ComputerLaw

Prawo, internet, komputer i code.

Hosting, powierzanie przetwarzania danych – GIODO

Pojęcie hostingu

W rozumieniu ustawy o świadczeniu usług drogą elektroniczną, hosting rozumiany jest jako udostępnianie zasobów systemu teleinformatycznego w celu przechowywania danych przez usługobiorcęMówiąc bardziej obrazowo to odpłatne udostępnianie obszaru dyskowego wraz z utrzymaniem kanałów, za pośrednictwem których usługobiorca może pobierać i zapisywać swoje dane 1.

W świetle ustawy o świadczeniu usług drogą elektroniczną2 dostawca usługi hostingowej nie ponosi odpowiedzialności za przechowywanie danych umieszczonych przez jego klientów na serwerach jeżeli nie wiedział o bezprawnym charakterze danych lub związanej z nim działalności. Ponadto dostawca3 nie jest obowiązany do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez niego danych umieszczanych przez klientów na serwerach.

Takie unormowanie stanowi obopólną korzyść. Jedną z nich jest poufność przechowywanych danych. Dostawca usług hostigowych, który nie ponosi odpowiedzialności za dane znajdujące się na jego serwerach nie ma żadnego interesu w kontrolowaniu treści tych danych celem zachowania własnego bezpieczeństwa. Klienci natomiast mogą oczekiwać, że dostawca  nie będzie dążył w sposób ukryty czy jawny do badania tej treści.

Hosting a przetwarzanie danych osobowych

Przetwarzanie danych to przede wszystkim (a zatem nie tylko) zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych. Ze względu na to, że termin ten jest definicją legalną4 ustawy o ochronie danych osobowych, należy rozumieć, że wszelkie dane, o których tutaj mowa mają charakter osobowy. Przetwarzanie danych w świetle tej ustawy jest pojęciem zdecydowanie szerszym niż jego potoczne rozumienie. Należy podkreślić, że przechowywanie danych umieszczanych przez administratorów na serwerach w ramach hostingu stanowi przetwarzanie danych w szczególności w zakresie przechowywania, utrwalania i udostępniania. Jednakże przetwarzającym jest sam administrator, dostawca hostingu nie dokonuje żadnych czynności na danych, chyba, że związane są one z tworzeniem kopii zapasowych. Wyłącznie w tym zakresie – moim zdaniem –  dostawca usług hostingowych jest podmiotem przetwarzającym dane. 

Powierzenie przetwarzania danych osobowych 

Na administratorze danych osobowych ciąży wiele obowiązków związanych z zapewnieniem odpowiedniej ochrony danym i zbiorom danych osobowych5. Najczęściej proces przetwarzania danych nie odbywa się w ramach jednego podmiotu. Dane są często przekazywane do firm kurierskich, zewnętrznego biura księgowego, spółek należących do jednej grupy kapitałowej. Mogą być przetwarzane w ramach SAS, hostingu itp. To powoduje, że administrator ma obowiązek zapewnić nie tylko odpowiednią ochronę danych przetwarzanych w obrębie jednego podmiotu, ale także zapewnić ustawowy poziom ochrony danych przetwarzanych przez podmioty trzecie. Tutaj bowiem może dochodzić do przetwarzania danych osobowych.

Umowa o powierzeniu przetwarzanie danych osobowych

Administrator danych osobowych może, ale nie musi, powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych6. Jest to klasyczna umowa cywilnoprawna, zatem jej forma pisemna w tym zakresie ma wartość jedynie dowodową7. Samo powierzenie danych i ich przetwarzanie przez inny podmiot (zgoda) nakłada na niego obowiązki wynikające z ustawy o ochronie danych osobowych w tym spełnienia wymogów określonych w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Należy jednak mieć na względzie następujące zagadnienia:

  1. w zakresie hostingu, dostawca usługi nie ma obowiązku do sprawdzania przechowywanych danych
  2. umowa o powierzeniu przetwarzania danych jest umową o świadczeniu usług, zatem umową starannego działania
  3. umowa taka ma charakter odpłatny o ile strony nie postanowią inaczej.

Ad. 1. Dostawca usługi hostingu nie ma obowiązku sprawdzania przechowywanych danych. Jednakże jeżeli usługobiorca poinformuje dostawcę o tym, że będzie przechowywał na jego serwerach dane osobowe, wówczas na dostawcy ciąży obowiązek spełnienia wymogów ustawy o ochronie danych osobowych o ile nie poinformuje niezwłocznie i jednoznacznie usługobiorcy, że jego serwery nie są przystosowane do przetwarzania tego typu danych.

Ad. 2. i 3. Umowa o powierzenie przetwarzania danych osobowych jest umową o świadczeniu usługi, a zatem na gruncie kodeksu cywilnego, jest umową starannego działania, wzajemną, konsensualną i odpłatną (o ile strony nie postanowią inaczej). W świetle art. 31 ustawy o ochronie danych osobowych umowa taka musi również określać cel (chodzi generalnie o przeznaczenie) i zakres (chodzi o rodzaj) przetwarzania danych.

Dostawca hostingu jako strona umowy o powierzenie przetwarzania danych osobowych

Powierzenie przetwarzania danych dostawcom usług hostingowych ma odmienny charakter niż powierzenie przetwarzania danych innym podmiotom. Otóż z jednej strony dostawcy udostępniają zasoby i środki teleinformatyczne swoim klientom zapewniając ich danym ochronę przed utratą czy kradzieżą, a z drugiej nie ponoszą odpowiedzialność za przechowywane na serwerach dane. Klienci jako usługobiorcy i administratorzy danych przechowywanych na serwerach w ramach usługi hostingu coraz częściej „proponują”  dostawcom hostingu zawarcie umowy o powierzeniu przetwarzania danych osobowych. Dopóki dostawca nie podpisze tej umowy uznaje się, że nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i jego odpowiedzialność za przetwarzane dane jest ograniczona8.

Czy zawarcie umowy o powierzeniu przetwarzania danych jest obowiązkiem administratora danych?

Tak, o ile dotyczy to innych podmiotów niż dostawców hostingu oraz dostawców internetu9 Administratorzy, czy dostawcy usług hostingowych, którzy nie zdecydują się na zawarcie takiej umowy nie naruszą tym przepisów ustawy o ochronie danych osobowych. Gwarantują to przepisy ustawy o świadczeniu usług drogą elektroniczną wyłączające odpowiedzialność dostawców usług hostingowych za dane przetwarzane na ich serwerach, co GIODO  uwzględniał wielokrotnie w swoich wyjaśnieniach10. W takich przypadkach administratorzy danych osobowych powinni mieć zapewnienie w umowie hostingowej, że bezpieczeństwo serwerów spełnia minimalne wymagania określone w rozporządzeniu w sprawie dokumentacji i warunków technicznych 11. Przy tej konstrukcji dostawca hostingu nie musi posiadać żadnych informacji, co do treści przechowywanej na serwerach, a administrator posiada odpowiednie zabezpieczenie, że dane przetwarzane są w miejscu, które pod względem technicznym spełnia wymogi ustawy o ochronie danych osobowych.

Administratorzy danych osobowych jednak coraz częściej dokonują wyboru na rynku dostawców, którzy wyrażą zgodę na zawarcie umowy o powierzenie. Dlaczego? Bo uznają tę formę za bezpieczniejszą, niekiedy uznają także, że zawarcie takiej umowy stanowi obowiązek ustawowy. Takie oceny często mają źródło w niepoprawnych merytorycznie artykułach zamieszczonych w Internecie. Jeden z autorów bloga w tym temacie pisze: „jeżeli posiłkujemy się firmą zewnętrzną dla hostingu to dostęp do danych mają nie tylko już nasi pracownicy ale także pracownicy firmy hostingowej i stąd też konieczność takiej umowy (red. w rozumieniu umowy o powierzeniu …)”12. Taki pogląd jest oczywiście błędny i rozmija się ze stanowiskiem GIODO, który stwierdził wyraźnie, że w sytuacji „w której podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie (…) podlega postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.”13.

Trudno oczekiwać od dostawcy usług internetowych np. TP SA, że podpisze z administratorem danych umowę o powierzenie przetwarzania danych. Z technicznego punktu widzenia dostawca internetu np. pośredniczący w dostarczaniu maili, przesyłaniu danych, a zatem w dużej mierze przetwarzający dane, także – podobnie jak dostawca hostingu – stanowi podmiot zewnętrzny, który jest zobowiązany do zapewnienia odpowiedniego bezpieczeństwa. Dane w trakcie przesyłania zapisywane są na wielu serwerach, dzieje się to automatycznie i krótkotrwale (cashing) ale również „dostęp do danych mają nie tylko już nasi pracownicy ale także pracownicy” TP SA14. Zatem dlaczego takich umów oczekuje się od dostawców usług hostingowych a od dostawców internetu już nie? Z mojego punktu widzenia to już tylko kwestia czasu.

Jakie obowiązki ciążą na podmiocie przetwarzającym dane na podstawie zawartej umowy o powierzeniu przetwarzania?

  1. Przetwarzający dane obowiązany jest przed rozpoczęciem działania zastosować środki zabezpieczające zbiór danych, o którym mowa w art. 36 – 39 ustawy o ochronie danych osobowych15.
  2. Przetwarzający dane może to robić tylko w zakresie i zgodnie z celem przetwarzania wyznaczonym w umowie z administratorem.
  3. Obowiązek zabezpieczenia dotyczy danych osobowych a nie tylko zbioru danych16
  4. Na przetwarzającym dane ciąży obowiązek sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są one przekazywane17.
  5. Przetwarzający dane zobowiązany jest spełniać wymogi określone w rozporządzeniu w sprawie dokumentacji i warunkach technicznych18
  6. Przetwarzający dane jest odpowiedzialny za przestrzeganie przepisów dotyczących zabezpieczenia danych. Zatem odpowiedzialność ponosi w stosunku do GIODO nie tylko administrator danych, ale także przetwarzający dane19.
  7. Podlega kontroli GIODO20

Podsumowanie

Dostawcy usług hostingowych nie mają obowiązku zawierania umów o powierzenie przetwarzania danych osobowych. Dla obu stron wystarczającym wydaje się zabezpieczenie w umowie hostingowej spełnienia wszystkich standardów bezpieczeństwa jakie wymaga ustawa o ochronie danych osobowych. Ponadto w umowie hostingowej można określić odpowiedzialność dostawcy w stosunku do administratora za niespełnienie tego obowiązku. Taka umowa utrzymuje rozdział pomiędzy „nieingerowaniem w treść danych” administratora a zachowaniem standardów bezpieczeństwa w zakresie ich przetwarzania. Należy pamiętać, że określenie w umowie, że administrator powierza przetwarzanie w zakresie utrwalania, przechowywania itp. będzie znaczyło, że fizycznie dostawca hostingu będzie mógł tych czynności dokonywać a nie wyłącznie użyczać miejsca w ramach serwera, na którym tych czynności dokonuje i kontroluje sam administrator. Zdaje się, że ma to istotny wpływ nie tylko na szerszą odpowiedzialność przetwarzającego dane, ale również administratora w zakresie powierzonych kompetencji.

Show 20 footnotes

  1. Patrz: art. 12 ust 1 ustawy o świadczeniu usług drogą elektroniczną:  ”Usługodawca, który świadczy usługi drogą elektroniczną obejmujące transmisję w sieci telekomunikacyjnej danych przekazywanych przez odbiorcę usługi lub zapewnienie dostępu do sieci telekomunikacyjnej(…)”
  2. dokładnie art. 12 tejże ustawy
  3. w świetle art. 15 tejże ustawy
  4. Patrz art. 7 pkt 2 ustawy o ochronie danych osobowych
  5. Należy mieć na względzie, że dane a zbiór danych osobowych to dwa różne przedmioty ochrony ujęte w ustawie o ochronie danych osobowych, na co należy zwrócić uwagę.
  6. Patrz: art. 31 ustawy o ochronie danych osobowych
  7. ad probationem, patrz także: komentarz J. Barta i R. Markiewicz do art. 31 ustawy o ochronie danych osobowych, A. Krasuski, Outsourcing danych osobowych w działalności przedsiębiorstw, str. 84
  8. Patrz ABC Bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych na stronie http://www.giodo.gov.pl/1520074/id_art/3910/j/pl/
  9. dokładniej usług drogą elektroniczną obejmujących transmisję w sieci telekomunikacyjnej danych przekazywanych prze odbiorcę usługi lub zapewnienie dostępu do sieci telekomunikacyjnej
  10. Tamże
  11. Patrz: http://isap.sejm.gov.pl/Download?id=WDU20041001024&type=2 
  12. Patrz: http://ostium.pl/uodo/powierzenie-danych/hosting-a-rejestracja-w-giodo/ 
  13. ABC …
  14. Nie trzeba daleko szukać, przykładem takiego wykorzystania danych jest przecież PRISM
  15. Patrz: komentarz J. Barta, R. Markiewicz do art. 31 ustawy o ochronie danych osobowych
  16. Tamże
  17. Tamże
  18. Patrz: http://isap.sejm.gov.pl/Download?id=WDU20041001024&type=2 
  19. Patrz: komentarz J. Barta, R. Markiewicz do art. 31 ustawy o ochronie danych osobowych.
  20. Przyjmować od zainteresowanych żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne lub nieprawdziwe. Przetwarzający dane powinien wówczas przekazać niezwłocznie te żądania do administratora (bowiem w uwzględnienie tych żądań leży w zakresie jego kompetencji)[19. Tamże
  21. Tamże

2 Responses so far.

  1. pcs pisze:

    Nie będę tracił czasu na wnikliwe czytanie, bo już powierzchowne zapoznanie się z tekstem wskazuje, że ktoś chyba nie wczytał się w ustawę.
    A w jaki, cudowny sposób administrator danych jest zwolniony z zawarcia umowy powierzenia, na podstawie zwolnienia dostawcy usług z odpowiedzialności w wypadku braku wiedzy o bezprawnym charakterze danych?
    Bezprawny charakter będzie oznaczał tutaj przetwarzanie bez wymaganej podstawy prawnej. Rzeczywiście, dostawca nie będzie ponosił odpowiedzialności (chyba, że poinformujemy go, że przetwarza nasze dane osobowe, wówczas powinien zawrzeć z nami umowę powierzenia, lub zaprzestać przetwarzania naszych danych).
    Jeżeli administrator danych nie zawrze umowy powierzenia, będzie to oznaczało, że udostępnił dane osobom nieupoważnionym. Pamiętajmy, że karalne jest nawet umożliwienie dostępu, a nie tylko udostępnienie.
    I co z tego, że dostawca nie będzie ingerował w treść? A może nawet zapewni, że do danych nie zajrzy? To polecam definicję przetwarzania i słówko „przechowywanie”.

    Dodam tylko, że jest jeszcze prawo telekomunikacyjne. I to w oparciu o tę ustawę, a nie o ustawę o świadczeniu usług drogą elektroniczną działają operatorzy. Przetwarzanie danych osobowych zostało w niej uregulowane i oczywiście nie będziemy z operatorem telekomunikacyjnym zawierać umowy powierzenia przetwarzania danych. Ale w żaden sposób nie zwalnia to nas z konieczności zawarcia takiej umowy w wypadku hostingu.

    • Agata M. Kaczyńska pisze:

      Dawny ten post a i nie grzeszę, że odpowiedź jeszcze późniejsza. Jeżeli Pan chce chętnie powrócę do dyskusji. Pozwolę sobie jednak ominąć ucieczki ad personam „wczytywanie się w ustawę” i tylko ad argumentum. Więcej delikatnie później.

Leave a Reply