Temat: Hosting, a powierzenie przetwarzania danych osobowych

Witam,

Za górami, za lasami... firma X (ADO) podpisała umowę o powierzenie przetwarzania danych osobowych (PPDO) z firmą Y, a ta przetwarza je częściowo we własnym systemie, ale przede wszystkim trzyma na serwerze firmy Z (hostingowej). Jedyne, co robi Z, to udostępnienie miejsca na serwerze do przechowywanie danych. Y łączy się bezpiecznie (szyfrowane połączenie, hasło etc.) z serwerem stojącym w Z.

W umowie o PPDO między X, a Y, jest napisane m.in.: "X upoważnia Y, w ramach własnego umocowania, do dalszego zlecenia wykonywania czynności w ramach powierzenia danych, w zakresie niezbędnym do obsługi Projektu".

Pytanie 1: czy Y musi mieć podpisaną umowę z Z? Pewnie musi, ale co powinno być w takiej umowie?
Pytanie 2: czy Z musi mieć politykę bezpieczeństwa? Domyślam się, że musi spełniać wymagania GIODO dotyczące technicznych/organizacyjnych warunków przetwarzania danych osobowych?
Pytanie 3: Jakie jeszcze warunki formalno-prawne powinny być spełnione w takim scenariuszu?

Pozdrawiam

Temat: Hosting, a powierzenie przetwarzania danych osobowych

Znalazłem na eduGIODO coś takiego:

Pytanie:
Czy firma zajmująca się hostingiem stron internetowych (czyli dzierżawą miejsca na serwerze i świadczeniem usług dostępu do tych serwisów z Internetu) staje się podmiotem przetwarzającym dane w sytuacji, gdy hostowany serwis posiada w swej strukturze dane osobowe i mechanizmy je obsługujące?

Odpowiedź admina eduGIODO:
Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy, która określi m.in. jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Nie każda zatem umowa hostingu stron internetowych może być uznana za umowę powierzenia przetwarzania danych osobowych. Z sytuacją powierzenia przetwarzania danych osobowych będziemy mieli do czynienie tylko wtedy, gdy zawarta umowa spełniać będzie wymagania określone w art. 31 ustawy. Oznacza to, że musi być ona sporządzona w formie pisemnej i wskazywać cel oraz zakres przetwarzania. Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie.
Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

Wnioskuję zatem, że Y powinna mieć podpisaną z Z umowę (która nie musi być "umową powierzenia przetwarzania danych osobowych"), w której muszą znaleźć się informacje o:
a) zabezpieczeniu danych zgodnym z wymogami GIODO ("odpowiednie zabezpieczenie przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem")
b) ewentualnie obowiązek backupowania przez Z, jeśli nie robi tego Y

Czy ktoś mógłby potwierdzić lub zanegować przedstawiony sposób rozumowania?

Temat: Hosting, a powierzenie przetwarzania danych osobowych

Tomasz Morro:
Wnioskuję zatem, że Y powinna mieć podpisaną z Z umowę (która nie musi być "umową powierzenia przetwarzania danych osobowych"), w której muszą znaleźć się informacje o:
a) zabezpieczeniu danych zgodnym z wymogami GIODO ("odpowiednie zabezpieczenie przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem")
b) ewentualnie obowiązek backupowania przez Z, jeśli nie robi tego Y

Czy ktoś mógłby potwierdzić lub zanegować przedstawiony sposób rozumowania?

a) taka umowa to SLA, czyli regulamin świadczenia usługi - w przypadku tańszych usług nie jest zawierana w formie pisemnej, a w przypadku droższych może być

b) jeśli zapłacisz firmie hostingowej Z za robienie backupów, to będzie Ci robiła backupy - za darmo niczego nie możesz wymagagać - czyli musisz za to zapłacić, a potem wymagać, bo backupów wymaga ustawa - czasem usługa backupu jest w cenie hostingu, zdarza się i tak

podsumowując:

jeśli korzystasz z serwera wirtualnego, to nie musisz zawrzeć pisemnej umowy powierzenia w rozumieniu Art.31 UoODO, tylko dobrze wybrać hostingodawcę + wykupić usługę backupów, albo robić je samodzielnie

podkreślam że rozmawiamy o zautomatyzowanym hostingu niezarządzanym, gdzie dane osobowe są dostępne po autoryzacji użytkownika (upoważnionego pracownika Administratora Danych), a hostingodawca nie ma do danych osobowych dostępu (nie zna hasła dostępu) - w takim przypadku nie dochodzi do powierzenia w rozumeniu Art.31 UoODO, więc pisemna umowa powierzenia nie jest konieczna

więcej na ten temat tutaj:
http://www.goldenline.pl/forum/ochrona-danych/1248092/...

zapraszam na szkolenie 19. listopada z praktyki ochrony danych osobowych: http://biznes.net/tmt.workshop/index/day2

i do grupy "Ochrona danych osobowych": http://www.goldenline.pl/grupa/ochrona-danych-osobowych

Temat: Hosting, a powierzenie przetwarzania danych osobowych

Jakoś trudno mi sobie wyobrazić service level agreement, niezawartą w formie pisemnej. Zresztą proponowanej przez firmy hostingowi, standardowej umowy hostingu, też bym sla nie nazywał.

Oczywiście w takiej umowie może się znaleźć wszystko co jest wymagane przez art.31 uodo. Czy jest konieczne wymienianie wszystkich obowiązków spoczywających na powierniku danych (firmie hostingowej)? Moim zdaniem nie. Ale zwykle, dla jasności sytuacji, proponuję umieszczenie w takiej umowie zapisu, że w firma hostingowi w szczególności zobowiązuje się do ... I tu np. piszę o konieczności wykonywania kopii bezpieczeństwa.

Czy nie ma konieczności zawarcia umowy powierzenia? Tak, jeżeli firma hostingowa nie będzie miała dostępu do danych. Czyli w praktyce, jeżeli dane będą szyfrowane po stronie klienta. Rzeczywiście, robi się to czasami w ten sposób, ale raczej nie dotyczy danych przetwarzanych w ramach webowych serwisów i jeżeli nie mamy ku temu specjalnych powodów, to zdecydowanie łatwiej będzie zawrzeć umowę powierzenia.

Sam fakt wykupienia usługi serwera dedykowanego, nie oznacza, że pracownicy firmy hostingowej nie mają dostępu do systemu i danych.

Z takim podpowierzaniem danych jest pewien problem, ustawa mówi, że to ADO może powierzyć dane. Czy może takie upoważnienie przekazać powiernikowi? Tak się praktykuje, ale obawiam się, że ktoś może uznać, że nie jest to zgodne z ustawą. ADO ma obowiązek zabezpieczenia danych i w związku z tym powinien mieć możliwość kontroli nad tym czy są one przetwarzane zgodnie z ustawą, tym bardziej, że odpowiada za to na równi z powiernikiem.

Jeżeli już mówimy o kopiach bezpieczeństwa, to moim zdaniem opieranie się jedynie na kopiach wykonywanych przez firmę hostingową może być błędem. Ponieważ na ADO spoczywa obowiązek zabezpieczenia danych, powinien zabezpieczyć się też przed sytuacją w której firma hostingowi nagle znika z rynku – czyli np. kopie powinien wykonywać również samodzielnie.Jarosław Żabówka edytował(a) ten post dnia 12.11.09 o godzinie 12:12

Temat: Hosting, a powierzenie przetwarzania danych osobowych

Jarosław Żabówka:
Jakoś trudno mi sobie wyobrazić service level agreement, niezawartą w formie pisemnej. [...] proponuję umieszczenie w takiej umowie zapisu, że w firma hostingowi w szczególności zobowiązuje się do ... I tu np. piszę o konieczności wykonywania kopii bezpieczeństwa.

Czy nie ma konieczności zawarcia umowy powierzenia? Tak, jeżeli firma hostingowa nie będzie miała dostępu do danych. [...]

Sam fakt wykupienia usługi serwera dedykowanego, nie oznacza, że pracownicy firmy hostingowej nie mają dostępu do systemu i danych.

powyżej pisałem o korzystaniu z masowej usługi serwerów wirtualnych, a w takim przypadku zwykle nie ma umowy w formie pisemnej, bo zwykle hostingodawcy nie opłaca się masowo takich umów zawierać - jest za to SLA/regulamin na stronie dostawcy usługi i umowa zawarta "internetowo" bez podpisu elektronicznego

oczywiście w przypadku korzystania z serwera dedykowanego, albo hostingu zarządzanego może wystąpić umowa w formie pisemnej, a skoro tak, to równie dobrze może zawierać zapisy o ochronie danych osobowych, zobowiązania dla hostingodawcy i inne zapisy

Temat: Hosting, a powierzenie przetwarzania danych osobowych

Bez względu na to jak nazwiemy wykupioną usługę, cały problem sprowadza się do pytania, czy usługodawca ma możliwość uzyskania dostępu do danych. Poza bardzo szczególnymi wypadkami, firma hostingowa ma dostęp do tych danych, czyli zobowiązani jesteśmy do podpisania umowy powierzenia danych.
Problem który rozpoczął wątek był nieco bardziej skomplikowany. Ciekawy jestem opinii, kto powinien podpisywać umowę powierzenia, X czy Y?

Temat: Hosting, a powierzenie przetwarzania danych osobowych

Moim skromnym zdaniem, umowę powierzenia powinni zawrzeć Y z Z. To tak naprawdę będzie tzw. podpowierzenie (subprocessing), czyli instytucja wprost nie znana polskiemu prawu, ale dosyć powszechna w praktyce i - co ciekawe - akceptowana przez GIODO (vide Kodeks SMB, uzgodniony z GIODO). Oczywiście można też sobie wyobrazić sytuację "czystą z punktu widzenia konstrukcyjnego, czyli Y zawiera z Z umowę o świadczenie usług (klasyczne podwykonawstwo), a jednocześnie X zawiera z Z umowę powierzenia danych osobowych do przetwarzania (ale tylko umowę powierzenia, nie umowę o świadczenie usług). Tak też się robi, ale zdecydowanie rzadziej - raczej wtedy, gdy administrator danych z jakichś powodów (zasady korporacyjne, szczególna troska o dane - banki, telekomy) chce indywidualnie ustalić zasady powierzenia.