Zewnętrzny hosting na serwerze spoza EOG? Sprawdź, jakie warunki musisz spełnić
Dość często przedsiębiorcy prowadzący serwisy internetowe korzystają z tzw. zewnętrznego hostingu, czyli z usług firm prowadzących serwery hostingowe, których siedziby mieszczą się w państwach nienależących do Europejskiego Obszaru Gospodarczego. Należy zdawać sobie sprawę, że korzystanie z zewnętrznego hostingu wiąże się z koniecznością spełnienia dodatkowych wymogów dotyczących przekazywania danych osobowych poza obszar EOG. Sprawdź, jakich.
W artykule znajdziesz odpowiedzi m.in. na poniższe pytania.
- Jak traktować tzw. zewnętrzny hosting w kontekście RODO?
- Czy przekazanie danych w ramach zewnętrznego hostingu wymaga udostępnienia danych osobowych czy też powierzenia ich przetwarzania?
- Co powinna zawierać umowa zawierana pomiędzy przedsiębiorcą korzystającym z zewnętrznego hostingu a firmą udostępniającą taki hosting?
- Jak zrealizować obowiązek informacyjny?
RODO obejmuje tzw. zewnętrzny hosting
Jeżeli przedsiębiorca prowadzi serwis internetowy, za pośrednictwem którego dochodzi do przetwarzania danych osobowych osób fizycznych zamieszkujących na terenie Europejskiego Obszaru Gospodarczego (EOG), wówczas bez wątpienia dane te powinny być przetwarzane zgodnie z RODO. To jednak nie wszystko. Obowiązek stosowania RODO mają nie tylko przedsiębiorcy z krajów EOG, ale także tacy, którzy wprawdzie posiadają swoje siedziby w państwach trzecich (spoza EOG), niemniej jednak oferują towary lub usługi osobom fizycznym na terytorium EOG – niezależnie od tego, czy wymagają od tych osób zapłaty. Nie ma zatem podstaw do różnicowania danych osobowych pozyskiwanych z obszaru EOG.
Nawet jeżeli przedsiębiorca prowadzący sklep internetowy ma siedzibę w państwie nienależącym do EOG, to i tak musi on przestrzegać RODO w takim zakresie, w jakim przetwarza dane osobowe osób fizycznych (np. klientów) z terenu EOG. Dotyczy to każdego przypadku przetwarzania danych osób zamieszkujących jedno z państw EOG. Obywatelstwo nie ma tu znaczenia.
Nie obejdzie się bez umowy powierzenia z firmą hostingową
Wskazana regulacja ma bardzo duże znaczenie także dla przedsiębiorców prowadzących działalność na terenie EOG i prowadzących strony internetowe. Co oczywiste prowadzenie tej strony wiąże się z koniecznością zapisania jej na serwerze hostingowym. Niejednokrotnie przedsiębiorcy korzystają z tzw. zewnętrznego hostingu, czyli hostingu oferowanego przez firmy mające swoją siedzibę poza EOG – tego typu usługi są dość popularne.
Niestety upowszechnił się pogląd, jakoby korzystanie z takich usług stanowiło naruszenie RODO. Nic bardziej mylnego. Korzystanie z zewnętrznego hostingu jest samo w sobie legalne. Istotne jest natomiast prawidłowe ułożenie relacji pomiędzy przedsiębiorcą prowadzącym dany serwis internetowy, a przedsiębiorcą spoza EOG świadczącym usługi hostingowe. Skoro RODO obejmuje swoich zakresem obydwu przedsiębiorców, to należy przyjąć, że w takim układzie:
- przedsiębiorca prowadzący serwis internetowy jest administratorem danych osobowych,
- przedsiębiorca prowadzący hosting jest podmiotem przetwarzającym (procesorem).
Firma hostingowa w zakresie danych osobowych przekazywanych przez przedsiębiorcę korzystającego z hostingu nie jest administratorem tych danych. Nie dochodzi więc do udostępniania tych danych.
Szczególny nacisk na obowiązki procesora
Powyższe oznacza, że konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy właścicielem serwisu a firmą hostingową.
Jakie zapisy powinny znaleźć się w umowie powierzenia? Tak jak w każdym innym przypadku w umowie tej należy uregulować w szczególności:
- przedmiot i czas trwania przetwarzania danych osobowych,
- charakter i cel ich przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki procesora.
W aspekcie umów zawieranych z firmami hostingowymi warto zwrócić szczególną uwagę na ostatnią kategorię. Administrator powinien bowiem zadbać o to, by w umowie zostały uregulowane następujące obowiązki podmiotu przetwarzającego:
- zapewnienia bezpieczeństwa powierzonych danych osobowych poprzez wdrożenie środków technicznych i organizacyjnych adekwatnych do przetwarzanych danych osobowych oraz ryzyka naruszenia praw osób, których dane osobowe dotyczą, a które są wymagane przez RODO,
- wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażania działań zapobiegawczych i naprawczych,
- zapewnienia, żeby osoby zatrudnione przez procesora zostały upoważnione w formie pisemnej do przetwarzania danych osobowych oraz posiadały wiedzę dotyczącą postępowania z danymi osobowymi,
- stosowania się do poleceń administratora danych osobowych, dotyczących danych osobowych.
Powierzenie przetwarzania danych poza EOG wymaga spełnienia dodatkowych warunków
W typowym przypadku do zawarcia umowy powierzenia przetwarzania danych osobowych nie jest potrzebna zgoda osób, których te dane dotyczą. Nie ma nawet konieczności informowania tych osób o tym, kto pełni rolę procesora w przetwarzaniu ich danych. Od tej reguły istnieje jednak dość istotny wyjątek. Jeżeli bowiem dane osobowe mają być przekazane poza obszar EOG, wówczas konieczne jest spełnienie jednego z dodatkowych warunków.
|
L.p. |
Warunki powierzenia przetwarzania danych poza EOG |
Objaśnienie |
|
1. |
wydanie decyzji przez Komisję Europejską stwierdzającej, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony |
Administrator, który chce skorzystać z zewnętrznego hostingu, powinien więc ustalić, czy państwo, do którego dane osobowe są przekazywane, bądź sektor przemysłu w tymże państwie, objęte zostały decyzją Komisji Europejskiej. Jeżeli stosowna decyzja została wydana, to przekazanie danych nie wymaga spełnienia żadnych dodatkowych warunków. |
|
2. |
zapewnienie odpowiednich zabezpieczeń stosowanych przez przedsiębiorcę hostingowego |
Na czym polegają zabezpieczenia? Na:
Uwaga! Wskazane klauzule umowne są udostępnione nieodpłatnie na stronach internetowych Komisji Europejskiej. Jeżeli więc państwo trzecie, w którym mieści się firma mająca udostępniać przedsiębiorcy serwer hostingowy, nie zostało objęte decyzją Komisji Europejskiej, wówczas w należy porównać zapisy proponowanej umowy z zapisami wskazywanymi na stronach KE. |
|
3. |
poinformowanie podmiotu danych o ewentualnym ryzyku wiążącym się z przekazaniem danych poza EOG i uzyskanie wyraźnej zgody tej osoby na przekazanie danych poza EOG, |
Zgoda musi być wyraźna, dlatego nie wystarczy checkbox z domyślnie zaznaczoną zgodą. |
|
4. |
niezbędność przekazania danych osobowych do wykonania umowy zawieranej między podmiotem danych a przedsiębiorcą prowadzącym serwis internetowy |
Jest oczywiste, że np. wykonanie umowy sprzedaży za pośrednictwem serwisu internetowego wymagana przekazania danych osobowych klienta do państwa trzeciego. Wystarczy to w zupełności do powierzenia przetwarzania danych klienta poza EOG bez spełniania dodatkowych warunków. Z tej przesłanki będą mogli skorzystać przede wszystkim sklepy internetowe. |
|
5. |
niezbędność przekazania danych osobowych do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między serwisem internetowym a firmą hostingową |
Okoliczność ta może być powoływana przez serwisy internetowe, gdy np. firma hostingowa, z którą zawarły one umowę gwarantuje szczególny poziom ochrony, bądź też funkcjonalności niezbędny do prowadzenia danego serwisu internetowego. |
Konsekwencją istnienia wymogu spełnienia dodatkowych warunków w związku z powierzeniem przetwarzania danych osobowych poza obszar EOG jest obowiązek wprowadzenia do umowy zawieranej z procesorem:
- klauzul zatwierdzonych przez Komisję Europejską, jako zalecanych przy przekazywaniu danych osobowych poza EOG,
- zawierające informacje, czy firma hostingowa stosuje zatwierdzony kodeks postępowania lub uzyskała certyfikat,
- wskazujące inną szczególną sytuację, która stanowi podstawę przekazania danych osobowych poza EOG (np. wyraźna zgoda osoby, której dane dotyczą, niezbędność do wykonania umowy, itp.).
Klauzule te należy oczywiście dostosować do okoliczności konkretnego przypadku, w zależności od tego, na który warunek powołuje się przedsiębiorca korzystający z usług hostingowych.
Nie zapominamy o obowiązku informacyjnym
Weryfikacja podstawy prawnej przekazania danych osobowych poza EOG nie jest jedynym obowiązkiem administratora danych z tym związanym. Należy bowiem pamiętać o wprowadzeniu dodatkowych zapisów w treści klauzuli informacyjnej udostępnianej klientom. Powinny znaleźć się w niej informacje o:
- zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
- stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony przez państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizację międzynarodową,
- odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych przekazywanych poza EOG.
Treść klauzuli informacyjnej powinna być oczywiście dostosowana do konkretnego przypadku przekazywania danych firmie hostingowej.
Reasumując …
- Przekazanie danych osobowych poza obszar EOG w związku z korzystaniem z tzw. hostingu zewnętrznego wymaga zawarcia umowy powierzenia przetwarzania danych.
- Powierzenie przetwarzania danych poza obszar EOG wymaga spełnienia jednej z dodatkowych przesłanek. Zgoda podmiotu danych nie jest wymagana w każdym przypadku.
- Należy też wprowadzić dodatkowe zapisy do klauzuli informacyjnej udostępnianej klientom, których dane są przekazywane poza obszar EOG.
Przedsiębiorca prowadzący serwis hostingowy zaproponował Ci zawarcie umowy powierzenia przetwarzania danych, co do której masz wątpliwości? Skorzystaj z pomocy naszego eksperta, który zweryfikuje prawidłowość projektu umowy. Zobacz tutaj>>
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- Transfer danych do USA możliwy na mocy decyzji Komisji Europejskiej
- Reklama behawioralna w kontekście RODO
- Analiza ryzyka w Twojej organizacji – krok po kroku
- Duża skala przetwarzania danych – co to znaczy i dlaczego jest takie istotne
- Jak udokumentować przeprowadzenie oceny skutków dla ochrony danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
