Co z przetwarzaniem danych osobowych przez podmioty utrzymujące hosting i konta mailowe w imieniu przedsiębiorcy?

Powszechną praktyką przedsiębiorców jest zawieranie umów o świadczenie usług zapewniających  hosting strony WWW lub pocztę e-mail, jak również inne usługi informatyczne, z  wyspecjalizowanymi podmiotami trzecimi. Często jednak świadomość  istniejących z tego tytułu obowiązków prawnych z zakresu ochrony danych osobowych jest już zdecydowanie bardziej deficytowa.

Zgodnie z obecnie obowiązującą ustawą o ochronie danych osobowych, jak również z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej „RODO” – znajdującym zastosowanie w Polsce od 25 maja 2018 r., przetwarzaniem danych osobowych jest również ich przechowywanie przez podmioty trzecie lub ujawnianie danych osobowych poprzez ich przesyłanie przez administratora. Powyższe stanowi w zasadzie główny przedmiot wskazanych umów o świadczenie usług, na podstawie których usługodawca przetwarza (często właśnie bez odpowiedniej podstawy prawnej)dane osobowe w imieniu usługodawcy, czyli administratora tych danych. Zgodnie z ustawą odpowiedzialność za przestrzeganie przepisów spoczywa na administratorze danych, co jednak nie wyłącza odpowiedzialności podmiotu, który zawarł umowę (procesora) za przetwarzanie danych niezgodnie z umową.

Dlatego też, aby zapewnić zgodność świadczenia usług informatycznych we wspomnianym zakresie i jednocześnie uniknąć niebezpiecznych i potencjalnie bardzo dotkliwych konsekwencji wynikających z naruszenia RODO,  należy zawrzeć z usługodawcą umowę powierzenia przetwarzania danych osobowych. Względem obecnie obowiązującej ustawy, RODO bardziej precyzyjnie określa zarówno kształt i formę samej umowy, jak również postanowienia, które muszę się w niej znaleźć.

Zgodnie z obecnie obowiązującą ustawą powinna określać zakres oraz cel przetwarzania danych osobowych.

Na podstawie RODO: powinna dodatkowo określać między innymi: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera art.28 ust. 3 Rozporządzenia.

Podsumowując, aby 25 maja 2018 r. być RODO ready  pozostało niewiele czasu, a warto pamiętać, że również na gruncie ustawy o ochronie danych osobowych zawarcie umowy powierzenia jest obowiązkiem administratora. Aby nie czekać na reakcję organu nadzorczego, warto już teraz pomyśleć o uregulowaniu tych kwestii z dostawcami usług.

Karolina Dzilińska

Radca prawny przy Okręgowej Izbie Radców Prawnych w Warszawie, absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego (wyróżnienie) oraz Szkoły Prawa Amerykańskiego organizowanej przez University of Florida Frederic G. Levin Collage of Law. Współautor książki poświęconej problematyce prawa pracy i ubezpieczeń społecznych. Obecnie zajmuje się obsługą prawną podmiotów zarówno sektora prywatnego, jak i publicznego. Swoje zainteresowania zawodowe skupia wokół prawa cywilnego oraz prawa administracyjnego, w tym również ochrony danych osobowych.

Zobacz również:

KOMENTARZE

  • MarekBB

    Dzień dobry.

    Czy, jeżeli dotychczasowy dostawca serwera poczty odmawia podpisania umowy o powierzeniu przetwarzania danych osobowych, to pozostaje nam tylko zmiana dostawcy?

  • Marian

    A co w sytuacji gdy odsprzedajemy usługę chmurową lub hostingową?
    Czy sprzedawca ma zawrzeć umowę powierzenia z klientem końcowym?
    Jeśli tak, to czy musi podać od kogo kupuje usługi czy wystarczy, że powie, że powierza dane dalej, a w razie roszczeń dopiero poda komu?
    Art. 28 pkt. 2 RODO mówi o czymś takim jak wskazanie “ogólne” lub “szczegółowe”… 😉

ZOSTAW KOMENTARZ

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.