Łukasz Krzysztof P.

Łukasz Krzysztof P. Aude aliquid
dignum...

Temat: Firma hostingowa a GIODO.

Witam.

Mam bardzo pilne pytanie.

Posiadam serwer wirtualny hostingowany w home.pl

Od home dowiedziałem się, że usługi hostingowe świadczone przez home.pl spełniają wymogi dotyczące ustawy o ochronie danych osobowych w tzw. stopniu wysokim.

I dowiedziałem się też, że utrzymywanie bazy danych osobowych w ramach usługi hostingowej wyczerpuje znamiona instytucji powierzenia home.pl przetwarzania danych jak określono w art. 31 ustawy o ochronie danych osobowych.

Ponieważ na stronie, z którą wkrótce ruszę będę zbierał dane osobowe, ale będą one wykorzystywane TYLKO do celów realizacji zamówienia, a po wykonaniu usługi będą z systemu usuwane...

To czy muszę coś jeszcze zrobić w kwestii ochrony tych danych?

Czy też wystarczy komputer zabezpieczony systemem antywirusowym z aktualną bazą wirusów?

Proszę o konkretną odpowiedź...

Jeśli można to pilnie.

Pozdrawiam.
Michał Faber

Michał Faber ABI/Audytor ODO &
ISO 27001

Temat: Firma hostingowa a GIODO.

Łukasz Krzysztof P.:
I dowiedziałem się też, że utrzymywanie bazy danych osobowych w ramach usługi hostingowej wyczerpuje znamiona instytucji powierzenia home.pl przetwarzania danych jak określono w art. 31 ustawy o ochronie danych osobowych.

Jeśli mówimy o hostingu niezarządzanym, czyli takim w ramach którego hostingodawca nie ma dostępu do danych osobowych, to na podstawie Ustawy o świadczeniu usług drogą elektroniczną wykorzystanie takiej usługi nie stanowi powierzania danych osobowych w przetwarzanie w rozumieniu Art.31 UoODO. Nie trzeba podpisywać z takim hostingodawcą umowy powierzenia.

Podstawa prawna:
Rozdział 3 UoŚUDO - Wyłączenie odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną - Art.12. - Art.15.

Ponieważ na stronie, z którą wkrótce ruszę będę zbierał dane osobowe, ale będą one wykorzystywane TYLKO do celów realizacji zamówienia, a po wykonaniu usługi będą z systemu usuwane...

a czy będą wystawiane faktury?
jeśli tak, to masz obowiązek przechowywać dane klienta przez 5 lat i nie możesz ich usunąć - takie dane trzeba oczywiście chronić jako dane osobowe oraz księgowe

podstawa prawna:
Ustawa o rachunkowości - Art. 74.
To czy muszę coś jeszcze zrobić w kwestii ochrony tych danych?
Czy też wystarczy komputer zabezpieczony systemem antywirusowym z aktualną bazą wirusów?

Jest cały szereg obowiązków które musisz wypełnić w związku z przetwarzaniem danych osobowych.

W przypadku serwisu internetowego wynikają one zarówno z Ustawy o ochronie danych osobowych, jak i z Ustawy o świadczeniu usług drogą elektroniczną.

Są to m.in.:
1. Przesłanki dopuszczalności przetwarzania (musisz mieć jakąś podstawę prawną np. zgodę osoby, której dane przetwarzasz)‏
2. Obowiązek informacyjny (kto przetwarza, w jakim celu, czasie itd.)
3. Zasada celowości (dopuszczalne jest przetwarzanie tylko w zadeklarowanym celu)
4. Zasada adekwatności (...tylko danych niezbędnych do jego realizacji)
5. Zasada czasowości (...w zadeklarowanym lub koniecznym czasie)
6. Obowiązki zabezpieczania DO (techniczne, organizacyjne itd)‏
7. Obowiązki przy powierzaniu i udostępnianiu DO
8. Obowiązek rejestracyjny
9. Obowiązki przy przekazywaniu DO do państwa trzeciego
10. Obowiązki związane z prawami osób, których dane dotyczą

Korzystanie z programu antywirusowego to tylko jeden z wielu obowiązków :)

Zapraszam na szkolenie z praktyki danych osobowych 19. listopada 2009: http://biznes.net/tmt.workshop/index/day2
Łukasz Krzysztof P.

Łukasz Krzysztof P. Aude aliquid
dignum...

Temat: Firma hostingowa a GIODO.

Dziękuję za wszystkie informacje.

Pozdrawiam.

konto usunięte

Temat: Firma hostingowa a GIODO.

Michał Faber:

Jeśli mówimy o hostingu niezarządzanym, czyli takim w ramach którego hostingodawca nie ma dostępu do danych osobowych, to na podstawie Ustawy o świadczeniu usług drogą elektroniczną wykorzystanie takiej usługi nie stanowi powierzania danych osobowych w przetwarzanie w rozumieniu Art.31 UoODO. Nie trzeba podpisywać z takim hostingodawcą umowy powierzenia.

Podstawa prawna:
Rozdział 3 UoŚUDO - Wyłączenie odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną - Art.12. - Art.15.

To jest bardzo ciekawy pogląd, przyznam, że po raz pierwszy się z nim spotykam. Czy mógłbym prosić o wyjaśnienie, co wspólnego mają art. 12 - 14 uśude z obowiązkiem z art. 31 uodo? I w jaki sposób nieponoszenie odpowiedzialności za hostowane treści wpływa na obowiązek zawarcia umowy powierzenia danych osobowych do przetwarzania?

Temat: Firma hostingowa a GIODO.

To jest bardzo ciekawy pogląd, przyznam, że po raz pierwszy się z nim spotykam. Czy mógłbym prosić o wyjaśnienie, co wspólnego mają art. 12 - 14 uśude z obowiązkiem z art. 31 uodo? I w jaki sposób nieponoszenie odpowiedzialności za hostowane treści wpływa na obowiązek zawarcia umowy powierzenia danych osobowych do przetwarzania?

Rzeczywiście pogląd jest ciekawy, w szczególności w aspekcie art. 7 pkt 2 w zw. z art. 31 uodo.

Temat: Firma hostingowa a GIODO.

Paweł Litwiński:
Michał Faber:

Jeśli mówimy o hostingu niezarządzanym, czyli takim w ramach którego hostingodawca nie ma dostępu do danych osobowych, to na podstawie Ustawy o świadczeniu usług drogą elektroniczną wykorzystanie takiej usługi nie stanowi powierzania danych osobowych w przetwarzanie w rozumieniu Art.31 UoODO. Nie trzeba podpisywać z takim hostingodawcą umowy powierzenia.

Podstawa prawna:
Rozdział 3 UoŚUDO - Wyłączenie odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną - Art.12. - Art.15.

To jest bardzo ciekawy pogląd, przyznam, że po raz pierwszy się z nim spotykam. Czy mógłbym prosić o wyjaśnienie, co wspólnego mają art. 12 - 14 uśude z obowiązkiem z art. 31 uodo? I w jaki sposób nieponoszenie odpowiedzialności za hostowane treści wpływa na obowiązek zawarcia umowy powierzenia danych osobowych do przetwarzania?


Prawdę mówiąc od dłuższego czasu zastanawiam się nad powyższym problemem. O ile nie ma wątpliwości w przypadku kiedy firma hostingowa ma dostęp do danych osobowych w stopniu umożliwiającym ich odczytanie to pojawia się problem kiedy firma hostingowa ma dostęp do informacji zaszyfrowanej co uniemożliwia jej odczytanie. Jeśli przyjmiemy, że z każdą firmą która ma dostęp do danych osobowych, nawet w formie uniemożliwiającej ich odczytanie, musi zostać zawarta umowa powierzenia przetwarzania to pojawia się pytanie czemu mielibyśmy się skupiać tylko na firmach hostingowych. Co z wszystkimi podmiotami zarządzającymi infrastrukturą sieci? Czemu nie muszę zawrzeć umowy powierzenia przetwarzania np. z TP jeśli korzystam z neostrady? Czy z podmiotami, które umożliwiają dostęp do sieci za pomocą hotspotów również muszę zawierać takie umowy? Moim zdaniem uznanie, że z każdym kto ma dostęp do danych osobowych, nawet jeśli nie może ich odczytać, muszę zawrzeć umowę powierzenia przetwarzania jest zbyt daleko idące. Rozumiem też, że powyższa interpretacja miała w pewnym sensie uregulować ten problem. Może rzeczywiście nie jest zbyt trafna ale może panowie prawnicy mają jakiś pomysł jak rozwiązać powyższe?

konto usunięte

Temat: Firma hostingowa a GIODO.

Adam Patkowski:

Moim zdaniem uznanie, że z każdym kto ma dostęp do danych osobowych, nawet jeśli nie może ich odczytać, muszę zawrzeć umowę powierzenia przetwarzania jest zbyt daleko idące. Rozumiem też, że powyższa interpretacja miała w pewnym sensie uregulować ten problem. Może rzeczywiście nie jest zbyt trafna ale może panowie prawnicy mają jakiś pomysł jak rozwiązać powyższe?

Ponieważ autor kontrowersyjnej wypowiedzi milczy, pozwolę sobie na kilka zdań w temacie. Zacznę od tego, co jest najprostsze – art. 12 do 15 uśude mają się nijak do art. 31 uodo. A mówiąc precyzyjnie – jeżeli coś jest powierzeniem danych osobowych do przetwarzania, to należy spełnić ustawowe wymagania (wynikające z art. 31 uodo) i kropka. Ustawa o świadczeniu usług drogą elektroniczną nie ma tutaj znaczenia. Ale to nie znaczy, że te dwie regulacje nie wchodzą ze sobą w interakcje – otóż jeżeli powierzenie danych osobowych do przetwarzania jest jednocześnie świadczeniem usług hostingowych (a mówiąc precyzyjnie, korzystaniem z takich usług), wówczas procesor/dostawca usług hostingowych może potencjalnie powołać się na art. 14 uśude i zwolnić się z odpowiedzialności za ew. naruszenia prawa związane z hostowanymi treściami. Przykład: korzystając z usług hostingowych umieszczam w sieci bazę danych osobowych, np. moich abonentów (spis telefonów on-line). Jeżeli uznamy to za przetwarzanie danych osobowych, muszę spełnić wymagania z art. 31 uodo. A jeżeli hostowane dane naruszają prawa osób trzecich, bo np. umieściłem tam dane kogoś, kto na to zgody nie wyraził, wówczas dostawca usług hostingowych może wyłączyć swoją odpowiedzialność właśnie na podstawie art. 14 uśude.

Pytanie tylko, co jest powierzeniem… Idąd krok po kroku: powierzamy do przetwarzania „dane osobowe”. A więc co wtedy, gdy są to informacje zaszyfrowane i procesor nie może ustalić, do kogo się odnoszą? Podchodząc do problemu celowościowo, skoro nie ma nie bezpieczeństwa naruszenia prywatności podmiotów danych, bo procesor nie zna i nie może poznać ich tożsamości, to wydaje się, że nie ma sensu do takiej operacji stosować art. 31 uodo. Ale uwaga – przepis mówi, że administrator danych może powierzyć ich przetwarzanie. Czyli możliwa jest też taka interpretacja, że osobowy charakter informacji oceniamy nie z punktu widzenia procesora, ale z punktu widzenia administratora. A wtedy każdy przypadek zaszyfrowania danych przez administratora procesem, który jest odwracalny (istnieje możliwość deszyfracji), a administrator potrafi taki odwrotny proces przeprowadzić, będzie kwalifikowana jako powierzenie. Ja osobiście opowiadam się za pierwszą interpretacją (ocena osobowego charakteru od strony procesora), ale nie można wykluczyć interpretacji przeciwnej.
Idąc dalej – załóżmy, że to, co otrzymuje procesor, to dane osobowe. Kiedy będzie dochodziło do powierzenia ich przetwarzania? Wtedy, kiedy administrator zleci procesorowi wykonanie jakiejkolwiek operacji na tych danych. Ale uwaga – przedmiotem zlecenia musi być przetwarzanie danych, czyli administrator musi intencjolanie zlecić innej osobie przetwarzanie danych: zbieranie, przechowywanie, usuwanie… Nie będzie dochodziło do zlecenia przetwarzania danych wtedy, gdy co prawda dane osobowe będą faktycznie np. przesyłane, ale inny będzie charakter i cel samego zlecenia – przykład: zlecam przesłanie pocztą książki telefonicznej; dochodzi do przesyłania danych osobowych zawartych w książce, ale cała operacja to nie powierzenie tych danych do przetwarzania, bo nie taki jest cel działania stron umowy. Oczywiście czasem będzie tak, że strony nie będą świadome tego, że dochodzi do powierzenia danych do przetwarzania – to należy oceniać obiektywnie, niezależnie od woli i świadomości stron. Ale ta wola i świadomość mają podstawowe znaczenie dla ustalenia rzeczywistego celu gospodarczego i charakteru umowy, który następnie posłuży do zakwalifikowania lub nie danej umowy jako umowa powierzenia (o treści umowy nie decyduje jej dosłowne brzmienie, ale zgodny zamiar i cel stron).

Temat: Firma hostingowa a GIODO.

Paweł Litwiński:
Ja osobiście opowiadam się za pierwszą interpretacją (ocena osobowego charakteru od strony procesora), ale nie można wykluczyć interpretacji przeciwnej.

Ja również ale czy istnieją jakieś komentarze, orzeczenia, cokolwiek co pozwala sądzić, że nie jesteśmy odosobnieni w takim podejściu? :)
Idąc dalej – załóżmy, że to, co otrzymuje procesor, to dane osobowe. Kiedy będzie dochodziło do powierzenia ich przetwarzania? Wtedy, kiedy administrator zleci procesorowi wykonanie jakiejkolwiek operacji na tych danych. Ale uwaga – przedmiotem zlecenia musi być przetwarzanie danych, czyli administrator musi intencjolanie zlecić innej osobie przetwarzanie danych: zbieranie, przechowywanie, usuwanie… Nie będzie dochodziło do zlecenia przetwarzania danych wtedy, gdy co prawda dane osobowe będą faktycznie np. przesyłane, ale inny będzie charakter i cel samego zlecenia – przykład: zlecam przesłanie pocztą książki telefonicznej; dochodzi do przesyłania danych osobowych zawartych w książce, ale cała operacja to nie powierzenie tych danych do przetwarzania, bo nie taki jest cel działania stron umowy.

Akurat ten rodzaj przetwarzania regulują przepisy ustawy prawo pocztowe. Spotkałem się z poglądem, że w przypadku przesyłania danych osobowych nie jest niezbędne zawieranie pisemnej umowy powierzenia przetwarzania danych ponieważ zgodnie z ustawią prawo pocztowe samo nadanie przesyłki jest równoznaczne z zawarciem umowy, która mieści się w definicji umowy powierzenia przetwarzania określonej w art. 31 ustawy o ochronie danych osobowych.
Ale wracając do tego co napisałeś, czyli jeśli podpisuję z firmą hostingową umowę na przechowywanie i konserwację moich dysków, a także na umożliwienie zdalnego ich zapisywania i odczytywania (zakładam, że zgodnie z umową firma nie będzie miała prawa kontrolować zawartości dysków) to nie będzie to podlegało umowie powierzenia przetwarzania danych nawet jeśli będę musiał kiedyś zapisać na tych dyskach dane osobowe? Obawiam się, że takie podejście ma pewne wady. W swoim przykładzie piszesz, że zlecenie polegało na przesyłaniu przedmiotów, a to że jednym z nich okazała się być książka telefoniczna nie wprowadza obowiązku zawierania umowy powierzenia, ponieważ zlecenie nie dotyczyło przesyłania danych osobowych ale książki, która przypadkowo takie dane zawierała. Niestety GIODO bardzo wyraźnie odróżnia pojęcie nośników informacji i danych osobowych. A więc Twój przykład mógłby funkcjonować z powodzeniem do czasu kiedy przedmiotem umowy byłoby przesyłanie różnych rzeczy w tym nośników informacji, jednak w momencie kiedy nośniki te zawierałyby dane osobowe, specjalnie dla tych konkretnych przesyłek niezbędne jest zawarcie umowy powierzenia przetwarzania danych osobowych, ponieważ poza samym dostarczeniem nośnika informacji (książka) niezbędne jest też przetwarzanie danych osobowych zgromadzonych na tym nośniku.
Tutaj dwa linki do dość interesujących wyroków gdzie jest mowa o odróżnienie nośników danych i samych danych.

II SA/Wa 825/05
http://www.e-ochronadanych.pl/a,440,ii-sa-wa-825-05.html
I OSK 11/07
http://www.e-ochronadanych.com.pl/a,629,i-osk-11-07.html
Oczywiście czasem będzie tak, że strony nie będą świadome tego, że dochodzi do powierzenia danych do przetwarzania – to należy oceniać obiektywnie, niezależnie od woli i świadomości stron. Ale ta wola i świadomość mają podstawowe znaczenie dla ustalenia rzeczywistego celu gospodarczego i charakteru umowy, który następnie posłuży do zakwalifikowania lub nie danej umowy jako umowa powierzenia (o treści umowy nie decyduje jej dosłowne brzmienie, ale zgodny zamiar i cel stron).

konto usunięte

Temat: Firma hostingowa a GIODO.

Adam Patkowski:

Ale wracając do tego co napisałeś, czyli jeśli podpisuję z firmą hostingową umowę na przechowywanie i konserwację moich dysków, a także na umożliwienie zdalnego ich zapisywania i odczytywania (zakładam, że zgodnie z umową firma nie będzie miała prawa kontrolować zawartości dysków) to nie będzie to podlegało umowie powierzenia przetwarzania danych nawet jeśli będę musiał kiedyś zapisać na tych dyskach dane osobowe? Obawiam się, że takie podejście ma pewne wady. W swoim przykładzie piszesz, że zlecenie polegało na przesyłaniu przedmiotów, a to że jednym z nich okazała się być książka telefoniczna nie wprowadza obowiązku zawierania umowy powierzenia, ponieważ zlecenie nie dotyczyło przesyłania danych osobowych ale książki, która przypadkowo takie dane zawierała. Niestety GIODO bardzo wyraźnie odróżnia pojęcie nośników informacji i danych osobowych. A więc Twój przykład mógłby funkcjonować z powodzeniem do czasu kiedy przedmiotem umowy byłoby przesyłanie różnych rzeczy w tym nośników informacji, jednak w momencie kiedy nośniki te zawierałyby dane osobowe, specjalnie dla tych konkretnych przesyłek niezbędne jest zawarcie umowy powierzenia przetwarzania danych osobowych, ponieważ poza samym dostarczeniem nośnika informacji (książka) niezbędne jest też przetwarzanie danych osobowych zgromadzonych na tym nośniku.

Rozróżnianie przez GIODO na nośniki i na dane tylko potwierdza moje stanowisko. W jednym z przywołanych przez Ciebie wyroków czytamy:

"Generalny Inspektor zaznaczył też, że art. 23 ust. 1 u.o.d.o. określa materialne przesłanki przetwarzania, a więc, w związku z treścią art. 2 tej ustawy, także udostępniania tych danych (tzw. „danych zwykłych”), ale nie ich nośników."

Czyli w ocenie GIODO znaczenie ma przedmiot, do którego odnoszą się czynności przetwarzania: jak przetwarzasz dane, to podlegasz ustawie, a jak przetwarzasz "nośniki", to nie podlegasz.
Swoją drogą, to jest bardzo interesujący pogląd - wynika z niego, że jak powierzysz do zniszczenia dysk, do którego procesor nie ma dostępu, to nie jest to "powierzenie" w rozumieniu przepisów ustawy. Co innego, jak powierzysz np. zniszczenie wydruków - wówczas stosujemy 31 uodo.
Michał Faber

Michał Faber ABI/Audytor ODO &
ISO 27001

Temat: Firma hostingowa a GIODO.

Paweł Litwiński:
Ponieważ autor kontrowersyjnej wypowiedzi milczy, pozwolę sobie na kilka zdań w temacie. Zacznę od tego, co jest najprostsze – art. 12 do 15 uśude mają się nijak do art. 31 uodo. A mówiąc precyzyjnie – jeżeli coś jest powierzeniem danych osobowych do przetwarzania, to należy spełnić ustawowe wymagania (wynikające z art. 31 uodo) i kropka. Ustawa o świadczeniu usług drogą elektroniczną nie ma tutaj znaczenia.

Koledzy,

moja wypowiedź nie jest kontrowersyjna, bo jest zgodna z wykładnią GIODO, przepisami prawa i zdrowym rozsądkiem ;) tym razem poszliście w swoich rozważaniach w niewłaściwym kierunku

podkreślam że rozmawiamy o zautomatyzowanym hostingu niezarządzanym, gdzie dane osobowe są dostępne po autoryzacji użytkownika (upoważnionego pracownika Administratora Danych), a hostingodawca nie ma do danych osobowych dostępu (nie zna hasła dostępu) - w takim przypadku nie dochodzi do powierzenia w rozumeniu Art.31 UoODO, więc pisemna umowa powierzenia nie jest konieczna

pytanie do GIODO:
"Czy firma zajmująca się hostingiem stron internetowych (czyli
dzierżawą miejsca na serwerze i świadczeniem usług dostępu do
tych serwisów z Internetu) staje się podmiotem przetwarzającym
dane w sytuacji, gdy hostowany serwis posiada w swej strukturze
dane osobowe i mechanizmy je obsługujące?"


odpowiedź GIODO:
"Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy."

żródło:
ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych WYDAWNICTWO SEJMOWE, Warszawa 2007
http://www.giodo.gov.pl/plik/id_p/1057/j/pl/

powyższa wykładnia nie zdejmuje oczywiście z Administratora Danych obowiązku ich ochrony, przez np. wybranie odpowiedniego hostingodawcy, który zapewnia wymagane ustawowo techniczne i organizacyjne środki ochrony i w ramach SLA zobowiązuje się ich dotrzymać

mimo wyboru takiego hostingodawcy nie jest on Procesorem, bo nie zawarta została umowa powierzenia, więc nie ponosi odpowiedzialności przewidzianej dla Procesora itd.

patrząc na hosting szerzej można wyróżnić też inne rodzaje tej usługi, poza zautomatyzowanym, niezarządzanych hostingiem, czyli serwerami wirtualnymi - np. w ramach korzystania i udostępniania hostingu zarządzanego jest 8 różnych przypadków, w których hostingodawca powinien w określony sposób uregulować swoje relacje z klientem w zakresie ochrony danych osobowych

jak widać w zakresie ochrony danych osobowych jest sporo specjalistycznych nisz, w szczególności związanych z internetem i teleinformatyką, które mają swoje wykładnie i rozwiązania - wystarczy zapytać specjalisty ;)

ale to temat na inną dyskusję...

zapraszam na szkolenie 19. listopada z praktyki ochrony danych osobowych: http://biznes.net/tmt.workshop/index/day2

i do grupy "Ochrona danych osobowych": http://www.goldenline.pl/grupa/ochrona-danych-osobowych

konto usunięte

Temat: Firma hostingowa a GIODO.

Michał Faber:

moja wypowiedź nie jest kontrowersyjna, bo jest zgodna z wykładnią GIODO, przepisami prawa i zdrowym rozsądkiem ;) tym razem poszliście w swoich rozważaniach w niewłaściwym kierunku

Pozwolę sobie jednak pozostać przy swoim zdaniu - to, że do jakiegoś stanu faktycznego stosujemy określoną instytucję jeszcze nie oznacza, że coś z czegoś wynika. I konia z rzędem temu, kto mi powie, jak z zacytowanego stanowiska GIODO (prawidłowego skądinąd) wyprowadzić wniosek, że "Jeśli mówimy o hostingu niezarządzanym, czyli takim w ramach którego hostingodawca nie ma dostępu do danych osobowych, to na podstawie Ustawy o świadczeniu usług drogą elektroniczną wykorzystanie takiej usługi nie stanowi powierzania danych osobowych w przetwarzanie w rozumieniu Art.31 UoODO. Nie trzeba podpisywać z takim hostingodawcą umowy powierzenia." To mniej więcej tak, jakby powiedzieć, że 2+2=4, więc mamy dzisiaj niedzielę - odróżniajmy obowiązek publicznoprawny, jakim jest konieczność spełnienia wymagań z art. 31 uodo, od odpowiedzialności za treść hostowanych danych! I ja bynajmniej nie twierdzę (vide kilka postów wyżej), że w takim przypadku trzeba zawierać umowę pisemną itd. Ale jak już wypowiadamy się na tematy prawnicze, to nie mylmy skutków z przyczyną, stosujmy jakieś reguły rozumowania i nie wprowadzajmy ludzi w błąd. Czym innym odpowiedzialność za treść danych osobowych, czym innym obowiązki wynikające z hostingu danych osobowych.

Za zaproszenie na szkolenie dziękuję - nie skorzystam. A czytającym te wypowiedzi sugerowałbym jednak pewną ostrożność - papier (tutaj: grupa dyskusyjna) wszystko przyjmie ;-)Paweł Litwiński edytował(a) ten post dnia 15.11.09 o godzinie 00:56
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Firma hostingowa a GIODO.

Michał F.:
Jeśli mówimy o hostingu niezarządzanym, czyli takim w ramach którego hostingodawca nie ma dostępu do danych osobowych, to na podstawie Ustawy o świadczeniu usług drogą elektroniczną wykorzystanie takiej usługi nie stanowi powierzania danych osobowych w przetwarzanie w rozumieniu Art.31 UoODO. Nie trzeba podpisywać z takim hostingodawcą umowy powierzenia.

Podstawa prawna:
Rozdział 3 UoŚUDO - Wyłączenie odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną - Art.12. - Art.15.

Wiem, że wyciągam stary wątek, ale problem mnie nurtuje. Przecież art. 12 obejmuje wyłącznie transmisję w sieci telekomunikacyjnej danych przekazywanych przez odbiorcę usługi lub zapewnienie dostępu do sieci telekomunikacyjnej, także automatyczne i krótkotrwałe pośrednie przechowywanie transmitowanych danych, jeżeli działanie to ma wyłącznie na celu przeprowadzenie transmisji, a dane nie są przechowywane dłużej, niż jest to w zwykłych warunkach konieczne dla zrealizowania transmisji.

Czy rzeczywiście hostingodawca ogranicza się tylko do transmisji danych lub ich krótkotrwałego pośredniego przechowywania?

Następna dyskusja:

Aktualizacja wniosku do GIODO




Wyślij zaproszenie do