GoldenLine
Zaloguj się
Zbigniew Biernacki

Zbigniew Biernacki ADO Stowarzyszenie R
Dz Troski Specjalnej

Temat: Umowa powierzenia z firmą hostingową

Sprawa dotyczy prowadzenia strony internetowej instytucji kultury, na której są publikowane informacje o instytucji, imprezy kulturalne (nie ma danych osobowych, panelu użytkownika itp) Radca prawny zaleca podpisanie umowy powierzenia danych osobowych z firmą hostingową, czy słusznie?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia z firmą hostingową

Zbigniew B.:
nie ma danych osobowych
Kocham takie interpretacje, że nie ma danych. A oprogramowanie serwerowe jakie informacje zbiera?
Link do wypowiedziLink
Zbigniew Biernacki

Zbigniew Biernacki ADO Stowarzyszenie R
Dz Troski Specjalnej

Temat: Umowa powierzenia z firmą hostingową

no tak, dane są... tylko, że firma milczy, a przenoszenie strony na inny serwer nie bardzo mi się uśmiecha. Ciekaw jestem jak to wygląda u innych.
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: Umowa powierzenia z firmą hostingową

U mnie np. jest tak, że można negocjować pewne zapisy, ale nie sam fakt zawarcia umowy.
Pamiętaj że to wy jesteście ADO i to wy ponosicie odpowiedzialność. Jeśli firma dalej będzie milczeć to przekalkuluj co Cię będzie więcej kosztowało - zmiana serwera czy ryzyko ewentualnego naruszenia.
Link do wypowiedziLink

konto usunięte

Temat: Umowa powierzenia z firmą hostingową

Zbigniew B.:
no tak, dane są... tylko, że firma milczy, a przenoszenie strony na inny serwer nie bardzo mi się uśmiecha. Ciekaw jestem jak to wygląda u innych.
Dziwna ta firma , my nie wiele musieliśmy robić sama firma hostingowa przysłała nowa umowę powierzenia wystarczyło tylko zweryfikować.
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: Umowa powierzenia z firmą hostingową

Kwestia czasu aż takie firmy zaczną znikać z rynku, jeśli nie dostosują się do obowiązujących standardów.
Link do wypowiedziLink

konto usunięte

Temat: Umowa powierzenia z firmą hostingową

ADO jesteś Ty - czy sam fakt publikacji danych osobowych na Twojej stronie obciąża hostingodawcę ?
Wydaje mi się że niestety TAK ale bez dokładnej analizy danych strony nie da się jednoznacznie odpowiedzieć.
Przykład - organizujecie konkurs w którym umieszczacie na stronie nazwiska laureatów i ich zdjęcia (oczywiście za ich zgodą) w tym przypadku hostingodawca będzie te dane na pewno PRZECHOWYWAŁ i WYKONYWAŁ ARCHIWIZACJE - czyli przetwarzał w świetle RODO.
Drugim przykładem - formularz kontaktowy na stronie - standardowo spięty z bazą danych - choć możecie o tym nie wiedzieć będzie gromadził adresy email służace do kontaktów - no i tu jeszcze lepiej bo często dochodzi do przetwarzania danych w "państwie trzecim" bo serwer stoi np. w USA i kolejny problem się pojawia.

Standardowo większość dużych hostingowców ma umowy powierzenia już przygotowane czyli analizę prawną mają za sobą i doszli pewnie do podobnych wniosków.

Przykład z facebooka webd.pl:

************** jak zapatrujecie się na podpisanie umowy powierzenia przetwarzania danych osobowych? jak to załatwić?
Zarządzaj
2 t
webd.pl
webd.pl Zapatrujemy się. Skrobnąć nam o chęci podpisania po zalogowaniu na webd.pl :)

pozdr.
zzz
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Umowa powierzenia z firmą hostingową

Zbigniew B.:
no tak, dane są... tylko, że firma milczy, a przenoszenie strony

Tak z ciekawości, a jakie tam są dane?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia z firmą hostingową

Michał S.:
Tak z ciekawości, a jakie tam są dane?
https://uodo.gov.pl/pl/1/255

Mogą być też inne, np. pochodzące z profilowania, zbierane przez skrypty śledzące - własne, dostawcy usługi lub podmioty trzecie.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Umowa powierzenia z firmą hostingową

Paweł G.:
Michał S.:
Tak z ciekawości, a jakie tam są dane?
https://uodo.gov.pl/pl/1/255

Mogą być też inne, np. pochodzące z profilowania, zbierane przez skrypty śledzące - własne, dostawcy usługi lub podmioty trzecie.

Po co mi przesyłasz link do strony internetowej UODO z ich polityką prywatności?
Autor wątku pyta czy musi podpisać umowę powierzenia z formą hostingową, gdy nie przetwarza na stronie danych osobowych. Potem stwierdza, że dane przetwarza. Dlatego zapytałem jakie są to dane, żeby można było udzielić rzeczowej odpowiedzi.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia z firmą hostingową

Michał S.:
Autor wątku pyta czy musi podpisać umowę powierzenia z formą hostingową, gdy nie przetwarza na stronie danych osobowych. Potem stwierdza, że dane przetwarza. Dlatego zapytałem jakie są to dane
Po co pytasz, skoro widzisz, że autor wątku najpierw sam ze sobą musi ustalić, czy przetwarza dane i jakie to dane?
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Umowa powierzenia z firmą hostingową

Paweł G.:
Michał S.:
Autor wątku pyta czy musi podpisać umowę powierzenia z formą hostingową, gdy nie przetwarza na stronie danych osobowych. Potem stwierdza, że dane przetwarza. Dlatego zapytałem jakie są to dane
Po co pytasz, skoro widzisz, że autor wątku najpierw sam ze sobą musi ustalić, czy przetwarza dane i jakie to dane?

No widzisz Pawle, pytam po to, żeby człowiekowi pomóc. Dopóki nie określi czy i jakie dane tam przetwarza, trudno jest rozwiązać problem. A potencjalną odpowiedź, że należy podpisać UmoPow z każdym hostingodawcą uważam za błędną.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia z firmą hostingową

Michał S.:
potencjalną odpowiedź, że należy podpisać UmoPow z każdym hostingodawcą uważam za błędną.
Czy w przypadku problemu wątkotwórcy jest w ogóle prawdopodobne, że nie są tu przetwarzane żadne dane osobowe?
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Umowa powierzenia z firmą hostingową

Paweł G.:
Michał S.:
potencjalną odpowiedź, że należy podpisać UmoPow z każdym hostingodawcą uważam za błędną.
Czy w przypadku problemu wątkotwórcy jest w ogóle prawdopodobne, że nie są tu przetwarzane żadne dane osobowe?

Po pierwsze źle jest postawione to pytanie. Pytanie nie brzmi czy są przetwarzane tylko czy są powierzone? Po drugie, mogę sobie wyobrazić stronę www kt. nie ma żadnych formularzy, nie zapisuje danych. Wówczas nie ma danych osobowych kt. hostingodawca miałby przetwarzać w imieniu administratora i na jego polecenie (28, 29).
Link do wypowiedziLink
Zbigniew Biernacki

Zbigniew Biernacki ADO Stowarzyszenie R
Dz Troski Specjalnej

Temat: Umowa powierzenia z firmą hostingową

Strona jest typową wizytówką instytucji kultury, na której publikowane są relacje z imprez kulturalnych, prezentacje muzealiów, dane teleadresowe instytucji. Nie ma żadnych formularzy zbierających dane użytkowników itp. Jedynymi danymi mogą być te, które zbiera oprogramowanie serwerowe - jakie nie wiem bo nie jestem informatykiem. Radca prawny twierdzi, że musi być podpisana umowa powierzenia z firmą hostingową.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Umowa powierzenia z firmą hostingową

Zbigniew B.:
Strona jest typową wizytówką instytucji kultury, na której publikowane są relacje z imprez kulturalnych, prezentacje muzealiów, dane teleadresowe instytucji. Nie ma żadnych formularzy zbierających dane użytkowników itp. Jedynymi danymi mogą być te, które zbiera oprogramowanie serwerowe - jakie nie wiem bo nie jestem informatykiem. Radca prawny twierdzi, że musi być podpisana umowa powierzenia z firmą hostingową.

Proszę zapytać radcę jakie dane osobowe, których jesteście administratorem, zleciliście do przetwarzana firmie hostingowej? Czy zlecili Państwo przetwarzanie np. adresów IP odwiedzających? Raczej nie. Czy provider ma informacje o adresach IP? Oczywiście. Musi je mieć, bo to jest przedmiot jego dzialalności i to on jest administratorem tych danych.

Inna sprawa czy adres IP jest informację osobową? Czy pozwala na identyfikację osoby? W większości przypadków nie. Znając nawet dodatkowe informacje (a provider je zna), takie jak lokalizacja czy użyta przeglądarka, identyfikacja osoby jest w zdecydowanej większości przypadków niemożliwa. Będzie możliwa dopiero wówczas, gdy bedziemy w stanie połączyć IP z inna informacją - np. zakup w sklepie internetowym. Wtedy możemy dokonać połączenia i stwierdzić jaki adres jest przypisany do tej osoby. Ale to znowu też nie jest takie proste, ponieważ serwery www rejestrują tzw. zewnętrzny adres IP do którego (od środka) podpiętych jest wiele adresów IP wewnętrznych.

Natomiast proszę sprawdzić czy przypadkiem ten sam provider nie prowadzi dla Was serwera pocztowego. Jeśli tak by było, to tu już mielibyśmy klasyczne powierzenie przetwarzania i umowa jest niezbędna.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia z firmą hostingową

Michał S.:
Czy zlecili Państwo przetwarzanie np. adresów IP odwiedzających? Raczej nie. Czy provider ma informacje o adresach IP? Oczywiście. Musi je mieć, bo to jest przedmiot jego dzialalności i to on jest administratorem tych danych.
Byłbym ostrożny. Bardzo powierzchowna analiza.
Informacje o internautach odwiedzających stronę administratora (nie: stronę providera) przetwarzane są w celach administratora, nie providera. Obojętnie czy administrator jest tego świadomy, czy nie.
Inna sprawa czy adres IP jest informację osobową?
Orzecznictwo europejskie dawno rozstrzygnęło, że adres IP jest daną osobową.
O adresach IP mowa wprost w motywie 30. RODO.

Poza tym provider może zbierać inne niż adres IP informacje o internautach odwiedzających stronę administratora, które w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Ja bym raczej opinię techniczną wziął, nie opinię radcy prawnego.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Umowa powierzenia z firmą hostingową

Paweł G.:
Byłbym ostrożny. Bardzo powierzchowna analiza.
Informacje o internautach odwiedzających stronę administratora (nie: stronę providera) przetwarzane są w celach administratora, nie providera. Obojętnie czy administrator jest tego świadomy, czy nie.

No i tutaj właśnie pojawia sie pierwsze nieporozumienie. Provider nie analizuje wejść na stronę tylko ruch do i z serwera. Przy popularnym hostingu współdzielonym, na jednym serwerze obsługiwanych jest bardzo wiele kont klientów, gdzie mają oni swoje zasoby. Provider musi to robić bo inaczej nie mógłby oferować usługi. Niektóre dane provider udostępnia swoim klientom, czyli filtruje ruch tylko do danego konta i te dane, w swej uprzejmości pokazuje użytkownikowi usługi, a więc to on jest "dysponentem" tych danych. Ciekawostka, nazwa.pl w ogóle nie pokazuje adresów IP odwiedzających użytkownikowi. Temat można jeszcze bardziej skomplikować gdy wejdziemy w zagadnienia wirtualizacji, specyfiki działania mechanizmu DNS itd.

Dla lepszego zrozumienia. Serwer to budnyek z wieloma mieszkaniami. Provider to właściciel budynku. Użytkownik hostingu to lokator. Właściciel monitoruje budynek (kamery, recepcja, ochrona) w celu zrealizowania swojego interesu zapewnienia bezpieczeństwa. Do jednego z mieszkań przychodzi odwiedzający, który został nagrany na korytarzu przez właściela. Kto jest administratorem jego danych? W tym zakresie będzie nim własciciel. Oczywiście lokator po wpuszczeniu go do swojego lokalu może przetwarzać jego dane w swoim celu. Np. nagrać go - czyli podsunąć mu ciasteczko z kodem śledzącym GA, na co właściciel nie ma wpływu i za co nie odpowiada.
Orzecznictwo europejskie dawno rozstrzygnęło, że adres IP jest daną osobową.
O adresach IP mowa wprost w motywie 30. RODO.

Nie można tak uogólniać. Adres IP będzie informacją osobową tylko jeśli jest związany z osobą i pozwala na jej identyfikację. Twój telewizor, drukarka, lodówka też mają adresy IP, które z osobami nic wspólnego nie mają.

Dodatkowo warto też dokonać rozróżnienia na IP zewnętrzne oraz wewnętrzne, czyli te w sieci LAN, które przydziela serwer DHCP. W tym przypadku rzeczywiście adres IP jest przypisany do komputera (!) i można po nim zidentyfikować, z pewnym prawdopodobieństwem osobę, która z niego korzysta. Ale gdy adresy te przydzielane są dynamicznie to już wcale takiej pewności nie ma. Adresy wewnętrzne są niewidoczne dla serwerów www, bo chroni je właśnie NAT. Natomiast, ruch pomiędzy serwerami w internecie odbywa się po adresach zewnętrznych, do których najczęściej przypisanych jest "n" adresów wewnętrznych, a więc identyfikacja konkretnej osoby jest praktycznie niemożliwa.
Poza tym provider może zbierać inne niż adres IP informacje o internautach odwiedzających stronę administratora, które w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Może i to robi. Ale robi to w swoim celu, na swojej podstawie - jest administratorem.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Umowa powierzenia z firmą hostingową

Interesująco przybliżyłeś zagadnienie od strony technicznej. Jak widać diabeł tkwi w szczegółach - i to te właśnie trzeba przeanalizować, żeby prawidłowo ocenić sytuację, jakie dane właściwie są przetwarzane i które dane w czyich celach.

Zauważ też, że jeśli provider część danych zbiera i dalej przetwarza jako administrator, informacja o tym powinna się znaleźć w klauzuli informacyjnej dla osoby odwiedzającej stronę.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Umowa powierzenia z firmą hostingową

Paweł G.:
Zauważ też, że jeśli provider część danych zbiera i dalej przetwarza jako administrator, informacja o tym powinna się znaleźć w klauzuli informacyjnej dla osoby odwiedzającej stronę.

Zdecydowanie nie! Bo provider realizuje swoje cele jako administrator a właściciel strony swoje jako odrębny admin. Idąc Twoim błędnym tokiem rozumowania musiałbyś podać odwiedzającemu cały łańcuch powiązań od komputera odwiedzającego, poprzez szereg urządzeń routujących, z uwzględnieniem różnych podmiotów obsługujących ten ruch. Technicznie jest to niewykonalne a co najważniejsze bezcelowe. Wynika to chociażby ze specyfiki protokołu TCP/IP który działa tak, że nigdy nie wiesz, którą drogą zostaną przesłane paczki danych, a co gorsza różne z nich mogą iść różnymi drogami, aby na końcu spotkać się w docelowym IP.

Aby lepiej to zrozumieć lub zobaczyć jak to skomplikowane sprawdź trasę połączenia pomiędzy Twoim komputerem a np. goldenline.pl np. w tym serwisie: https://www.monitis.com/traceroute/
Zauważ, że Twoje połączenie leci po kilku węzłach w USA (państwo trzecie). Oczywiście, żadnych danych osobowych tam nie ma.

Proponuję zamknąć tę dyskusję, bo zamiast odpowiedzi na pytanie autora rozważamy tu jakieś abstrakcyjne zagadnienia, które w dodatku z ochroną danych oso przestają mieć cokolwiek wspólnego.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

umowa powierzenia czy upowa...




Wyślij zaproszenie do
Anuluj