżeli więc państwo trzecie, w którym mieści się firma mająca udostępniać przedsiębiorcy serwer hostingowy, nie zostało objęte decyzją Komisji Europejskiej, wówczas w należy porównać zapisy proponowanej umowy z zapisami wskazywanymi na stronach KE. |
|
3. |
poinformowanie podmiotu danych o ewentualnym ryzyku wiążącym się z przekazaniem danych poza EOG i uzyskanie wyraźnej zgody tej osoby na przekazanie danych poza EOG, |
Zgoda musi być wyraźna, dlatego nie wystarczy checkbox z domyślnie zaznaczoną zgodą. |
|
4. |
niezbędność przekazania danych osobowych do wykonania umowy zawieranej między podmiotem danych a przedsiębiorcą prowadzącym serwis internetowy |
Jest oczywiste, że np. wykonanie umowy sprzedaży za pośrednictwem serwisu internetowego wymagana przekazania danych osobowych klienta do państwa trzeciego. Wystarczy to w zupełności do powierzenia przetwarzania danych klienta poza EOG bez spełniania dodatkowych warunków. Z tej przesłanki będą mogli skorzystać przede wszystkim sklepy internetowe. |
|
5. |
niezbędność przekazania danych osobowych do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między serwisem internetowym a firmą hostingową |
Okoliczność ta może być powoływana przez serwisy internetowe, gdy np. firma hostingowa, z którą zawarły one umowę gwarantuje szczególny poziom ochrony, bądź też funkcjonalności niezbędny do prowadzenia danego serwisu internetowego. |
Konsekwencją istnienia wymogu spełnienia dodatkowych warunków w związku z powierzeniem przetwarzania danych osobowych poza obszar EOG jest obowiązek wprowadzenia do umowy zawieranej z procesorem:
Klauzule te należy oczywiście dostosować do okoliczności konkretnego przypadku, w zależności od tego, na który warunek powołuje się przedsiębiorca korzystający z usług hostingowych.
Weryfikacja podstawy prawnej przekazania danych osobowych poza EOG nie jest jedynym obowiązkiem administratora danych z tym związanym. Należy bowiem pamiętać o wprowadzeniu dodatkowych zapisów w treści klauzuli informacyjnej udostępnianej klientom. Powinny znaleźć się w niej informacje o:
Treść klauzuli informacyjnej powinna być oczywiście dostosowana do konkretnego przypadku przekazywania danych firmie hostingowej.
Przedsiębiorca prowadzący serwis hostingowy zaproponował Ci zawarcie umowy powierzenia przetwarzania danych, co do której masz wątpliwości? Skorzystaj z pomocy naszego eksperta, który zweryfikuje prawidłowość projektu umowy. Zobacz tutaj>>
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
