Czy z dostawcą usług hostingowych trzeba podpisać umowę powierzenia

W kwestii obowiązku zawierania umowy powierzenia przetwarzania danych osobowych z dostawcą usług hostingowych wypowiedział się wprost Generalny Inspektor Ochrony Danych Osobowych (publikacja ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych). GIODO zajął stanowisko, że jeżeli podmiot udostępniający system (serwer) nie ma wiedzy w kwestii rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy o ochronie danych osobowych, to podlega on tylko postanowieniom art. 14 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. W takich okolicznościach odpowiedzialność dostawy usług hostingowych za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy, a zawarcie umowy hostingu nie wiąże się z obowiązkiem powierzenia przetwarzania danych w rozumieniu art. 31 ustawy o ochronie danych osobowych.

W sytuacji opisanej w pytaniu dostawca usług hostingowych zbiera dane osobowe gromadzone na jego serwerach przez administratora danych w celu przekazania ich administratorowi w formie raportu. W mojej opinii tego rodzaju operacje stanowią przetwarzanie danych osobowych. Przetwarzanie danych to bowiem m.in.:

• zbieranie,
• utrwalanie,
• przechowywanie,
• opracowywanie,
• zmienianie,
• udostępnianie oraz
• usuwanie danych.

Nie można zatem twierdzić, że dostawca usług hostingowych nie posiada wiedzy odnośnie do rodzaju danych przetwarzanych na jego serwerach i że nie powierzono mu danych w myśl art. 31 ustawy o ochronie danych osobowych. W konsekwencji administrator danych powinien zawrzeć z dostawcą usługi umowę powierzenia przetwarzania danych.