29.05.2018 / Prawo / Biznes / Bezpieczeństwo
 

RODO a hosting. Jaka jest odpowiedzialność dostawcy technologii za przetwarzane dane?

  • Facebook Polub
  • LinkedIn Opublikuj
  • Twitter Udostępnij
 
fot. Pexels
fot. Pexels

RODO, którego zapisy w zaczęły obowiązywać w zeszły piątek, nie pozostaje bez wpływu na działalność firm zarówno w USA, gdzie część amerykańskich wydawców zamknęła serwisy dla europejskich użytkowników, jak i u nas. Sporo wątpliwości wywołała Nazwa.pl, która zdecydowała się zakończyć wsparcie serwisów e-commerce z powodu "kurczącego się rynku" i zmian wynikających z RODO. 

Podjęliśmy decyzję o wycofaniu z oferty usługi sklepu internetowego. Niska rentowność tego produktu, konieczność nieustannego dostosowywania mechanizmów sprzedażowych do zmieniających się przepisów prawa podatkowego oraz narzucone przez europejskie rozporządzenie przepisy z zakresu ochrony danych osobowych, powodują duże ograniczenie w zakresie skali rozwoju tego typu usług. Spółka nie może pozwolić sobie na półśrodki i oferować produktów, które nie są w stanie sprostać obecnym przepisom i regulacjom, stąd nasza decyzja.

Krzysztof Cebrat, prezes zarządu nazwa.pl 

Sugestia dotycząca niekorzystnych trendów na rynku e-commerce wywołała oburzenie zarówno konkurencji spółki, która w liście otwartym skrytykowała argumentację Nazwa.pl, widząc w niej "próbę ukrycia biznesowej nieporadności", jak i niektórych użytkowników, którzy zauważyli, że nazwa.pl dotychczasowym klientom e-commerce zostawiła jednak furtkę. Tyle że dość drogą. 

Zarząd firmy podkreślił, że "wszyscy Klienci, którzy przeszli audyt dotyczący oceny zgodności z unijnym rozporządzeniem, mogą nadal korzystać z usług sklepów internetowych zakupionych za pośrednictwem nazwa.pl", ale - jak później poinformował nas rzecznik spółki - audyt to koszt rzędu 2000 zł netto, a stały monitoring 500 zł na miesiąc. 

Należyte wykonanie usługi audytu, jak i umowy Powierzenia Przetwarzania Danych Osobowych (wymaganej przez RODO) wymaga zaangażowania specjalistów, którzy ocenią zgodność danych przechowywanych na serwerach nazwa.pl z deklarowanymi w umowie PPDO oraz będą stale monitorować przestrzeganie jej warunków. Kwota za wykonanie usługi audytu to 2000 zł netto, natomiast stały monitoring to kwota 500 zł netto miesięcznie. 

Łukasz Matusik, rzecznik prasowy, Nazwa.pl

Na czym polega proponowany przez Nazwa.pl audyt? Łukasz Matusik szczegółowo wyjaśnił tę kwestię, powołując się na konkretne artykuły Rozporządzenia, które odpowiedzialnością za właściwe przetwarzanie danych obarczają nie tylko ich administratora (w tym wypadku dany e-sklep), a także procesora, czyli np. dostawcę usług hostingowych.

- Zgodnie z artykułem 28 rozporządzenia RODO, procesor danych także bierze na siebie odpowiedzialność za powierzone dane. W związku z tym nazwa.pl nie może podpisać umowy PPDO jako procesor, bez wcześniejszej weryfikacji deklarowanej przez Klienta zawartości danych umieszczanych na serwerach nazwa.pl. Niezastosowanie takiej procedury jest praktyką, która omija prawo i nie wypełnia obowiązków nałożonych przez RODO - tłumaczył rzecznik spółki. 

Z RODO jest jednak ten problem, że choć dość jasne w samej idei, w szczegółach pozostawia duże pole do interpretacji - zakładając, zdroworozsądkowo, że globalne korporacje mogą i powinny dbać o dane bardziej niż drobni przedsiębiorcy. Zapis o ochronie adekwatnej, czyli dostosowanej do potrzeb i możliwości firmy, wydaje się tu kluczowy.

Na "chłopski rozum" za zgodność deklarowanego i rzeczywistego zakresu przetwarzania danych powinien więc odpowiadać administrator i o ile nie wyłącza to odpowiedzialności dostawcy technologii np. hostingowej, o tyle rozsądnie wydawałoby się ograniczyć ją do kwestii technologicznych (np. zabezpieczenia przed wyciekiem danych).  

Ale jak jest w rzeczywistości? O komentarz poprosiliśmy specjalistę.

dr. Michał Matuszczak, radca prawny z kancelarii Babiaczyk, Skrocki i Wspólnicy:

W pierwszej kolejności należy rozróżnić dwa zagadnienia:

1) odpowiedzialność za przetwarzanie danych osobowych zgodnie przepisami prawa o ich ochronie (w szczególności zgodnie z RODO)
2) odpowiedzialność za bezprawny charakter danych.

Ad. 1)

Umowa o powierzenie przetwarzania danych osobowych (UPPDO) dotyczy jedynie tego zagadnienia (odpowiedzialność za przetwarzanie danych osobowych zgodnie przepisami prawa o ich ochronie), a nie odpowiedzialności za bezprawny charakter danych.

UPPDO powinna wskazywać  m.in. charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą. W interesie obu stron leży, aby powyższe informacje były zgodne z rzeczywistością. Ma to związek przede wszystkim  z brzmieniem art. 28 ust. 10 RODO, zgodnie z którym, jeżeli procesor naruszy przepisy RODO przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

Procesor ponosi odpowiedzialność przede wszystkim za należyte zabezpieczenie powierzonych mu danych przed ich naruszeniem (zastosowanie adekwatnych środków technicznych i organizacyjnych), za przetwarzanie danych zgodnie z celami i sposobami wskazanymi w UPPDO lub udokumentowanych poleceniach administratora, za wypełnienie obowiązków nałożonych na niego, jako procesora, przepisami RODO.

Moim zdaniem, procesor nie ponosi odpowiedzialności za powierzone dane w tym sensie, że odpowiada za „zawartość danych” mu powierzonych. Jeżeli okazałoby się, że rodzaj danych osobowych oraz kategorie osób, których dane dotyczą zadeklarowane w umowie przez administratora nie odpowiadają rzeczywistości, to trudno aby procesor ponosił za to odpowiedzialność na gruncie RODO, gdy administrator sam dane te zamieścił na serwerze procesora, bez wiedzy procesora (nie informując procesora o rozszerzeniu rodzaju danych osobowych oraz kategorii osób).  Takiej sytuacji nie można zakwalifikować jako naruszenie przepisów RODO przy określaniu celów i sposobów przetwarzania.

Na gruncie art. 82 i 83 RODO, procesor odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na procesorów, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Nie można uznać za działanie wbrew instrukcjom administratora przetwarzanie danych w zakresie przekazanym przez administratora, nawet jeżeli UPPDO definiuje ten zakres węziej.

Procesor nie odpowiada również za sferę odpowiedzialności administratora danych, tj. np. nie ponosi odpowiedzialności za to, że administrator przetwarza dane osobowe powierzone procesorowi bez odpowiedniej podstawy prawnej, czy też nie dopełnił ciążącego na nim obowiązku informacyjnego względem osób, których dane przetwarza.

Ad. 2)

Odrębnym zagadaniem jest odpowiedzialność za bezprawny charakter danych. Kwestię tę regulują przepisy ustawy o świadczeniu usług drogą elektroniczną. Zgodnie z art. 14 ust. 1 tej ustawy, nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych. Ustawodawca wprost w art. 15 tej samej ustawy stanowi, że podmiot, który świadczy usługi, nie jest obowiązany do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez niego danych, o których.

Zatem również na gruncie ustawy o świadczeniu usług drogą elektroniczną, podmiot taki jak spółka Nazwa.pl nie ma obowiązku przeprowadzania audytów u swoich klientów, aby zwolnić się z odpowiedzialności za bezprawność danych zamieszczanych na jego serwerze. Wystarczy, że w odpowiedni sposób zareaguje na informację o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę (uniemożliwi dostęp do tych danych).

adw. Natalia Zawadzka, Lubasz i Wspólnicy Kancelaria Radców Prawnych:

Odpowiedzialność za przetwarzanie danych osobowych ponosi zasadniczo administrator tych danych, czyli podmiot, który ustala cele i sposoby przetwarzania danych - w tym przypadku właściciel e-sklepu. To administrator odpowiada za to, że przetwarzanie będzie odbywać się zgodnie z określonymi w przepisach zasadami. 

Administrator może powierzyć część czynności przetwarzania, np. ich przechowywanie, podmiotowi trzeciemu (tzw. podmiotowi przetwarzającemu, procesorowi – np. dostawcy hostingu). Administrator może korzystać wyłącznie z usług takiego procesora, który zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi prawa. 

Podmiot przetwarzający (np. hostingodawca) również ponosi odpowiedzialność za prawidłowe przetwarzanie przez siebie danych osobowych powierzonych mu przez administratora. Odpowiedzialność procesora jest proporcjonalna do zakresu jego uprawnień i obowiązków. Podczas gdy administrator odpowiada za każde naruszenie przepisów rozporządzenia, procesor odpowiada wyłącznie wtedy, gdy nie dopełnił obowiązków, które przepisy nakładają bezpośrednio na podmioty przetwarzające (np. wdrożenia odpowiednich środków bezpieczeństwa, rejestrowania kategorii czynności przetwarzania czy zgłaszania administratorowi naruszeń), lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Na marginesie należy zauważyć, że przetwarzanie danych nie zawsze musi opierać się na zgodzie podmiotu danych, wręcz przeciwnie, w większości przypadków taka zgoda nie będzie konieczna. W przypadku przetwarzania na potrzeby wykonywania umów sprzedaży w sklepie internetowym podstawą przetwarzania danych będzie art. 6 ust. 1 lit. b) RODO, zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

  • Facebook Polub
  • LinkedIn Opublikuj
  • Twitter Udostępnij
wizytówki firm
szukasz klientów dla firmy?
  • grey tree sp. z o.o. grey tree sp. z o.o.

    Istniejemy na rynku reklamowym od 2007 r. Przez ten czas zbudowaliśmy nie tylko naszą markę, ale przede wszystkim...

    Zobacz profil w katalogu firm
  • NuOrder NuOrder

    Jesteśmy partnerem marek w zakresie kompleksowych działań interaktywnych i kampanii performance. Budujemy...

    Zobacz profil w katalogu firm
  • APLAN MEDIA APLAN MEDIA

    Wiedza pochodzi z doświadczenia, natomiast intuicja z serca. Od ponad 9 lat łączymy wiedzę z intuicją oraz...

    Zobacz profil w katalogu firm
Trwa zapisywanie komentarza
Dodaj komentarz
Zaloguj się
Jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo
wymagane
 
obrazek nieczytelny
 
 
wyślij
wizytówki firm
szukasz klientów dla firmy?
NuOrder
 
Arrow
newsletter
Arrow
Loader
Up Down
ostatnie komentarze
 
Dołącz do społeczności interaktywnie.com
 
 
 
 
© 2018 interaktywnie.com. All rights reserved.